`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Арсен Бандурян

Прощаемся с WEP и TKIP

+44
голоса

Согласно документу, недавно распространенному среди участников Wi-Fi Alliance, утвержден трехлетний план, предполагающий полный отказ от устаревших технологий WEP и TKIP. Таким образом, остаются два варианта: Open и AES-CCMP (он же WPA2-AES).

Конкретнее, уже с

  • 1 января 2011 года, ни одна точка доступа, претендующая на логотип Wi-Fi Certified не будет поддерживать WPA-TKIP (WPA2-TKIP - можно). Также, запрещено использовать TKIP в любом механизме обеспечения безопасности (тоже, только для точек).
  • 1 января 2012 года WPA-TKIP не будут подерживать и клиентские устройства с логотипов WI-Fi Certified.
  • 1 января 2013 года - аналогичная судьба постигнет WEP на точках доступа.
  • 1 января 2014 года - аналогично на клиентских устройствах.

Таким образом, через 2,5 года WEP и TKIP окончательно нас покинут. Мое мнение - давно пора.

Вкратце напомню - с помощью aircrack-ng WEP сейчас ломается за 10-15 сек. TKIP был промедуточным вариантом (уж очень долго не могли принять 802.11i/WPA2) и уже давно дал трещины. Ни одна нормальная организация не строит сейчас на них сеть.Оставленный временной зазор достаточен для модернизации всего, чего угодно. Для тех, кому недостаточно - есть AirDefense WEP Cloaking. Он достаточно надежен, чтобы даже пройти сертификацию PCI DSS.

 

+44
голоса

Напечатать Отправить другу

Читайте также

Я даже не знаю, может быть, стоило оставить один из двух, как минимально отличающийся от открытого соединения протокол. Разница ж в сложности шифра повлияет на производительность, а для многих оптимальный баланс производительности и безопасности изрядно смещен в сторону произодительности.

Конечно, что там его шифровать, с теперешней микроэлектроникой, однако, зачем тратить на бакс больше если можно было бы и не тратить? Это ведь тоже производительность, но уже не устройста а бюджета.

Вы потратите на тысячи баксов больше, когда какой-то пацанчик ради интереса ломанет ваш WEP и запустит какую-то бяку в сетку. Считать надо не только стоимость приобретения, но и владения, и риски.
Если нужна "дешевая" производительность - берите open.
В настоящее время, использование WEP с точки зрения безопасности НИЧЕМ не отличается от Open (тот же aircrack-ng доступен с 2003 года), TKIP - чуть крепче, но, как я понимаю, у товарщей из Wi-Fi Alliance есть какая-то недоступная нам информация по этому поводу :) Именно поэтому и вводится данный план - убираются два взломанных механизма безопасности, чтобы кто-то по глупости не попался.

Я о взломе WEP осведомлен чуть позднее - с 2004 года, спасибо за справку. Так же у меня настроен WPA-AES в домашней сети.

Однако, пример. Ну запустит мне бяку пацанчик, и что? Постучится бяка в фаерволлы и все. Понятно, что, бяка может быть весьма хитрой, например с использованием RAW сокетов, однако мысль вообще-то не в защите сети, а в защите канала Интернета. Если я вот такой скряга, что не хочу делиться со всеми Интернетом, то мне ничего больше WEP не нужно..;)

Эээ WEP? Взлом ключа WEP, сниффинг MAC-адресов на канале, MAC-спуфинг, и ваш инет у меня в кармане? Или я чего-то не понимаю?
Следующий шаг - имперсонация вашей точки доступа, man in the middle, у вас на полсекунды пропадает и восстанавливается автоматом коннект - и весь ваш незашифрованый трафик (пароли SMTP/POP3, логины на сайтах, аккаунты одноклассников и прочих фейсбуков, аськи и всего другого, где не был прикручен SSL/HTTPS) - у меня. Для разнообразия можно еще посниффить адреса электронной почты, почитать письма, и написать любимой девушке / начальнику / клиенту / конкуренту / президенту и т.д. - в зависимости от того, что попадется. Благо, нормальные почтовые сервисы поддерживают SSL, но не у всех юзеров доходят руки им пользоваться.
А "на добивание" пацанчик подарит вам еще вот это: http://ko.com.ua/node/48154
Вы еще с WEP-ом? - Мы идем к вам кипятить! :)

С WPA-AES, пока что, такое не проходит. Аминь.

