Угрозы для сетей WLAN

Обеспечить безопасность беспроводной сети еще сложнее, чем защитить проводную сеть. Защита должна стоять на первом месте для всех, кто использует или администрирует сети.

В диапазоне действия точки доступа сеть WLAN открыта для всех, кто обладает соответствующими учетными данными, посредством которых выполняется ассоциация с точкой доступа. Обладая беспроводным сетевым адаптером и знанием приемов взлома, злоумышленник может не присутствовать физически в том месте, где находится сеть WLAN, чтобы получить к ней доступ.

Вопросы безопасности приобретают еще большее значение, когда речь идет о корпоративных сетях, поскольку жизнедеятельность компании, помимо прочего, зависит от защищённости данных. Нарушения системы безопасности могут иметь катастрофические последствия для компаний, особенно если компания оперирует финансовой информацией своих клиентов. Беспроводные сети все чаще развертываются на предприятиях и во многих случаях являются уже не просто более удобным вариантом, но и критически важной частью сети. Хотя сети WLAN всегда были подвержены атакам, по мере роста их популярности они становятся целью номер один.

Атаки могут инициироваться посторонними людьми и недовольными сотрудниками, но помимо подобных недоброжелателей атака может быть ненамеренно спровоцирована любым сотрудником. Беспроводные сети особенно подвержены следующим угрозам:

· беспроводные злоумышленники;

· вредоносные приложения;

· перехват данных

· атаки DoS

На рисунке нажмите на каждую из угроз, чтобы просмотреть дополнительные сведения.

Примечания . В этой главе не рассматриваются такие угрозы, как спуфинг MAC-адреса точки доступа или беспроводного клиента, взлом и атаки на инфраструктуру.

Атака типа «отказ в обслуживании»

Ниже приведены причины возникновения DoS-атаки на беспроводную сеть.

· Неправильная настройка устройств - ошибки конфигурации могут стать причиной отключения сети WLAN. Например, администратор может случайно изменить конфигурацию и отключить сеть, либо злоумышленник с правами администратора может отключить сеть WLAN намеренно.

· Злоумышленник, намеренно препятствующий обмену данными по беспроводной сети - такие злоумышленники стремятся отключить беспроводную сеть полностью или до той степени, когда санкционированные устройства не смогут получить доступ к среде.

· Случайные помехи - сети WLAN работают на нелицензируемых частотных полосах и, следовательно, все беспроводные сети независимо от функций безопасности подвержены воздействию помех со стороны других беспроводных устройств. Случайные помехи могут возникать в результате работы таких устройств, как микроволновые печи, радиотелефоны, радио-няни и др. Полоса 2,4 ГГц в большей степени подвержена воздействию помех, чем полоса 5 ГГц.

Чтобы минимизировать риск DoS-атаки вследствие неправильной настройки устройств и вредоносных атак, следует обеспечить защиту всех устройств, хранить пароли в надежном месте, создавать резервные копии и изменять конфигурацию только в нерабочие часы.

Случайные помехи возникают только в случае работы других беспроводных устройств. Оптимальным решением является мониторинг сети WLAN на предмет проблем, связанных с помехами, и решение таких проблем по мере их возникновения. Поскольку полоса 2,4 ГГц в большей степени подвержена воздействию помех, в наиболее слабых зонах можно использовать полосу 5 ГГц. Некоторые решения для сетей WLAN обеспечивают автоматическую регулировку каналов точками доступа и позволяют использовать полосу 5 ГГц, чтобы компенсировать помехи. Например, некоторые решения стандарта 802.11n/ac/ad подстраиваются автоматически в целях противодействия помехам.

На рисунке показано, как радиотелефон или микроволновая печь могут создавать помехи для обмена данными по сети WLAN.

Технология Cisco CleanAir позволяет устройствам определять и находить источники помех, не относящиеся к стандарту 802.11. Эта технология создает сеть, которая способна автоматически приспосабливаться к изменениям в среде.

DoS-атаки с использованием кадров управления

Хотя это и маловероятно, злоумышленники могут намеренно инициировать DoS-атаку, используя устройства радиоэлектронного противодействия, которые создают случайные помехи. Более вероятно, что злоумышленники попытаются оперировать кадрами управления, потребляя, таким образом, ресурсы точки доступа, и загрузят каналы настолько, что они не смогут обслуживать санкционированный пользовательский трафик.

Кадры управления можно использовать для организации различных типов DoS-атак. Распространены два типа атак с использованием кадров управления.

· Атака путем ложного отключения - для осуществления такой атаки злоумышленник отправляет набор команд «отмены ассоциации» на все беспроводные устройства в пределах BSS. Эти команды вызывают отключение всех клиентов. При отключении все беспроводные клиенты сразу же пытаются выполнить повторную ассоциацию, что вызывает резкое увеличение объёма трафика. Злоумышленник продолжает отправлять кадры отмены ассоциации, и цикл повторяется.

· Лавинная атака разрешений отправки CTS - данный тип атаки возникает, когда злоумышленник использует метод разрешения конфликтов в среде CSMA/CA для монополизации полосы пропускания и отклонения доступа для всех остальных беспроводных клиентов. Для этого злоумышленник постоянно выполняет в BSS лавинную рассылку разрешений отправки CTS на ложный STA. Все остальные беспроводные клиенты, совместно использующие среду радиочастот, принимают CTS и перестают выполнять передачу данных до тех пор, пока злоумышленник не прекратит передачу кадров CTS.

На рис. 1 показано, как беспроводной клиент и точка доступа используют метод CSMA/CA для доступа к среде.

На рис. 2 показано, как злоумышленник создает лавинную рассылку кадров CTS на ложный беспроводной клиент. Теперь все остальные клиенты вынуждены дожидаться завершения периода, заданного в кадре CTS. Однако злоумышленник продолжает отправлять кадры CTS. Следовательно, остальные клиенты вынуждены постоянно ждать. Таким образом, злоумышленник контролирует среду.

Примечание . Это всего лишь единичный пример атаки с использованием кадров управления. Существуют и многие другие.

Чтобы снизить риск возникновения подобных атак, корпорация Cisco разработала ряд решений, включая функцию Cisco Management Frame Protection (MFP), которая также обеспечивает полноценную профилактическую защиту от спуфинга кадров и устройств. Система предотвращения вторжений Cisco Adaptive Wireless дополняет это решение функциями обнаружения вторжений на ранних сроках путем сопоставления сигнатур атак.

Комитет по стандартам IEEE 802.11 также разработал два стандарта безопасности беспроводной сети. Стандарт 802.11i, использующий Cisco MFP, определяет механизмы безопасности для беспроводных сетей, в то время как стандарт защиты кадров управления 802.11w направлен на решение проблем, связанных с манипуляцией кадрами управления.

Вредоносные точки доступа

Вредоносная точка доступа представляет собой беспроводной маршрутизатор, который можно охарактеризовать следующим образом.

· Такой маршрутизатор подключается к корпоративной сети без явной авторизации и в нарушение корпоративной политики. Любой пользователь, имеющий доступ к объектам, может установить (со злым умыслом или без) недорогой беспроводной маршрутизатор, который теоретически обеспечивает доступ к ресурсам защищенной сети.

· Злоумышленник может подключить или включить такой маршрутизатор с целью захвата данных клиента (например, MAC-адреса беспроводных и проводных клиентов) или захвата и маскировки пакетов данных для получения доступа к ресурсам сети; или же в целях инициации атаки с перехватом.

Следует также учитывать, насколько просто создать персональную беспроводную точку доступа. Например, пользователь, имеющий защищённый доступ к сети, настраивает свой авторизованный узел Windows, как точку доступа к сети Wi-Fi. При этом несакционированные устройства обходят меры безопасности и получают доступ к ресурсам сети, как одно общее устройство.

Чтобы предотвратить установку вредоносных точек доступа, организации должны использовать программное обеспечение для активного мониторинга спектра радиосигналов на предмет наличия несанкционированных точек доступа. Например, на снимке экрана программного обеспечения для управления сетями инфраструктуры Cisco Prime на рисунке показана карта радиочастот, определяющая местоположение злоумышленника с обнаруженным ложным MAC-адресом.

