Инструкция по эксплуатации Zyxel P660HN

Приложение D Беспроводные локальные сети

Руководство пользователя P660HN

352

Проверка целостности пакетов (MIC) предназначена для предотвращения перехвата,
изменения и повторной отправки пакетов данных злоумышленниками. MIC имеет
строгую математическую функцию, где принимающая и отправляющая стороны
вычисляют каждая свой MIC, которые затем сравниваются. Если они не совпадают,
то предполагается, что данные испорчены, и пакет удаляется.
При помощи генерирования уникальных ключей шифрования данных для каждого
пакета данных и создания алгоритма проверки на целостность (MIC) методы TKIP
и AES гораздо больше осложняют дешифрование данных в сети Wi-Fi по сравнению
с WEP, затрудняя злоумышленнику проникновение в сеть.
Механизмы шифрования, используемые для WPA(2) и WPA(2)-PSK, одинаковы.
Разница между WPA(2) и WPA-PSK состоит в том, что WPA-PSK использует
единственный предварительно согласованный ключ (пароль) для аутентификации всех
пользователей, в то время как WPA предполагает наличие индивидуального пароля у
каждого пользователя. Использование обычного пароля делает механизм WPA(2)-PSK
восприимчивым к атакам «грубой силы» с подбором пароля, однако по сравнению с
WEP этот механизм является более прогрессивным, поскольку в нем используется один,
более легкий в использовании, постоянный буквенно-цифровой пароль для получения
парного главного ключа, который применяется для генерирования уникальных
временных ключей шифрования. Это позволяет предотвратить использование
одинаковых ключей шифрования всеми беспроводными устройствами с общим
доступом (что является уязвимым местом WEP).

Аутентификация пользователя

В WPA и WPA2 применяется стандарт IEEE 802.1x и протокол EAP (Extensible
Authentication Protocol – Расширяемый протокол аутентификации) для аутентификации
беспроводных устройств с использованием внешней базы данных RADIUS. WPA2
позволяет уменьшить количество сообщений об обмене ключами с шести до четырех
(4-этапный протокол передачи данных CCMP) и сократить время, необходимое для
подключения к сети. Другим отличием WPA2 от WPA является процесс
аутентификации, который включает в себя кэширование ключей и предварительную
аутентификацию. Эти две функции являются факультативными и могут не
поддерживаться некоторыми беспроводными устройствами.
Кэширование ключей позволяет компьютеру беспроводного клиента сохранять парный
главный ключ, который он получает после успешного прохождения аутентификации
в точке доступа. Компьютер беспроводного клиента использует этот ключ при попытке
подключения к той же точке доступа для того, чтобы не проходить процедуру
аутентификации снова.
Предварительная аутентификация включает быстрый роуминг, что позволяет
компьютеру беспроводного клиента (уже подключенному к точке доступа) провести
аутентификацию стандарта IEEE 802.1x другой точкой доступа, прежде чем
подключиться к ней.