Безопасность WiFi-сетей

Для того чтобы проникнуть в проводную сеть, к ней необходимо физически подключиться. В варианте WiFi злоумышленнику достаточно установить антенну в зоне действия незащищенной сети — и он получит доступ ко всем находящимся в ней файлам.

На заре развития WiFi нередко появлялись сообщения о том, что к некоторым корпоративным сетям, работающим по этой технологии, можно подключиться, просто проезжая мимо с ноутбуком. Появились даже легенды о разъезжающих по крупным городам хакерах (war driver) с антеннами, сооруженными из консервной банки или упаковки из-под чипсов.

Рассказывали, что у них даже была своя условная система знаков, указывавших на незащищенные точки доступа. Возможно, все так и было. Только вместо банок из-под чипсов использовались мощные антенны, а условные знаки обозначались на карте, связанной с системой глобального позиционирования (GPS). А что же, собственно, может получить злоумышленник в беспроводной сети, настройке которой не было уделено должного внимания? Вот стандартный список.

- Доступ к ресурсам и дискам пользователей WiFi-сети, а через нее и к ресурсам LAN.
- Подслушивание трафика, извлечение из него конфиденциальной информации.
- Искажение проходящих в сети данных.
- Воровство интернет-трафика.
- Атака на ПК пользователей и серверы сети (например, Denial of Service или даже глушение радиосвязи).
- Внедрение поддельной точки доступа
- Рассылка спама, противоправная деятельность от имени атакованной сети.

ХРОНИКА
В 1997 году выходит первый стандарт IEEE 802.11, безопасность которого оказывается далекой от идеала: простой пароль SSID (Server Set ID) вряд ли можно назвать хорошим инструментом защиты сети, особенно учитывая тот факт, что к WiFi не нужно физически подключаться.

Через некоторое время популярными становятся цифровые ключи шифрования потоков данных с помощью функции Wired Equivalent Privacy (WEP). Сами ключи представляют собой обыкновенные пароли длиной от 5 до 13 символов ASCII, что соответствует 40- или 104-разрядному шифрованию на статическом уровне. Однако WEP также оказывается не самой надежной технологией защиты: все основные атаки хакеров приходятся как раз на эпоху ее внедрения.

В 2001 году появляется IEEE 802.1X — новый стандарт для проводных и беспроводных сетей, который использует вариант динамических (то есть периодически изменяющихся во времени) 128-разрядных ключей шифрования. Пользователи сети работают сеансами, по завершении которых им присылается новый ключ. Данный стандарт поддерживает, к примеру, Windows XP (по умолчанию время одного сеанса равно 30 минутам).

В конце 2003 года внедряется стандарт WiFi Protected Access (WPA), который совмещает преимущества динамического обновления ключей IEEE 802.1X с кодированием протокола интеграции временного ключа Temporal Key Integrity Protocol (TKIP), протоколом расширенной аутентификации Extensible Authentication Protocol (EAP) и технологией проверки целостности сообщений Message Integrity Check (MIC).

Параллельно развивается множество самостоятельных стандартов безопасности от различных разработчиков, особенно преуспевают в этом Intel и Cisco.

В 2004 году появляется WPA2 или 802.11i — максимально защищенный стандарт.

ТЕХНОЛОГИИ ЗАЩИТЫ
WEP

Эта технология была разработана специально для шифрования потока передаваемых данных в рамках локальной сети. Данные шифруются ключом с разрядностью от 40 до 104 бит. Но это не целый ключ, а только его статическая составляющая. Для усиления защиты применяется так называемый вектор инициализации Initialization Vector (IV), который предназначен для рандомизации дополнительной части ключа, что обеспечивает различные вариации шифра для разных пакетов данных. Данный вектор является 24-битным. Таким образом, в результате мы получаем общее шифрование с разрядностью от 64 (40+24) до 128 (104+24) бит. Идея здравая: при шифровании мы оперируем и постоянными, и случайно подобранными символами.