Примечание . Cisco Prime является программным обеспечением для управления сетями, которое взаимодействует с другими подобными программами, обеспечивая общее представление и централизованное размещение всех данных о сети. Как правило, это ПО развертывается в очень крупных организациях.

Атака с перехватом

К одному из более сложных типов атак, которые может применить злоумышленник, относится атака с перехватом. Существует множество способов создания атаки с перехватом.

Один из самых распространённых видов такой атаки называется «злой двойник», в рамках которой злоумышленник внедряет вредоносную точку доступа и настраивает ее с использованием такого же имени SSID, что и у санкционированной точки доступа. Места, где предлагается бесплатный доступ к сети Wi-Fi, например, аэропорты, кафе и рестораны - самые популярные мишени для атак такого типа, поскольку на этих объектах используется открытая аутентификация.

При подключении беспроводных клиентов отображаются две точки доступа, предлагающие беспроводной доступ. Те, кто находятся рядом с вредоносной точкой доступа, обнаруживают более мощный сигнал, и, скорее всего, выполнят ассоциацию с точкой доступа «злой двойник». Теперь пользовательский трафик отправляется на постороннюю точку доступа, которая, в свою очередь, захватывает данные и пересылает их на надежную точку доступа. Обратный трафик от санкционированной точки доступа отправляется на вредоносную точку доступа, захватывается, а затем пересылается ничего не подозревающей станции (STA). Злоумышленник может украсть пароль пользователя, личную информацию, получить доступ к сети и скомпрометировать систему пользователя.

Например, на рис. 1 злоумышленник находится в кафе «Латте Боба» и пытается захватить трафик от ничего не подозревающих беспроводных клиентов. Злоумышленник запускает программное обеспечение, которое делает его ноутбук точкой доступа типа «злой двойник», имеющей то же имя SSID и канал, что и санкционированный беспроводной маршрутизатор.

На рис. 2 пользователь видит два доступных беспроводных подключения, но выбирает для ассоциации точку доступа «злой двойник». Злоумышленник захватывает пользовательские данные и пересылает их на санкционированную точку доступа, которая, в свою очередь, направляет ответный трафик обратно на точку доступа «злой двойник». Точка доступа «злой двойник» захватывает ответный трафик и пересылает данные ничего не подозревающему пользователю.

Успешность предотвращения атаки с перехватом зависит от сложности инфраструктуры сети WLAN и тщательности мониторинга сети. Процесс начинается с определения санкционированных устройств в сети WLAN. Для этого пользователи должны пройти аутентификацию. После того, как определены все санкционированные устройства, можно выполнить мониторинг сети на предмет наличия подозрительных устройств или трафика.

Корпоративные сети WLAN, в которых используются самые современные устройства WLAN, предоставляют администраторам инструменты, которые в комплексе работают, как беспроводная система предотвращения вторжения (IPS). К таким инструментам относятся сканеры, с помощью которых выявляются вредоносные точки доступа и одноранговые сети, а также инструменты управления радиоресурсами, которые осуществляют мониторинг радиочастотной полосы на предмет активности и загрузки точки доступа. Большая нагрузка на точку доступа сигнализирует администратору о возможном наличии несанкционированного трафика.

Обзор безопасности беспроводной сети

Безопасность сети Wi-Fi всегда вызывала особое беспокойство, поскольку границы сети расширились. Сигналы беспроводной связи могут передаваться через твердые препятствия - потолки, полы, стены, за пределы дома или офиса. Без строгих мер безопасности установка сети WLAN - сродни повсеместному размещению Ethernet-портов, даже на улице.

Чтобы предотвратить угрозы со стороны злоумышленников, пытающихся проникнуть в беспроводную сеть, и защитить данные, использовались две функции обеспечения безопасности.

· Сокрытие идентификатора SSID . Точки доступа и некоторые беспроводные маршрутизаторы позволяют отключить кадр сигнала идентификатора SSID. Беспроводные клиенты должны вручную определить имя SSID, чтобы подключиться к сети.

· Фильтрация MAC-адресов . Администратор может вручную разрешить или запретить клиентам беспроводной доступ в зависимости от MAC-адреса их физического оборудования.

Хотя эти две функции отсеивают большинство пользователей, на самом деле ни сокрытие идентификатора SSID, ни фильтрация MAC-адресов не помешают умелому взломщику. Имена SSID легко обнаружить даже в том случае, если точки доступа не выполняют их широковещательную рассылку, а MAC-адреса можно подделать. Оптимальным способом защиты беспроводной сети является использование систем аутентификации и шифрования (см. рис. 1).

В исходном стандарте 802.11 представлено два типа аутентификации:

· Аутентификация открытой системы . Все беспроводные клиенты могут легко выполнить подключение, и такая система может использоваться только в тех случаях, когда безопасность не имеет особого значения (например, в местах, где предоставляется бесплатный доступ к Интернету - кафе, отели и удалённые расположения).

· Аутентификация согласованного ключа . Для аутентификации и шифрования данных, передаваемых между беспроводным клиентом и точкой доступа, предоставляет такие механизмы, как WEP, WPA или WPA2 . Однако для подключения пароль необходимо предварительно согласовать между сторонами.

На схеме на рис. 2 представлены краткие сведения о различных типах аутентификации.

Методы аутентификации согласованного ключа

Как показано на рис. 1, доступны три варианта аутентификации согласованного ключа:

· Протокол шифрования беспроводной связи (WEP) . Исходная спецификация 802.11, которая разработана для обеспечения конфиденциальности на уровне, сопоставимом с проводным подключением. Защита данных обеспечивается посредством метода шифрования RC4 с использованием статического ключа. Однако ключ никогда не изменяется при передаче пакетов, поэтому его достаточно легко взломать.

· Защищённый доступ к Wi-Fi (WPA) . Стандарт Wi-Fi Alliance, который использует WEP, но обеспечивает защиту данных за счёт гораздо более надежного алгоритма шифрования с использованием временных ключей (TKIP). TKIP изменяет ключ для каждого пакета, поэтому его гораздо сложнее взломать.

· IEEE 802.11i/WPA2 . Стандарт IEEE 802.11i является отраслевым стандартом безопасности беспроводных сетей. Версия Wi-Fi Alliance называется WPA2. 802.11i и WPA2 используют для шифрования усовершенствованный стандарт шифрования (AES). В настоящее время AES считается самым надежным протоколом шифрования.

Использовать WEP уже не рекомендуется. Общие ключи WEP показали свою несостоятельность, и, следовательно, их не следует использовать. Чтобы компенсировать слабые стороны общих ключей WEP, компании сначала пытались скрывать идентификаторы SSID и фильтровать MAC-адреса. Эти методы также оказались слишком ненадежными.

Ввиду ненадежности систем безопасности на основе WEP, в течение некоторого времени использовались промежуточные меры безопасности. Такие поставщики, как Cisco, стремясь удовлетворить повышенные требования в отношении безопасности, разработали собственные системы, одновременно пытаясь усовершенствовать стандарт 802.11i. В процессе развития стандарта 802.11i был создан алгоритм шифрования TKIP, который был связан с методом обеспечения безопасности Wi-Fi Alliance WPA.

Современные беспроводные сети всегда должны использовать стандарт 802.11i/WPA2. WPA2 является версией Wi-Fi стандарта 802.11i, следовательно, термины WPA2 и 802.11i зачастую являются взаимозаменяемыми.

С 2006 года все устройства, на которые нанесен логотип Wi-Fi Certified, сертифицированы для использования WPA2.

Примечание . В целях оптимизации производительности, сети Wireless-N должны использовать режим безопасности WPA2-Personal.

В таблице на рис. 2 показаны общие сведения о трех типах методов аутентификации согласованных ключей.

Методы шифрования

Шифрование используется для защиты данных. Если злоумышленник выполнил захват зашифрованных данных, он не сможет их расшифровать за короткий срок.

