Сети Wi-Fi, как уже говорилось выше, принципиально более небезопасны, чем проводные сети, поскольку сложно гарантировать, что где-либо в пределах радиовидимости не расположился какой-нибудь редиска нехороший человек с достаточно хорошей антенной. Поэтому для всех корпоративных сетей Wi-Fi, как правило, используется защита трафика. Для этой цели, по мере развития данной технологии, были предложены следующие механизмы:

• WEP (Wired Equivalent Privacy). Основан на алгоритме RC4 с длиной ключа 64 бит (пользовательский ключ 40 бит, или 10 шестнадцатеричных символов, или 5 ASCII символов + вектор инициализации 24 бита) и 3-шаговой процедуре инициализации (handshake). Иногда называется также WEP64 или WEP40, чтобы отличить от модификации с большей длиной ключа.
• WEP2, он же WEP104 или WEP128. То же самое, но с увеличенной длиной ключа — 128 бит (в т.ч. пользовательский ключ 104 бита, или 13 ASCII-символов).
• WPA (Wi-Fi Protected Access) — более сложный алгоритм, предусмотренный стандартом IEEE 802.11i. Основан на том же самом алгоритме RC4, но включает в себя 4 основные компоненты:
   
  • Временный протокол управления ключами TKIP, закрывающий наиболее уязвимые места WEP.
  • Механизм контроля целостности сообщений (MIC).
  • Использование совместно с механизмом аутентификации IEEE 802.1x.
  • Использование протокола EAP и его модификаций (PEAP и др.) для передачи идентификатора и пароля клиента в процессе аутентификации.
  Иногда в настройках беспроводных устройств обозначается как TKIP, чтобы подчеркнуть отличие от WPA2.
• WPA2 — вместо RC4 и TKIP использует новый алгоритм CCMP, включающий в себя более безопасную 4-шаговую процедуру инициализации, защиту трафика с помощью AES и интегрированный механизм управления ключами. Иногда в настройках беспроводных устройств обозначается как AES или CCMP. В любом случае, если одно из двух взаимодействующих устройств не поддерживает его, то допускается откат на WPA (TKIP).

На сегодняшний день WEP представляет собой чисто символическую защиту, поскольку взламывается за небольшое время общедоступными программными и аппаратными средствами. По этой причине его использование не рекомендуется. Он может иметь смысл только для очень старого оборудования (ранее 2004 г. выпуска), и только в случае, если это оборудование не допускает обновления своего программного обеспечения хотя бы до поддержки TKIP. Как следствие, не рекомендуется использование режима Ad-Hoc.

Алгоритм WPA (TKIP) также нельзя считать безопасным. Существуют конструктивные методы для его взлома за короткое время, хотя они и требуют существенно бoльшей компетенции. Наконец, в 2010 г. была выявлена уязвимость и в алгоритме WPA2, причём также конструктивные — т.е. не методом подбора паролей (brute force attack) и не методом взлома ключей. Тем не менее, этот алгоритм остаётся относительно наименее уязвимым, по крайней мере, при достаточной длине секрета (рекомендуется не менее 13 случайных ASCII-символов).

Принципиально иной подход к безопасности состоит в том, чтобы отказаться от неё на уровне беспроводной сети вообще и использовать вместо неё безопасные туннели 2–4 уровней. В частности, PPPoE и PPTP иногда используются в домовых сетях (в основном, для аутентификации клиента и учёта потребляемых услуг), хотя также не являются достаточно безопасными. Для корпоративных применений следует использовать только IPsec или технологии на основе SSL (STunnel, OpenVPN и т.п.). При таком решении, однако, следует уделить особое внимание тому, чтобы несанкционированный клиент не смог никак воспользоваться услугами сети в обход этих туннелей: отказаться от назначения адресов по DHCP, исключить выход в Интернет через маршрут по умолчанию, заблокировать фильтрами все излишние протоколы и порты, и т.п.

Обратно в узел wifi...