При построении беспроводных сетей также стоит проблема обеспечения их безопасности. Если в обычных сетях информация передается по проводам, то радиоволны, используемые для беспроводных решений, достаточно легко перехватить при наличии соответствующего оборудования. Принцип действия беспроводной сети приводит к возникновению большого числа возможных уязвимостей для атак и проникновений.
Оборудование беспроводных локальных сетей WLAN (Wireless Local Area Network) включает точки беспроводного доступа и рабочие станции для каждого абонента.
Точки доступа АР (Access Point) выполняют роль концентраторов, обеспечивающих связь между абонентами и между собой, а также функцию мостов, осуществляющих связь с кабельной локальной сетью и с Интернет. Каждая точка доступа может обслуживать несколько абонентов. Несколько близкорасположенных точек доступа образуют зону доступа Wi-Fi , в пределах которой все абоненты, снабженные беспроводными адаптерами, получают доступ к сети. Такие зоны доступа создаются в местах массового скопления людей: в аэропортах, студенческих городках, библиотеках, магазинах, бизнес-центрах и т. д.
У точки доступа есть идентификатор набора сервисов SSID (Service Set Identifier). SSID - это 32-битная строка, используемая в качестве имени беспроводной сети, с которой ассоциируются все узлы. Идентификатор SSID необходим для подключения рабочей станции к сети. Чтобы связать рабочую станцию с точкой доступа, обе системы должны иметь один и тот же SSID. Если рабочая станция не имеет нужного SSID, то она не сможет связаться с точкой доступа и соединиться с сетью.
Главное отличие между проводными и беспроводными сетями - наличие неконтролируемой области между конечными точками беспроводной сети. Это позволяет атакующим, находящимся в непосредственной близости от беспроводных структур, производить ряд нападений, которые невозможны в проводном мире.
При использовании беспроводного доступа к локальной сети угрозы безопасности существенно возрастают (рис. 2.5).
Рис. 2.5.
Перечислим основные уязвимости и угрозы беспроводных сетей.
Вещание радиомаяка. Точка доступа включает с определенной частотой широковещательный радиомаяк, чтобы оповещать окрестные беспроводные узлы о своем присутствии. Эти широковещательные сигналы содержат основную информацию о точке беспроводного доступа, включая, как правило, SSID, и приглашают беспроводные узлы зарегистрироваться в данной области. Любая рабочая станция, находящаяся в режиме ожидания, может получить SSID и добавить себя в соответствующую сеть. Вещание радиомаяка является «врожденной патологией» беспроводных сетей. Многие модели позволяют отключать содержащую SSID часть этого вещания, чтобы несколько затруднить беспроводное подслушивание, но SSID, тем не менее, посылается при подключении, поэтому все равно существует небольшое окно уязвимости.
Обнаружение WLAN. Для обнаружения беспроводных сетей WLAN используется, например, утилита NetStumber совместно со спутниковым навигатором глобальной системы позиционирования GPS. Данная утилита идентифицирует SSID сети WLAN, а также определяет, используется ли в ней система шифрования WEP. Применение внешней антенны на портативном компьютере делает возможным обнаружение сетей WLAN во время обхода нужного района или поездки по городу. Надежным методом обнаружения WLAN является обследование офисного здания с переносным компьютером в руках.
Подслушивание. Подслушивание ведут для сбора информации о сети, которую предполагается атаковать впоследствии. Перехватчик может использовать добытые данные для того, чтобы получить доступ к сетевым ресурсам. Оборудование, используемое для подслушивания в сети, может быть не сложнее того, которое используется для обычного доступа к этой сети. Беспроводные сети по своей природе позволяют соединять с физической сетью компьютеры, находящиеся на некотором расстоянии от нее, как если бы эти компьютеры находились непосредственно в сети. Например, подключиться к беспроводной сети, располагающейся в здании, может человек, сидящий в машине на стоянке рядом. Атаку посредством пассивного прослушивания практически невозможно обнаружить.
Ложные точки доступа в сеть. Опытный атакующий может организовать ложную точку доступа с имитацией сетевых ресурсов. Абоненты, ничего не подозревая, обращаются к этой ложной точке доступа и сообщают ей свои важные реквизиты, например аутентификационную информацию. Этот тип атак иногда применяют в сочетании с прямым «глушением» истинной точки доступа в сеть.
Отказ в обслуживании. Полную парализацию сети может вызвать атака типа DoS (Denial of Service) - отказ в обслуживании. Ее цель состоит в создании помехи при доступе пользователя к сетевым ресурсам. Беспроводные системы особенно восприимчивы к таким атакам. Физический уровень в беспроводной сети - абстрактное пространство вокруг точки доступа. Злоумышленник может включить устройство, заполняющее весь спектр на рабочей частоте помехами и нелегальным трафиком - такая задача не вызывает особых трудностей. Сам факт проведения DoS-атаки на физическом уровне в беспроводной сети трудно доказать.
Атаки типа «человек-в-середине». Атаки этого типа выполняются на беспроводных сетях гораздо проще, чем на проводных, так как в случае проводной сети требуется реализовать определенный вид доступа к ней. Обычно атаки «человек-в-середине» используются для разрушения конфиденциальности и целостности сеанса связи. Атаки MITM более сложные, чем большинство других атак: для их проведения требуется подробная информация о сети. Злоумышленник обычно подменяет идентификацию одного из сетевых ресурсов. Он использует возможность прослушивания и нелегального захвата потока данных с целью изменения его содержимого, необходимого для удовлетворения некоторых своих целей, например для спуфинга IP-адресов, изменения МАС-адреса для имитирования другого хоста и т. д.
Анонимный доступ в Интернет. Незащищенные беспроводные ЛВС обеспечивают хакерам наилучший анонимный доступ для атак через Интернет. Хакеры могут использовать незащищенную беспроводную ЛВС организации для выхода через нее в Интернет, где они будут осуществлять противоправные действия, не оставляя при этом своих следов. Организация с незащищенной ЛВС формально становится источником атакующего трафика, нацеленного на другую компьютерную систему, что связано с потенциальным риском правовой ответственности за причиненный ущерб жертве атаки хакеров.
Описанные выше атаки не являются единственными атаками, используемыми хакерами для взлома беспроводных сетей.
Проблемы безопасности беспроводных сетей, описанные в ряде статей, спровоцировали недоверие к беспроводным технологиям. Насколько оно оправданно?
Почему беспроводные сети считаются более уязвимыми, чем кабельные? В проводных сетях данные могут быть перехвачены только в том случае, если злоумышленник получит физический доступ к среде передачи. В беспроводных сетях сигнал распространяется в эфире, поэтому любой, находящийся в зоне действия сети, может перехватить этот сигнал.
Злоумышленнику даже не обязательно пребывать на территории компании, достаточно попасть в зону распространения радиосигнала.
Угрозы беспроводным сетям
Готовясь к обеспечению безопасности беспроводных сетей, прежде всего необходимо установить, что может им угрожать.