Стандарты IEEE 802.11i, Wi-Fi Alliance WPA и WPA2 используют следующие протоколы шифрования:

· Шифрование с использованием временных ключей (TKIP) . TKIP является методом шифрования, который используется стандартом WPA. Он обеспечивает поддержку предыдущих версий оборудования сетей WLAN за счёт устранения исходных уязвимостей, характерных для метода шифрования 802.11 WEP. Он использует WEP, однако выполняет шифрование полезной нагрузки 2 уровня с использованием TKIP и выполняет проверку целостности сообщений в зашифрованном пакете, чтобы убедиться в том, что сообщение не используется несанкционированно.

· Усовершенствованный стандарт шифрования (AES) . AES является методом шифрования, который используется стандартом WPA2. Этот метод является предпочтительным, поскольку соответствует отраслевому стандарту IEEE 802.11i. AES выполняет те же функции, что и TKIP, но обеспечивает значительно более надежный метод шифрования. Он использует протокол CCMP, который позволяет узлам назначения распознавать зашифрованные и незашифрованные биты, используемые несанкционированно.

Примечание . По возможности всегда следует выбирать WPA2 с AES.

Институт финансовой и экономической безопасности

РЕФЕРАТ

Безопасность беспроводных сетей

Выполнил:

Студент группы У05-201

Михайлов М.А.

Проверил:

Доцент кафедры

Бурцев В.Л.

Москва

2010

Введение

Стандарт безопасности WEP

Стандарт безопасности WPA

Стандарт безопасности WPA2

Заключение

Введение

История беспроводных технологий передачи информации началась в конце XIX века с передачей первого радиосигнала и появлением в 20-х годах ХХ века первых радиоприемников с амплитудной модуляцией. В 30-е годы появилось радио с частотной модуляцией и телевидение. В 70-е годы созданы первые беспроводные телефонные системы как естественный итог удовлетворения потребности в мобильной передаче голоса. Сначала это были аналоговые сети, а начале 80-х был разработан стандарт GSM, ознаменовавший начало перехода на цифровые стандарты, как обеспечивающие лучшее распределение спектра, лучшее качество сигнала, лучшую безопасность. С 90-x годов ХХ века происходит укрепление позиций беспроводных сетей. Беспроводные технологии прочно входят в нашу жизнь. Развиваясь с огромной скоростью, они создают новые устройства и услуги.

Обилие новых беспроводных технологий таких, как CDMA (Code Division Multiple Access, технология с кодовым разделением каналов), GSM (Global for Mobile Communications, глобальная система для мобильных коммуникаций), TDMA (Time Division Multiple Access, множественный доступ с разделением во времени), 802.11, WAP (Wireless Application Protocol, протокол беспроводных технологий), 3G (третье поколение), GPRS (General Packet Radio Service, услуга пакетной передачи данных), Bluetooth (голубой зуб, по имени Харальда Голубого Зуба – предводителя викингов, жившего в Х веке), EDGE (Enhanced Data Rates for GSM Evolution, увеличенная скорость передачи даны для GSM), i-mode и т.д. говорит о том, что начинается революция в этой области.

Весьма перспективно и развитие беспроводных локальных сетей (WLAN), Bluetooth (сети средних и коротких расстояний). Беспроводные сети развертываются в аэропортах, университетах, отелях, ресторанах, предприятиях. История разработки стандартов беспроводных сетей началась в 1990 году, когда был образован комитет 802.11 всемирной организацией IEEE (Институт инженеров по электричеству и электронике). Значительный импульс развитию беспроводных технологий дала Всемирная паутина и идея работы в Сети при помощи беспроводных устройств. В конце 90-х годов пользователям была предложена WAP-услуга, сначала не вызвавшая у населения большого интереса. Это были основные информационные услуги – новости, погода, всевозможные расписания и т.п. Также весьма низким спросом пользовались вначале и Bluetooth, и WLAN в основном из-за высокой стоимости этих средств связи. Однако по мере снижения цен рос и интерес населения. К середине первого десятилетия XXI века счет пользователей беспроводного Интернет – сервиса пошел на десятки миллионов. С появлением беспроводной Интернет - связи на первый план вышли вопросы обеспечения безопасности. Основные проблемы при использовании беспроводных сетей это перехват сообщений спецслужб, коммерческих предприятий и частных лиц, перехват номеров кредитных карточек, кража оплаченного времени соединения, вмешательство в работу коммуникационных центров.

Как и любая компьютерная сеть, Wi-Fi – является источником повышенного риска несанкционированного доступа. Кроме того, проникнуть в беспроводную сеть значительно проще, чем в обычную, - не нужно подключаться к проводам, достаточно оказаться в зоне приема сигнала.

Беспроводные сети отличаются от кабельных только на первых двух - физическом (Phy) и отчасти канальном (MAC) - уровнях семиуровневой модели взаимодействия открытых систем. Более высокие уровни реализуются как в проводных сетях, а реальная безопасность сетей обеспечивается именно на этих уровнях. Поэтому разница в безопасности тех и других сетей сводится к разнице в безопасности физического и MAC-уровней.

Хотя сегодня в защите Wi-Fi-сетей применяются сложные алгоритмические математические модели аутентификации, шифрования данных и контроля целостности их передачи, тем не менее, вероятность доступа к информации посторонних лиц является весьма существенной. И если настройке сети не уделить должного внимания злоумышленник может:

· заполучить доступ к ресурсам и дискам пользователей Wi-Fi-сети, а через неё и к ресурсам LAN;

· подслушивать трафик, извлекать из него конфиденциальную информацию;

· искажать проходящую в сети информацию;

· внедрять поддельные точки доступа;

· рассылать спам, и совершать другие противоправные действия от имени вашей сети.

Но прежде чем приступать к защите беспроводной сети, необходимо понять основные принципы ее организации. Как правило, беспроводные сети состоят из узлов доступа и клиентов с беспроводными адаптерами. Узлы доступа и беспроводные адаптеры оснащаются приемопередатчиками для обмена данными друг с другом. Каждому AP и беспроводному адаптеру назначается 48-разрядный адрес MAC, который функционально эквивалентен адресу Ethernet. Узлы доступа связывают беспроводные и проводные сети, обеспечивая беспроводным клиентам доступ к проводным сетям. Связь между беспроводными клиентами в одноранговых сетях возможна без AP, но этот метод редко применяется в учреждениях. Каждая беспроводная сеть идентифицируется назначаемым администратором идентификатором SSID (Service Set Identifier). Связь беспроводных клиентов с AP возможна, если они распознают SSID узла доступа. Если в беспроводной сети имеется несколько узлов доступа с одним SSID (и одинаковыми параметрами аутентификации и шифрования), то возможно переключение между ними мобильных беспроводных клиентов.

Наиболее распространенные беспроводные стандарты - 802.11 и его усовершенствованные варианты. В спецификации 802.11 определены характеристики сети, работающей со скоростями до 2 Мбит/с. В усовершенствованных вариантах предусмотрены более высокие скорости. Первый, 802.11b, распространен наиболее широко, но быстро замещается стандартом 802.11g. Беспроводные сети 802.11b работают в 2,4-ГГц диапазоне и обеспечивают скорость передачи данных до 11 Мбит/с. Усовершенствованный вариант, 802.11a, был ратифицирован раньше, чем 802.11b, но появился на рынке позднее. Устройства этого стандарта работают в диапазоне 5,8 ГГц с типовой скоростью 54 Мбит/с, но некоторые поставщики предлагают более высокие скорости, до 108 Мбит/с, в турборежиме. Третий, усовершенствованный вариант, 802.11g, работает в диапазоне 2,4 ГГц, как и 802.11b, со стандартной скоростью 54 Мбит/с и с более высокой (до 108 Мбит/с) в турборежиме. Большинство беспроводных сетей 802.11g способно работать с клиентами 802.11b благодаря обратной совместимости, заложенной в стандарте 802.11g, но практическая совместимость зависит от конкретной реализации поставщика. Основная часть современного беспроводного оборудования поддерживает два или более вариантов 802.11. Новый беспроводной стандарт, 802.16, именуемый WiMAX, проектируется с конкретной целью обеспечить беспроводной доступ для предприятий и жилых домов через станции, аналогичные станциям сотовой связи. Эта технология в данной статье не рассматривается.