Но, как оказалось, можно взломать и такую защиту (соответствующие утилиты, например AirSnort или WEPcrack, присутствуют в интернете). Ее слабое место — как раз вектор инициализации. 24 бита подразумевают около 16 млн. (2 24) комбинаций: затем ключ начинает повторяться. Хакеру необходимо найти эти повторы (от 15 минут до часа для ключа 40 бит) и за секунды взломать остальную часть ключа. После этого он может входить в сеть как обычный зарегистрированный пользователь.

802.1X
IEEE 802.1X — это новый стандарт, который оказался ключевым для развития индустрии беспроводных сетей в целом. На данный момент он поддерживается только ОС Windows XP и анонсирован для Windows Server 2003. За основу взято исправление недостатков технологий безопасности, применяемых в 802.11, в частности возможность взлома WEP, зависимость от технологий производителя и т. п. 802.1X позволяет подключать в сеть даже PDA-устройства, что дает пользователю возможность более выгодно использовать саму идею беспроводной связи. С другой стороны, 802.1X и 802.11 являются совместимыми стандартами. В 802.1X применяется тот же алгоритм, что и в WEP, а именно RC4, но с некоторыми отличиями.

802.1X базируется на протоколе расширенной аутентификации Extensible Authentication Protocol (EAP), протоколе защиты транспортного уровня Transport Layer Security (TLS) и сервере доступа RADIUS (Remote Access Dial-in User Server). К этому стоит добавить новую организацию работы клиентов сети. После того как пользователь проходит этап аутентификации, ему высылается секретный ключ в зашифрованном виде на время действующего на данный момент сеанса. По завершении этого сеанса генерируется новый ключ и снова высылается пользователю. Протокол защиты транспортного уровня TLS обеспечивает взаимную аутентификацию и целостность передачи данных. Все ключи по умолчанию являются 128-разрядными.

WPA
WPA — это временный стандарт, о котором договорились производители оборудования, пока не вступил в силу IEEE 802.11i. По сути, WPA = 802.1X + EAP + TKIP + MIC, где WPA — технология защищенного доступа к беспроводным сетям (WiFi Protected Access); EAP — протокол расширенной аутентификации (Extensible Authentication Protocol); TKIP — протокол интеграции временного ключа (Temporal Key Integrity Protocol); MIC — технология проверки целостности сообщений (Message Integrity Check).

Как видим, ключевыми здесь являются новые модули TKIP и MIC. Стандарт TKIP использует автоматически подобранные 128-битные ключи, которые создаются произвольно и общее число вариаций которых достигает 500 млрд. Сложная иерархическая система алгоритма подбора ключей и динамическая их замена через каждые 10 кб (10 тыс. передаваемых пакетов) обеспечивают высочайший уровень защиты.

Внешнему проникновению и изменению информации в сети препятствует и технология проверки целостности сообщений (Message Integrity Check). Достаточно сложный математический алгоритм позволяет сверять данные, отправленные в одной точке и полученные в другой. Если выявляются расхождения, такие данные считаются ложными и выбрасываются.

В настоящее время на смену TKIP приходят новые алгоритмы, основанные на технологии Advanced Encryption Standard (AES), которая, кстати говоря, уже давно используется в VPN. Что касается WPA, поддержка AES уже реализована в Windows XP, правда лишь опционально.

VPN
Технология виртуальных частных сетей Virtual Private Network (VPN) была предложена компанией Intel для обеспечения безопасного соединения клиентских систем с серверами по общедоступным интернет-каналам. VPN очень хорошо себя зарекомендовали с точки зрения шифрования и надежности аутентификации. Случаи взлома данного протокола нам неизвестны.

В VPN применяется несколько технологий шифрования, наиболее популярные из которых описаны протоколами PPTP, L2TP и IPSec с алгоритмами шифрования DES, Triple DES, AES и MD5. IP Security (IPSec) используется примерно в 65-70% случаев. С его помощью обеспечивается практически стопроцентная безопасность линии связи.

