El artículo dedicado al propietario y a las mejoras esta'ndar-basadas para las 802.11 salvaguardias actualmente vulnerables.
|
|
La vulnerabilidad publicada 802.11 es la inseguridad de WEP. Hemos repasado ya las debilidades criptográficas de WEP ligado a la reutilización dominante del espacio del intravenoso y al algoritmo inseguro de la generación de la llave-de-secuencia. Hay también ediciones de gerencia dominantes bien conocidas de WEP:
Todas las puestas en práctica simétricas de la cifra sufren problemas dominantes seguros de la distribución. WEP no es ninguna excepción. En el diseño original, WEP fue supuesto para defender LANs pequeño, single-cell. Las redes sin hilos del siglo XXI implican a menudo a millares de anfitriones móviles, haciendo la distribución manual y el cambio de WEP afina una pesadilla.
El dispositivo de las fuentes de la llave de WEP y la autentificación usuario-no basada. Si una galleta roba o encuentra un dispositivo perdido, él o ella roba el acceso al WLAN que este dispositivo se configura para conectar con.
Todos los anfitriones en el LAN tienen la misma llave de WEP. El oler WLAN es tan fácil como Ethernet compartida el oler, y otros ataques de la devastación pueden ser lanzados. Recuerde que los malcontents internos entre empleados presentan aún más de una amenaza que atacantes externos. Los usuarios en la red sin hilos que comparten la misma llave de WEP pertenecen al mismo dominio de los datos, incluso si la red sin hilos está partida en diversos dominios de la difusión. Todo el atacante interno que sabe que WEP necesita hacer al snoop en el tráfico que pertenece a diversos subnets de WLAN debe poner su o su tarjeta en el modo promiscuo.
Las ediciones de gerencia criptográficas y dominantes fueron tratadas (o, por lo menos, procuró ser tratado) por el comité de estándares de IEEE y los varios vendedores del equipo y del software de WLAN.
La primera respuesta de muchos vendedores aumentaba la longitud dominante puesta en ejecucio'n estándar de WEP a 128 pedacitos (WEP2 supuesto) o más arriba. Como usted debe saber ya, tal acercamiento no ayudará contra todo menos bruto-forzar simple a menos que se aumente el espacio del intravenoso.
Los primeros arreglos verdaderos para las inseguridades de WEP eran probablemente los asuntos de RSA que consideraban el uso de afinar del por-paquete y la eliminación de los primeros octetos del keystream. Aparece que el Agere/Proxim WEPPlus ha puesto la eliminación de los primeros octetos del keystream o una solución en ejecucio'n similar con el lanzamiento de la versión del eigth de los soportes lógico inalterable de la tarjeta de Agere/Proxim WLAN. Hemos probado WEPPlus contra AirSnort usando el punto 2000 de acceso del AP Orinoco y el oro 802.11a/b ComboCards de Orinoco, que utilizó WEPPlus, y nosotros podemos confirmar que en un tráfico de tres días que descargaba la sesión no descubrimos un solo marco interesante del intravenoso. Por supuesto, si algunos de los clientes en el WLAN no ponen WEPPlus en ejecucio'n, el propósito entero de las contramedidas será derrotado porque ocurrirá un retraso al WEP estándar
Los modelos SEGUROS del Cisco ponen las políticas dominantes de la rotación en ejecucio'n que se pueden centralmente configurar en el servidor windows-based del control de acceso o el acceso UNIX-basado registar. Por supuesto, la CAJA FUERTE moderna del Cisco es completamente WPA-obediente, pero aquí referimos a la inicial y aún a la gerencia dominante centralizada Cisco extensamente usada (CCKM). CCKM se asegura de que el cambio de la llave de WEP ocurra transparente para los usuarios del extremo. Con CCKM, es posible configurar las políticas dominantes de la rotación en los puntos de acceso del Cisco Aironet y utilizar la grabación, la revisión, y la carga uniforme para el uso de WLAN que emplea registros de estadísticas del RADIO. CCKM se fija en a por-SSID base y requiere la autentificación EAP-basada configurada en la red. Un punto de acceso de CCKM-enabled en su WLAN actúa como servicio sin hilos del dominio (WDM) y mantiene un escondrijo de las credenciales de la seguridad para todos los dispositivos del cliente de CCKM en el subnet. El Cisco también ha desarrollado sus propias mejoras a WEP y al cheque básico de la integridad de WEP. Estas mejoras incluyen el cheque dominante de la integridad del protocolo de la integridad del Cisco (CKIP) y del mensaje del Cisco (CMIC), que se basan en los progresos tempranos de los 802.11 grupos de tarea "i." Pueden ser permitidas en puntos de acceso del Cisco Aironet usando el ckip de la cifra del modo del cifrado, la cifra cmic del modo del cifrado, y comandos ckip-cmic de la cifra del modo del cifrado en a por-VLAN base. Así, incluso los modelos SEGUROS del Cisco del pre-WPA proporcionan un suficiente nivel de la seguridad 802.11 para confiar encendido. Por supuesto, todavía sufren del mismo problema que cualquier otra solución propietaria de la seguridad: Usted debe tener un Cisco uniformado Aironet WLAN. Con los puntos sin hilos públicos o la conferencia WLANs del acceso, esto no es posible.
|
|