Z poradnika administratora: WPA czy 802.11?

Pytanie: Czy wprowadzać do sieci bezprzewodowej WPA, czy czekać na 802.11? Jaka jest różnica między tymi rozwiązaniami?

Pytanie: Czy wprowadzać do sieci bezprzewodowej WPA, czy czekać na 802.11? Jaka jest różnica między tymi rozwiązaniami?

Odpowiedź: Technologia WPA (Wi-Fi Protected Access) została stworzona przez stowarzyszenie Wi-Fi Alliance jako pośrednie rozwiązanie do czasu ratyfikowania 802.11i (co ma nastąpić najwcześniej w połowie br.). WPA jest podzbiorem specyfikacji projektu 802.11i, obejmującym tę część powstającego standardu, która dotyczy zwiększenia ochrony zapewnianej przez krytykowany protokół WEP (Wired Equivalent Privacy). Jednocześnie WPA ma przygotować sieci do bezbolesnego przejścia na 802.11.

802.11i to standard IEEE, na razie w fazie projektowej (draft), zwiększający bezpieczeństwo bezprzewodowych sieci LAN (WLAN). Składa się z dwóch części - jedna dotyczy lepszych zabezpieczeń istniejącego sprzętu 802.11, używającego obecnego algorytmu WEP, druga zaś pozwala nowemu sprzętowi 802.11 wykorzystywać algorytm szyfrowania AES (Advanced Encryption Standard).

Zarówno WPA, jak i 802.11i są w porównaniu z WEP znacznym wzmocnieniem ochrony WLAN: dzięki szybkiemu uaktualnianiu kluczy, silniejszym algorytmom szyfrowania i pewniejszemu uwierzytelnianiu. Jednak zabezpieczenia te nie są sobie równe. WPA jest bezpieczniejszy niż WEP, lecz nie chroni WLAN tak skutecznie jak 802.11i. Jeżeli ustawimy różne algorytmy 802.11 w ciąg o wzrastającym bezpieczeństwie, to będzie on wyglądał następująco: WEP, WPA z grupowym kluczem; WPA-PSK (Pre-Shared Key - w sieci bez serwera uwierzytelniającego do uwierzytelniania jest wykorzystywany wstępnie uzgodniony wspólny klucz, wprowadzony ręcznie na wszystkich punktach dostępowych i klientach); WPA z indywidualnymi kluczami dla każdego klienta mobilnego, generowanymi na podstawie informacji z serwera uwierzytelniającego (najczęściej RADIUS); 802.11i - RSN (Robust Security Network - sieć o dużym bezpieczeństwie).

Czy powinno się wprowadzać WPA już teraz? Absolutnie tak. Jeśli wykorzystujemy już sieć WLAN, powinniśmy ją w ten sposób zabezpieczyć tak szybko, jak to możliwe. W przeciwnym razie sieć bezprzewodowa będzie narażona na podsłuch i ataki.

Jeśli dopiero planujemy uruchomienie WLAN, powinniśmy brać pod uwagę sprzęt obsługujący technologię WPA. Trzeba też zwrócić uwagę na sposób dystrybucji kluczy w rozważanych produktach WLAN. Systemy z kluczem grupowym pozwalają mobilnemu klientowi połączonemu z punktem dostępowym deszyfrować ruch przesyłany do dowolnego innego klienta tego samego AP, dlatego nie powinno się wybierać produktów opartych wyłącznie na tej technice.

Czy warto wstrzymać się z uruchomieniem korporacyjnej sieci bezprzewodowej aż do wprowadzenia standardu 802.11i? Raczej nie. Chociaż 802.11i lepiej chroni WLAN niż WPA (RSN wykorzystuje algorytm AES i wymaga od punktu dostępowego i klienta mobilnego obsługi indywidualnych kluczy), to jednak sieć bezprzewodowa wykorzystująca WPA z dystrybucją indywidualnych kluczy jest w większości środowisk korporacyjnych wystarczająco zabezpieczona.


TOP 200