Реальная дальность связи AP зависит от многих факторов, в том числе варианта 802.11 и рабочей частоты оборудования, изготовителя, мощности, антенны, внешних и внутренних стен и особенностей топологии сети. Однако беспроводной адаптер с узконаправленной антенной с большим коэффициентом усиления может обеспечить связь с AP и беспроводной сетью на значительном расстоянии, примерно до полутора километров в зависимости от условий.

Из-за общедоступного характера радиоспектра возникают уникальные проблемы с безопасностью, отсутствующие в проводных сетях. Например, чтобы подслушивать сообщения в проводной сети, необходим физический доступ к такому сетевому компоненту, как точка подсоединения устройства к локальной сети, коммутатор, маршрутизатор, брандмауэр или хост-компьютер. Для беспроводной сети нужен только приемник, такой как обычный сканер частот. Из-за открытости беспроводных сетей разработчики стандарта подготовили спецификацию Wired Equivalent Privacy (WEP), но сделали ее использование необязательным. В WEP применяется общий ключ, известный беспроводным клиентам и узлам доступа, с которыми они обмениваются информацией. Ключ можно использовать как для аутентификации, так и для шифрования. В WEP применяется алгоритм шифрования RC4. 64-разрядный ключ состоит из 40 разрядов, определяемых пользователем, и 24-разрядного вектора инициализации. Пытаясь повысить безопасность беспроводных сетей, некоторые изготовители оборудования разработали расширенные алгоритмы со 128-разрядными и более длинными ключами WEP, состоящими из 104-разрядной и более длинной пользовательской части и вектора инициализации. WEP применяется с 802.11a, 802.11b- и 802.11g-совместимым оборудованием. Однако, несмотря на увеличенную длину ключа, изъяны WEP (в частности, слабые механизмы аутентификации и ключи шифрования, которые можно раскрыть методами криптоанализа) хорошо документированы, и сегодня WEP не считается надежным алгоритмом.

В ответ на недостатки WEP отраслевая ассоциация Wi-Fi Alliance приняла решение разработать стандарт Wi-Fi Protected Access (WPA). WPA превосходит WEP благодаря добавлению протокола TKIP (Temporal Key Integrity Protocol) и надежному механизму аутентификации на базе 802.1x и протокола EAP (Extensible Authentication Protocol). Предполагалось, что WPA станет рабочим стандартом, который можно будет представить для одобрения комитету IEEE в качестве расширения для стандартов 802.11. Расширение, 802.11i, было ратифицировано в 2004 г., а WPA обновлен до WPA2 в целях совместимости с Advanced Encryption Standard (AES) вместо WEP и TKIP. WPA2 обратно совместим и может применяться совместно с WPA. WPA был предназначен для сетей предприятий с инфраструктурой аутентификации RADIUS (Remote Authentication Dial-In User Service - служба дистанционной аутентификации пользователей по коммутируемым линиям), но версия WPA, именуемая WPA Pre-Shared Key (WPAPSK), получила поддержку некоторых изготовителей и готовится к применению на небольших предприятиях. Как и WEP, WPAPSK работает с общим ключом, но WPAPSK надежнее WEP.

Мы привыкли принимать особые меры безопасности по защите своего имущества: закрывать дверь на ключ, ставить сигнализацию на машину, камеры для слежения. Потому что в наш век не безопасно оставлять всё без присмотра, а если нужно отлучиться, то нужно защитить собственность. Это же распространяется и на виртуальный мир. При наличии есть вероятность, что вас попытаются взломать и без вашего ведома пользоваться сетью. Мало того, что ваш интернет будет им доступен, можно сказать, на бесплатной основе, так еще они могут воспользоваться вашим компьютерам и украсть ценные данные. Всегда есть вероятность, что злоумышленник будет не просто скачивать музыку или просматривать социальную сеть, но отправлять сообщения экстремистского характера, какой-нибудь спам, и прочие сообщения, которые нанесут вред. В этом случае, в какой-то из дней вы повстречаете сотрудников полиции, так как вся эта информация отправлялась якобы от вас.

Итак, в этой статье мы рассмотрим несколько способов, которые помогут защитить Wi-Fi сеть от несанкционированного подключения.

Установите на сеть пароль и соответствующий тип шифрования

Данное правило распространяется на все беспроводные сети. Вы обязательно должны поставить пароль и (самый последний и надёжный на данный момент, хотя тут тоже есть свои нюансы, о которых я скажу ниже). Не стоит использовать тип WPA, который не только старый, но и ограничивает скорость сети. Шифрование WEB вообще последняя тема. Взломать такой тип достаточно легко методом перебора и не только.

К паролю отнеситесь не менее серьезно. Минимальная длина пароля по умолчанию составляет 8 символов, но вы сделайте больше, например, 10-15 символов. Желательно, чтобы в пароле были не только буквы или цифры, а целый набор знаков, плюс специальные символы.

ВАЖНО! Отключите WPS

Так, технология WPS имеет некоторые огрехи и с помощью этого люди могут без проблем взломать вашу сеть, используя дистрибутивы на основе Linux и ввода соответствующих команд в терминале. И тут не имеет значение, какое шифрование стоит, но немного решает длинна и сложность пароля, чем он сложнее, тем дольше будет происходить взлом. WPS можно отключить в настройках роутера.

Кстати, если кто не знает, то WPS нужен для подключения оборудования к Wi-Fi сети без пароля, вы просто нажимаете эту кнопку на роутере и, например, смартфон подключается к сети.

Скрыть Wi-Fi сеть (SSID)

На всех типах роутеров или, как их еще называют, маршрутизаторов есть функция, позволяющая , то есть при поиске сети с других устройств вы её не увидите, а идентификатор (название сети) нужно ввести самому.

В параметрах роутера вам необходимо найти пункт «Скрыть точку доступа» , либо что-то похожее, а потом перезагрузить устройство.

Фильтрация MAC-адресов

В большинстве новейших роутеров, да и старых тоже, есть функционал, ограничивающий подключаемые устройства. Вы можете внести в список MAC-адресов, те, которые имеют права подключаться к Wi-Fi сети или ограничить их.

Другим клиентам подключиться не удастся, даже имея на руках SSID и пароль от сети.

Активируйте функция «Гостевая сеть»

При наличии доступа к сети вашими друзьям, знакомым или родственникам, которым вы это позволили, есть вариант создать для них гостевую сеть, изолирующую локальную сеть. В итоге вам незачем беспокоиться за утерю важной информации.

Организация гостевого доступа включается в параметрах роутера. Там вы отмечаете соответствующую галочку и вводите имя сети, пароль, ставите шифрование и прочее.

Измените логин и пароль для доступа панель администратора роутера

Многим, у кого есть маршрутизатор (роутер), известно, что при входе в его настройки нужно ввести логин и пароль, по умолчанию являющийся следующим: admin (вводится как в поле логин, так и в поле пароль). Те, кто подключился к сети, могут без проблем зайти в настройки роутера и что-то поменять. Поставьте другой пароль, лучше сложный. Сделать это можно всё в тех же настройках маршрутизатора, раздела системы. У вас может быть немного по-другому.

Пароль стоит обязательно запомнить, так как восстановить его не выйдет, иначе придётся делать сброс настроек.

Отключение DHCP сервера

Есть один интересный момент, который вы можете проделать в настройках роутера. Найдите там пункт DHCP-сервер и выключите его, обычно он находится в настройках LAN-сети.

Таким образом, пользователи, которые захотят к вам подключиться должны будут ввести соответствующий адрес, указываемый вами в настройках роутера. Обычно IP-адрес стоит такой: 192.168.0.1/192.168.1.1, тогда вы можете поменять его на любой другой, например, 192.168.212.0. Заметьте, что с других ваших устройств вы тоже должны указать этот адрес.