Хм, а Вы оказывается прилично разбираетесь в атаках..

Однако, я говорил с т.з. доступа к данным. Критично важным данным, которые находятся у меня на ПК. Пароль к гмейл у меня в SSL (да и у всех), а все остальное прикручено к гмейл. Мои контакты просто не поверят странным заявлениям от меня, я очень специфический человек и меня трудно спутать:)

Однако, Вы увлекаетесь. Говорите о "обычных юзерах", и при этом о необычных пацанчиках. Да 99% соседей во всем мире просто поищут другую сеть если наткнутся на пароль. Назовите это не WEP, а Password, пусть он ломается не за 15 сек а за 1, но при этом неквалифицированные соседи не влезут в мой инет. Конечно, им не сложно повысить квалификацию, благо сниферов и брутов валом. Но не ИТ специалисты не занимаются повышением квалификации в ИТ и ИБ в большинстве случаев.

P.S. Кстати, вполне реальна модель использования Инет канала (в свое время я продавал пиплнетовский модем женщине с такой моделью) когда нужна только почта. И чего тут ловить шалунишкам?...

Александр, я польщен :)

По поводу обычных/необычных - слово "пацанчик" выбрано незря. Журнал "Хакер" еще не мертв, и подростков, ломающих пароли "просто, потому, что это круто" и "потому, что я могу" и "будет, что завтра в школе/институте рассказать" - вполне достаточно.
Будучи в школе мы учили ассемблер, SoftICE и прямой машинный код (наиболее распространенных команд) чисто потому, что было интересно поломать очередную игрушку, повесить училке веселый резидент под Lexicon или просто сломать чё-то, чтобы потом рассказать друзьям, как это было круто. Самым невинным занятием была "русификация" command.com. Моя вторя программа под Windows 3.11 (после Hello World) запускалась из win.ini (или system.ini - уже не помню) выводила модальное прозрачное окно на весь экран, пропускала через него even'ты (а-ля stealth mode) и периодически выводила обидные сообщения :)
Сейчас вряд-ли кто-то будет учить asm "чтобы поприкалываться", но зато есть тулзы для автоматизированного взлома сетей, MetaSploit и прочие радости жизни с меньшими требованиями к квалификации и не меньшей разрушительной силой. И самое главное - сейчас идентифицировать атакующего гораздо сложнее. Раньше сразу было понятно, кто подобрал пароль к LANTastic'у и взял сервер под Remote Control :)

Опять же, можно поставить на точке VPN Gateway, поднять между компом и точкой IpSec и вообще использовать Open :)

Тю, Хакер нынче с каждым годом мельчает. Это как бы пример..все больше и больше людей которые лишь используют технологии, не замысливаясь о том как они работают. Щас легко найти ветерана Варкрафта, но среди трех сотен выпускников врядли найдешь даже кулцхакера с навыком использования kaht2 и опытом его компиляции в каком-нить сишном редакторе. А понимание как еще и исполняется этот шелл-код или умение пользовать скриптовые языки для "промышленного пользования" пресловутого кахт'а это уже вообще запредельное, может одним на школы 4 (неск. тыс. чел.) такой и найдется.

Насчет софта согласен, наделали его просто уйму, идея в принципе такая: есть определенные угрозы, и соответственно риски для компании (физлица). Если компания принимает риски (т.е. у нее есть большиЕ риски на других фронтах) то у нее должен быть выбор ПО для разных бюджетов. Вы же понимаете что проблема собственно не в нехватке вычислительных мощностей вообще, а в нехватке вычислительных мощностей для обработки большого кол-ва пакетов и соединений. И вот эту драгоценную мощность на доллар стоимости и отьедают секьюрити протоколы излишние для определенных рисков.