Пассивная атака
Перехват сигналов беспроводной сети аналогичен прослушиванию радиопередачи. Достаточно иметь ноутбук (или КПК) и анализатор беспроводных протоколов. Широко распространено заблуждение, что несанкционированное подключение к беспроводной сети вне офиса можно пресечь, контролируя выходную мощность сигнала. Это не так, поскольку использование злоумышленником беспроводной карты повышенной чувствительности и направленной антенны позволяет легко преодолеть данную меру предосторожности.
Даже уменьшив вероятность несанкционированного подключения к сети, не следует оставлять без внимания возможность «прослушивания» трафика, поэтому для безопасной работы в беспроводных сетях необходимо шифровать передаваемую информацию.
Активная атака
Опасно подключать незащищенную беспроводную сеть к кабельной сети. Незащищенная точка доступа, подсоединенная к локальной сети, представляет собой широко открытую дверь для злоумышленников. Для предприятий это чревато тем, что конкуренты могут получить доступ к конфиденциальным документам. Незащищенные беспроводные сети позволяют хакерам обойти межсетевые экраны и настройки безопасности, которые защищают сеть от атак через Internet. В домашних сетях злоумышленники могут получить бесплатный доступ к Internet за счет своих соседей.
Следует отслеживать и выявлять неконтролируемые точки доступа, подключенные к сети несанкционированно. Подобные точки, как правило, устанавливают сами сотрудники предприятия. (Например, менеджер отдела продаж приобрел беспроводную точку доступа и использует ее, чтобы все время оставаться на связи.) Такая точка может быть специально подключена к сети злоумышленником с целью получения доступа к сети компании вне офиса.
Следует помнить о том, что уязвимыми являются как подключенные к беспроводной сети компьютеры, так и те, в которых есть включенная беспроводная карта с настройками по умолчанию (она, как правило, не блокирует проникновение через беспроводную сеть). Например, пока пользователь, ожидающий своего рейса, просматривает ресурсы Internet через развернутую в аэропорту сеть Wi-Fi, хакер, сидящий неподалеку, изучает информацию, хранящуюся на компьютере мобильного сотрудника. Аналогичным атакам могут подвергнуться пользователи, работающие посредством беспроводных сетей в помещениях кафе, выставочных центров, холлах гостиниц и пр.
Поиск доступных беспроводных сетей
Для активного поиска уязвимых беспроводных сетей (War driving) обычно используется автомобиль и комплект беспроводного оборудования: небольшая антенна, беспроводная сетевая карта, переносной компьютер и, возможно, GPS-приемник. Используя широко распространенные программы-сканеры, такие как Netstumbler, можно легко найти зоны приема беспроводных сетей.
Поклонники War Driving имеют много способов обмениваться информацией. Один из них (War Chalking) подразумевает нанесение на схемах и картах символов, указывающих на обнаруженные беспроводные сети. Эти обозначения содержат сведения о величине радиосигнала, наличии той или иной разновидности защиты сети и о возможности доступа в Internet. Любители такого «спорта» обмениваются информацией через Internet-сайты, «вывешивая», в частности, подробные карты с месторасположением обнаруженных сетей. Кстати, полезно проверить, нет ли там вашего адреса.
Отказ в обслуживании
Бесплатный доступ в Internet или корпоративную сеть не всегда является целью злоумышленников. Иногда задачей хакеров может быть вывод из строя беспроводной сети.
Атака «отказ в обслуживании» может быть достигнута несколькими способами. Если хакеру удается установить соединение с беспроводной сетью, его злонамеренные действия могут вызвать ряд таких серьезных последствий: например, рассылку ответов на запросы протокола разрешения адресов (Address Resolution Protocol, ARP) для изменения ARP-таблиц сетевых устройств с целью нарушения маршрутизации в сети или внедрение несанкционированного сервера протокола динамической конфигурации хостов (Dynamic Host Configuration Protocol, DHCP) для выдачи неработоспособных адресов и масок сетей. Если хакер выяснит подробности настроек беспроводной сети, то сможет переподключить пользователей на свою точку доступа (см. рисунок), а последние окажутся отрезанными от сетевых ресурсов, которые были доступны через «законную» точку доступа.
| Внедрение несанкционированной точки доступа. |
Злоумышленник может также заблокировать частоты, используемые беспроводными сетями, применяя для этого генератор сигналов (его можно изготовить из деталей микроволновой печи). В результате вся беспроводная сеть или ее часть выйдут из строя.
Меры безопасности в стандартах IEEE 802.11
Оригинальный стандарт 802.11 предусматривает для обеспечения безопасности беспроводных сетей использование стандарта «конфиденциальности, эквивалентной проводной» (Wired Equivalent Privacy, WEP). Беспроводные сети, использующие WEP, требуют настройки статического WEP-ключа на точках доступа и всех станциях. Этот ключ может использоваться для аутентификации и шифрования данных. При его компрометации (например, в случае утери переносного компьютера) необходимо сменить ключ на всех устройствах, что подчас весьма затруднительно. При использовании ключей WEP для аутентификации беспроводные станции посылают точке доступа соответствующий запрос, получая в ответ незашифрованное сообщение (clear text challenge). Клиент должен его зашифровать, используя свой WEP-ключ, и вернуть точке доступа, которая расшифрует сообщение с помощью собственного WEP-ключа. Если расшифрованное сообщение совпадает с оригинальным, то это обозначает, что клиент знает WEP-ключ. Следовательно, аутентификация считается успешной, и клиенту отправляется соответствующее уведомление.
Успешно завершив аутентификацию и ассоциацию, беспроводное устройство может использовать WEP-ключ для шифрования трафика, передаваемого между устройством и точкой доступа.
Стандарт 802.11 определяет и другие механизмы контроля доступа. Точка доступа может использовать фильтрацию по аппаратным адресам (Media Access Control, MAC), предоставляя или запрещая доступ на основе MAC-адреса клиента. Данный метод затрудняет, но не предотвращает подключение несанкционированных устройств.
Насколько безопасен WEP?
Одно из правил криптографии гласит: имея открытый текст и его зашифрованную версию, можно установить использованный метод шифрования. Это особенно актуально при использовании слабых алгоритмов шифрования и симметричных ключей, такие, например, предусматривает WEP.
Этот протокол использует для шифрования алгоритм RC4. Слабость его состоит в том, что если зашифровать известный открытый текст, то на выходе получится ключевой поток, который использовался для шифрования данных. Согласно стандарту 802.11, ключевой поток состоит из WEP-ключа и 24-разрядного вектора инициализации. Для каждого пакета используется следующий вектор, который отправляется в открытом виде вместе с пакетом, так что принимающая станция может использовать его совместно с WEP-ключом, чтобы расшифровать пакет.
Если получить один ключевой поток, то можно расшифровать любой пакет, зашифрованный тем же самым вектором. Так как вектор меняется для каждого пакета, то для расшифровки нужно дождаться следующего пакета, использующего тот же самый вектор. Чтобы иметь возможность расшифровывать WEP, необходимо собрать полный комплект векторов и ключевых потоков. Утилиты по взлому WEP работают именно таким образом.
Добыть открытый и зашифрованный текст можно в процессе аутентификации клиента. Перехватывая трафик на протяжении некоторого времени, можно набрать необходимое количество исходных данных для проведения атаки. Чтобы скопить необходимые для анализа данные, хакеры используют и множество других методов, включая атаки типа «men in the middle».
Когда принималось решение о формате фрейма для беспроводных сетей, IEEE предложила свой собственный формат под названием Subnetwork Address Protocol (SNAP).
Два байта, следующие за MAC-заголовком во фрейме SNAP стандарта 802.11, всегда имеют значение «AA AA». Протокол WEP шифрует все байты, следующие за MAC-заголовком, поэтому для первых двух зашифрованных байт всегда известен открытый текст («АА АА»). Этот путь предоставляет возможность получить фрагменты зашифрованного и открытого сообщения.
В Internet бесплатно распространяются утилиты для взлома WEP. Самые известные из них - AirSnort и WEPCrack. Для успешного взлома WEP-ключа с их помощью достаточно набрать от 100 тыс. до 1 млн. пакетов. Новые утилиты Aircrack и Weplab для взлома WEP-ключей реализуют более эффективный алгоритм, при котором требуется существенно меньше пакетов. По этой причине протокол WEP является ненадежным.
Беспроводные технологии становятся безопаснее
Сегодня многие компании используют удобные и безопасные беспроводные сети. Стандарт 802.11i поднял безопасность на качественно новый уровень.Рабочая группа IEEE 802.11i, в задачу которой входило создание нового стандарта безопасности беспроводных сетей, была сформирована после изучения сведений об уязвимости протокола WEP. На разработку потребовалось некоторое время, поэтому большинство производителей оборудования, не дождавшись выхода нового стандарта, стали предлагать свои методы (см. ). В 2004 году появился новый стандарт, тем не менее, поставщики оборудования по инерции продолжают использовать старые решения.
802.11i определяет использование стандарта расширенного шифрования (Advanced Encryption Standard, AES) вместо WEP. В основе AES лежит реализация алгоритма Рендела, который большинство криптоаналитиков признает стойким. Этот алгоритм существенно лучше своего слабого предшественника RC4, который используется в WEP: он предусматривает использование ключей длиной 128, 192 и 256 разрядов, вместо 64 бит, используемых в оригинальном стандарте 802.11. Новый стандарт 802.11i также определяет использование TKIP, CCMP и 802.1x/EAP.
EAP-MD5 подтверждает подлинность пользователя путем проверки пароля. Вопрос использования шифрования трафика отдан на откуп администратору сети. Слабость EAP-MD5 заключается в отсутствии обязательного использования шифрования, поэтому EAP-MD5 допускает возможность атаки типа «men in the middle».
Протокол «легковесный EAP» (Lightweight EAP, LEAP), который создала компания Cisco, предусматривает не только шифрование данных, но и ротацию ключей. LEAP не требует наличия ключей у клиента, поскольку они безопасно пересылаются после того, как пользователь прошел аутентификацию. Это позволяет пользователям легко подключаться к сети, используя учетную запись и пароль.
Ранние реализации LEAP обеспечивали только одностороннюю аутентификацию пользователей. Позднее Cisco добавила возможность взаимной аутентификации. Однако выяснилось, что протокол LEAP уязвим к атакам по словарю. Сотрудник американского Института системного администрирования, телекоммуникаций и безопасности (SANS) Джошуа Райт разработал утилиту ASLEAP, которая осуществляет подобную атаку, после чего компания Cisco рекомендовала использовать сильные пароли длиной не менее восьми знаков, включая спецсимволы, символы верхнего, нижнего регистра и цифры. LEAP безопасен в той мере, насколько стоек пароль к попыткам подбора.
Более сильный вариант реализации EAP - EAP-TLS, который использует предустановленные цифровые сертификаты на клиенте и сервере, был разработан в Microsoft. Этот метод обеспечивает взаимную аутентификацию и полагается не только на пароль пользователя, но также поддерживает ротацию и динамическое распределение ключей. Неудобство EAP-TLS заключается в необходимости установки сертификата на каждом клиенте, что может оказаться достаточно трудоемкой и дорогостоящей операцией. К тому же этот метод непрактично использовать в сети, где часто меняются сотрудники.
Производители беспроводных сетей продвигают решения упрощения процедуры подключения к беспроводным сетям авторизированных пользователей. Эта идея вполне осуществима, если включить LEAP и раздать имена пользователей и пароли. Но если возникает необходимость использования цифрового сертификата или ввода длинного WEP-ключа, процесс может стать утомительным.
Компании Microsoft, Cisco и RSA совместными усилиями разработали новый протокол - PEAP, объединивший простоту использования LEAP и безопасность EAP-TLS. PEAP использует сертификат, установленный на сервере, и аутентификацию по паролю для клиентов. Аналогичное решение - EAP-TTLS - выпустила компания Funk Software.
Разные производители поддерживают различные типы EAP, а также несколько типов одновременно. Процесс EAP аналогичен для всех типов.
Типовые операции EAP
Что такое WPA
После того, как беспроводные сети были объявлены небезопасными, производители приступили к реализации собственных решений по обеспечению безопасности. Это поставило компании перед выбором: использовать решение одного производителя или дожидаться выхода стандарта 802.11i. Дата принятия стандарта была неизвестна, поэтому в 1999 году был сформирован альянс Wi-Fi. Его целью являлась унификация взаимодействия беспроводных сетевых продуктов.
Альянс Wi-Fi утвердил протокол защищенного беспроводного доступа (Wireless Protected Access, WPA), рассматривая его как временное решение до выхода стандарта 802.11i. Протокол WPA предусматривает использование стандартов TKIP и 802.1x/EAP. Любое оборудование Wi-Fi, сертифицированное на совместимость с WPA, обязано работать совместно с другим сертифицированным оборудованием. Поставщики могут использовать и свои собственные механизмы обеспечения безопасности, но должны в любом случае включать поддержку стандартов Wi-Fi.
После первоначального объявления параметров 802.11i альянс Wi-Fi создал стандарт WPA2. Любое оборудование, которое имеет сертификат WPA2, полностью совместимо с 802.11i. Если беспроводная сеть предприятия не поддерживает стандарт 802.11i, то для обеспечения адекватной безопасности следует как можно быстрее перейти на 802.11i.
Что такое фильтрация MAC-адресов?
Если WEP небезопасен, то сможет ли защитить беспроводную сеть фильтрация аппаратных адресов (Media Access Control, MAC)? Увы, фильтры МАС-адресов предназначены для предотвращения несанкционированных подключений, против перехвата трафика они бессильны.
Фильтрация МАС-адресов не оказывает заметного влияния на безопасность беспроводных сетей. Она требует от злоумышленника лишь одного дополнительного действия: узнать разрешенный MAC-адрес. (Кстати, большинство драйверов сетевых карт позволяют его поменять.)
Насколько легко узнать разрешенный MAC-адрес? Чтобы получить работающие МАС-адреса, достаточно в течение некоторого времени следить за беспроводным трафиком с помощью анализатора протоколов. МАС-адреса можно перехватить, даже если трафик шифруется, поскольку заголовок пакета, который включает такой адрес, передается в открытом виде.