Ну вот мы и разобрались с повышением безопасности беспроводной сети Wi-Fi. Теперь вы можете не бояться, что вашу сеть взломают, а информация будет утеряна. Я думаю, использование хотя бы нескольких способов из этой статьи сильно повысят безопасность Wi-Fi.

Проблемы безопасности беспроводных сетей, описанные в ряде статей, спровоцировали недоверие к беспроводным технологиям. Насколько оно оправданно?

Почему беспроводные сети считаются более уязвимыми, чем кабельные? В проводных сетях данные могут быть перехвачены только в том случае, если злоумышленник получит физический доступ к среде передачи. В беспроводных сетях сигнал распространяется в эфире, поэтому любой, находящийся в зоне действия сети, может перехватить этот сигнал.

Злоумышленнику даже не обязательно пребывать на территории компании, достаточно попасть в зону распространения радиосигнала.

Угрозы беспроводным сетям

Готовясь к обеспечению безопасности беспроводных сетей, прежде всего необходимо установить, что может им угрожать.

Пассивная атака

Перехват сигналов беспроводной сети аналогичен прослушиванию радиопередачи. Достаточно иметь ноутбук (или КПК) и анализатор беспроводных протоколов. Широко распространено заблуждение, что несанкционированное подключение к беспроводной сети вне офиса можно пресечь, контролируя выходную мощность сигнала. Это не так, поскольку использование злоумышленником беспроводной карты повышенной чувствительности и направленной антенны позволяет легко преодолеть данную меру предосторожности.

Даже уменьшив вероятность несанкционированного подключения к сети, не следует оставлять без внимания возможность «прослушивания» трафика, поэтому для безопасной работы в беспроводных сетях необходимо шифровать передаваемую информацию.

Активная атака

Опасно подключать незащищенную беспроводную сеть к кабельной сети. Незащищенная точка доступа, подсоединенная к локальной сети, представляет собой широко открытую дверь для злоумышленников. Для предприятий это чревато тем, что конкуренты могут получить доступ к конфиденциальным документам. Незащищенные беспроводные сети позволяют хакерам обойти межсетевые экраны и настройки безопасности, которые защищают сеть от атак через Internet. В домашних сетях злоумышленники могут получить бесплатный доступ к Internet за счет своих соседей.

Следует отслеживать и выявлять неконтролируемые точки доступа, подключенные к сети несанкционированно. Подобные точки, как правило, устанавливают сами сотрудники предприятия. (Например, менеджер отдела продаж приобрел беспроводную точку доступа и использует ее, чтобы все время оставаться на связи.) Такая точка может быть специально подключена к сети злоумышленником с целью получения доступа к сети компании вне офиса.

Следует помнить о том, что уязвимыми являются как подключенные к беспроводной сети компьютеры, так и те, в которых есть включенная беспроводная карта с настройками по умолчанию (она, как правило, не блокирует проникновение через беспроводную сеть). Например, пока пользователь, ожидающий своего рейса, просматривает ресурсы Internet через развернутую в аэропорту сеть Wi-Fi, хакер, сидящий неподалеку, изучает информацию, хранящуюся на компьютере мобильного сотрудника. Аналогичным атакам могут подвергнуться пользователи, работающие посредством беспроводных сетей в помещениях кафе, выставочных центров, холлах гостиниц и пр.

Поиск доступных беспроводных сетей

Для активного поиска уязвимых беспроводных сетей (War driving) обычно используется автомобиль и комплект беспроводного оборудования: небольшая антенна, беспроводная сетевая карта, переносной компьютер и, возможно, GPS-приемник. Используя широко распространенные программы-сканеры, такие как Netstumbler, можно легко найти зоны приема беспроводных сетей.

Поклонники War Driving имеют много способов обмениваться информацией. Один из них (War Chalking) подразумевает нанесение на схемах и картах символов, указывающих на обнаруженные беспроводные сети. Эти обозначения содержат сведения о величине радиосигнала, наличии той или иной разновидности защиты сети и о возможности доступа в Internet. Любители такого «спорта» обмениваются информацией через Internet-сайты, «вывешивая», в частности, подробные карты с месторасположением обнаруженных сетей. Кстати, полезно проверить, нет ли там вашего адреса.

Отказ в обслуживании

Бесплатный доступ в Internet или корпоративную сеть не всегда является целью злоумышленников. Иногда задачей хакеров может быть вывод из строя беспроводной сети.

Атака «отказ в обслуживании» может быть достигнута несколькими способами. Если хакеру удается установить соединение с беспроводной сетью, его злонамеренные действия могут вызвать ряд таких серьезных последствий: например, рассылку ответов на запросы протокола разрешения адресов (Address Resolution Protocol, ARP) для изменения ARP-таблиц сетевых устройств с целью нарушения маршрутизации в сети или внедрение несанкционированного сервера протокола динамической конфигурации хостов (Dynamic Host Configuration Protocol, DHCP) для выдачи неработоспособных адресов и масок сетей. Если хакер выяснит подробности настроек беспроводной сети, то сможет переподключить пользователей на свою точку доступа (см. рисунок), а последние окажутся отрезанными от сетевых ресурсов, которые были доступны через «законную» точку доступа.

Внедрение несанкционированной точки доступа.

Злоумышленник может также заблокировать частоты, используемые беспроводными сетями, применяя для этого генератор сигналов (его можно изготовить из деталей микроволновой печи). В результате вся беспроводная сеть или ее часть выйдут из строя.

Меры безопасности в стандартах IEEE 802.11

Оригинальный стандарт 802.11 предусматривает для обеспечения безопасности беспроводных сетей использование стандарта «конфиденциальности, эквивалентной проводной» (Wired Equivalent Privacy, WEP). Беспроводные сети, использующие WEP, требуют настройки статического WEP-ключа на точках доступа и всех станциях. Этот ключ может использоваться для аутентификации и шифрования данных. При его компрометации (например, в случае утери переносного компьютера) необходимо сменить ключ на всех устройствах, что подчас весьма затруднительно. При использовании ключей WEP для аутентификации беспроводные станции посылают точке доступа соответствующий запрос, получая в ответ незашифрованное сообщение (clear text challenge). Клиент должен его зашифровать, используя свой WEP-ключ, и вернуть точке доступа, которая расшифрует сообщение с помощью собственного WEP-ключа. Если расшифрованное сообщение совпадает с оригинальным, то это обозначает, что клиент знает WEP-ключ. Следовательно, аутентификация считается успешной, и клиенту отправляется соответствующее уведомление.

Успешно завершив аутентификацию и ассоциацию, беспроводное устройство может использовать WEP-ключ для шифрования трафика, передаваемого между устройством и точкой доступа.

Стандарт 802.11 определяет и другие механизмы контроля доступа. Точка доступа может использовать фильтрацию по аппаратным адресам (Media Access Control, MAC), предоставляя или запрещая доступ на основе MAC-адреса клиента. Данный метод затрудняет, но не предотвращает подключение несанкционированных устройств.

Насколько безопасен WEP?

Одно из правил криптографии гласит: имея открытый текст и его зашифрованную версию, можно установить использованный метод шифрования. Это особенно актуально при использовании слабых алгоритмов шифрования и симметричных ключей, такие, например, предусматривает WEP.

Этот протокол использует для шифрования алгоритм RC4. Слабость его состоит в том, что если зашифровать известный открытый текст, то на выходе получится ключевой поток, который использовался для шифрования данных. Согласно стандарту 802.11, ключевой поток состоит из WEP-ключа и 24-разрядного вектора инициализации. Для каждого пакета используется следующий вектор, который отправляется в открытом виде вместе с пакетом, так что принимающая станция может использовать его совместно с WEP-ключом, чтобы расшифровать пакет.

