На данный момент большинство фирм и предприятий все больше внимания уделяют использованию непосредственно Wi-Fi-сетей. Обусловлено это удобством, мобильностью и относительной дешевизной при связи отдельных офисов и возможностью их перемещения в пределах действия оборудования. В Wi-Fi-сетях применяются сложные алгоритмические математические модели аутентификации, шифрования данных, контроля целостности их передачи – что позволят быть относительно спокойным за сохранность данных при использовании данной технологии.
Анализ безопасности беспроводных сетей.
На данный момент большинство фирм и предприятий все больше внимания уделяют использованию непосредственно Wi-Fi-сетей. Обусловлено это удобством, мобильностью и относительной дешевизной при связи отдельных офисов и возможностью их перемещения в пределах действия оборудования. В Wi-Fi-сетях применяются сложные алгоритмические математические модели аутентификации, шифрования данных, контроля целостности их передачи – что позволят быть относительно спокойным за сохранность данных при использовании данной технологии.
Однако данная безопасность относительна, если не уделять должного внимания настройке беспроводной сети. К данному моменту уже существует список «стандартных» возможностей которые может получить хакер при халатности в настройке беспроводной сети:
Доступ к ресурсам локальной сети;
Прослушивание, воровство (имеется ввиду непосредственно интернет-траффик) трафика;
Искажение проходящей в сети информации;
Внедрение поддельной точки доступа;
Немного теории.
1997 год – выход в свет первого стандарта IEEE 802.11. Варианты защиты доступа к сети:
1. Использовался простой пароль SSID (Server Set ID) для доступа в локальную сеть. Данный вариант не предоставляет должного уровня защиты, особенно для нынешнего уровня технологий.
2. Использование WEP (Wired Equivalent Privacy) – то есть использование цифровых ключей шифрования потоков данных с помощью данной функции. Сами ключи это всего лишь обыкновенные пароли с длиной от 5 до 13 символов ASCII, что соответствует 40 или 104-разрядному шифрованию на статическом уровне.
2001 год - внедрение нового стандарта IEEE 802.1X. Данный стандарт использует динамические 128-разрядные ключи шифрования, то есть периодически изменяющихся во времени. Основная идея заключается в том, что пользователь сети работает сеансами, по завершении которых им присылается новый ключ - время сеанса зависит от ОС (Windows XP - по умолчанию время одного сеанса равно 30 минутам).
На данный момент существуют стандарты 802.11:
802.11 - Первоначальный базовый стандарт. Поддерживает передачу данных по радиоканалу со скоростями 1 и 2 Мбит/с.
802.11a - Высокоскоростной стандарт WLAN. Поддерживает передачу данных со скоростями до 54 Мбит/с по радиоканалу в диапазоне около 5 ГГц.
I802.11b - Наиболее распространенный стандарт. Поддерживает передачу данных со скоростями до 11 Мбит/с по радиоканалу в диапазоне около 2,4 ГГц.
802.11e - Требование качества запроса, необходимое для всех радио интерфейсов IEEE WLAN
802.11f - Стандарт, описывающий порядок связи между равнозначными точками доступа.
802.11g - Устанавливает дополнительную технику модуляции для частоты 2,4 ГГц. Предназначен, для обеспечения скоростей передачи данных до 54 Мбит/с по радиоканалу в диапазоне около 2,4 ГГц.
802.11h - Стандарт, описывающий управление спектром частоты 5 ГГц для использования в Европе и Азии.
802.11i (WPA2) - Стандарт, исправляющий существующие проблемы безопасности в областях аутентификации и протоколов шифрования. Затрагивает протоколы 802.1X, TKIP и AES.
На данный момент широко используется 4 стандарта: 802.11, 802.11a, 802.11b, 802.11g.
2003 года - был внедрён стандарт WPA (Wi-Fi Protected Access), который совмещает преимущества динамического обновления ключей IEEE 802.1X с кодированием протокола интеграции временного ключа TKIP (Temporal Key Integrity Protocol), протоколом расширенной аутентификации EAP (Extensible Authentication Protocol) и технологией проверки целостности сообщений MIC (Message Integrity Check).
Помимо этого, параллельно развивается множество самостоятельных стандартов безопасности от различных разработчиков. Ведущими являются такие гиганты как Intel и Cisco.
2004 год - появляется WPA2, или 802.11i, - максимально защищённый на данное время стандарт.
Технологии защиты Fi-Wi сетей.
WEP
Эта технология была разработана специально для шифрования потока передаваемых данных в рамках локальной сети. Данные шифруются ключом с разрядностью от 40 до 104 бит. Но это не целый ключ, а только его статическая составляющая. Для усиления защиты применяется так называемый вектор инициализации IV (Initialization Vector), который предназначен для рандомизации дополнительной части ключа, что обеспечивает различные вариации шифра для разных пакетов данных. Данный вектор является 24-битным. Таким образом, в результате мы получаем общее шифрование с разрядностью от 64 (40+24) до 128 (104+24) бит, что позволяет при шифровании оперировать и постоянными, и случайно выбранными символами. Но с другой стороны 24 бита это всего лишь ~16 миллионов комбинаций (2 24 степени) – то есть по истечению цикла генерации ключа начинается новый цикл. Взлом осуществляется достаточно элементарно:
1) Нахождение повтора (минимальное время, для ключа длинной 40 бит – от 10 минут).
2) Взлом остальной части (по сути - секунды)
3) Вы можете внедряться в чужую сеть.
При этом для взлома ключа имеются достаточно распространенные утилиты такие как WEPcrack.
802.1X
IEEE 802.1X - это основополагающий стандарт для беспроводных сетей. На данный момент он поддерживается ОС Windows XP и Windows Server 2003.
802.1X и 802.11 являются совместимыми стандартами. В 802.1X применяется тот же алгоритм, что и в WEP, а именно - RC4, но с некоторыми отличиями (большая «мобильность», т.е. имеется возможность подключения в сеть даже PDA-устройства) и исправлениями (взлом WEP и т. п.).
802.1X базируется на протоколе расширенной аутентификации EAP (Extensible Authentication Protocol), протоколе защиты транспортного уровня TLS (Transport Layer Security) и сервере доступа RADIUS (Remote Access Dial-in User Service).
После того, как пользователь прошёл этап аутентификации, ему высылается секретный ключ в зашифрованном виде на определённое незначительное время - время действующего на данный момент сеанса. По завершении этого сеанса генерируется новый ключ и опять высылается пользователю. Протокол защиты транспортного уровня TLS обеспечивает взаимную аутентификацию и целостность передачи данных. Все ключи являются 128-разрядными.
Отдельно необходимо упомянуть о безопасности RADIUS: использует в своей основе протокол UDP (а поэтому относительно быстр), процесс авторизации происходит в контексте процесса аутентификации (т.е. авторизация как таковая отсутствует), реализация RADIUS-сервера ориентирована на однопроцессное обслуживание клиентов (хотя возможно и многопроцессное - вопрос до сих пор открытый), поддерживает довольно ограниченное число типов аутентификации (сleartext и CHAP), имеет среднюю степень защищенности. В RADIUS"е шифруется только cleartext-пароли, весь остальной пакет остается "открытым" (с точки зрения безопасности даже имя пользователя является очень важным параметром). А вот CHAP – это отдельный разговор. Идея в том, что бы cleartext-пароль ни в каком виде никогда не передавался бы через сеть. А именно: при аутентификации пользователя клиент посылает пользовательской машине некий Challenge (произвольная случайная последовательность символов), пользователь вводит пароль и с этим Challengе"ем пользовательская машина производит некие шифрующий действия используя введенный пароль (как правило это обыкновенное шифрование по алгоритму MD5 (RFC-1321). Получается Response. Этот Response отправляется назад клиенту, а клиент все в совокупности (Challenge и Response) отправляет на аутентификацию 3A-серверу (Authentication, Authorization, Accounting). Тот (также имея на своей стороне пользовательский пароль) производит те же самые действия с Challeng"ем и сравнивает свой Response с полученным от клиента: сходится - пользователь аутентифицирован, нет - отказ. Таким образом, cleartext-пароль знают только сам пользователь и 3А-сервер и пароль открытым текстом не "ходит" через сеть и не может быть взломан.
WPA
WPA (Wi-Fi Protected Access) - это временный стандарт (технология защищённого доступа к беспроводным сетям), который является переходным перед IEEE 802.11i. По сути, WPA совмещает в себе:
802.1X - основополагающий стандарт для беспроводных сетей;
EAP - протокол расширенной аутентификации (Extensible Authentication Protocol);
TKIP - протокол интеграции временного ключа (Temporal Key Integrity Protocol);
MIC - технология проверки целостности сообщений (Message Integrity Check).
Основные модули - TKIP и MIC. Стандарт TKIP использует автоматически подобранные 128-битные ключи, которые создаются непредсказуемым способом и общее число вариаций которых примерно 500 миллиардов. Сложная иерархическая система алгоритма подбора ключей и динамическая их замена через каждые 10 Кбайт (10 тыс. передаваемых пакетов) делают систему максимально защищённой. От внешнего проникновения и изменения информации также обороняет технология проверки целостности сообщений (Message Integrity Check). Достаточно сложный математический алгоритм позволяет сверять отправленные в одной точке и полученные в другой данные. Если замечены изменения и результат сравнения не сходится, такие данные считаются ложными и выбрасываются.
Правда, TKIP сейчас не является лучшим в реализации шифрования, из-за новой технологии Advanced Encryption Standard (AES), используемой ранее в VPN.
VPN
Технология виртуальных частных сетей VPN (Virtual Private Network) была предложена компанией Intel для обеспечения безопасного соединения клиентских систем с серверами по общедоступным интернет-каналам. VPN наверное одна из самых надежных с точки зрения шифрования и надёжности аутентификации.
Технологий шифрования в VPN применяется несколько, наиболее популярные из них описаны протоколами PPTP, L2TP и IPSec с алгоритмами шифрования DES, Triple DES, AES и MD5. IP Security (IPSec) используется примерно в 65-70% случаев. С его помощью обеспечивается практически максимальная безопасность линии связи.
Технология VPN не была ориентированна именно для Wi-Fi - она может использоваться для любого типа сетей, но защита с её помощью беспроводных сетей наиболее правильное решение.
Для VPN выпущено уже достаточно большое количество программного (ОС Windows NT/2000/XP, Sun Solaris, Linux) и аппаратного обеспечения. Для реализации VPN-защиты в рамках сети необходимо установить специальный VPN-шлюз (программный или аппаратный), в котором создаются туннели, по одному на каждого пользователя. Например, для беспроводных сетей шлюз следует установить непосредственно перед точкой доступа. А пользователям сети необходимо установить специальные клиентские программы, которые в свою очередь также работают за рамками беспроводной сети и расшифровка выносится за её пределы. Хотя всё это достаточно громоздко, но очень надёжно. Но как и все - это имеет свои недостатки, в данном случае их два:
Необходимость в достаточно емком администрировании;
Уменьшение пропускной способности канала на 30-40%.
За исключением этого – VPN, это вполне понятный выбор. Тем более в последнее время, развитие VPN оборудования происходит как раз в направлении улучшения безопасности и мобильности. Законченное решение IPsec VPN в серии Cisco VPN 5000 служит ярким примером. Тем более что в данной линейке представлена пока только единственное сегодня решение VPN на основе клиентов, которое поддерживает Windows 95/98/NT/2000, MacOS, Linux и Solaris. Кроме этого бесплатная лицензия на использование марки и распространение программного обеспечения клиента IPsec VPN поставляется со всеми продуктами VPN 5000, что тоже не маловажно.
Основные моменты защиты Fi-Wi сетей организации.
