Qualcuno potrebbe dirmi perché gli algoritmi crittografici sono posizionati nel livello data-link per le reti wireless?
Sebbene il modello OSI sia più spesso fonte di confusione che illuminazione, è qui ragionevolmente informativo. La crittografia WiFi si verifica nel livello 2 ("collegamento dati") perché si sforza di incorporare una funzionalità di sicurezza intrinsecamente correlata al collegamento dati.
In particolare, WiFi è stato progettato per essere l'equivalente over-the-air di Ethernet cablato. Nelle reti Ethernet esiste un isolamento fisico tra i sistemi fisicamente collegati a uno dei fili e quelli che non lo sono. Questo può essere visto dal punto di vista della sicurezza: se puoi impedire l'accesso fisico al cavo, ad es. mantenendo i fili all'interno di un edificio e bloccando le porte, è possibile tenere fuori gli intrusi dalla rete locale. Poiché il WiFi è basato sulla radio e le onde radio tendono a propagarsi liberamente (questo è il loro punto), era necessario qualcosa per fornire una sicurezza equivalente, e che qualcosa è crittografia (se è stato fatto correttamente è un'altra domanda).
Poiché la funzione di sicurezza (che mantiene la rete locale fuori dalla portata degli aggressori) è legata alla rete locale (quindi "livello 2"), era logico utilizzare anche la crittografia nel livello 2. Questo ha l'ulteriore vantaggio di essere immediatamente compatibile con qualsiasi protocollo utilizzato per i livelli sopra di esso; in parole povere, purché il driver della scheda WiFi sia a conoscenza della crittografia, nient'altro nel sistema operativo host, in particolare nello stack TCP / IP, deve essere modificato in alcun modo.
(Questo non è del tutto vero perché il sistema di gestione delle connessioni deve avvenire da qualche parte - l'utente deve inserire la password WiFi almeno una volta - ma questo può essere ancora contenuto.Le prime schede WiFi e driver per Windows hanno fatto tutto lavoro senza che Windows si rendesse conto che una cosa come WiFi esisteva mai.)
Mettere la crittografia in un livello superiore sarebbe possibile, ma questo è un altro modello. Questo in pratica significa rinunciare alla sicurezza a livello di collegamento, utilizzarla come se fosse un campo di gioco ostile e aggiungere l'algoritmo di crittografia (ad esempio IPsec ) al livello TCP / IP per ripristinare un qualche tipo di sicurezza. Questo è esattamente ciò che accade quando qualcuno si connette a un WiFi aperto in un ristorante o in un hotel e poi accende la sua VPN per connettersi a la sua rete aziendale, o semplicemente utilizza solo siti Web HTTPS.
Ci sono molti metodi di attacco nel Data Link Layer. Le reti locali wireless (WLAN) non fanno eccezione. Le WLAN hanno molti metodi di attacco o, come direi, molti metodi di approccio. Esistono diverse tecniche utilizzate per mitigare gli attacchi che coinvolgono il Data Link Layer. Per le reti WLAN, uno di questi metodi è l'utilizzo di determinati protocolli / crittografia. Molti punti di accesso wireless (WAP) consentono la modifica del firmware e l'installazione di alcuni demoni software che possono consentire l'utilizzo di algoritmi ibridi o personalizzati. Quindi, per rispondere alla tua domanda, direi che l'uso di algoritmi crittografici (qualcosa di personalizzato / ibrido, o conosciuto) per la tua WLAN, nel DataLink Layer, è solo "Business as Usual".
Leggi altre domande sui tag encryption wifi wireless