Если получить один ключевой поток, то можно расшифровать любой пакет, зашифрованный тем же самым вектором. Так как вектор меняется для каждого пакета, то для расшифровки нужно дождаться следующего пакета, использующего тот же самый вектор. Чтобы иметь возможность расшифровывать WEP, необходимо собрать полный комплект векторов и ключевых потоков. Утилиты по взлому WEP работают именно таким образом.

Добыть открытый и зашифрованный текст можно в процессе аутентификации клиента. Перехватывая трафик на протяжении некоторого времени, можно набрать необходимое количество исходных данных для проведения атаки. Чтобы скопить необходимые для анализа данные, хакеры используют и множество других методов, включая атаки типа «men in the middle».

Когда принималось решение о формате фрейма для беспроводных сетей, IEEE предложила свой собственный формат под названием Subnetwork Address Protocol (SNAP).

Два байта, следующие за MAC-заголовком во фрейме SNAP стандарта 802.11, всегда имеют значение «AA AA». Протокол WEP шифрует все байты, следующие за MAC-заголовком, поэтому для первых двух зашифрованных байт всегда известен открытый текст («АА АА»). Этот путь предоставляет возможность получить фрагменты зашифрованного и открытого сообщения.

В Internet бесплатно распространяются утилиты для взлома WEP. Самые известные из них - AirSnort и WEPCrack. Для успешного взлома WEP-ключа с их помощью достаточно набрать от 100 тыс. до 1 млн. пакетов. Новые утилиты Aircrack и Weplab для взлома WEP-ключей реализуют более эффективный алгоритм, при котором требуется существенно меньше пакетов. По этой причине протокол WEP является ненадежным.

Беспроводные технологии становятся безопаснее

Сегодня многие компании используют удобные и безопасные беспроводные сети. Стандарт 802.11i поднял безопасность на качественно новый уровень.Рабочая группа IEEE 802.11i, в задачу которой входило создание нового стандарта безопасности беспроводных сетей, была сформирована после изучения сведений об уязвимости протокола WEP. На разработку потребовалось некоторое время, поэтому большинство производителей оборудования, не дождавшись выхода нового стандарта, стали предлагать свои методы (см. ). В 2004 году появился новый стандарт, тем не менее, поставщики оборудования по инерции продолжают использовать старые решения.

802.11i определяет использование стандарта расширенного шифрования (Advanced Encryption Standard, AES) вместо WEP. В основе AES лежит реализация алгоритма Рендела, который большинство криптоаналитиков признает стойким. Этот алгоритм существенно лучше своего слабого предшественника RC4, который используется в WEP: он предусматривает использование ключей длиной 128, 192 и 256 разрядов, вместо 64 бит, используемых в оригинальном стандарте 802.11. Новый стандарт 802.11i также определяет использование TKIP, CCMP и 802.1x/EAP.

EAP-MD5 подтверждает подлинность пользователя путем проверки пароля. Вопрос использования шифрования трафика отдан на откуп администратору сети. Слабость EAP-MD5 заключается в отсутствии обязательного использования шифрования, поэтому EAP-MD5 допускает возможность атаки типа «men in the middle».

Протокол «легковесный EAP» (Lightweight EAP, LEAP), который создала компания Cisco, предусматривает не только шифрование данных, но и ротацию ключей. LEAP не требует наличия ключей у клиента, поскольку они безопасно пересылаются после того, как пользователь прошел аутентификацию. Это позволяет пользователям легко подключаться к сети, используя учетную запись и пароль.

Ранние реализации LEAP обеспечивали только одностороннюю аутентификацию пользователей. Позднее Cisco добавила возможность взаимной аутентификации. Однако выяснилось, что протокол LEAP уязвим к атакам по словарю. Сотрудник американского Института системного администрирования, телекоммуникаций и безопасности (SANS) Джошуа Райт разработал утилиту ASLEAP, которая осуществляет подобную атаку, после чего компания Cisco рекомендовала использовать сильные пароли длиной не менее восьми знаков, включая спецсимволы, символы верхнего, нижнего регистра и цифры. LEAP безопасен в той мере, насколько стоек пароль к попыткам подбора.

Более сильный вариант реализации EAP - EAP-TLS, который использует предустановленные цифровые сертификаты на клиенте и сервере, был разработан в Microsoft. Этот метод обеспечивает взаимную аутентификацию и полагается не только на пароль пользователя, но также поддерживает ротацию и динамическое распределение ключей. Неудобство EAP-TLS заключается в необходимости установки сертификата на каждом клиенте, что может оказаться достаточно трудоемкой и дорогостоящей операцией. К тому же этот метод непрактично использовать в сети, где часто меняются сотрудники.

Производители беспроводных сетей продвигают решения упрощения процедуры подключения к беспроводным сетям авторизированных пользователей. Эта идея вполне осуществима, если включить LEAP и раздать имена пользователей и пароли. Но если возникает необходимость использования цифрового сертификата или ввода длинного WEP-ключа, процесс может стать утомительным.

Компании Microsoft, Cisco и RSA совместными усилиями разработали новый протокол - PEAP, объединивший простоту использования LEAP и безопасность EAP-TLS. PEAP использует сертификат, установленный на сервере, и аутентификацию по паролю для клиентов. Аналогичное решение - EAP-TTLS - выпустила компания Funk Software.

Разные производители поддерживают различные типы EAP, а также несколько типов одновременно. Процесс EAP аналогичен для всех типов.

Типовые операции EAP

Что такое WPA

После того, как беспроводные сети были объявлены небезопасными, производители приступили к реализации собственных решений по обеспечению безопасности. Это поставило компании перед выбором: использовать решение одного производителя или дожидаться выхода стандарта 802.11i. Дата принятия стандарта была неизвестна, поэтому в 1999 году был сформирован альянс Wi-Fi. Его целью являлась унификация взаимодействия беспроводных сетевых продуктов.

Альянс Wi-Fi утвердил протокол защищенного беспроводного доступа (Wireless Protected Access, WPA), рассматривая его как временное решение до выхода стандарта 802.11i. Протокол WPA предусматривает использование стандартов TKIP и 802.1x/EAP. Любое оборудование Wi-Fi, сертифицированное на совместимость с WPA, обязано работать совместно с другим сертифицированным оборудованием. Поставщики могут использовать и свои собственные механизмы обеспечения безопасности, но должны в любом случае включать поддержку стандартов Wi-Fi.

После первоначального объявления параметров 802.11i альянс Wi-Fi создал стандарт WPA2. Любое оборудование, которое имеет сертификат WPA2, полностью совместимо с 802.11i. Если беспроводная сеть предприятия не поддерживает стандарт 802.11i, то для обеспечения адекватной безопасности следует как можно быстрее перейти на 802.11i.

Что такое фильтрация MAC-адресов?

Если WEP небезопасен, то сможет ли защитить беспроводную сеть фильтрация аппаратных адресов (Media Access Control, MAC)? Увы, фильтры МАС-адресов предназначены для предотвращения несанкционированных подключений, против перехвата трафика они бессильны.

Фильтрация МАС-адресов не оказывает заметного влияния на безопасность беспроводных сетей. Она требует от злоумышленника лишь одного дополнительного действия: узнать разрешенный MAC-адрес. (Кстати, большинство драйверов сетевых карт позволяют его поменять.)

Насколько легко узнать разрешенный MAC-адрес? Чтобы получить работающие МАС-адреса, достаточно в течение некоторого времени следить за беспроводным трафиком с помощью анализатора протоколов. МАС-адреса можно перехватить, даже если трафик шифруется, поскольку заголовок пакета, который включает такой адрес, передается в открытом виде.

Протокол TKIP

Временный протокол обеспечения целостности ключа (Temporal Key Integrity Protocol, TKIP) разработан для устранения недостатков, присущих протоколу WEP. Стандарт TKIP улучшает безопасность WEP благодаря ротации ключей, использованию более длинных векторов инициализации и проверки целостности данных.