Протокол TKIP
Временный протокол обеспечения целостности ключа (Temporal Key Integrity Protocol, TKIP) разработан для устранения недостатков, присущих протоколу WEP. Стандарт TKIP улучшает безопасность WEP благодаря ротации ключей, использованию более длинных векторов инициализации и проверки целостности данных.
Программы для взлома WEP используют слабость статических ключей: после перехвата необходимого числа пакетов они позволяют легко расшифровать трафик. Регулярная смена ключей предотвращает этот тип атак. TKIP динамически меняет ключи через каждые 10 тыс. пакетов. Поздние реализации протокола позволяют менять интервал ротации ключей и даже установить алгоритм смены ключа шифрования для каждого пакета данных (Per-Packet Keying, PPK).
Ключ шифрования, применяемый в TKIP, стал более надежным по сравнению с WEP-ключами. Он состоит из 128-разрядного динамического ключа, к которому добавляется MAC-адрес станции и 48-разрядный вектор инициализации (в два раза длиннее оригинального вектора стандарта 802.11). Этот метод известен как «ключевое смешивание» и дает уверенность в том, что любые две станции не используют один и тот же ключ.
В протокол также встроен метод гарантированного обеспечения целостности данных (Message Integrity Cheek, MIC, называемый также Michael).
За последние несколько лет популярность беспроводных сетей значительно возросла. На рост популярности беспроводного доступа в значительной мере оказывают влияние такие факторы, как интеграция в современные ноутбуки карт беспроводного доступа, появления PDA устройств, радио IP телефонов и т.д. По оценке компании IDC, до конца 2004 года планируется, что продажи оборудования беспроводного доступа достигнут 64 млн. устройств (для сравнения в 2002 году было продано 24 млн. устройств). Сейчас беспроводный доступ можно встретить в ресторанах, гостиницах и аэропортах, многие компании используют беспроводные сети для подключения пользователей к своей ИТ инфраструктуре, пользователи домашних сетей используют беспроводный доступ, для подключения к сети Интернет. При этом лишь немногие ставят вопрос безопасности беспроводной сети на первое место.
Введение
За последние несколько лет популярность беспроводных сетей значительно возросла. На рост популярности беспроводного доступа в значительной мере оказывают влияние такие факторы, как интеграция в современные ноутбуки карт беспроводного доступа, появления PDA устройств, радио IP телефонов и т.д. По оценке компании IDC, до конца 2004 года планируется, что продажи оборудования беспроводного доступа достигнут 64 млн. устройств (для сравнения в 2002 году было продано 24 млн. устройств). Сейчас беспроводный доступ можно встретить в ресторанах, гостиницах и аэропортах, многие компании используют беспроводные сети для подключения пользователей к своей ИТ инфраструктуре, пользователи домашних сетей используют беспроводный доступ, для подключения к сети Интернет. При этом лишь немногие ставят вопрос безопасности беспроводной сети на первое место.
Проблемы безопасности беспроводного доступа
1. Позиционирование SSID
Параметр SSID является идентификатором беспроводной сети. Он применяется для разделения пользователей беспроводной сети на логические группы. SSID позволяет пользователю подключиться к требуемой беспроводной сети, и при необходимости, может быть сопоставлен с идентификатором виртуальной локальной сети (VLAN). Такое сопоставление необходимо для организации разграничения уровней доступа беспроводных пользователей к ресурсам корпоративной инфраструктуры.
Некоторые сетевые инженеры, при проектировании беспроводной сети, считают, что SSID является одним из средств обеспечения безопасности и отключение широковещательной рассылки значения SSID позволит усилить безопасность сети. На самом деле, отключение широковещательной рассылки этого параметра не только не повысит безопасность беспроводной сети, но и сделает сеть менее гибкой по отношению к клиентам. Некоторые клиенты не смогут корректно работать с точкой радиодоступа, на которой отключено вещание значения SSID. Следует иметь ввиду, что даже при отключении вещания SSID, возможность определения этого идентификатора по-прежнему остается, так как его значение передается во фреймах probe response. Нужно так же понимать, что разделив пользователей на различные логические группы при помощи SSID, вероятность подслушивания трафика остается, даже у пользователей, которые не зарегистрированы на точке беспроводного доступа.
2. Аутентификация с использованием MAC адреса
Аутентификация - это процесс определения личности клиента по предоставленной им информации, например, имя и пароль. Многие производители беспроводного оборудования поддерживают аутентификацию пользовательских устройств по MAC-адресам, однако стандарт IEEE (Institut of Electrical and Electronic Engineers) 802.11 такой тип аутентификации не предусматривает.
Аутентификация по MAC адресу без использования дополнительных методов обеспечения безопасности малоэффективна. Злоумышленнику достаточно просто получить доступ к беспроводной сети в которой настроена только аутентификация по MAC адресу. Для этого необходимо проанализировать радиоканал, на котором точка радиодоступа работает с клиентами, и получить список MAC адресов устройств, которым открыт доступ к сети. Для получения доступа к сетевым ресурсам по беспроводной сети необходимо заменить MAC адрес своей беспроводной карты, на известный MAC адрес клиента.
3. Проблемы с шифрованием при помощи статических ключей WEP
WEP (Wired Equivalent Privacy) - ключ, который предназначен для шифрования трафика между точкой радиодоступа и ее пользователями. Шифрование WEP основано на недостаточно криптоустойчивом алгоритме шифрования RC4. Длина WEP ключа составляет 40 или 104 бита. К ключу добавляется нешифрованная последовательность символов для успешного декодирования сигнала на обратной стороне размером 24 бита. Таким образом, принято говорить о длинах ключей 64 и 128 бит, однако эффективная часть ключа составляет всего лишь 40 и 104 бита. Стоит отметить, что при такой длине статического ключа, говорить о повышенной криптоустойчивости беспроводной сети не приходиться. В сети Интернет можно без особого труда найти программы, которые позволяют получить WEP ключ на основе трафика собранного анализатором. К таким программам относятся, например, WEPCrack и AirSnort. Для повышения криптоустойчивости, статический ключ размером 64 бита необходимо менять ориентировочно раз в 20 минут, а ключ размером 128 бит раз в час. Представьте себе, что вам необходимо каждый час изменять статический WEP ключ на точке доступа и всех ее клиентах. А если количество пользователей 100 или 1000? Такое решение не будет востребовано, из-за неоправданной сложности в эксплуатации.
4. Сетевые атаки
Сетевые атаки можно разделить на активные и пассивные.
К пассивным атакам относятся атаки, во время проведения которых не оказывается активных воздействий на работу беспроводной сети. Например, злоумышленник, используя программы WEPCrack или AirSnort, на протяжении 3-4 часов пассивной слежки и анализа вычисляет секретный ключ шифрования WEP длиной 128 бит.
Суть активных атак заключается в воздействии на беспроводную сеть с целью получения данных, после обработки которых, будет получен доступ к ресурсам радиосети. К ним относятся такие атаки как, повторное использование вектора инициализации и атака с манипуляцией битов.
Повторное использование вектора инициализации.
Злоумышленник многократно посылает одну и ту же информацию (заранее известного содержания) пользователю, который работает в атакуемом беспроводном сегменте, через внешнюю сеть. Все время пока злоумышленник посылает информацию пользователю, он так же прослушивает радиоканал (канал между пользователем и атакуемой точкой радиодоступа) и собирает шифрованные данные, в которых содержится посланная им информация. Затем злоумышленник вычисляет ключевую последовательность, используя полученные шифрованные данные и известные нешифрованные.
Манипуляция битами.
Атака основана на уязвимости вектора контроля целостности. Например, злоумышленник манипулирует битами пользовательских данных внутри фрейма с целью искажения информации 3 го уровня. Фрейм не претерпел изменений на канальном уровне, проверка целостности на точке радиодоступа проходит успешно и фрейм передается дальше. Маршрутизатор, получив фрейм от точки радиодоступа, распаковывает его и проверяет контрольную сумму пакета сетевого уровня, контрольная сумма пакета оказывается неверной. Маршрутизатор генерирует сообщение об ошибке и отсылает фрейм обратно на точку радиодоступа. Точка радиодоступа шифрует пакет и отправляет клиенту. Злоумышленник захватывает зашифрованный пакет с заранее известным сообщением об ошибке, после чего вычисляет ключевую последовательность.
5. Атаки DoS
К DoS (Deny of Service) атакам относятся виды атак, результатом которых становиться отказ в обслуживании клиентов беспроводной сети. Суть данных атак заключается в том, чтобы парализовать работу беспроводной сети.
Специалистами Квинслендского технологического университета была опубликована информация об обнаруженной уязвимости, связанной с оценкой доступности радиоканала в технологии с прямой последовательностью распространения спектра (DSSS). На базе этой технологии реализован широко – распространенный стандарт 802.11b.
Злоумышленник, используя уязвимость, имитирует постоянную занятость беспроводной сети. В результате такой атаки, все пользователи, работающие с точкой радиодоступа, по отношению к которой произошла атака, будут отключены.
Так же необходимо заметить, что данная атака может быть применима не только к оборудованию, работающему в стандарте 802.11b, но и к оборудованию стандарта 802.11g, хотя он не использует технологию DSSS. Это возможно тогда, когда точка радиодоступа, работающая в стандарте 802.11g поддерживает обратную совместимость со стандартом 802.11b.
На сегодняшний день защиты от DoS атак для оборудования стандарта 802.11b не существует, но, для избежания такой атаки, целесообразно использовать оборудование стандарта 802.11g (без обратной совместимости с 802.11b).
Как лучше построить безопасную беспроводную сеть?
При проектировании и построении беспроводной сети необходимо уделить основное внимание безопасности, надежности, а так же максимально упростить эксплуатационный процесс.
В качестве примера возьмем следующую задачу, в которой необходимо обеспечить доступ пользователей Конференц зала к корпоративным ресурсам. В этом примере мы рассмотрим построение такой сети на базе оборудования, предлагаемого различными компаниями.
Перед построением сети беспроводного доступа, необходимо произвести изучение местности, т.е. вооружившись точкой радиодоступа и портативным компьютером выехать на объект предполагаемой инсталляции. Это позволит определить места наиболее удачного расположения точек радиодоступа, позволяя добиться максимальной зоны покрытия местности. При построении системы безопасности беспроводного доступа необходимо помнить о трех составляющих:
архитектура аутентификации,
механизм аутентификации,
механизм обеспечения конфиденциальности и целостности данных.
В качестве архитектуры аутентификации используется стандарт IEEE 802.1X. Он описывает единую архитектуру контроля доступа к портам устройств с использованием различных методов аутентификации абонентов.
В качестве механизма аутентификации мы будем использовать протокол EAP (Extensible Authentication Protocol). Протокол EAP позволяет осуществлять аутентификацию на основе имени пользователя и пароля, а так же поддерживает возможность динамической смены ключа шифрования. Имена пользователей и пароли необходимо хранить на сервере RADIUS.
В качестве механизма обеспечивающего конфиденциальность и целостность данных мы будет использоваться протоколы WEP и TKIP (Temporal Key Integrity Protocol). Протокол TKIP позволяет усилить защиту WEP шифрования, за счет таких механизмов как MIC и PPK. Рассмотрим более подробно их предназначение.
MIC (Message Integrity Check) повышает эффективность функции контроля целостности в стандарте IEEE 802.11, за счет добавления во фрейм следующих полей, SEC (sequence number) и MIC, что позволяет предотвращать атаки, связанные с повторным использованием вектора инициализации и манипуляции битами.
PPK (Per-Packet Keying) попакетная смена ключа шифрования. Она позволяет снизить вероятность успешных атак, целью которых является определение WEP ключа, но не гарантирует полную защиту.
Чтобы избежать атак типа “отказ в обслуживании”, основанных на уязвимости технологии DSSS, беспроводная сеть будет построена на базе оборудования нового стандарта 802.11g (при этом стандарт 802.11g не должен быть обратно совместимым со стандартом 802.11b). Стандарт 802.11g основан на использовании технологии OFDM (Orthogonal Frequency Division Multiplexing), данная технология позволяет добиться скорости до 54Mbps.
В целях повышения уровня безопасности беспроводной сети целесообразно рассмотреть вопрос об использовании сервера Cisco WLSE (Wireless LAN Solution Engine). Применение этого устройства позволит выявлять несанкционированно установленные точки радиодоступа, а также осуществлять централизованное управление радиосетью.
Для обеспечения отказоустойчивости работы точек беспроводного доступа целесообразно использовать режим standby. Таким образом, получается, что на одном радиоканале будут работать 2-е точки, одна в роли активной, другая в роли резервной.
Если требуется обеспечить отказоустойчивость в аутентифицированном доступе, то необходимо установить два сервера аутентификации ACS. При этом, один будет использоваться в качестве основного, а второй в качестве резервного.
Таким образом, при построении беспроводной сети с учетом требований к безопасности и отказоустойчивости мы задействовали широкий спектр компонентов, которые позволят защитить нас от посягательств злоумышленников и предотвратить возможные атаки.
Конечно, описанное решение, не является минимальным по ценовым характеристикам, однако, уделив первостепенное внимание вопросам безопасности в беспроводной сети риски минимизировали риски, связанные с возможной утечкой внутренней корпоративной информацией.
Поршаков Евгений, Системный инженер INLINE TECHNOLOGIES www.in-line.ru
На данный момент большинство фирм и предприятий все больше внимания уделяют использованию непосредственно Wi-Fi-сетей. Обусловлено это удобством, мобильностью и относительной дешевизной при связи отдельных офисов и возможностью их перемещения в пределах действия оборудования. В Wi-Fi-сетях применяются сложные алгоритмические математические модели аутентификации, шифрования данных, контроля целостности их передачи – что позволят быть относительно спокойным за сохранность данных при использовании данной технологии.
Анализ безопасности беспроводных сетей.
На данный момент большинство фирм и предприятий все больше внимания уделяют использованию непосредственно Wi-Fi-сетей. Обусловлено это удобством, мобильностью и относительной дешевизной при связи отдельных офисов и возможностью их перемещения в пределах действия оборудования. В Wi-Fi-сетях применяются сложные алгоритмические математические модели аутентификации, шифрования данных, контроля целостности их передачи – что позволят быть относительно спокойным за сохранность данных при использовании данной технологии.