И хотя VPN изначально не предназначалась для WiFi, она может использоваться для любого типа сетей.
Для VPN выпущено большое количество программного (ОС Windows NT/2000/XP, Sun Solaris, Linux) и аппаратного обеспечения. Для реализации VPN-защиты в рамках сети необходимо установить специальный VPN-шлюз (программный или аппаратный), в котором создаются туннели, по одному на каждого пользователя.

Для беспроводных сетей шлюз следует установить непосредственно перед точкой доступа. А пользователям сети необходимо установить специальные клиентские программы, которые, в свою очередь, также работают за рамками беспроводной сети, а значит, и расшифровка выносится за ее пределы. Первый недостаток такого решения — необходимость администрирования. Второй — уменьшение пропускной способности канала на 30-40%.

МЕТОДЫ ЗАЩИТЫ
Основные меры предосторожности при организации и настройке частной WiFi сети (если нет задачи сделать ее общедоступной) таковы.
- Максимальный уровень безопасности обеспечит VPN – используйте эту технологию в корпоративных сетях.
- Если есть возможность, воспользуйтесь 802.1X (впрочем, уязвимые места есть и у нее).
- Перед покупкой сетевых устройств внимательно ознакомьтесь с их документацией. Узнайте, какие протоколы или технологии шифрования ими поддерживаются. Проверьте, поддерживает ли эти технологии шифрования ваша ОС. Если нет — скачайте апдейты на сайте разработчика. Если какие-либо технологии ОС не поддерживаются, они должны поддерживаться на уровне драйверов.
- Обратите внимание на устройства, использующие WPA2 и 802.11i: в этом стандарте для обеспечения безопасности применяется новый Advanced Encryption Standard (AES).
- Если точка доступа позволяет запрещать доступ к своим настройкам с помощью беспроводного подключения, используйте эту возможность. Настраивайте AP только по проводам. Не используйте по радио протокол SNMP, веб-интерфейс и telnet.
- Если точка доступа позволяет управлять доступом клиентов по MAC-адресам (Media Access Control, в настройках может называться Access List), используйте эту возможность. MAC-адрес можно подменить, но все же это дополнительный барьер на пути злоумышленника.
- Если оборудование позволяет запретить трансляцию в эфир идентификатора SSID, используйте эту возможность (опция может называться closed network). Правда, в этом случае SSID может быть перехвачен при подключении легитимного клиента.
- Запретите доступ для клиентов с SSID по умолчанию ANY, если оборудование позволяет это делать. Не используйте в своих сетях простые SSID – придумайте что-нибудь уникальное, не связанное с названием вашей организации и отсутствующее в словарях. Впрочем, SSID не шифруется и может быть легко перехвачен (или подсмотрен на ПК клиента).
- Для того чтобы снизить вероятность подключения «с улицы», располагайте антенны как можно дальше от окон и внешних стен здания, ограничивайте мощность радиоизлучения. Применяйте направленные антенны, не используйте радиоканал по умолчанию.
- Если при установке драйверов сетевых устройств предлагается выбор между технологиями шифрования WEP, WEP/WPA (средний вариант) или WPA, выбирайте последний (в малых сетях можно использовать режим Pre-Shared Key (PSK)). Если устройства не поддерживают WPA, обязательно включайте хотя бы WEP. При выборе устройства никогда не приобретайте то, что не поддерживает даже 128bit WEP.
- Всегда используйте максимально длинные ключи. 128 бит — это минимум (но помните: если в сети есть карты 40/64 бит, вы не сможете с ними соединиться). Никогда не прописывайте в настройках простые, дефолтные или очевидные ключи и пароли (день рождения, 12345), периодически их меняйте (в настройках обычно имеется удобный выбор из четырех заранее заданных ключей – сообщите клиентам о том, в какой день недели какой ключ используется).
- Сохраняйте в тайне информацию о том, каким образом и с какими паролями вы подключаетесь.
- Если вы используете статические ключи и пароли, позаботьтесь об их частой смене. Делать это лучше одному человеку — администратору.
- В настройках устройства вам может быть предложен выбор между методами WEP-аутентификации Shared Key и Open System. Ни то, ни другое решение не является идеальным. С одной стороны, Shared Key надежнее: если AP не поддерживает фильтрацию по MAC-адресам, то для входа в Open System достаточно знать SSID; в случае же Shared Key клиент должен знать WEP-ключ (www.proxim.com/support/all/harmony/technotes/tn2001-08-10c.html). С другой – WEP-ключ, который одинаков для всех клиентов, можно перехватить, поэтому некоторые источники рекомендуют выбирать Open System.
- Обязательно используйте сложный пароль для доступа к настройкам точки доступа. Если точка доступа не позволяет ограничивать доступ паролем, ее место на свалке.
- Если для генерации ключа предлагается ввести ключевую фразу, используйте набор букв и цифр без пробелов. При ручном вводе WEP-ключа вводите значения для всех полей ключа (при шестнадцатеричной записи вводить можно цифры 0-9 и буквы a-f).
- По возможности не используйте в беспроводных сетях протокол TCP/IP для организации папок, файлов и принтеров общего доступа. Организация разделяемых ресурсов средствами NetBEUI в данном случае безопаснее. Не разрешайте гостевой доступ к ресурсам общего доступа, используйте длинные сложные пароли.
- По возможности не используйте в беспроводной сети DHCP – лучше распределить статические IP-адреса между легитимными клиентами вручную.
- На всех ПК внутри беспроводной сети установите файерволлы. Старайтесь не устанавливать точку доступа вне брандмауэра, используйте минимум протоколов внутри WLAN (например, только HTTP и SMTP). Дело в том, что в корпоративных сетях файерволл стоит обычно один – на выходе в интернет, взломщик же, получивший доступ через WiFi, может попасть в LAN, минуя корпоративный файерволл.
- Регулярно исследуйте уязвимые места своей сети с помощью специализированных сканеров безопасности (в том числе хакерских — вроде NetStumbler), обновляйте прошивки и драйверы устройств, устанавливайте заплатки для Windows.
- Используйте точки доступа — приманки (AP honeypot, www.blackalchemy.to/Projects/fakeap/fake-ap.html), специальное оборудование (www.airdefense.net/products/), SSL и SSH.
- И последнее: не отправляйте особо секретные данные через WiFi.