В свете всего выше изложенного можно убедиться что имеющиеся на данный момент механизмы и технологии защиты позволяют обеспечить безопасность вашей сети, при использовании Fi-Wi. Естественно если администраторы не будут полагаться только на элементарные настройки, а озаботятся тонкой настройкой. Конечно нельзя сказать, что таким образом ваша сеть превратится в неприступный бастион, но выделив достаточно серьезные средства на оборудование, время для настройки и конечно для постоянного контроля – можно обеспечить безопасность с вероятностью примерно до 95 %.
Основные моменты при организации и настройке Wi-Fi сети которыми не стоит пренебрегать:
- Выбор и установка точки доступа:
> перед приобретением внимательно ознакомьтесь с документацией и имеющейся на данный момент информации о дырах в реализации ПО для этого класса оборудования (всем известный пример дыры в IOS маршрутизаторов Cisco, позволяющая злоумышленнику получить доступ к листу конфига). Возможно будет смысл ограничиться покупкой более дешевого варианта и обновлением ОС сетевого устройства;
> изучите поддерживаемые протоколы и технологии шифрования;
> при возможности приобретайте устройства, использующие WPA2 и 802.11i, так как они для обеспечения безопасности используют новую технологию - Advanced Encryption Standard (AES). На данный момент это могут быть двухдиапазонные точеки доступа (AP) к сетям IEEE 802.11a/b/g Cisco Aironet 1130AG и 1230AG. Данные устройства поддерживают стандарт безопасности IEEE 802.11i, технологию защиты от вторжений Wi-Fi Protected Access 2 (WPA2) с использованием Advanced Encryption Standard (AES) и гарантируют емкость, отвечающую самым высоким требованиям пользователей беспроводных локальных сетей. Новые АР используют преимущества двухдиапазонных технологий IEEE 802.11a/b/g и сохраняют полную совместимость с ранними версиями устройств, работающих на IEEE 802.11b;
> подготовьте предварительно клиентские машины для совместной работы с приобретаемым оборудованием. На данный момент некоторые технологии шифрования могут не поддерживаться ОС или драйверами. Это поможет избежать лишних затрат времени при разворачивании сети;
> не устанавливать точку доступа вне брандмауэра;
> располагайте антенны внутри стен здания, а также ограничивайте мощность радиоизлучения, чтобы снизить вероятность подключения «извне».
> используйте направленные антенны, не используйте радиоканал по умолчанию.
- Настройка точки доступа:
> если точка доступа позволяет запрещать доступ к своим настройкам с помощью беспроводного подключения, то используйте эту возможность. Изначально не давайте возможность хакеру при внедрении в вашу сеть контролировать ключевые узлы по радиоканалу. Отключите вещание по радиоканалу такие протоколы как SNMP, web-интерфейс администрирования и telnet;
> обязательно(!) используйте сложный пароль для доступа к настройкам точки доступа;
> если точка доступа позволяет управлять доступом клиентов по MAC-адресам непременно используйте это;
> если оборудование позволяет запретить трансляцию в эфир идентификатора SSID – сделайте это обязательно. Но при этом у хакера всегда есть возможность получить SSID при подключении как легитимного клиент;
> политика безопасности должна запрещать беспроводным клиентам осуществлять ad-hoc соединения (такие сети позволяют двум или более станциям подключаться непосредственно друг к другу, минуя точки доступа, маршрутизирующие их трафик). Хакеры могут использовать несколько типов атак на системы, использующие ad-hoc-соединения. Первичная проблема с ad-hoc сетями - недостаток идентификации. Эти сети могут позволить хакеру провести атаки man in the middle, отказ в обслуживании (DoS), и/или скомпрометировать системы.
- Выбор настройки в зависимости от технологии:
> если есть возможность - запретите доступ для клиентов с SSID;
> если нет другой возможности - обязательно включайте хотя бы WEP, но не ниже 128bit.
> если при установке драйверов сетевых устройств предлагается на выбор три технологиями шифрования: WEP, WEP/WPA и WPA, то выбирайте WPA;
> если в настройках устройства предлагается выбор: “Shared Key“(возможен перехват WEP-ключа, который одинаков для всех клиентов) и “Open System”(возможно внедрение в сеть, если известен SSID) - выбирайте “Shared Key”. В данном случае (если вы используете WEP-аутентификацию) – наиболее желательно включить фильтрацию по МАС-адресу;
> если ваша сеть не велика – можно выбрать Pre-Shared Key (PSK).
> если есть возможность использовать 802.1X. Но при этом при настройке RADIUS-сервера желательно выбирать тип аутентификации CHAP;
> максимальный уровень безопасности на данный момент обеспечивает применение VPN - используйте эту технологию.
- Пароли и ключи:
> при использовании SSID придерживайтесь требований аналогичных требованиям парольной защиты - SSID должен быть уникален (не забывайте, что SSID не шифруется и может быть легко перехвачен!);
> всегда используйте максимально длинные ключи. Не используйте ключи меньше 128 бит;
> не забывайте про парольную защиту – используйте генератор паролей, меняйте пароли через определенный промежуток времени, храните пароли в тайне;
> в настройках обычно имеется выбор из четырёх заранее заданных ключей - используйте их все, меняя по определенному алгоритму. По возможности ориентируйтесь не на дни недели (всегда существуют люди в любой организации, работающие по выходным – что мешает осуществить внедрение в сеть в эти дни?).
> старайтесь применять длинные динамически изменяющиеся ключи. Если вы используете статические ключи и пароли, меняйте пароли через определенный промежуток времени.
> проинструктируйте пользователей, что бы они хранили пароли и ключи в тайне. Особенно важно, если некоторые используют для входа ноутбуки которые хранят дома.
- Сетевые настройки:
> для организации разделяемых ресурсов используйте NetBEUI. Если это не противоречит концепции вашей сети - не используйте в беспроводных сетях протокол TCP/IP для организации папок и принтеров общего доступа.
> не разрешайте гостевой доступ к ресурсам общего доступа;
> старайтесь не использовать в беспроводной сети DHCP - используйте статические IP-адреса;
> ограничьте количество протоколов внутри WLAN только необходимыми.
- Общее:
> на всех клиентах беспроводной сети используйте файерволлы или при ХР хотя бы активизируйте брандмауэр;
> регулярно следите за уязвимостями, обновлениями, прошивками и драйверами ваших устройств;
> используйте периодически сканеры безопасности, для выявления скрытых проблем;
> определите инструменты для выполнения беспроводного сканирования, а также частоту выполнения этого сканирования. Беспроводное сканирование поможет определить местонахождение неправомочных точек доступа.
> если финансы вашей организации позволяют – приобретите системы обнаружения вторжения (IDS, Intrusion Detection System), такие как:
CiscoWorks Wireless LAN Solution Engine (WLSE), в которой
реализовано несколько новых функций - самовосстановление, расширенное
обнаружение несанкционированного доступа, автоматизированное обследование
площадки развертывания, "теплое" резервирование, отслеживание
клиентов с созданием отчетов в реальном времени.
CiscoWorks WLSE - централизованное решение системного уровня для управления
всей беспроводной инфраструктурой на базе продуктов Cisco Aironet.
Усовершенствованные функции управления радиоканалом и устройствами,
поддерживаемые CiscoWorks WLSE, упрощают текущую эксплуатацию беспроводной
сети, обеспечивают беспрепятственное развертывание, повышают безопасность,
гарантируют максимальную степень готовности, сокращая при этом расходы на
развертывание и эксплуатацию.
Система Hitachi AirLocation использует сеть стандарта IEEE802.11b и способна работать как внутри помещений, так и вне зданий. Точность определения координат объекта, по словам разработчиков, составляет 1-3 м, что несколько точнее, чем аналогичная характеристика GPS- систем. Система состоит из сервера определения координат, управляющего сервера, комплекта из нескольких базовых станций, комплекта WLAN- оборудования и специализированного ПО. Минимальная цена комплекта - около $46,3 тыс. Система определяет местонахождение необходимого устройства и расстояние между ним и каждой точкой доступа за счет вычисления времени отклика терминала на посылаемые точками, связанными в сеть с расстоянием между узлами 100-200 м, сигналы. Для достаточно точного местоположения терминала, таким образом, достаточно всего трех точек доступа.
Да цены на такое оборудование достаточно высоки, но любая серьезная компания может решить потратить данную сумму для того, что бы быть уверенной в безопасности свой беспроводной сети.
Вы покупаете дорогой роутер, устанавливаете сложный пароль и никому его не сообщаете, но всё равно замечаете, что скорость порой как-то проседает… Хуже, только если вы обнаружите кражу личных данных, заблокированный компьютер и другие прелести. Несмотря на антивирус и другую защиту.
Оказывается, домашний Wi-Fi далеко не так защищен, как вы думаете. Разбираемся, почему.
Современные точки доступа Wi-Fi защищены в основном протоколом WPA2. В нём реализовано CCMP и шифрование AES . CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) – это протокол блочного шифрования с кодом аутентичности сообщения (MAC) и режимом сцепления блоков и счётчика, который был создан для замены более слабого TKIP (использовался в предшественниках, WPA и WEP). Собственно, CCMP использует AES (Advanced Encryption Standard) – симметричный алгоритм блочного шифрования (размер блока 128 бит, ключ 128/192/256 бит).
Объективно говоря, WPA2 – довольно старый протокол
Соответственно, и уязвимостей в протоколе найдено немало. Например, ещё 23 июля 2010 года опубликовали данные о дыре под названием Hole196. Используя её, авторизовавшийся в сети пользователь может применять свой закрытый ключ для расшифровки данных других пользователей и подменять MAC-адреса, а значит, использовать ресурсы взломанной сети для атак на различные веб-ресурсы без риска быть обнаруженным. Без всякого брутфорса и взлома ключей!
Патчи, надо сказать, выпустили не все. А дальше пошло-поехало…
Сегодня Wi-Fi c WPA2 в основном взламывают брутфорсом и атакой по словарю. Хакеры мониторят беспроводную карту, сканируют эфир, отслеживают и записывают нужные пакеты.
После этого выполняется деавторизация клиента. Это нужно для хэндшейка – захвата начального обмена пакетами. Можно, конечно, подождать, пока клиент подключится. Но этого может и не произойти, по крайней мере, в ближайшие несколько минут.
Многие современные роутеры поддерживают протокол Wi-Fi Protected Setup, который используется для полуавтоматического подключения к беспроводной сети Wi-Fi. Он был разработал для упрощения подключения к WPS. Упростил, конечно, процесс и для злоумышленников тоже.
В PIN-коде WPS, который позволяет подключиться к сети, восемь знаков. Причём восьмой символ является контрольной суммой.
Уязвимость в WPS-протоколе позволяет проверять PIN-коды блоками: первый блок включает четыре цифры, второй – три (восьмая цифра вычисляется). В итоге имеем 9999 + 999 = 10998 вариантов PIN-кода.
Для взлома WPS подходит утилита Reaver. Она есть, к примеру, в дистрибутиве Kali Linux .
Алгоритм действий прост:
Процесс перебора может занять несколько часов. Его результат – подобранный PIN-код и ключ безопасности сети.
Альтернативы – приложения WPS Connect , WIFI WPS WPA TESTER для Android и др. С iPhone сложнее, потому что из официального App Store приложения быстро удаляют или отклоняют на старте, а из неофициальных магазинов вы устанавливаете программы на свой страх и риск.
Чтобы бороться с этой атакой, нужно отключить WPS на роутере или точке доступа. Тогда взламывать будет нечего.
Самое простое – использовать вашу Wi-Fi-сеть для получения бесплатного интернет-доступа. «Симптомы»: падение скорости, превышение лимитов трафика, увеличение пинга.
Хакеры могут использовать ваш Wi-Fi для совершения противоправных действий. К примеру, взлома сетей и аккаунтов, рассылки спама и т.п. Если правоохранительные органы отследят преступников до вашего IP, придётся объясняться. Вероятность невелика, но неприятно.