Однако данная безопасность относительна, если не уделять должного внимания настройке беспроводной сети. К данному моменту уже существует список «стандартных» возможностей которые может получить хакер при халатности в настройке беспроводной сети:
Доступ к ресурсам локальной сети;
Прослушивание, воровство (имеется ввиду непосредственно интернет-траффик) трафика;
Искажение проходящей в сети информации;
Внедрение поддельной точки доступа;
Немного теории.
1997 год – выход в свет первого стандарта IEEE 802.11. Варианты защиты доступа к сети:
1. Использовался простой пароль SSID (Server Set ID) для доступа в локальную сеть. Данный вариант не предоставляет должного уровня защиты, особенно для нынешнего уровня технологий.
2. Использование WEP (Wired Equivalent Privacy) – то есть использование цифровых ключей шифрования потоков данных с помощью данной функции. Сами ключи это всего лишь обыкновенные пароли с длиной от 5 до 13 символов ASCII, что соответствует 40 или 104-разрядному шифрованию на статическом уровне.
2001 год - внедрение нового стандарта IEEE 802.1X. Данный стандарт использует динамические 128-разрядные ключи шифрования, то есть периодически изменяющихся во времени. Основная идея заключается в том, что пользователь сети работает сеансами, по завершении которых им присылается новый ключ - время сеанса зависит от ОС (Windows XP - по умолчанию время одного сеанса равно 30 минутам).
На данный момент существуют стандарты 802.11:
802.11 - Первоначальный базовый стандарт. Поддерживает передачу данных по радиоканалу со скоростями 1 и 2 Мбит/с.
802.11a - Высокоскоростной стандарт WLAN. Поддерживает передачу данных со скоростями до 54 Мбит/с по радиоканалу в диапазоне около 5 ГГц.
I802.11b - Наиболее распространенный стандарт. Поддерживает передачу данных со скоростями до 11 Мбит/с по радиоканалу в диапазоне около 2,4 ГГц.
802.11e - Требование качества запроса, необходимое для всех радио интерфейсов IEEE WLAN
802.11f - Стандарт, описывающий порядок связи между равнозначными точками доступа.
802.11g - Устанавливает дополнительную технику модуляции для частоты 2,4 ГГц. Предназначен, для обеспечения скоростей передачи данных до 54 Мбит/с по радиоканалу в диапазоне около 2,4 ГГц.
802.11h - Стандарт, описывающий управление спектром частоты 5 ГГц для использования в Европе и Азии.
802.11i (WPA2) - Стандарт, исправляющий существующие проблемы безопасности в областях аутентификации и протоколов шифрования. Затрагивает протоколы 802.1X, TKIP и AES.
На данный момент широко используется 4 стандарта: 802.11, 802.11a, 802.11b, 802.11g.
2003 года - был внедрён стандарт WPA (Wi-Fi Protected Access), который совмещает преимущества динамического обновления ключей IEEE 802.1X с кодированием протокола интеграции временного ключа TKIP (Temporal Key Integrity Protocol), протоколом расширенной аутентификации EAP (Extensible Authentication Protocol) и технологией проверки целостности сообщений MIC (Message Integrity Check).
Помимо этого, параллельно развивается множество самостоятельных стандартов безопасности от различных разработчиков. Ведущими являются такие гиганты как Intel и Cisco.
2004 год - появляется WPA2, или 802.11i, - максимально защищённый на данное время стандарт.
Технологии защиты Fi-Wi сетей.
WEP
Эта технология была разработана специально для шифрования потока передаваемых данных в рамках локальной сети. Данные шифруются ключом с разрядностью от 40 до 104 бит. Но это не целый ключ, а только его статическая составляющая. Для усиления защиты применяется так называемый вектор инициализации IV (Initialization Vector), который предназначен для рандомизации дополнительной части ключа, что обеспечивает различные вариации шифра для разных пакетов данных. Данный вектор является 24-битным. Таким образом, в результате мы получаем общее шифрование с разрядностью от 64 (40+24) до 128 (104+24) бит, что позволяет при шифровании оперировать и постоянными, и случайно выбранными символами. Но с другой стороны 24 бита это всего лишь ~16 миллионов комбинаций (2 24 степени) – то есть по истечению цикла генерации ключа начинается новый цикл. Взлом осуществляется достаточно элементарно:
1) Нахождение повтора (минимальное время, для ключа длинной 40 бит – от 10 минут).
2) Взлом остальной части (по сути - секунды)
3) Вы можете внедряться в чужую сеть.
При этом для взлома ключа имеются достаточно распространенные утилиты такие как WEPcrack.
802.1X
IEEE 802.1X - это основополагающий стандарт для беспроводных сетей. На данный момент он поддерживается ОС Windows XP и Windows Server 2003.
802.1X и 802.11 являются совместимыми стандартами. В 802.1X применяется тот же алгоритм, что и в WEP, а именно - RC4, но с некоторыми отличиями (большая «мобильность», т.е. имеется возможность подключения в сеть даже PDA-устройства) и исправлениями (взлом WEP и т. п.).
802.1X базируется на протоколе расширенной аутентификации EAP (Extensible Authentication Protocol), протоколе защиты транспортного уровня TLS (Transport Layer Security) и сервере доступа RADIUS (Remote Access Dial-in User Service).
После того, как пользователь прошёл этап аутентификации, ему высылается секретный ключ в зашифрованном виде на определённое незначительное время - время действующего на данный момент сеанса. По завершении этого сеанса генерируется новый ключ и опять высылается пользователю. Протокол защиты транспортного уровня TLS обеспечивает взаимную аутентификацию и целостность передачи данных. Все ключи являются 128-разрядными.
Отдельно необходимо упомянуть о безопасности RADIUS: использует в своей основе протокол UDP (а поэтому относительно быстр), процесс авторизации происходит в контексте процесса аутентификации (т.е. авторизация как таковая отсутствует), реализация RADIUS-сервера ориентирована на однопроцессное обслуживание клиентов (хотя возможно и многопроцессное - вопрос до сих пор открытый), поддерживает довольно ограниченное число типов аутентификации (сleartext и CHAP), имеет среднюю степень защищенности. В RADIUS"е шифруется только cleartext-пароли, весь остальной пакет остается "открытым" (с точки зрения безопасности даже имя пользователя является очень важным параметром). А вот CHAP – это отдельный разговор. Идея в том, что бы cleartext-пароль ни в каком виде никогда не передавался бы через сеть. А именно: при аутентификации пользователя клиент посылает пользовательской машине некий Challenge (произвольная случайная последовательность символов), пользователь вводит пароль и с этим Challengе"ем пользовательская машина производит некие шифрующий действия используя введенный пароль (как правило это обыкновенное шифрование по алгоритму MD5 (RFC-1321). Получается Response. Этот Response отправляется назад клиенту, а клиент все в совокупности (Challenge и Response) отправляет на аутентификацию 3A-серверу (Authentication, Authorization, Accounting). Тот (также имея на своей стороне пользовательский пароль) производит те же самые действия с Challeng"ем и сравнивает свой Response с полученным от клиента: сходится - пользователь аутентифицирован, нет - отказ. Таким образом, cleartext-пароль знают только сам пользователь и 3А-сервер и пароль открытым текстом не "ходит" через сеть и не может быть взломан.