Программы для взлома WEP используют слабость статических ключей: после перехвата необходимого числа пакетов они позволяют легко расшифровать трафик. Регулярная смена ключей предотвращает этот тип атак. TKIP динамически меняет ключи через каждые 10 тыс. пакетов. Поздние реализации протокола позволяют менять интервал ротации ключей и даже установить алгоритм смены ключа шифрования для каждого пакета данных (Per-Packet Keying, PPK).

Ключ шифрования, применяемый в TKIP, стал более надежным по сравнению с WEP-ключами. Он состоит из 128-разрядного динамического ключа, к которому добавляется MAC-адрес станции и 48-разрядный вектор инициализации (в два раза длиннее оригинального вектора стандарта 802.11). Этот метод известен как «ключевое смешивание» и дает уверенность в том, что любые две станции не используют один и тот же ключ.

В протокол также встроен метод гарантированного обеспечения целостности данных (Message Integrity Cheek, MIC, называемый также Michael).

На данный момент большинство фирм и предприятий все больше внимания уделяют использованию непосредственно Wi-Fi-сетей. Обусловлено это удобством, мобильностью и относительной дешевизной при связи отдельных офисов и возможностью их перемещения в пределах действия оборудования. В Wi-Fi-сетях применяются сложные алгоритмические математические модели аутентификации, шифрования данных, контроля целостности их передачи – что позволят быть относительно спокойным за сохранность данных при использовании данной технологии.

Анализ безопасности беспроводных сетей.

На данный момент большинство фирм и предприятий все больше внимания уделяют использованию непосредственно Wi-Fi-сетей. Обусловлено это удобством, мобильностью и относительной дешевизной при связи отдельных офисов и возможностью их перемещения в пределах действия оборудования. В Wi-Fi-сетях применяются сложные алгоритмические математические модели аутентификации, шифрования данных, контроля целостности их передачи – что позволят быть относительно спокойным за сохранность данных при использовании данной технологии.

Однако данная безопасность относительна, если не уделять должного внимания настройке беспроводной сети. К данному моменту уже существует список «стандартных» возможностей которые может получить хакер при халатности в настройке беспроводной сети:

Доступ к ресурсам локальной сети;

Прослушивание, воровство (имеется ввиду непосредственно интернет-траффик) трафика;

Искажение проходящей в сети информации;

Внедрение поддельной точки доступа;

Немного теории.

1997 год – выход в свет первого стандарта IEEE 802.11. Варианты защиты доступа к сети:

1. Использовался простой пароль SSID (Server Set ID) для доступа в локальную сеть. Данный вариант не предоставляет должного уровня защиты, особенно для нынешнего уровня технологий.

2. Использование WEP (Wired Equivalent Privacy) – то есть использование цифровых ключей шифрования потоков данных с помощью данной функции. Сами ключи это всего лишь обыкновенные пароли с длиной от 5 до 13 символов ASCII, что соответствует 40 или 104-разрядному шифрованию на статическом уровне.

2001 год - внедрение нового стандарта IEEE 802.1X. Данный стандарт использует динамические 128-разрядные ключи шифрования, то есть периодически изменяющихся во времени. Основная идея заключается в том, что пользователь сети работает сеансами, по завершении которых им присылается новый ключ - время сеанса зависит от ОС (Windows XP - по умолчанию время одного сеанса равно 30 минутам).

На данный момент существуют стандарты 802.11:

802.11 - Первоначальный базовый стандарт. Поддерживает передачу данных по радиоканалу со скоростями 1 и 2 Мбит/с.

802.11a - Высокоскоростной стандарт WLAN. Поддерживает передачу данных со скоростями до 54 Мбит/с по радиоканалу в диапазоне около 5 ГГц.

I802.11b - Наиболее распространенный стандарт. Поддерживает передачу данных со скоростями до 11 Мбит/с по радиоканалу в диапазоне около 2,4 ГГц.

802.11e - Требование качества запроса, необходимое для всех радио интерфейсов IEEE WLAN

802.11f - Стандарт, описывающий порядок связи между равнозначными точками доступа.

802.11g - Устанавливает дополнительную технику модуляции для частоты 2,4 ГГц. Предназначен, для обеспечения скоростей передачи данных до 54 Мбит/с по радиоканалу в диапазоне около 2,4 ГГц.

802.11h - Стандарт, описывающий управление спектром частоты 5 ГГц для использования в Европе и Азии.

802.11i (WPA2) - Стандарт, исправляющий существующие проблемы безопасности в областях аутентификации и протоколов шифрования. Затрагивает протоколы 802.1X, TKIP и AES.

На данный момент широко используется 4 стандарта: 802.11, 802.11a, 802.11b, 802.11g.

2003 года - был внедрён стандарт WPA (Wi-Fi Protected Access), который совмещает преимущества динамического обновления ключей IEEE 802.1X с кодированием протокола интеграции временного ключа TKIP (Temporal Key Integrity Protocol), протоколом расширенной аутентификации EAP (Extensible Authentication Protocol) и технологией проверки целостности сообщений MIC (Message Integrity Check).

Помимо этого, параллельно развивается множество самостоятельных стандартов безопасности от различных разработчиков. Ведущими являются такие гиганты как Intel и Cisco.

2004 год - появляется WPA2, или 802.11i, - максимально защищённый на данное время стандарт.

Технологии защиты Fi-Wi сетей.

WEP

Эта технология была разработана специально для шифрования потока передаваемых данных в рамках локальной сети. Данные шифруются ключом с разрядностью от 40 до 104 бит. Но это не целый ключ, а только его статическая составляющая. Для усиления защиты применяется так называемый вектор инициализации IV (Initialization Vector), который предназначен для рандомизации дополнительной части ключа, что обеспечивает различные вариации шифра для разных пакетов данных. Данный вектор является 24-битным. Таким образом, в результате мы получаем общее шифрование с разрядностью от 64 (40+24) до 128 (104+24) бит, что позволяет при шифровании оперировать и постоянными, и случайно выбранными символами. Но с другой стороны 24 бита это всего лишь ~16 миллионов комбинаций (2 24 степени) – то есть по истечению цикла генерации ключа начинается новый цикл. Взлом осуществляется достаточно элементарно:

1) Нахождение повтора (минимальное время, для ключа длинной 40 бит – от 10 минут).

2) Взлом остальной части (по сути - секунды)

3) Вы можете внедряться в чужую сеть.

При этом для взлома ключа имеются достаточно распространенные утилиты такие как WEPcrack.

802.1X

IEEE 802.1X - это основополагающий стандарт для беспроводных сетей. На данный момент он поддерживается ОС Windows XP и Windows Server 2003.

802.1X и 802.11 являются совместимыми стандартами. В 802.1X применяется тот же алгоритм, что и в WEP, а именно - RC4, но с некоторыми отличиями (большая «мобильность», т.е. имеется возможность подключения в сеть даже PDA-устройства) и исправлениями (взлом WEP и т. п.).

802.1X базируется на протоколе расширенной аутентификации EAP (Extensible Authentication Protocol), протоколе защиты транспортного уровня TLS (Transport Layer Security) и сервере доступа RADIUS (Remote Access Dial-in User Service).

После того, как пользователь прошёл этап аутентификации, ему высылается секретный ключ в зашифрованном виде на определённое незначительное время - время действующего на данный момент сеанса. По завершении этого сеанса генерируется новый ключ и опять высылается пользователю. Протокол защиты транспортного уровня TLS обеспечивает взаимную аутентификацию и целостность передачи данных. Все ключи являются 128-разрядными.