Наконец, самое страшное – если хакеры решат перехватить и расшифровать ваш трафик. И получить данные, которые вы бы не хотели кому-то предоставлять: пароли от социальных сетей и банковских аккаунтов, интимные фото, личную переписку.
Наконец, есть возможность осуществления атак «человек посередине». Можно перехватывать сеансы TCP, выполнять вставку информации в сеансы HTTP, воспроизводить адресные или широковещательные пакеты.
Защита сети wifi — еще один вопрос, который встает перед нами, после того, как мы создали домашнюю сеть. Безопасность wifi сети является не только гарантом от нежелательных сторонних подключений к вашему интернету, но и залогом защищенности вашего компьютера и других устройств сети — ведь через дыры к вам могут проникнуть вирусы с чужих компов и доставить множество хлопот. Ключа безопасности wifi, которым как правило ограничивается большинство пользователей, в этом случае недостаточно. Но обо всем по порядку…
Прежде всего для организации защиты wifi сети позаботьтесь об обязательном , для чего я рекомендую использовать ключ безопасности wifi WPA2/PSK. Он требует достаточно сложного семизначного пароля, который весьма сложно подобрать. Но возможно! Я серьезно задумался над этой проблемой, когда при очередном обзоре входящих в сетку устройств обнаружил не одно, не два, а штук 10! Тогда защита wifi сети меня всерьез заинтересовала, и я стал искать дополнительные более надежные способы и, разумеется, нашел. Причем для этого не требуется какая-то специфическая программа защиты — все делается в настройках роутера и компьютера. Сейчас буду делиться с Вами! Да, демонстрация способов будет проводиться на устройствах фирмы ASUS — у современных идентичный интерфейс, в частности, в видеокурсе я делал все на модели WL-520GU.
Тот, кто смотрел мой видеокурс, знают, о чем речь. Кто нет — поясню. SSID — это, говоря по-русски, название нашей сети. То есть то имя, которое вы ей присвоили в настройках и которое отображается при сканировании доступных для подключения роутеров.
Если ваш SSID виден всем, значит любой может попробовать к ней подключиться. Для того, чтобы о ней знали только Вы и ваши друзья, надо ее скрыть, то есть чтобы ее в этом списке не было. Для этого ставим галочку на «Скрыть SSID». После этого она исчезнет из результатов поиска. А присоединиться к ней вы сможете следующим способом:
Все, после этого вы должны войти в свой безопасный wifi, хотя его и не было видно.
Это еще более надежный способ защитить wifi от непрошенных гостей. Дело в том, что каждое устройство имеет свой персональный идентификатор, который называется MAC адрес. Вы можете разрешить доступ только своим компьютерам, прописав их ID в настройках домашнего роутера.
Но для начала надо эти MAC узнать. Для этого в Windows 7 надо зайти по цепочке: «Пуск > Панель управления > Сеть и интернет > Центр управления > Изменение параметров адаптера» и дважды кликнуть по своему wifi соединению. Далее жмем на кнопку «Сведения» и смотрим на пункт «Физический адрес» — это оно и есть!
Записываем его без знаком дефиса — только цифры и буквы.
После чего заходим в админке маршрутизатора во вкладку «Фильтр MAC-адресов беспроводной сети».
Выбираем из выпадающего списка пункт «Принимать» и добавляем MAC адреса компьютеров, которые имеются в вашей локалке — повторюсь, без знаков дефиса.
После этого сохраняем настройки и радуемся, что чужое устройство не зайдет!
Это еще более усовершенствованный способ. Здесь компьютеры будут отсеиваться не только по MAC, но и по их IP, назначенным для каждого вручную. Современные технологии позволяют подменить MAC, то есть узнав номер вашего гаджета, можно его сымитировать и войти, как будто это подключились вы сами. IP при этом по умолчанию раздается всем подключенным устройствам автоматически в рамках какого-то диапазона — это происходит за счет работы маршрутизатора в режиме так называемого DCHP сервера. Но мы можем его отключить и задать IP адреса для каждого вручную.
Давайте посмотрим, как это делается на практике. Для начала надо отключить DCHP сервер, который раздает адреса автоматически. Переходим в раздел «ЛВС» и открываем вкладку «DCHP-сервер». Здесь отключаем его («No» в первом пункте).
После этого необходимо настроить каждый компьютер или иное устройство. Если вы используете Windows 7, то заходим в «Панель управления > Сеть и интернет > Центр управления сетями > Изменение параметров адаптера > Беспроводное соединения (или как оно там еще у вас называется)». Щелкаем по нему два раза, заходим в «Свойства > Протокол интернета версии 4 (TCP/IP)». Здесь у нас все параметры получались автоматом. Ставим галочку на «Использовать следующий IP» и задаем:
Данный способ подходит тем, кто работает за компьютером в одно и то же определенное время. Суть заключается в том, что роутер будет раздавать интернет только в определенные часы. Например, вы приходите с работы в 6 вечера и до 10 сидите в сети. Тогда выставляем работу устройства только с 18 до 22 часов. Также есть возможность задать опредленные дни включения. Например, если в выходные вы уезжаете на дачу, можно в субботу и воскресенье wifi вообще не транслировать.
Устанавливается данный режим в разделе «Беспроводная сеть», вкладка «Профессионально». Выставляем дни недели для работы и часы.
Эта настройка производится на самом компьютере и скорее всего это даже не защита wifi, а к ограждение компа от подключения к чужой сети, через которую можно поймать вирус. Кликаем по своему беспроводному подключению в «Сетевых подключениях» (см. пункт 3) и выбираем здесь «Свойства беспроводной сети».
Для максимальной защиты соединения с wifi сетью рекомендуется убрать здесь все галочки, чтобы вводить пароль каждый раз при подключении. Для ленивых можно оставить на первом пункте — автоматическом подключении к текущей сети, но нельзя активировать две других, которые разрешать компьютеру самостоятельно присоединяться к любой другой, доступной для подключения.
Как видите, защиту WiFi сети обеспечивает не только шифрование WPA2 — есл будете cледовать этим несложным советам, безопасность вашей беспроводной сети будет гарантирована! Совсем скоро Вы также узнаете, как защитить всю локальную сеть сразу, и для того, чтобы не пропустить эту статью, рекомендую подписаться на обновления блога. Если есть вопросы — форма комментариев к вашим услугам 😉
Если статья помогла, то в благодарность прошу сделать 3 простые вещи:
- Подписаться на наш YouTube канал
- Отправить ссылку на публикацию к себе на стену в социальной сети по кнопке выше
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
Кафедра: Информатики и информационных технологий
Специальность: Прикладная информатика
КУРСОВАЯ РАБОТА
БЕЗОПАСНОСТЬ БЕСПРОВОДНЫХ СЕТЕЙ
Выполнила студентка
Козлова С.К.
Руководитель работы:
Митяев В.В.
ОРЕЛ, 2013 ГОД
Введение
Заключение
Библиографический список
Приложение
Введение
Большинство современных компьютеров поддерживают беспроводной доступ в сеть. Другими словами, они могут подключаться к интернету (и к другим устройствам, поддерживающим беспроводную связь) без сетевого кабеля. Главное преимущество беспроводных соединений - возможность работать с интернетом в любой точке дома или офиса (если позволяет расстояние между компьютером и устройством беспроводного доступа в сеть). Однако если не принять мер к обеспечению безопасности беспроводной сети, возможны следующие потенциально опасные ситуации, в результате которых злоумышленник может:
1. Перехватить передаваемые или получаемые данные;
2. Получить доступ к беспроводной сети;
3. Захватить канал доступа в интернет.
Обратимся к определению информационной безопасности. Информационная безопасность - обозначает защиту информации и информационных систем от неавторизированного доступа, использования, обнаружения, искажения, уничтожения, модификации.
Информационная безопасность обеспечивает доступность, целостность и конфиденциальность информации. Для реализации информационной безопасности беспроводных сетей используются средства и механизмы защиты информации.
Следовательно, если беспроводная сеть не защищена, злоумышленник может перехватить передаваемые по ней данные, получить доступ к сети и файлам на компьютере, а также выходить в интернет, используя подключение. Таким образом, занимается канал передачи данных и замедляется доступ в интернет.
Тема безопасности беспроводных сетей по-прежнему остается актуальной, хотя уже достаточно давно существуют надежные методы защиты этих сетей, такие как технологии WPA (Wi-Fi Protected Access).
Цель работы - практическое изучение вопросов безопасности и особенностей защиты беспроводных сетей.
Объектом данной курсовой работы является сетевая безопасность.
Предметом - безопасность беспроводных сетей.
Задачи, которые предстоит решить при выполнении данной работы следующие:
1. Рассмотреть понятие беспроводной сети;
3. Изучить основные положения политики безопасности беспроводных соединений;
4. Проанализировать решения для обеспечения безопасности беспроводных сетей;
5. Провести оценку необходимости защиты беспроводной сети;
6. Разработать алгоритм проведения работ по оценке эффективности защиты беспроводной сети.
1. Понятие беспроводной сети и описание категорий основных атак
1.1 Понятие и описание беспроводной сети
Беспроводная сеть - это передача информации на расстояние без использования электрических проводников или «проводов».
Это расстояние может быть как малым (несколько метров, как в телевизионном дистанционном управлении), так и очень большим (тысячи или даже миллионы километров для телекоммуникаций).
Беспроводная связь обычно рассматривается как отрасль телекоммуникаций.
Популярность беспроводной связи растет взрывообразными темпами, открывая для операторов новые рынки - от сетевых игр на экранах сотовых телефонов до служб экстренной помощи.
Это связано с распространением блокнотных компьютеров, систем поискового вызова и появлением систем класса «персональный секретарь» (Personal Digital Assistant (PDA)), расширением функциональных возможностей сотовых телефонов.
Такие системы должны обеспечить деловое планирование, расчет времени, хранение документов и поддержание связи с удаленными станциями. Девизом этих систем стало anytime, anywhere, т. е., предоставление услуг связи вне зависимости от места и времени. Кроме того, беспроводные каналы актуальны там, где невозможна или дорога прокладка кабельных линий и значительные расстояния.
До недавнего времени большинство беспроводных компьютерных сетей передавала данные со скоростью от 1.2 до 14.0 Кбит / с, зачастую только короткие сообщения, т. к., передача файлов больших размеров или длинные сеансы интерактивной работы с базой данных были недоступны. Новые технологии беспроводной передачи оперируют со скоростями в несколько десятков мегабит в секунду.
О перспективах рынка беспроводной связи очень много рассуждает Алан Коэн (Alan S. Cohen), старший директор компании Cisco Systems, отвечающий за мобильные решения.
Он говорит, что беспроводные технологии быстро становятся общепринятым стандартом, который оказывает всестороннее влияние на нашу жизнь.
На рынке действуют два важных фактора, стимулирующих переход к повсеместной беспроводной связи. Первый фактор - это "демократизация" беспроводной технологии, которая стала заметна на мобильном рынке с появлением стандарта 802.11 или Wi-Fi.
Очень заметен быстрый рост количества мобильных устройств и мобильных сетей в домах, квартирах, на предприятиях и в городах. Сегодня можно легко и просто построить беспроводную сеть и обеспечить широкополосную мобильность в интересах крупных корпораций и индивидуальных пользователей.
Так же он выделил еще одну интересную область применения мобильных технологий - городские mesh-сети, которые делают технологию Wi-Fi действительно повсеместной.
Предоставление доступа всем жителям города на всей его территории - замечательный пример демократизации беспроводных технологий. Сетевая архитектура и технология унифицированных коммуникаций не только объединяет проводную и беспроводную связь, но и сводит воедино сетевые услуги, предоставляемые в помещениях и на открытой местности. В результате можно оставаться подключенным к сети, где бы ни находились, в здании или за его пределами, что очень важно для городской связи.
Беспроводная связь становится повсеместной. Она позволяет предоставить подключение пользователей там, где затруднено кабельное подключение или необходима полная мобильность. При этом беспроводные сети взаимодействуют с проводными сетями. В настоящее время необходимо принимать во внимание беспроводные решения при проектировании любых сетей - от малого офиса до предприятия. Это, возможно, сэкономит и средства и трудозатраты и время.
Существует много случаев и причин, по которым беспроводные сети являются единственным или же самым удобным вариантом организации доступа к сети связи или интернету:
1) Если требуется организовать возможность кочевого доступа к сети и Интернету случайным пользователям в кафе, аэропортах, вокзалах, магазинах и других общественных местах;
2) Если необходимо организовать локальную сеть в зданиях, не имеющих возможностей прокладывания кабельной проводки (например, в исторических зданиях) или в зданиях, в которых прокладывания кабеля является весьма сложной, трудоёмкой и затруднительной задачей;
3) При организации временной локальной сети, в том числе и локальной сети для общего доступа, например, для проведения каких-либо событий, конференций и тому подобного;
4) При расширении локальной вычислительной сети в том случае, если необходимо подключить какой-либо удалённый изолированный сегмент, содержащий небольшое количество рабочих станций;
5) Если необходим мобильный доступ к сетевым ресурсам, например, при перемещении по квартире или организации с ноутбуком, при посещении различных больных врачом в больнице для связи с центральной базой данных или же для связи и координации механиков в больших зданиях, насыщенных современными средствами обеспечения их жизнедеятельности;
6) Для организации дополнительных каналов связи, которые могут предоставлять альтернативные операторы связи, создающие беспроводные локальные сети в различных районах.
В зависимости от технологий и передающих сред, которые используют, можно определить следующие классы беспроводных сетей:
Сети на радиомодемах;
Сети на сотовых модемах;
Инфракрасные системы;
Системы VSAT;
Системы с использованием низкоорбитальных спутников;
Системы с технологией SST;
Радиорелейные системы;
Системы лазерной связи.
WI-FI - это современная беспроводная технология передачи данных по радиоканалу (wireless, wlan wifi).
Любое оборудование, соответствующее стандарту IEEE 802.11, может быть протестировано в Wi-Fi Alliance и получить соответствующий сертификат и право нанесения логотипа Wi-Fi.
Wireless Fidelity, что в переводе с английского - беспроводная точность. Так же есть и более длинное название термина: EEE 802.11b. Зародился Wi-Fi в 1985 году, в США, после того как была открыта частотная часть радиоканала для использования без специального разрешения.
Самым первым стандартом, получившим наибольшее распространение, стал стандарт IEEE 802.11b.
Оборудование, соответствующее стандарту 802.11b, появилось ещё в 2001 году, и до сих пор большинство беспроводных сетей по-прежнему работает с использованием этого стандарта, а также выпускается множество беспроводных Wi-Fi устройств с поддержкой 802.11b.
Радиоволны, которые используются для Wi-Fi связи очень похожи на радиоволны используемые в рациях, приемниках, сотовых телефонах и других устройствах. Но Wi-Fi имеет несколько заметных отличий от других радиоприборов.
Связь ведется на частотах 2,4-5 Ггц. Эта частота намного выше, чем частоты, пригодные для мобильных телефонов, портативных радиостанций и телевидения.
Чем выше частота сигнала, тем большее количество информации передается. Беспроводная сеть использует радиоволны точно так же как радиоприемники, мобильные телефоны, телевизоры. На самом деле беспроводная связь Wi-Fi более похожа на двустороннюю радиосвязь.
В России использование Wi-Fi без разрешения на использование частот от Государственной комиссии по радиочастотам (ГКРЧ) возможно для организации сети внутри зданий, закрытых складских помещений и производственных территорий.
Для легального использования вне офисной беспроводной сети Wi-Fi, например, радиоканала между двумя соседними домами, необходимо получение разрешения на использование частот. Действует упрощённый порядок выдачи разрешений на использование радиочастот в полосе 2400-2483,5 МГц (стандарты 802.11b и 802.11g, каналы 1-13), для получения такого разрешения не требуется частное решение ГКРЧ. Для использования радиочастот в других диапазонах, в частности 5 ГГц (стандарт 802.11a), необходимо предварительно получить частное решение ГКРЧ. В 2007 году ситуация изменилась с выходом документа: «Постановление от 25 июля 2007 г., №476 «О внесении изменений в постановление Правительства Российской Федерации» от 12 октября 2004 г.
Шестнадцатым пунктом постановления из списка оборудования, подлежащего регистрации было исключено - пользовательское оборудование беспроводного доступа в полосе радиочастот 2400-2483,5 МГц с мощностью излучения передающих устройств до 100 мВт включительно.
Также во исполнение протокольной записи к решению ГКРЧ от 19 августа 2009 г., №09-04-09, ГКРЧ решила: выделить полосы радиочастот 5150-5350 МГц и 5650-6425 МГц для применения на территории Российской Федерации за исключением городов, указанных в приложении №2, фиксированного беспроводного доступа гражданами Российской Федерации и российскими юридическими лицами без оформления отдельных решений ГКРЧ для каждого физического или юридического лица.
Указанным полосам частот соответствуют стандарты 802.11a/b/g/n и каналы с номерами из диапазонов 36-64 и 132-165. Однако, в приложении 2 перечислено 164 крупнейших города России, в которых указанные частоты для создания беспроводных сетей использовать нельзя.
За нарушение порядка использования радиоэлектронных средств предусматривается ответственность по статьям 13.3 и 13.4 Кодекса Российской Федерации об административных правонарушениях.
Решением от 15 июля 2010 года, ГКРЧ России отменила выдачу обязательных частных решений ГКРЧ для использования систем фиксированного беспроводного доступа в диапазонах 5150-5350 МГц и 5650-6425 МГц. Ограничение на данные диапазоны частот снято для всей территории России.
Выделяют следующие типы и разновидности соединений:
1. Соединение Ad-Hoc (точка-точка). Все компьютеры оснащены беспроводными картами (клиентами) и соединяются напрямую друг с другом по радиоканалу работающему по стандарту 802.11b и обеспечивающих скорость обмена 11 Mбит/с, чего вполне достаточно для нормальной работы;
2. Инфраструктурное соединение. Данная модель используется, когда необходимо соединить больше двух компьютеров. Сервер с точкой доступа может выполнять роль роутера и самостоятельно распределять интернет-канал;
3. Точка доступа, с использованием роутера и модема. Точка доступа включается в роутер, роутер - в модем (эти устройства могут быть объединены в два или даже в одно). Теперь на каждом компьютере в зоне действия Wi-Fi, в котором есть адаптер Wi-Fi, будет работать интернет;
4. Клиентская точка. В этом режиме точка доступа работает как клиент и может соединятся с точкой доступа работающей в инфраструктурном режиме. Но к ней можно подключить только один МАС-адрес. Здесь задача состоит в том, чтобы объединить только два компьютера. Два Wi-Fi-адаптера могут работать друг с другом напрямую без центральных антенн;
5. Соединение мост. Компьютеры объединены в проводную сеть. К каждой группе сетей подключены точки доступа, которые соединяются друг с другом по радио каналу. Этот режим предназначен для объединения двух и более проводных сетей. Подключение беспроводных клиентов к точке доступа, работающей в режиме моста невозможно.
Таким образом, было рассмотрено понятие и классы беспроводных сетей, выявлены причины целесообразного использования беспроводного соединения. Проанализирована нормативно-правовая база в отношении сетей Wi-Fi. Беспроводная сеть была описана посредством приведения типологии и разновидности соединений.
Во время работы беспроводных сетей часто возникают различные проблемы. Некоторые - по чьей-то оплошности, а некоторые являются результатом злоумышленных действий. В любом случае при этом наносится ущерб. Данные события являются атаками, независимо от причин их возникновения.
Существуют четыре основных категории атак:
1. Атаки доступа;
2. Атаки модификации;
3. Атаки на отказ в обслуживании;
4. Атаки на отказ от обязательств.
Атака доступа - это попытка получения информации злоумышленником, для просмотра которой у него нет разрешений, и которая направлена на нарушение конфиденциальности информации.
Для осуществления данной атаки необходима информация и средства для ее передачи.
Атака доступа возможна везде, где существуют информация и средства для ее передачи.
К атакам доступа можно так же отнести подсматривание, подслушивание и перехват.
Подсматривание - это просмотр файлов или документов для поиска интересующей злоумышленника информации.
Подслушивание - когда кто-то слушает разговор, участником которого он не является (часто при этом он использует электронные устройства).
Перехват - захват информации в процессе ее передачи к месту назначения.
Информация в электронном виде хранится она:
Рабочих станциях;
Серверах;
В портативных компьютерах;
Компакт-дисках.
С компакт-дисками ситуация ясна, т. к., злоумышленник может их просто украсть. С первыми двумя дело обстоит иначе. При легальном доступе к системе злоумышленник будет анализировать файлы, просто открывая один за другим. При несанкционированном доступе, взломщик постарается обойти систему контроля и получить доступ к нужной информации. Сделать это не сложно. Необходимо установить в компьютерной системе сетевой анализатор пакетов (sniffer). Для этого взломщик должен повысить свои полномочия в системе или подключиться к сети. Анализатор настроен на захват любой информации, проходящей по сети, но особенно - на пользовательские идентификаторы и пароли.
Подслушивание выполняется и в глобальных компьютерных сетях типа выделенных линий и телефонных соединений. Однако такой тип перехвата требует наличия соответствующей аппаратуры и специальных знаний. В этом случае наиболее удачным местом для размещения подслушивающего устройства является шкаф с электропроводкой.
А с помощью специального оборудования квалифицированный взломщик может осуществить перехват в системах оптико-волоконной связи. Однако, что бы добиться успеха, он должен поместить свою систему в линии передачи между отправителем и получателем информации. В интернете это выполняется посредством изменения разрешения имени, в результате чего имя компьютера преобразуется в неправильный адрес. Трафик перенаправляется к системе атакующего вместо реального узла назначения. При соответствующей настройке такой системы отправитель так и не узнает, что его информация не дошла до получателя.
Атака модификации - это попытка неправомерного изменения информации. Она направлена на нарушение целостности информации и возможна везде, где существует или передается информация.
Существует три вида атаки модификации:
1. Замена;
2. Добавление;
3. Удаление.
Замена - замена существующей информации направлена как против секретной, так и общедоступной информации.
Атака добавления - добавление новых данных.
Атака удаления означает перемещение существующих данных.
Все три вида атаки модификации используют уязвимые места систем, например, «бреши» в безопасности сервера, позволяющие заменить домашнюю страницу. И даже в этом случае необходимо основательно поработать во всей системе, чтобы воспрепятствовать обнаружению. Т. к., транзакции нумеруются последовательно, и удаление или добавление неправильных операционных номеров будет замечено.
В случае, если атака модификации производится при передаче информации, то необходимо сначала выполнить перехват интересующего трафика, а затем внести изменения в информацию перед ее отправкой к пункту назначения.
Атаки на отказ в обслуживании (Denial-of-service, DoS) - это атаки, запрещающие легальному пользователю использование системы, информации или возможностей компьютеров. Другими словами, эта атака «Вандализм», т. к., злоумышленник.
В результате DoS-атаки обычно не получает доступа к компьютерной системе и не может оперировать с информацией.
DoS-атака, направленная против информации - уничтожает, искажает или переносит в недоступное место последнюю.
DoS-атака, направленная на приложения, обрабатывающие или отображающие информацию, или на компьютерную систему, в которой эти приложения выполняются - делают невозможным решение задач, выполняемых с помощью такого приложения.
Общий тип DoS-атак (отказ в доступе к системе) ставит своей целью вывести из строя компьютерные системы, в результате чего сама система, установленные на ней приложения и вся сохраненная информация становится недоступной.
Отказ в доступе к средствам связи заключается в выведении из строя средств связи, которые лишают доступ к компьютерным системам и информации.
DoS-атаки, нацеленные непосредственно на компьютерную систему, реализуются через эксплойты, использующие уязвимые места операционных систем или межсетевых протоколов.
С помощью этих «брешей» атакующий посылает в приложение определенный набор команд, который оно не в состоянии правильно обработать, в результате чего приложение выходит из строя. Перезагрузка восстанавливает его работоспособность, но на время перезагрузки работать с приложением становится невозможно.
Атака на отказ от обязательств направлена против возможности идентификации информации, или дать неверную информацию о реальном событии либо транзакции.
К данному виду атаки относятся:
Маскарад - это выполнение действий под видом другого пользователя или другой системы.
Отрицание события - это отказ от факта совершения операции.
DoS-атаки против интернета - это атака на серверы корневых имен интернета.
Обеспечить безопасность устройства беспроводного доступа и, соответственно, свести к минимуму связанный с этим видом доступа риск можно с помощью следующих несложных шагов:
1. Изменить пароль администратора в своем беспроводном устройстве. Хакеру легко выяснить, какой пароль устанавливается по умолчанию производителем устройства, и использовать этот пароль для доступа в беспроводную сеть. Избегать паролей, которые легко подобрать или угадать;
2. Отключить трансляцию идентификатора сети (SSID broadcasting, SSID - Service Set Identifier, идентификатор сети), чтобы беспроводное устройство не транслировало в эфир информацию о том, что оно включено;
3. Включить шифрование трафика: лучше всего использовать протокол WPA, если устройство его поддерживает (если нет, то использовать WEP-шифр);
4. Сменить идентификатор сети (SSID) устройства. Если оставить идентификатор, установленный по умолчанию производителем устройства, злоумышленник, узнав этот идентификатор, сможет легко идентифицировать беспроводную сеть. Не использовать имена, которые легко угадать.
В результате решения данной задачи были определены и изучены четыре основных категории атак и три вида атаки модификации. Так же подлежали рассмотрению атаки на отказ в обслуживании и отказ от обязательств. На основе данного анализа были разработаны шаги по обеспечению безопасности устройств беспроводного доступа.
Таким образом, подведя итог, можно с уверенность сказать, что беспроводные соединения сейчас получили широчайшее распространение, в основном, благодаря их способности работать с интернетом в любой точке дома или офиса.
Однако если не принять мер к обеспечению безопасности беспроводной сети, то злоумышленник может перехватить передаваемые по ней данные, получить доступ к сети и файлам на компьютере, а также выходить в интернет, используя подключение.
2. Обзор средств и методов обеспечения информационной безопасности беспроводных сетей
2.1 Политика безопасности беспроводных соединений
Специфика беспроводных сетей подразумевает, что данные могут быть перехвачены и изменены в любой момент. Для одних технологий достаточно стандартного беспроводного адаптера, для других требуется специализированное оборудование. Но в любом случае, эти угроза реализуются достаточно просто, и для противостояния им требуются эффективные криптографические механизмы защиты данных.
При построении системы обеспечения безопасности важно определить модель угроз, т. е., решить, чему собственно защита будет противостоять. По сути, в беспроводных сетях угрозы две: несанкционированное подключение и прослушивание, но их список можно расширить, выделив и обобщив к перечисленным в первой главе следующие основные угрозы, связанные с беспроводными устройствами:
Неконтролируемое использование и нарушение периметра;
Несанкционированное подключение к устройствам и сетям;
Перехват и модификация трафика;
Нарушение доступности;
Позиционирование устройства.
Широкое распространение беспроводных устройств и их небольшая стоимость приводят к тому, что в периметре сетевой безопасности возникают бреши. Здесь речь идет не только о злоумышленниках, подключивших КПК с поддержкой Wi-Fi к проводной сети компании, но и о более тривиальных ситуациях. Активный беспроводной адаптер на подключенном к корпоративной сети ноутбуке, принесенная из дома для тестирования точка доступа - все это может стать удобными каналами для проникновения во внутреннюю сеть.
Недостаточная аутентификация, ошибки в системе разграничения доступа позволяют осуществлять несанкционированное подключение.
По своей природе беспроводные сети не могут обеспечивать высокую доступность. Различные природные, техногенные и антропогенные факторы могут эффективно нарушать нормальное функционирование радиоканала. Этот факт должен учитываться при проектировании сети, и беспроводные сети не должны использоваться для организации каналов при высоких требованиях по доступности.
Станции Wi-Fi могут быть легко обнаружены пассивными методами, что позволяет с достаточно большой точностью определять местоположение беспроводного устройства. Например, система Navizon может использовать для определения местоположения мобильного устройства систему GPS, базовые станции GSM и точки беспроводного доступа.
Политика безопасности в отношении беспроводных сетей может быть представлена как в виде отдельного документа, так и в составе других составляющих нормативного обеспечения безопасности. В большинстве случаев наличие отдельного документа не требуется, поскольку положения политики в отношении беспроводных сетей во многом пересекаются с традиционным содержанием подобных документов. Так, например, требования по физической защите точек доступа вполне перекрываются вопросами физической безопасности активного сетевого оборудования. В связи с этим в виде отдельного документа политика беспроводной безопасности представлена в период внедрения WLAN, после чего, при очередном пересмотре документов гармонично вливается в другие.
Если беспроводные сети не используются, то политика безопасности должна включать в себя описание защитных механизмов, направленных на снижение рисков, связанных с несанкционированным использованием радиосетей.
Лучшие мировые практики в области управления информационной безопасностью описаны в международном стандарте на системы менеджмента информационной безопасности ISO/IEC 27001 (ISO 27001). ISO 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы.
Стандарт аутентичен ГОСТ РИСО/МЭК 27001-2006. Он устанавливает требования по разработке, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению документированной системы менеджмента информационной безопасности, по внедрению мер управления информационной безопасностью и ее контроля.
Основными преимущества стандарта ISO/IEC 27001:
Сертификация позволяет показать деловым партнерам, инвесторам и клиентам, что в организации налажено эффективное управление информационной безопасностью;
Стандарт совместим с ISO 9001:2000 и ISO 14001:2007;
Стандарт не ставит ограничений на выбор программно-аппаратных средств, не накладывает технических требований на IT-средства или средства защиты информации и оставляет организации полную свободу выбора технических решений по защите информации.
Понятие защиты информации трактуется международным стандартом как обеспечение конфиденциальности, целостности и доступности информации.
На основе данного стандарта могут быть сформулированы рекомендации для снижения вероятности нарушения политики безопасности беспроводной сети в организации:
1. Обучение пользователей и администраторов. ISO|IEC 27001 A.8.2.2. В результате обучения пользователи должны знать и понимать изложенные в политике ограничения, а администраторы должны иметь необходимую квалификацию для предотвращения и обнаружения нарушений политики;
2. Контроль подключений к сети. ISO|IEC 27001 A.11.4.3. Уровень риска, связанного с подключением несанкционированной точки доступа или клиента беспроводной сети, можно снизить путем отключения неиспользуемых портов коммутаторов, фильтрации по MAC-адресам (port-security), аутентификации 802.1X, систем обнаружения атак и сканеров безопасности, контролирующих появление новых сетевых объектов;
3. Физическая безопасность. ISO|IEC 27001 A.9.1. Контроль приносимых на территорию устройств позволяет ограничить вероятность подключения к сети беспроводных устройств. Ограничение доступа пользователей и посетителей к сетевым портам и слотам расширения компьютера снижает вероятность подключения беспроводного устройства;
4. Минимизация привилегий пользователя. ISO|IEC 27001 A.11.2.2. Если пользователь работает на компьютере с минимально необходимыми правами, то снижается вероятность самовольного изменения настроек беспроводных интерфейсов;
5. Контроль политики безопасности. ISO|IEC 27001 6, A.6.1.8. Средства анализа защищенности, такие как сканеры уязвимостей, позволяют обнаруживать появление в сети новых устройств и определить их тип (функции определения версий ОС и сетевых приложений), а также отслеживать отклонения настроек клиентов от заданного профиля. Техническое задание на проведение работ по аудиту внешними консультантами должно учитывать требования политики в отношении беспроводных сетей;
6. Инвентаризация ресурсов. ISO|IEC 27001 A.7.1.1. Наличие актуального обновляемого списка сетевых ресурсов облегчает обнаружение новых сетевых объектов;
7. Обнаружение атак. ISO|IEC 27001 A.10.10.2. Применение систем обнаружения атак как традиционных, так и беспроводных дает возможность своевременно определять попытки несанкционированного доступа;
8. Расследование инцидентов. ISO|IEC 27001 A.13.2. Инциденты, связанные с беспроводными сетями мало отличаются от других подобных ситуаций, однако процедуры их расследования должны быть определены. Для сетей, где беспроводные сети внедряются или используются, может потребоваться внесение дополнений в разделы политики;
9. Нормативно-правовое обеспечение. ISO|IEC 27001 A.15.1.1. Использование беспроводных сетей может попадать под действие как российских, так и международных нормативных актов. Так, в России использование частотного диапазона 2,4 ГГц регулируется решением ГКРЧ от 6.11.2004 (04-03-04-003). Кроме того, поскольку в беспроводных сетях интенсивно используется шифрование, а применение криптографических средств защиты в ряде случаев попадает под довольно жесткие законодательные ограничения, необходимо проработать и этот вопрос;
10. Внутренний и внешний аудит. ISO|IEC 27001 6, A.6.1.8. При проведении работ по оценке защищенности должны учитываться требования политики в отношении беспроводных сетей. Более подробно возможный состав работ по оценке защищенности WLAN описан в последней глава данной книги;
11. Разделение сетей. ISO|IEC 27001 A.11.4.5. В связи со спецификой беспроводных сетей желательно выделять точки беспроводного доступа в отдельный сетевой сегмент с помощью межсетевого экрана, особенно когда речь касается гостевого доступа;
12. Использование криптографических средств защиты. ISO|IEC 27001 A.12.3. Должны быть определены используемые протоколы и алгоритмы шифрования трафика в беспроводной сети (WPA или 802.11i). При использовании технологии 802.1X определяются требования к протоколам ЭЦП и длине ключа подписи сертификатов, используемых для целей;
13. Аутентификация. ISO|IEC 27001 A.11.4.2. Должны быть определены требования к хранению данных аутентификации, их смене, сложности, безопасности при передаче по сети. Могут быть явно определены используемые методы EAP, методы защиты общего ключа сервера RADIUS;
14. Контроль изменений в информационной системе. ISO|IEC 27001 A.12.5.1. Должны учитываться в ИС беспроводные технологии;
15. Допустимость использования программного и аппаратного обеспечения. ISO|IEC 27001 A.12.4.1 В этом разделе рассматриваются требования к точкам доступа, беспроводным коммутаторам и клиентам беспроводной сети;
16. Обнаружение атак. ISO|IEC 27001 A.10.10.2. Должны быть определены требования к системам обнаружения беспроводных атак, закреплена ответственность за анализ событий;
17. Протоколирование и анализ событий безопасности. ISO|IEC 27001 A.10.10.1. Данный раздел может быть расширен путем добавления в список контролируемых событий, специфичных для беспроводных сетей. Может включать в себя предыдущий раздел;
18. Удаленный доступ к сети. ISO|IEC 27001 A.11.7.2. В большинстве случаев пользователей беспроводной сети логично относить к пользователям систем удаленного доступа. Это обусловлено аналогичными угрозами и как следствие - контрмерами, характерными для данных компонентов ИС. Кроме того, после выполнения всех этапов в том или ином виде должны быть сформированы следующие документы:
Инструкция для пользователей с учетом использования беспроводной сети;
Базовые настройки точек доступа, беспроводных коммутаторов, рабочих станций;
Процедуры контроля защищенности беспроводных сетей;
Профили систем обнаружения атак;
Процедуры по реагированию на инциденты в беспроводной сети.
Таким образом, был проанализирован стандарт ISO/IEC 27001. На основе данного стандарта были сформулированы рекомендации для снижения вероятности нарушения политики безопасности беспроводной сети в организации. Так же приведен перечень документов, которые должны быть сформированы после выполнения всех этапов политики безопасности беспроводной сети.
Правильно построенная и соблюдаемая политика безопасности является надежным фундаментом защищенной беспроводной сети. Вследствие этого стоит уделять ей достаточное внимание, как на этапе внедрения сети, так и в ходе ее эксплуатации, отражая в нормативных документах изменения, происходящие в сети.
2.2 Решения для обеспечения безопасности беспроводных сетей
Важным элементом безопасности любой сети, не только беспроводной, является управление доступом и конфиденциальностью. Одним из надежных способов управления доступом к WLAN является аутентификация, позволяющая предотвратить доступ несанкционированных пользователей к передаче данных через точки доступа. Действенные меры управления доступом к WLAN помогают определить круг разрешенных клиентских станций и связать их только с доверенными точками доступа, исключая несанкционированные или опасные точки доступа.
Конфиденциальность сетей WLAN подразумевает, что передаваемые данные будут правильно расшифрованы только той стороной, для которой они были предназначены. Статус конфиденциальности передаваемых по WLAN данных считается защищенным, если данные зашифрованы ключом, которым может воспользоваться только тот получатель данных, для которого они предназначались. Шифрование подразумевает, что целостность данных не нарушается в течение всего процесса передачи - отправки и получения.
На сегодняшний день компании, использующие сети WLAN, внедряют четыре отдельных решения для безопасности WLAN и управления доступом и конфиденциальностью:
Открытый доступ;
Базовая безопасность;
Повышенная безопасность;
Безопасность удаленного доступа.
Как в случае с любым развертыванием системы безопасности, целесообразно провести оценку сетевых рисков перед выбором и внедрением любого из решений для безопасности WLAN:
1. Открытый доступ. Все продукты для беспроводных локальных сетей, сертифицированные на соответствие спецификациям Wi-Fi, поставляются для работы в режиме открытого доступа с выключенными функциями безопасности. Открытый доступ или отсутствие безопасности могут устраивать и удовлетворять требования общественных хот-спотов, таких как кофейни, университетские городки, аэропорты или другие общественные места, однако для предприятий этот вариант не подходит. Функции безопасности должны быть включены на беспроводных устройствах в процессе их установки. Однако, некоторые компании не включают функции безопасности сетей WLAN, таким образом, серьезно повышая уровень риска для своих сетей;
2. Базовая безопасность: идентификаторы SSID, WEP и аутентификация по MAC-адресу. Базовая безопасность заключается в использовании идентификаторов сети SSID (Service Set Identifier), открытой аутентификации или аутентификации с использованием общего ключа, статических WEP-ключей и, как вариант, аутентификации по MAC-адресу. С помощью этой комбинации можно настроить элементарные средства управления доступом и конфиденциальностью, однако каждый отдельный элемент такой защиты может быть взломан. Идентификатор SSID - это общее имя сети для устройств в подсистеме WLAN служит для логического обособления данной подсистемы. SSID предотвращает доступ любого клиентского устройства, не имеющего SSID. Однако, по умолчанию точка доступа передает в эфир среди своих сигналов и свой SSID. Даже если отключить передачу в эфир SSID, взломщик или хакер может обнаружить нужный SSID с помощью так называемого "сниффинга", или "вынюхивания" - незаметного мониторинга сети. Стандарт 802.11, группа спецификаций для сетей WLAN, выработанная IEEE, поддерживает два средства аутентификации клиента: открытую аутентификацию и аутентификация с использованием общих ключей. Открытая аутентификация лишь ненамного отличается от предоставления правильного идентификатора SSID. При аутентификации с использованием общих ключей точка доступа посылает на клиентское устройство тестовый текстовый пакет, который клиент должен зашифровать правильным WEP-ключом и вернуть на точку доступа. Без правильного ключа аутентификация будет прервана и клиент не будет допущен в группу пользователей точки доступа. Аутентификация с использованием общих ключей не считается надежной, поскольку взломщик, получивший в свое распоряжение начальное тестовое текстовое сообщение и это же сообщение, зашифрованное WEP-ключом, может расшифровать сам WEP-ключ. При открытой аутентификации, даже если клиент проходит аутентификацию и получает доступ в группу пользователей точки доступа, использование WEP-защиты не позволяет клиенту передавать данные с этой точки доступа без правильного WEP-ключа. WEP-ключи могут состоять из 40 или 128 бит и обычно статически определяются сетевым администратором на точке доступа и каждом клиенте, передающем данные через эту точку доступа. При использовании статических WEP-ключей сетевой администратор должен потратить много времени на ввод одинаковых ключей в каждое устройство сети WLAN. Если устройство, использующее статические WEP-ключи, потеряно или украдено, обладатель пропавшего устройства может получить доступ к сети WLAN. Администратор не сможет определить, что в сеть проник несанкционированный пользователь, до тех пор, пока не будет доложено о пропаже. После этого администратор должен сменить WEP-ключ на каждом устройстве, использующем тот же статический WEP-ключ, что и пропавшее устройство. В условиях сети крупного предприятия, включающей сотни или даже тысячи пользователей, это может оказаться затруднительно. Что еще хуже, если статический WEP-ключ был расшифрован с помощью такого инструмента, как AirSnort, администратор никак не узнает о том, что ключ был взломан несанкционированным пользователем. Некоторые поставщики решений WLAN поддерживают аутентификацию на базе физического адреса или MAC-адреса, клиентской сетевой карты (NIC). Точка доступа позволит клиенту ассоциироваться с точкой доступа только в случае, если MAC-адрес клиента соответствует одному из адресов в таблице аутентификации, используемой точкой доступа. Однако аутентификация по MAC-адресу не является адекватной мерой безопасности, поскольку MAC-адрес можно подделать, а сетевую карту - потерять или украсть;
3. Базовая безопасность с использованием общих ключей WPA или WPA2.Другая форма доступной на сегодняшний день базовой безопасности - это WPA или WPA2 с использованием общих ключей (Pre-Shared Key, PSK). Общий ключ проверяет пользователей с помощью пароля или кода идентификации (также называемого "фраза-пароль") как на клиентской станции, так и на точке доступа. Клиент может получить доступ к сети только в том случае, если пароль клиента соответствует паролю точки доступа. Общий ключ также предоставляет данные для генерации ключа шифрования, который используется алгоритмами TKIP или AES для каждого пакета передаваемых данных. Являясь более защищенным, чем статический WEP-ключ, общий ключ аналогичен статическому WEP-ключу в том, что хранится на клиентской станции и может быть взломан, если клиентская станция потеряна или украдена. Рекомендуется использовать сильную общую фразу-пароль, включающую разнообразные буквы, цифры и не алфавитно-цифровые символы;
4. Резюме по базовой безопасности. Базовая безопасность сетей WLAN, основанная на комбинации SSID, открытой аутентификации, статических WEP-ключей, MAC-аутентификации и общих ключей WPA/WPA2, является достаточной только для очень небольших компаний или тех, которые не доверяют жизненно важные данные своим сетям WLAN. Всем прочим организациям рекомендуется вкладывать средства в надежные решения безопасности сетей WLAN класса предприятия;
5. Повышенная безопасность. Повышенный уровень безопасности рекомендуется для тех заказчиков, которым требуется безопасность и защищенность класса предприятия. Для этого необходимо средство безопасности повышенного уровня, полностью поддерживающее WPA и WPA2 со строительными блоками двусторонней аутентификации 802.1X и шифрования алгоритмами TKIP и AESВ, включающее следующие возможности:
802.1X для мощной двусторонней аутентификации и динамических ключей шифрования для каждого пользователя и каждой сессии;
TKIP для расширения шифрования на базе RC4, например, кэширования ключей (для каждого пакета), проверки целостности сообщения (MIC), изменений вектора инициализации (IV) и ротации широковещательных ключей;
AES для шифрования данных государственного уровня, максимальной защищенности;
Возможности системы предотвращения сетевых вторжений (Intrusion Prevention System, IPS) и слежения за перемещением абонента - прозрачное представление сети в реальном времени.
6. Безопасность беспроводных локальных сетей и удаленный доступ. В некоторых случаях может потребоваться всеобъемлющая безопасность для защиты приложений. Воспользовавшись защищенным удаленным доступом, администраторы могут настроить виртуальную частную сеть (VPN) и позволить мобильным пользователям обмениваться данными с корпоративной сетью из общественных хот-спотов, например, аэропортов, отелей и конференц-залов. При развертывании на предприятии решение повышенной безопасности покрывает все требования к безопасности беспроводных локальных сетей WLAN, в связи с чем использовать виртуальные частные сети в корпоративной сети WLAN становится необязательно. Использование VPN во внутренней сети WLAN может повлиять на производительность сети WLAN, ограничить возможности роуминга и сделать процедуру входа в сеть более сложной для пользователей. Таким образом, дополнительные накладные расходы и ограничения, связанные с наложением VPN-сети на внутреннюю сеть WLAN, не представляются необходимыми.
В итоге, можно придти к выводу, что для обеспечения информационной безопасности любой сети, не только беспроводной, важно качественное управление доступом и конфиденциальностью. Для этого на сегодняшний день активно внедряют четыре отдельных решения: открытый доступ, базовая безопасность, повышенная безопасность, безопасность удаленного доступа.
При грамотном построении защиты сети и соблюдении всех предписаний, защищенность сети будет на высоком уровне, что достаточно существенно осложнит злоумышленникам доступ к беспроводной сети.
3. Оценка необходимости и эффективности решения для защиты беспроводной сети
3.1 Оценка необходимости защиты беспроводной сети
Несмотря на то, что в большинстве компаний уже развернуты те или иные беспроводные сети у специалистов обычно возникает много вопросов по поводу безопасности выбранных решений, а руководители компаний, избегающие внедрения беспроводных технологий, беспокоятся об упущенных возможностях повышения производительности труда и сокращения инфраструктурных расходов.
Руководители многих организаций понимают, что беспроводные технологии позволяют повысить продуктивность работы и сотрудничества, но не решаются приступить к их внедрению, опасаясь уязвимостей, которые могут появиться в корпоративной сети вследствие использования беспроводных сетей. Разнообразие предлагаемых методов защиты беспроводных коммуникаций и разногласия по поводу их эффективности только усиливают эти сомнения.
С внедрением беспроводных технологий в компании среднего размера связано множество проблем, которые заставляют задуматься не только о защите беспроводной сети, но и о том, нужна ли она вообще.
Распространенные проблемы, с которыми поможет справиться, грамотно проводя политику безопасности, о которой говорилось в главе 2:
Принятие решения по поводу того, следует ли развертывать беспроводную сеть;
Осознание и уменьшение риска, связанного с внедрением беспроводных технологий;
Определение подхода к защите беспроводной сети;
Выбор оптимальных технологий защиты беспроводной сети;
Проверка уровня защищенности развернутой беспроводной сети;
Интеграция имеющихся активов в решение для обеспечения безопасности беспроводной сети;
Обнаружение и предотвращение несанкционированных подключений к беспроводной сети.
Преимущества, обеспечиваемые беспроводными сетевыми технологиями, можно разделить на две категории: функциональные и экономические.
Функциональные преимущества включают сокращение расходов на управление и уменьшение объема капитальных затрат, а экономические - увеличение производительности труда, повышение эффективности бизнес-процессов и появление дополнительных возможностей для создания новых бизнес-функций.