WPA
WPA (Wi-Fi Protected Access) - это временный стандарт (технология защищённого доступа к беспроводным сетям), который является переходным перед IEEE 802.11i. По сути, WPA совмещает в себе:
802.1X - основополагающий стандарт для беспроводных сетей;
EAP - протокол расширенной аутентификации (Extensible Authentication Protocol);
TKIP - протокол интеграции временного ключа (Temporal Key Integrity Protocol);
MIC - технология проверки целостности сообщений (Message Integrity Check).
Основные модули - TKIP и MIC. Стандарт TKIP использует автоматически подобранные 128-битные ключи, которые создаются непредсказуемым способом и общее число вариаций которых примерно 500 миллиардов. Сложная иерархическая система алгоритма подбора ключей и динамическая их замена через каждые 10 Кбайт (10 тыс. передаваемых пакетов) делают систему максимально защищённой. От внешнего проникновения и изменения информации также обороняет технология проверки целостности сообщений (Message Integrity Check). Достаточно сложный математический алгоритм позволяет сверять отправленные в одной точке и полученные в другой данные. Если замечены изменения и результат сравнения не сходится, такие данные считаются ложными и выбрасываются.
Правда, TKIP сейчас не является лучшим в реализации шифрования, из-за новой технологии Advanced Encryption Standard (AES), используемой ранее в VPN.
VPN
Технология виртуальных частных сетей VPN (Virtual Private Network) была предложена компанией Intel для обеспечения безопасного соединения клиентских систем с серверами по общедоступным интернет-каналам. VPN наверное одна из самых надежных с точки зрения шифрования и надёжности аутентификации.
Технологий шифрования в VPN применяется несколько, наиболее популярные из них описаны протоколами PPTP, L2TP и IPSec с алгоритмами шифрования DES, Triple DES, AES и MD5. IP Security (IPSec) используется примерно в 65-70% случаев. С его помощью обеспечивается практически максимальная безопасность линии связи.
Технология VPN не была ориентированна именно для Wi-Fi - она может использоваться для любого типа сетей, но защита с её помощью беспроводных сетей наиболее правильное решение.
Для VPN выпущено уже достаточно большое количество программного (ОС Windows NT/2000/XP, Sun Solaris, Linux) и аппаратного обеспечения. Для реализации VPN-защиты в рамках сети необходимо установить специальный VPN-шлюз (программный или аппаратный), в котором создаются туннели, по одному на каждого пользователя. Например, для беспроводных сетей шлюз следует установить непосредственно перед точкой доступа. А пользователям сети необходимо установить специальные клиентские программы, которые в свою очередь также работают за рамками беспроводной сети и расшифровка выносится за её пределы. Хотя всё это достаточно громоздко, но очень надёжно. Но как и все - это имеет свои недостатки, в данном случае их два:
Необходимость в достаточно емком администрировании;
Уменьшение пропускной способности канала на 30-40%.
За исключением этого – VPN, это вполне понятный выбор. Тем более в последнее время, развитие VPN оборудования происходит как раз в направлении улучшения безопасности и мобильности. Законченное решение IPsec VPN в серии Cisco VPN 5000 служит ярким примером. Тем более что в данной линейке представлена пока только единственное сегодня решение VPN на основе клиентов, которое поддерживает Windows 95/98/NT/2000, MacOS, Linux и Solaris. Кроме этого бесплатная лицензия на использование марки и распространение программного обеспечения клиента IPsec VPN поставляется со всеми продуктами VPN 5000, что тоже не маловажно.
Основные моменты защиты Fi-Wi сетей организации.
В свете всего выше изложенного можно убедиться что имеющиеся на данный момент механизмы и технологии защиты позволяют обеспечить безопасность вашей сети, при использовании Fi-Wi. Естественно если администраторы не будут полагаться только на элементарные настройки, а озаботятся тонкой настройкой. Конечно нельзя сказать, что таким образом ваша сеть превратится в неприступный бастион, но выделив достаточно серьезные средства на оборудование, время для настройки и конечно для постоянного контроля – можно обеспечить безопасность с вероятностью примерно до 95 %.
Основные моменты при организации и настройке Wi-Fi сети которыми не стоит пренебрегать:
- Выбор и установка точки доступа:
> перед приобретением внимательно ознакомьтесь с документацией и имеющейся на данный момент информации о дырах в реализации ПО для этого класса оборудования (всем известный пример дыры в IOS маршрутизаторов Cisco, позволяющая злоумышленнику получить доступ к листу конфига). Возможно будет смысл ограничиться покупкой более дешевого варианта и обновлением ОС сетевого устройства;
> изучите поддерживаемые протоколы и технологии шифрования;
> при возможности приобретайте устройства, использующие WPA2 и 802.11i, так как они для обеспечения безопасности используют новую технологию - Advanced Encryption Standard (AES). На данный момент это могут быть двухдиапазонные точеки доступа (AP) к сетям IEEE 802.11a/b/g Cisco Aironet 1130AG и 1230AG. Данные устройства поддерживают стандарт безопасности IEEE 802.11i, технологию защиты от вторжений Wi-Fi Protected Access 2 (WPA2) с использованием Advanced Encryption Standard (AES) и гарантируют емкость, отвечающую самым высоким требованиям пользователей беспроводных локальных сетей. Новые АР используют преимущества двухдиапазонных технологий IEEE 802.11a/b/g и сохраняют полную совместимость с ранними версиями устройств, работающих на IEEE 802.11b;
> подготовьте предварительно клиентские машины для совместной работы с приобретаемым оборудованием. На данный момент некоторые технологии шифрования могут не поддерживаться ОС или драйверами. Это поможет избежать лишних затрат времени при разворачивании сети;
> не устанавливать точку доступа вне брандмауэра;
> располагайте антенны внутри стен здания, а также ограничивайте мощность радиоизлучения, чтобы снизить вероятность подключения «извне».
> используйте направленные антенны, не используйте радиоканал по умолчанию.
- Настройка точки доступа:
> если точка доступа позволяет запрещать доступ к своим настройкам с помощью беспроводного подключения, то используйте эту возможность. Изначально не давайте возможность хакеру при внедрении в вашу сеть контролировать ключевые узлы по радиоканалу. Отключите вещание по радиоканалу такие протоколы как SNMP, web-интерфейс администрирования и telnet;
> обязательно(!) используйте сложный пароль для доступа к настройкам точки доступа;
> если точка доступа позволяет управлять доступом клиентов по MAC-адресам непременно используйте это;
> если оборудование позволяет запретить трансляцию в эфир идентификатора SSID – сделайте это обязательно. Но при этом у хакера всегда есть возможность получить SSID при подключении как легитимного клиент;
> политика безопасности должна запрещать беспроводным клиентам осуществлять ad-hoc соединения (такие сети позволяют двум или более станциям подключаться непосредственно друг к другу, минуя точки доступа, маршрутизирующие их трафик). Хакеры могут использовать несколько типов атак на системы, использующие ad-hoc-соединения. Первичная проблема с ad-hoc сетями - недостаток идентификации. Эти сети могут позволить хакеру провести атаки man in the middle, отказ в обслуживании (DoS), и/или скомпрометировать системы.
- Выбор настройки в зависимости от технологии:
> если есть возможность - запретите доступ для клиентов с SSID;
> если нет другой возможности - обязательно включайте хотя бы WEP, но не ниже 128bit.
> если при установке драйверов сетевых устройств предлагается на выбор три технологиями шифрования: WEP, WEP/WPA и WPA, то выбирайте WPA;
> если в настройках устройства предлагается выбор: “Shared Key“(возможен перехват WEP-ключа, который одинаков для всех клиентов) и “Open System”(возможно внедрение в сеть, если известен SSID) - выбирайте “Shared Key”. В данном случае (если вы используете WEP-аутентификацию) – наиболее желательно включить фильтрацию по МАС-адресу;
> если ваша сеть не велика – можно выбрать Pre-Shared Key (PSK).
> если есть возможность использовать 802.1X. Но при этом при настройке RADIUS-сервера желательно выбирать тип аутентификации CHAP;
> максимальный уровень безопасности на данный момент обеспечивает применение VPN - используйте эту технологию.
- Пароли и ключи:
> при использовании SSID придерживайтесь требований аналогичных требованиям парольной защиты - SSID должен быть уникален (не забывайте, что SSID не шифруется и может быть легко перехвачен!);
> всегда используйте максимально длинные ключи. Не используйте ключи меньше 128 бит;
> не забывайте про парольную защиту – используйте генератор паролей, меняйте пароли через определенный промежуток времени, храните пароли в тайне;
> в настройках обычно имеется выбор из четырёх заранее заданных ключей - используйте их все, меняя по определенному алгоритму. По возможности ориентируйтесь не на дни недели (всегда существуют люди в любой организации, работающие по выходным – что мешает осуществить внедрение в сеть в эти дни?).
> старайтесь применять длинные динамически изменяющиеся ключи. Если вы используете статические ключи и пароли, меняйте пароли через определенный промежуток времени.
> проинструктируйте пользователей, что бы они хранили пароли и ключи в тайне. Особенно важно, если некоторые используют для входа ноутбуки которые хранят дома.
- Сетевые настройки:
> для организации разделяемых ресурсов используйте NetBEUI. Если это не противоречит концепции вашей сети - не используйте в беспроводных сетях протокол TCP/IP для организации папок и принтеров общего доступа.
> не разрешайте гостевой доступ к ресурсам общего доступа;
> старайтесь не использовать в беспроводной сети DHCP - используйте статические IP-адреса;
> ограничьте количество протоколов внутри WLAN только необходимыми.
- Общее:
> на всех клиентах беспроводной сети используйте файерволлы или при ХР хотя бы активизируйте брандмауэр;
> регулярно следите за уязвимостями, обновлениями, прошивками и драйверами ваших устройств;
> используйте периодически сканеры безопасности, для выявления скрытых проблем;
> определите инструменты для выполнения беспроводного сканирования, а также частоту выполнения этого сканирования. Беспроводное сканирование поможет определить местонахождение неправомочных точек доступа.
> если финансы вашей организации позволяют – приобретите системы обнаружения вторжения (IDS, Intrusion Detection System), такие как:
CiscoWorks Wireless LAN Solution Engine (WLSE), в которой
реализовано несколько новых функций - самовосстановление, расширенное
обнаружение несанкционированного доступа, автоматизированное обследование
площадки развертывания, "теплое" резервирование, отслеживание
клиентов с созданием отчетов в реальном времени.
CiscoWorks WLSE - централизованное решение системного уровня для управления
всей беспроводной инфраструктурой на базе продуктов Cisco Aironet.
Усовершенствованные функции управления радиоканалом и устройствами,
поддерживаемые CiscoWorks WLSE, упрощают текущую эксплуатацию беспроводной
сети, обеспечивают беспрепятственное развертывание, повышают безопасность,
гарантируют максимальную степень готовности, сокращая при этом расходы на
развертывание и эксплуатацию.
Система Hitachi AirLocation использует сеть стандарта IEEE802.11b и способна работать как внутри помещений, так и вне зданий. Точность определения координат объекта, по словам разработчиков, составляет 1-3 м, что несколько точнее, чем аналогичная характеристика GPS- систем. Система состоит из сервера определения координат, управляющего сервера, комплекта из нескольких базовых станций, комплекта WLAN- оборудования и специализированного ПО. Минимальная цена комплекта - около $46,3 тыс. Система определяет местонахождение необходимого устройства и расстояние между ним и каждой точкой доступа за счет вычисления времени отклика терминала на посылаемые точками, связанными в сеть с расстоянием между узлами 100-200 м, сигналы. Для достаточно точного местоположения терминала, таким образом, достаточно всего трех точек доступа.
Да цены на такое оборудование достаточно высоки, но любая серьезная компания может решить потратить данную сумму для того, что бы быть уверенной в безопасности свой беспроводной сети.
Поскольку беспроводные сети используют радиоволны, качество работы сети зависит от многих факторов. Наиболее ярким примером является интерференция радиосигналов, способная значительно ухудшить показатели пропускной способности и количества поддерживаемых пользователей, вплоть до полной невозможности использования сети. Источником интерференции может быть любое устройство, излучающее сигнал достаточной мощности в том же частотном диапазоне, что и точка доступа: от соседних точек доступа у условиях густонаселенного офисного центра, до электромоторов на производстве, гарнитур Bluetooth и даже микроволновок. С другой стороны, злоумышленники могут использовать интерференцию для организации DoS атаки на сеть.Чужаки, работающие на том же канале, что и легитимные точки доступа, открывают не только доступ в сеть, но и нарушают работоспособность «правильной» беспроводной сети. Кроме того, для реализации атак на конечных пользователей и для проникновения в сеть с помощью атаки Man-In-The Middle злоумышленники часто заглушают точки доступа легитимной сети, оставляя только одну - свою точку доступа с тем же самым именем сети.
Связь
Помимо интерференции, существуют другие аспекты, влияющие на качество связи в беспроводных сетях. Поскольку беспроводная среда является средой с общим доступом, каждый неверно сконфигурированный клиент, или сбоящая антенна точки доступа могут создавать проблемы, как на физическом, так и на канальном уровне, приводя к ухудшению качества обслуживания остальных клиентов сети.Что делать?
Итого, беспроводные сети порождают новые классы рисков и угроз, от которых невозможно защититься традиционными проводными средствами. Даже если в организации формально запрещен Wi-Fi – это еще не значит, что кто-нибудь из пользователей не установит чужака и сведет этим все вложения в безопасность сети к нулю. Кроме того, ввиду особенностей беспроводной связи, важно контролировать не только безопасность инфраструктуры доступа, но и следить за пользователями, которые могут стать объектом атаки злоумышленника либо просто могут случайно или умышленно перейти с корпоративной сети на незащищенное соединение.безопасность Добавить метки