Семейство стандартов IEEE 802.11
Семейство IEEE 802.11 состоит из множества стандартов, но на практике пользователи сталкиваются лишь с четырьмя: 802.11, 802.11a, 802.11b и 802.11g.
Стандарты 802.11:
802.11 Первоначальный основополагающий стандарт. Поддерживает передачу данных по радиоканалу со скоростями 1 и 2 (опционально) Мбит/с.
802.11a Высокоскоростной стандарт WLAN. Поддерживает передачу данных со скоростями до 54 Мбит/с по радиоканалу в диапазоне около 5 ГГц.
I802.11b Самый распространенный стандарт. Поддерживает передачу данных со скоростями до 11 Мбит/с по радиоканалу в диапазоне около 2,4 ГГц.
802.11e Требование качества запроса, необходимое для всех радиоинтерфейсов IEEE WLAN.
802.11f Стандарт, описывающий порядок связи между равнозначными точками доступа.
802.11g Устанавливает дополнительную технику модуляции для частоты 2,4 ГГц. Предназначен для обеспечения скоростей передачи данных до 54 Мбит/с по радиоканалу в диапазоне около 2,4 ГГц.
802.11h Стандарт, описывающий управление спектром частоты 5 ГГц для использования в Европе и Азии.
802.11i (WPA2) Стандарт, решающий проблемы безопасности в областях аутентификации и протоколов шифрования. Затрагивает протоколы 802.1X, TKIP и AES.

Также на эту тему:

NETGEAR анонсирует сразу три решения по благоустройству досуга — теперь ваша беспроводная сеть будет приносить вам еще больше радости и удовольствия
Мурманские троллейбусы будут оборудованы бесплатным доступом в интернет



Метки:

Об авторе