Большинство серьезных экономических преимуществ, связанных с использованием беспроводных сетей, являются результатом повышения гибкости и мобильности сотрудников. Беспроводные технологии устраняют ограничения, вынуждающие сотрудников находиться за своими рабочими столами, позволяя сравнительно свободно перемещаться по офису или офисному зданию.
Но, несмотря на все преимущества, есть и недостатки, в основном технологические, которые выражаются в уязвимости беспроводной сети через различные атаки со стороны злоумышленников (этому был посвящен п. 1.2 данной работы).
Как только были обнаружены такие технологические недостатки беспроводных сетей первого поколения, началась активная работа по их устранению. Пока одни компании работали над совершенствованием стандартов беспроводной связи, многие аналитические фирмы, производители средств обеспечения сетевой безопасности и т. д., пытались обойти недостатки, присущие прежним стандартам.
В результате было разработано несколько подходов к обеспечению безопасности беспроводных сетей.
Есть много факторов, которые нужно проанализировать при оценке возможных способов защиты беспроводной сети. При выполнении этой оценки нужно учесть самые разные показатели: от расходов на реализацию и администрирование решения до его общей защищенности. Все указанные выше подходы имеют свои преимущества и недостатки, поэтому, чтобы можно было принять обоснованное решение, нужно лучше ознакомиться с каждым из них.
Новейшие стандарты защиты беспроводных сетей, а именно WPA и WPA2, устранили серьезные недостатки стандарта WEP и сделали, таким образом, ненужными способы обхода этих недостатков, такие как использование протокола IPsec или технологии VPN. Использовать статический или динамический алгоритм WEP теперь не рекомендуется ни в какой форме, а отказ от обеспечения безопасности выгоден лишь в немногих ситуациях. Таким образом, при разработке комплексного эффективного решения для защиты беспроводной сети достаточно рассмотреть всего лишь два подхода.
Протоколы Wi-Fi Protected Access (WPA) и Wi-Fi Protected Access 2 (WPA2) специально разработаны для блокирования угроз, которым подвергаются беспроводные сети, основанные на стандарте IEEE 802.11. Однако между ними есть некоторые различия.
Протокол WPA был разработан в 2003 году для устранения недостатков стандарта WEP. Разработчики WPA хорошо справились с задачей, реализовав в этом протоколе поддержку взаимной проверки подлинности, шифрование данных с использованием протокола TKIP и проверку целостности подписанных сообщений, которая обеспечивает защиту от атак, основанных на подмене или повторении пакетов.
Протокол WPA2 обеспечивает еще более высокий уровень безопасности, потому что в нем для защиты сетевого трафика используется стандарт AES, а не протокол TKIP. Поэтому ему всегда следует отдавать предпочтение перед WPA.
Протоколы WPA и WPA2 значительно превосходят WEP по степени защиты, и при правильной настройке системы безопасности ни в первом, ни во втором нет никаких известных уязвимостей. Тем не менее, протокол WPA2 считается более защищенным, чем WPA, и, если инфраструктура его поддерживает, а дополнительные накладные расходы, связанные с администрированием решения WPA2, приемлемы, выбор следует делать в его пользу.
Большинство производимых сегодня точек доступа и новейшие версии ОС сертифицированы в соответствии с требованиями протокола WPA2. Если в имеющейся среде какие-то точки доступа или клиентские компьютеры не поддерживают WPA2, беспроводные устройства и клиентские системы, поддерживающие WPA2, могут использовать более старый стандарт WPA.
Так же не следует забывать и о таком варианте развития компании, как отказ от развертывания беспроводной сети. В среде специалистов по обеспечению безопасности бытует высказывание, которое гласит: «Лучше всего защищена та система, которую никто никогда не включает». Таким образом, самым надежным способом защиты от уязвимостей, присущих беспроводным сетям или любым другим технологиям, является отказ от их внедрения. Недостаток этого подхода очевиден: компания, отказывающаяся от внедрения любой технологий, может оказаться неконкурентоспособной в современных экономических условиях, когда любое преимущество, в том числе технологическое, может оказаться решающим фактором успеха.
Как уже говорилось, перед внедрением любой новой технологии в конкретной компании нужно оценить потребности компании, ее устойчивость к риску и фактический риск. Беспроводные технологии - не исключение. Беспроводные сети имеют целый ряд преимуществ, но для конкретной организации эти преимущества могут быть не так важны или вообще не иметь значения.
При выборе защищенного беспроводного решения нужно принять во внимание все возможные варианты, в том числе отказ от беспроводных технологий. Если будет сделан вывод, что организация не готова к развертыванию беспроводной сети, это решение следует отразить в действующей корпоративной политике, чтобы предотвратить ослабление защиты корпоративной сетевой среды из-за самовольного создания беспроводных сетей конечными пользователями.
3.2 Разработка алгоритма проведения работ по оценке эффективности защиты беспроводной сети
Для того чтобы определить преимущество того или иного метода защиты беспроводной сети целесообразно провести оценку её защищенности.
Это особенно важно в связи с тем, что зачастую, беспроводные сети разворачиваются для руководства компании. Соответственно, злоумышленник, получивший доступ к беспроводному сегменту, имеет возможность не только использовать ресурсы компании в своих целях, но и получить доступ к конфиденциальной информации и заблокировать работу высокоприоритетных пользователей.
...Беспроводная технология передачи информации. Развитие беспроводных локальных сетей. Стандарт безопасности WEP. Процедура WEP-шифрования. Взлом беспроводной сети. Режим скрытого идентификатора сети. Типы и протоколы аутентификации. Взлом беспроводной сети.
реферат , добавлен 17.12.2010
Разработка технологии защиты информации беспроводных сетей, которая может применяться для повышения защиты компьютера пользователя, корпоративных сетей, малых офисов. Анализ угроз и обеспечения безопасности беспроводной сети. Настройка программы WPA.
дипломная работа , добавлен 19.06.2014
Характеристика стандарта IEEE 802.11. Основные направления применения беспроводных компьютерных сетей. Методы построения современных беспроводных сетей. Базовые зоны обслуживания BSS. Типы и разновидности соединений. Обзор механизмов доступа к среде.
реферат , добавлен 01.12.2011
Эволюция систем безопасности сетей. Межсетевые экраны как один из основных способов защиты сетей, реализация механизмов контроля доступа из внешней сети к внутренней путем фильтрации всего входящего и исходящего трафика. Управление безопасностью сетей.
курсовая работа , добавлен 07.12.2012
Классификация сетевых атак по уровню модели OSI, по типу, по местоположению злоумышленника и атакуемого объекта. Проблема безопасности IP-сетей. Угрозы и уязвимости беспроводных сетей. Классификация систем обнаружения атак IDS. Концепция XSpider.
курсовая работа , добавлен 04.11.2014
Определение в процессе исследования эффективного способа защиты информации, передающейся по Wi-Fi сети. Принципы работы Wi-Fi сети. Способы несанкционированного доступа к сети. Алгоритмы безопасности беспроводных сетей. Нефиксированная природа связи.
курсовая работа , добавлен 18.04.2014
Периоды развития и основные стандарты современных беспроводных сетей. История появления и области применения технологии Bluetooth. Технология и принцип работы технологии беспроводной передачи данных Wi-Fi. WiMAX - стандарт городской беспроводной сети.
презентация , добавлен 22.01.2014
Выбор и обоснование технологий построения локальных вычислительных сетей. Анализ среды передачи данных. Расчет производительности сети, планировка помещений. Выбор программного обеспечения сети. Виды стандартов беспроводного доступа в сеть Интернет.
курсовая работа , добавлен 22.12.2010
Использование компьютерных сетей для передачи данных. Основные преимущества использования корпоративных сетей, защищенных от доступа извне физически или при помощи аппаратно программных средств сетевой защиты. Сетевой экран и алгоритмы шифрования.
дипломная работа , добавлен 25.09.2014
Необходимость разработки политики безопасности использования сетевых ресурсов для предприятия. Анализ ее базовых элементов. Аппаратные и программные средства безопасности компьютерных сетей. Пути повышения уровня безопасности, советы пользователям.
Почему беспроводные сети считаются более уязвимыми, чем кабельные? В проводных сетях данные могут быть перехвачены только в том случае, если злоумышленник получит физический доступ к среде передачи. В беспроводных сетях сигнал распространяется в эфире, поэтому любой, находящийся в зоне действия сети, может перехватить этот сигнал.
Злоумышленнику даже не обязательно пребывать на территории компании, достаточно попасть в зону распространения радиосигнала.
Готовясь к обеспечению безопасности беспроводных сетей, прежде всего необходимо установить, что может им угрожать.
Перехват сигналов беспроводной сети аналогичен прослушиванию радиопередачи. Достаточно иметь ноутбук (или КПК) и анализатор беспроводных протоколов. Широко распространено заблуждение, что несанкционированное подключение к беспроводной сети вне офиса можно пресечь, контролируя выходную мощность сигнала. Это не так, поскольку использование злоумышленником беспроводной карты повышенной чувствительности и направленной антенны позволяет легко преодолеть данную меру предосторожности.
Даже уменьшив вероятность несанкционированного подключения к сети, не следует оставлять без внимания возможность «прослушивания» трафика, поэтому для безопасной работы в беспроводных сетях необходимо шифровать передаваемую информацию.
Опасно подключать незащищенную беспроводную сеть к кабельной сети. Незащищенная точка доступа, подсоединенная к локальной сети, представляет собой широко открытую дверь для злоумышленников. Для предприятий это чревато тем, что конкуренты могут получить доступ к конфиденциальным документам. Незащищенные беспроводные сети позволяют хакерам обойти межсетевые экраны и настройки безопасности, которые защищают сеть от атак через Internet. В домашних сетях злоумышленники могут получить бесплатный доступ к Internet за счет своих соседей.
Следует отслеживать и выявлять неконтролируемые точки доступа, подключенные к сети несанкционированно. Подобные точки, как правило, устанавливают сами сотрудники предприятия. (Например, менеджер отдела продаж приобрел беспроводную точку доступа и использует ее, чтобы все время оставаться на связи.) Такая точка может быть специально подключена к сети злоумышленником с целью получения доступа к сети компании вне офиса.
Следует помнить о том, что уязвимыми являются как подключенные к беспроводной сети компьютеры, так и те, в которых есть включенная беспроводная карта с настройками по умолчанию (она, как правило, не блокирует проникновение через беспроводную сеть). Например, пока пользователь, ожидающий своего рейса, просматривает ресурсы Internet через развернутую в аэропорту сеть Wi-Fi, хакер, сидящий неподалеку, изучает информацию, хранящуюся на компьютере мобильного сотрудника. Аналогичным атакам могут подвергнуться пользователи, работающие посредством беспроводных сетей в помещениях кафе, выставочных центров, холлах гостиниц и пр.
Для активного поиска уязвимых беспроводных сетей (War driving) обычно используется автомобиль и комплект беспроводного оборудования: небольшая антенна, беспроводная сетевая карта, переносной компьютер и, возможно, GPS-приемник. Используя широко распространенные программы-сканеры, такие как Netstumbler, можно легко найти зоны приема беспроводных сетей.
Поклонники War Driving имеют много способов обмениваться информацией. Один из них (War Chalking) подразумевает нанесение на схемах и картах символов, указывающих на обнаруженные беспроводные сети. Эти обозначения содержат сведения о величине радиосигнала, наличии той или иной разновидности защиты сети и о возможности доступа в Internet. Любители такого «спорта» обмениваются информацией через Internet-сайты, «вывешивая», в частности, подробные карты с месторасположением обнаруженных сетей. Кстати, полезно проверить, нет ли там вашего адреса.
Бесплатный доступ в Internet или корпоративную сеть не всегда является целью злоумышленников. Иногда задачей хакеров может быть вывод из строя беспроводной сети.
Атака «отказ в обслуживании» может быть достигнута несколькими способами. Если хакеру удается установить соединение с беспроводной сетью, его злонамеренные действия могут вызвать ряд таких серьезных последствий: например, рассылку ответов на запросы протокола разрешения адресов (Address Resolution Protocol, ARP) для изменения ARP-таблиц сетевых устройств с целью нарушения маршрутизации в сети или внедрение несанкционированного сервера протокола динамической конфигурации хостов (Dynamic Host Configuration Protocol, DHCP) для выдачи неработоспособных адресов и масок сетей. Если хакер выяснит подробности настроек беспроводной сети, то сможет переподключить пользователей на свою точку доступа (см. рисунок), а последние окажутся отрезанными от сетевых ресурсов, которые были доступны через «законную» точку доступа.
| Внедрение несанкционированной точки доступа. |
Злоумышленник может также заблокировать частоты, используемые беспроводными сетями, применяя для этого генератор сигналов (его можно изготовить из деталей микроволновой печи). В результате вся беспроводная сеть или ее часть выйдут из строя.
Оригинальный стандарт 802.11 предусматривает для обеспечения безопасности беспроводных сетей использование стандарта «конфиденциальности, эквивалентной проводной» (Wired Equivalent Privacy, WEP). Беспроводные сети, использующие WEP, требуют настройки статического WEP-ключа на точках доступа и всех станциях. Этот ключ может использоваться для аутентификации и шифрования данных. При его компрометации (например, в случае утери переносного компьютера) необходимо сменить ключ на всех устройствах, что подчас весьма затруднительно. При использовании ключей WEP для аутентификации беспроводные станции посылают точке доступа соответствующий запрос, получая в ответ незашифрованное сообщение (clear text challenge). Клиент должен его зашифровать, используя свой WEP-ключ, и вернуть точке доступа, которая расшифрует сообщение с помощью собственного WEP-ключа. Если расшифрованное сообщение совпадает с оригинальным, то это обозначает, что клиент знает WEP-ключ. Следовательно, аутентификация считается успешной, и клиенту отправляется соответствующее уведомление.
Успешно завершив аутентификацию и ассоциацию, беспроводное устройство может использовать WEP-ключ для шифрования трафика, передаваемого между устройством и точкой доступа.
Стандарт 802.11 определяет и другие механизмы контроля доступа. Точка доступа может использовать фильтрацию по аппаратным адресам (Media Access Control, MAC), предоставляя или запрещая доступ на основе MAC-адреса клиента. Данный метод затрудняет, но не предотвращает подключение несанкционированных устройств.
Одно из правил криптографии гласит: имея открытый текст и его зашифрованную версию, можно установить использованный метод шифрования. Это особенно актуально при использовании слабых алгоритмов шифрования и симметричных ключей, такие, например, предусматривает WEP.
Этот протокол использует для шифрования алгоритм RC4. Слабость его состоит в том, что если зашифровать известный открытый текст, то на выходе получится ключевой поток, который использовался для шифрования данных. Согласно стандарту 802.11, ключевой поток состоит из WEP-ключа и 24-разрядного вектора инициализации. Для каждого пакета используется следующий вектор, который отправляется в открытом виде вместе с пакетом, так что принимающая станция может использовать его совместно с WEP-ключом, чтобы расшифровать пакет.
Если получить один ключевой поток, то можно расшифровать любой пакет, зашифрованный тем же самым вектором. Так как вектор меняется для каждого пакета, то для расшифровки нужно дождаться следующего пакета, использующего тот же самый вектор. Чтобы иметь возможность расшифровывать WEP, необходимо собрать полный комплект векторов и ключевых потоков. Утилиты по взлому WEP работают именно таким образом.
Добыть открытый и зашифрованный текст можно в процессе аутентификации клиента. Перехватывая трафик на протяжении некоторого времени, можно набрать необходимое количество исходных данных для проведения атаки. Чтобы скопить необходимые для анализа данные, хакеры используют и множество других методов, включая атаки типа «men in the middle».
Когда принималось решение о формате фрейма для беспроводных сетей, IEEE предложила свой собственный формат под названием Subnetwork Address Protocol (SNAP).
Два байта, следующие за MAC-заголовком во фрейме SNAP стандарта 802.11, всегда имеют значение «AA AA». Протокол WEP шифрует все байты, следующие за MAC-заголовком, поэтому для первых двух зашифрованных байт всегда известен открытый текст («АА АА»). Этот путь предоставляет возможность получить фрагменты зашифрованного и открытого сообщения.
В Internet бесплатно распространяются утилиты для взлома WEP. Самые известные из них - AirSnort и WEPCrack. Для успешного взлома WEP-ключа с их помощью достаточно набрать от 100 тыс. до 1 млн. пакетов. Новые утилиты Aircrack и Weplab для взлома WEP-ключей реализуют более эффективный алгоритм, при котором требуется существенно меньше пакетов. По этой причине протокол WEP является ненадежным.
Сегодня многие компании используют удобные и безопасные беспроводные сети. Стандарт 802.11i поднял безопасность на качественно новый уровень.Рабочая группа IEEE 802.11i, в задачу которой входило создание нового стандарта безопасности беспроводных сетей, была сформирована после изучения сведений об уязвимости протокола WEP. На разработку потребовалось некоторое время, поэтому большинство производителей оборудования, не дождавшись выхода нового стандарта, стали предлагать свои методы (см. ). В 2004 году появился новый стандарт, тем не менее, поставщики оборудования по инерции продолжают использовать старые решения.
802.11i определяет использование стандарта расширенного шифрования (Advanced Encryption Standard, AES) вместо WEP. В основе AES лежит реализация алгоритма Рендела, который большинство криптоаналитиков признает стойким. Этот алгоритм существенно лучше своего слабого предшественника RC4, который используется в WEP: он предусматривает использование ключей длиной 128, 192 и 256 разрядов, вместо 64 бит, используемых в оригинальном стандарте 802.11. Новый стандарт 802.11i также определяет использование TKIP, CCMP и 802.1x/EAP.
EAP-MD5 подтверждает подлинность пользователя путем проверки пароля. Вопрос использования шифрования трафика отдан на откуп администратору сети. Слабость EAP-MD5 заключается в отсутствии обязательного использования шифрования, поэтому EAP-MD5 допускает возможность атаки типа «men in the middle».
Протокол «легковесный EAP» (Lightweight EAP, LEAP), который создала компания Cisco, предусматривает не только шифрование данных, но и ротацию ключей. LEAP не требует наличия ключей у клиента, поскольку они безопасно пересылаются после того, как пользователь прошел аутентификацию. Это позволяет пользователям легко подключаться к сети, используя учетную запись и пароль.
Ранние реализации LEAP обеспечивали только одностороннюю аутентификацию пользователей. Позднее Cisco добавила возможность взаимной аутентификации. Однако выяснилось, что протокол LEAP уязвим к атакам по словарю. Сотрудник американского Института системного администрирования, телекоммуникаций и безопасности (SANS) Джошуа Райт разработал утилиту ASLEAP, которая осуществляет подобную атаку, после чего компания Cisco рекомендовала использовать сильные пароли длиной не менее восьми знаков, включая спецсимволы, символы верхнего, нижнего регистра и цифры. LEAP безопасен в той мере, насколько стоек пароль к попыткам подбора.
Более сильный вариант реализации EAP - EAP-TLS, который использует предустановленные цифровые сертификаты на клиенте и сервере, был разработан в Microsoft. Этот метод обеспечивает взаимную аутентификацию и полагается не только на пароль пользователя, но также поддерживает ротацию и динамическое распределение ключей. Неудобство EAP-TLS заключается в необходимости установки сертификата на каждом клиенте, что может оказаться достаточно трудоемкой и дорогостоящей операцией. К тому же этот метод непрактично использовать в сети, где часто меняются сотрудники.
Производители беспроводных сетей продвигают решения упрощения процедуры подключения к беспроводным сетям авторизированных пользователей. Эта идея вполне осуществима, если включить LEAP и раздать имена пользователей и пароли. Но если возникает необходимость использования цифрового сертификата или ввода длинного WEP-ключа, процесс может стать утомительным.
Компании Microsoft, Cisco и RSA совместными усилиями разработали новый протокол - PEAP, объединивший простоту использования LEAP и безопасность EAP-TLS. PEAP использует сертификат, установленный на сервере, и аутентификацию по паролю для клиентов. Аналогичное решение - EAP-TTLS - выпустила компания Funk Software.
Разные производители поддерживают различные типы EAP, а также несколько типов одновременно. Процесс EAP аналогичен для всех типов.
Типовые операции EAP
После того, как беспроводные сети были объявлены небезопасными, производители приступили к реализации собственных решений по обеспечению безопасности. Это поставило компании перед выбором: использовать решение одного производителя или дожидаться выхода стандарта 802.11i. Дата принятия стандарта была неизвестна, поэтому в 1999 году был сформирован альянс Wi-Fi. Его целью являлась унификация взаимодействия беспроводных сетевых продуктов.
Альянс Wi-Fi утвердил протокол защищенного беспроводного доступа (Wireless Protected Access, WPA), рассматривая его как временное решение до выхода стандарта 802.11i. Протокол WPA предусматривает использование стандартов TKIP и 802.1x/EAP. Любое оборудование Wi-Fi, сертифицированное на совместимость с WPA, обязано работать совместно с другим сертифицированным оборудованием. Поставщики могут использовать и свои собственные механизмы обеспечения безопасности, но должны в любом случае включать поддержку стандартов Wi-Fi.
После первоначального объявления параметров 802.11i альянс Wi-Fi создал стандарт WPA2. Любое оборудование, которое имеет сертификат WPA2, полностью совместимо с 802.11i. Если беспроводная сеть предприятия не поддерживает стандарт 802.11i, то для обеспечения адекватной безопасности следует как можно быстрее перейти на 802.11i.
Если WEP небезопасен, то сможет ли защитить беспроводную сеть фильтрация аппаратных адресов (Media Access Control, MAC)? Увы, фильтры МАС-адресов предназначены для предотвращения несанкционированных подключений, против перехвата трафика они бессильны.
Фильтрация МАС-адресов не оказывает заметного влияния на безопасность беспроводных сетей. Она требует от злоумышленника лишь одного дополнительного действия: узнать разрешенный MAC-адрес. (Кстати, большинство драйверов сетевых карт позволяют его поменять.)
Насколько легко узнать разрешенный MAC-адрес? Чтобы получить работающие МАС-адреса, достаточно в течение некоторого времени следить за беспроводным трафиком с помощью анализатора протоколов. МАС-адреса можно перехватить, даже если трафик шифруется, поскольку заголовок пакета, который включает такой адрес, передается в открытом виде.
Временный протокол обеспечения целостности ключа (Temporal Key Integrity Protocol, TKIP) разработан для устранения недостатков, присущих протоколу WEP. Стандарт TKIP улучшает безопасность WEP благодаря ротации ключей, использованию более длинных векторов инициализации и проверки целостности данных.
Программы для взлома WEP используют слабость статических ключей: после перехвата необходимого числа пакетов они позволяют легко расшифровать трафик. Регулярная смена ключей предотвращает этот тип атак. TKIP динамически меняет ключи через каждые 10 тыс. пакетов. Поздние реализации протокола позволяют менять интервал ротации ключей и даже установить алгоритм смены ключа шифрования для каждого пакета данных (Per-Packet Keying, PPK).
Ключ шифрования, применяемый в TKIP, стал более надежным по сравнению с WEP-ключами. Он состоит из 128-разрядного динамического ключа, к которому добавляется MAC-адрес станции и 48-разрядный вектор инициализации (в два раза длиннее оригинального вектора стандарта 802.11). Этот метод известен как «ключевое смешивание» и дает уверенность в том, что любые две станции не используют один и тот же ключ.
В протокол также встроен метод гарантированного обеспечения целостности данных (Message Integrity Cheek, MIC, называемый также Michael).