Насчет VPN - принципиально потерю производительности за счет апа безопасности это не решит, так как не помню сколько проходов там у WEP, то не скажу ухудшит ли. Правда и VPN реализован по разному на Винде и Лине, соответственно длина ключей разная и разные алгоритмы и нагрузки на процессор точки доступа.

му-ха-ха.
идите учиться, товарищь специалист.

World of Warcraft на 27 страничке Вашего доклада http://www.atmnis.com/~proger/openkyiv/openkyiv2009_yunak_dynrouting.pdf , товарищ бывший преподаватель, учиться?:)

Учитывая то, что в вертикали ит нашего отдела по стране работает за сотню системных инженеров, думаю они смогут разобраться с техническими подробностями и без меня.

А чё - забавный такой докладик. И картинка из WoW веселая :)

Доклад на самом деле очень проффесиональный (насколько я могу судить, так как мои навыки в OpenBSD ограничиваются простой настройкой сети и нескольких сервисов - NFS, FTP, SSH, cron). Однако беда в том что мало кому нужна столько дорогая в обслуживании ОС. Нормальный спец по OpenBSD изрядно стоит, и очень часто дешевле будет купить и винду серверную, и соответствующее железо под нее.

вот ведь не лень было вам узнавать, кто я ;)
спасибо на добром слове.
стоимость нормальных специалистов по серверной винде и опену соизмерима. и такие решения, как на опене, никто на винде не делает, по техническим причинам, - она не предназначена для этого. точно так же, как никто не делает контроллеров домена на опене.

Мне все же в области специфических серверных систем в последнее время нравится Соларис, из-за мандатной системы доступа.

Брррр.

Лучше бы wpa3 какой-нибудь придумали. Раньше просто юзерам было объяснять - wep плохой, wpa - хороший.

А теперь опять бардак.
___________________________________
Twitter: @valbudkin

Почему-же - бардак? Как раз теперь можно говорить "open" - плохо. Подразумевая, что другой (единственный) оставшийся вариант - хорошо.
А сейчас - объясните юзеру разницу между буквами WPA, WPA2, TKIP, WPA-AES, WPA2-TKIP и CCMP-AES? А ведь разные connection manager'ы - по разному называют одни и те же режимы.

Более того, сейчас в Wi-Fi Alliance началось брожение умов в сторону того, чтобы по дефолту точки шли с с включенным WPA2 (cейчас по стандарту они должны идти с включенным Open, многие на этом ДО СИХ ПОР попадаются). Останется только после запуска точки ввести пароль - и вуаля!

Какой бардак ? Есть только WPA/WPA2. Причем WPA плавно уходит - в современных устройствах есть "mixed mode" - WPA2, но старые устройства с WPA тоже поддерживаются.

новость, конечно, позитивная, но спорная.
во-первых, почему первым уйдет WPA-TKIP, а не WEP? все-таки, хоть и есть техническая возможность проводить атаки на TKIP, и даже есть полуавтоматические инструменты, легкость и популярность взлома WEP несравнимо выше, с aircrack-ng справится любой школьник.
во-вторых, неясно, что ждет WPA2-TKIP: если его собираются оставить, то почему, если нет - то когда же он тоже станет deprecated?

впрочем, все это конечно каким-либо образом касается только домашнего неквалифицированного пользователя, и, надеюсь, позитивно скажется на общей защищенности "домашних" беспроводных сетей.

В WEP было вложено ОЧЕНЬ много денег, и не всё, что на нем работает можно легко проапгрейдить (с ноутбуками всё просто, но есть промышленные применения). В TKIP вложились меньше, т.к. сразу знали, что это решение промежуточное, только из-за того, что с принятием WPA2 возникли сложности. К тому же, WEP защищается всяким WEP Cloaking. Поэтому ему дали больше времени.
Как было сказано - "TKIP ... в составе любого механизма безопасности", так что отмирают и WPA2-TKIP и WPA-AES.

согласен, ясно и разумно

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT