Читаем Компьютерные сети. 6-е изд. полностью

Прежде чем станции смогут посылать фреймы через точку доступа, они должны пройти аутентификацию. В зависимости от выбора схемы безопасности она происходит по-разному. Если сети 802.11 «открыты», их разрешено использовать любому, если нет — для аутентификации нужны параметры учетной записи.

Широко распространенная схема аутентификации WPA2 (Wi-Fi Protected Access 2 — защищенный доступ Wi-Fi 2) обеспечивает безопасность, заданную стандартом 802.11i. (WPA — промежуточная схема, которая реализует подмножество 802.11i. Мы пропустим ее и перейдем сразу к полной схеме.) При использовании WPA2 точка доступа может взаимодействовать с сервером аутен­тификации, у которого есть имя пользователя и база данных паролей, чтобы определить, разрешено ли станции получить доступ к сети. Также может быть сконфигурирован предустановленный ключ (pre-shared key); это необычное название сетевого пароля. Станция и AP обмениваются несколькими фреймами с запросом и ответом, что позволяет станции доказать, что у нее есть правильные учетные данные. Этот обмен происходит после сопоставления.

В корпоративных сетях широко используется другой метод аутентификации, описанный в стандарте 802.1X, — аутентификация на основе портов (port-based authentication). Стандарт 802.1X подразумевает централизованную аутентификацию (например, когда аутентификация устройств выполняется на центральном сервере), что обеспечивает более тщательный контроль доступа, учет ресурсов, биллинг и идентификацию. Для аутентификации в сети станция (или «проситель») обращается к аутентификатору, который связывается с сервером аутентификации. Стандарт 802.1X использует расширенный протокол аутентификации (Enhanced Authentication Protocol, EAP). Набор EAP содержит более 50 различных методов аутентификации. Отметим наиболее популярные из них: EAP-TLS выполняет аутентификацию на основе сертификатов; EAP-TTLS и PEAP позволяют клиенту использовать различные способы сопоставления, включая аутентификацию на основе паролей; EAP-SIM дает мобильному телефону возможность выполнить аутентификацию с помощью SIM-карты. Стандарт 802.1X имеет целый ряд преимуществ по сравнению с простой схемой WPA. В частности, он позволяет более тщательно контролировать доступ на уровне отдельных пользователей, однако для этого необходимо администрировать инфраструктуру сертификатов.

Предшественницей WPA была схема приватности на уровне проводной связи (Wired Equivalent Privacy, WEP). Она подразумевает выполнение аутен­тификации с предустановленным ключом перед сопоставлением. Позже выяснилось, что схема WEP небезопасна, и в настоящее время она практически не используется. Первая практическая демонстрация взлома WEP произошла, когда Адам Стабблфилд стажировался в AT&T (Stubblefield и др., 2002). Он смог написать код и протестировать атаку за одну неделю, при этом большая часть времени ушла на получение разрешения от администрации на покупку карт Wi-Fi, необходимых для эксперимента. Программное обеспечение для взлома паролей WEP теперь есть в свободном доступе.

После того как схему WEP взломали, а схему WPA признали устаревшей, была предпринята следующая попытка в виде схемы WPA2. В ней используется служба конфиденциальности, которая управляет параметрами кодирования и декодирования. Алгоритм кодирования для WPA2 основан на улучшенном стандарте шифрования (Advanced Encryption Standard, AES). Это американский правительственный стандарт, одобренный в 2002 году. Ключи для ши­фрования определяются во время процедуры аутентификации. К сожалению, в 2017 году схема WPA2 также была взломана (Ванхоф и Писсенс; Vanhoef and Piessens, 2017). Обеспечение хорошего уровня безопасности — непростая задача даже при наличии не поддающихся взлому алгоритмов шифрования, поскольку самым слабым звеном является управление ключами.29

Приоритизация и управление питанием

Для обработки трафика с различными приоритетами используется служба планирования трафика QoS (QoS traffic scheduling). Она применяет протоколы, которые мы описали, чтобы дать голосовому и видеотрафику преимущество перед негарантированным и фоновым трафиком. Сопутствующая служба также обеспечивает синхронизацию более высокого уровня. Это позволяет станциям координировать свои действия, что может быть полезным для обработки мультимедиа.

Наконец, есть две службы, помогающие станциям управлять использованием спектра. Регулирование мощности передатчика (transmit power control) дает станциям необходимую информацию для соблюдения установленных нормативных пределов мощности передачи (они варьируются в зависимости от региона). Служба динамического выбора частоты (dynamic frequency selection) предоставляет данные, благодаря которым станции могут избежать передачи в диапазоне 5 ГГц (используется радарами).