Отдельно необходимо упомянуть о безопасности RADIUS: использует в своей основе протокол UDP (а поэтому относительно быстр), процесс авторизации происходит в контексте процесса аутентификации (т.е. авторизация как таковая отсутствует), реализация RADIUS-сервера ориентирована на однопроцессное обслуживание клиентов (хотя возможно и многопроцессное - вопрос до сих пор открытый), поддерживает довольно ограниченное число типов аутентификации (сleartext и CHAP), имеет среднюю степень защищенности. В RADIUS"е шифруется только cleartext-пароли, весь остальной пакет остается "открытым" (с точки зрения безопасности даже имя пользователя является очень важным параметром). А вот CHAP – это отдельный разговор. Идея в том, что бы cleartext-пароль ни в каком виде никогда не передавался бы через сеть. А именно: при аутентификации пользователя клиент посылает пользовательской машине некий Challenge (произвольная случайная последовательность символов), пользователь вводит пароль и с этим Challengе"ем пользовательская машина производит некие шифрующий действия используя введенный пароль (как правило это обыкновенное шифрование по алгоритму MD5 (RFC-1321). Получается Response. Этот Response отправляется назад клиенту, а клиент все в совокупности (Challenge и Response) отправляет на аутентификацию 3A-серверу (Authentication, Authorization, Accounting). Тот (также имея на своей стороне пользовательский пароль) производит те же самые действия с Challeng"ем и сравнивает свой Response с полученным от клиента: сходится - пользователь аутентифицирован, нет - отказ. Таким образом, cleartext-пароль знают только сам пользователь и 3А-сервер и пароль открытым текстом не "ходит" через сеть и не может быть взломан.

WPA

WPA (Wi-Fi Protected Access) - это временный стандарт (технология защищённого доступа к беспроводным сетям), который является переходным перед IEEE 802.11i. По сути, WPA совмещает в себе:

802.1X - основополагающий стандарт для беспроводных сетей;

EAP - протокол расширенной аутентификации (Extensible Authentication Protocol);

TKIP - протокол интеграции временного ключа (Temporal Key Integrity Protocol);

MIC - технология проверки целостности сообщений (Message Integrity Check).

Основные модули - TKIP и MIC. Стандарт TKIP использует автоматически подобранные 128-битные ключи, которые создаются непредсказуемым способом и общее число вариаций которых примерно 500 миллиардов. Сложная иерархическая система алгоритма подбора ключей и динамическая их замена через каждые 10 Кбайт (10 тыс. передаваемых пакетов) делают систему максимально защищённой. От внешнего проникновения и изменения информации также обороняет технология проверки целостности сообщений (Message Integrity Check). Достаточно сложный математический алгоритм позволяет сверять отправленные в одной точке и полученные в другой данные. Если замечены изменения и результат сравнения не сходится, такие данные считаются ложными и выбрасываются.

Правда, TKIP сейчас не является лучшим в реализации шифрования, из-за новой технологии Advanced Encryption Standard (AES), используемой ранее в VPN.

VPN

Технология виртуальных частных сетей VPN (Virtual Private Network) была предложена компанией Intel для обеспечения безопасного соединения клиентских систем с серверами по общедоступным интернет-каналам. VPN наверное одна из самых надежных с точки зрения шифрования и надёжности аутентификации.

Технологий шифрования в VPN применяется несколько, наиболее популярные из них описаны протоколами PPTP, L2TP и IPSec с алгоритмами шифрования DES, Triple DES, AES и MD5. IP Security (IPSec) используется примерно в 65-70% случаев. С его помощью обеспечивается практически максимальная безопасность линии связи.

Технология VPN не была ориентированна именно для Wi-Fi - она может использоваться для любого типа сетей, но защита с её помощью беспроводных сетей наиболее правильное решение.

Для VPN выпущено уже достаточно большое количество программного (ОС Windows NT/2000/XP, Sun Solaris, Linux) и аппаратного обеспечения. Для реализации VPN-защиты в рамках сети необходимо установить специальный VPN-шлюз (программный или аппаратный), в котором создаются туннели, по одному на каждого пользователя. Например, для беспроводных сетей шлюз следует установить непосредственно перед точкой доступа. А пользователям сети необходимо установить специальные клиентские программы, которые в свою очередь также работают за рамками беспроводной сети и расшифровка выносится за её пределы. Хотя всё это достаточно громоздко, но очень надёжно. Но как и все - это имеет свои недостатки, в данном случае их два:

Необходимость в достаточно емком администрировании;

Уменьшение пропускной способности канала на 30-40%.

За исключением этого – VPN, это вполне понятный выбор. Тем более в последнее время, развитие VPN оборудования происходит как раз в направлении улучшения безопасности и мобильности. Законченное решение IPsec VPN в серии Cisco VPN 5000 служит ярким примером. Тем более что в данной линейке представлена пока только единственное сегодня решение VPN на основе клиентов, которое поддерживает Windows 95/98/NT/2000, MacOS, Linux и Solaris. Кроме этого бесплатная лицензия на использование марки и распространение программного обеспечения клиента IPsec VPN поставляется со всеми продуктами VPN 5000, что тоже не маловажно.

Основные моменты защиты Fi-Wi сетей организации.

В свете всего выше изложенного можно убедиться что имеющиеся на данный момент механизмы и технологии защиты позволяют обеспечить безопасность вашей сети, при использовании Fi-Wi. Естественно если администраторы не будут полагаться только на элементарные настройки, а озаботятся тонкой настройкой. Конечно нельзя сказать, что таким образом ваша сеть превратится в неприступный бастион, но выделив достаточно серьезные средства на оборудование, время для настройки и конечно для постоянного контроля – можно обеспечить безопасность с вероятностью примерно до 95 %.

Основные моменты при организации и настройке Wi-Fi сети которыми не стоит пренебрегать:

- Выбор и установка точки доступа:

> перед приобретением внимательно ознакомьтесь с документацией и имеющейся на данный момент информации о дырах в реализации ПО для этого класса оборудования (всем известный пример дыры в IOS маршрутизаторов Cisco, позволяющая злоумышленнику получить доступ к листу конфига). Возможно будет смысл ограничиться покупкой более дешевого варианта и обновлением ОС сетевого устройства;

> изучите поддерживаемые протоколы и технологии шифрования;

> при возможности приобретайте устройства, использующие WPA2 и 802.11i, так как они для обеспечения безопасности используют новую технологию - Advanced Encryption Standard (AES). На данный момент это могут быть двухдиапазонные точеки доступа (AP) к сетям IEEE 802.11a/b/g Cisco Aironet 1130AG и 1230AG. Данные устройства поддерживают стандарт безопасности IEEE 802.11i, технологию защиты от вторжений Wi-Fi Protected Access 2 (WPA2) с использованием Advanced Encryption Standard (AES) и гарантируют емкость, отвечающую самым высоким требованиям пользователей беспроводных локальных сетей. Новые АР используют преимущества двухдиапазонных технологий IEEE 802.11a/b/g и сохраняют полную совместимость с ранними версиями устройств, работающих на IEEE 802.11b;

> подготовьте предварительно клиентские машины для совместной работы с приобретаемым оборудованием. На данный момент некоторые технологии шифрования могут не поддерживаться ОС или драйверами. Это поможет избежать лишних затрат времени при разворачивании сети;

> не устанавливать точку доступа вне брандмауэра;

> располагайте антенны внутри стен здания, а также ограничивайте мощность радиоизлучения, чтобы снизить вероятность подключения «извне».

> используйте направленные антенны, не используйте радиоканал по умолчанию.

- Настройка точки доступа:

> если точка доступа позволяет запрещать доступ к своим настройкам с помощью беспроводного подключения, то используйте эту возможность. Изначально не давайте возможность хакеру при внедрении в вашу сеть контролировать ключевые узлы по радиоканалу. Отключите вещание по радиоканалу такие протоколы как SNMP, web-интерфейс администрирования и telnet;

> обязательно(!) используйте сложный пароль для доступа к настройкам точки доступа;

> если точка доступа позволяет управлять доступом клиентов по MAC-адресам непременно используйте это;

> если оборудование позволяет запретить трансляцию в эфир идентификатора SSID – сделайте это обязательно. Но при этом у хакера всегда есть возможность получить SSID при подключении как легитимного клиент;

> политика безопасности должна запрещать беспроводным клиентам осуществлять ad-hoc соединения (такие сети позволяют двум или более станциям подключаться непосредственно друг к другу, минуя точки доступа, маршрутизирующие их трафик). Хакеры могут использовать несколько типов атак на системы, использующие ad-hoc-соединения. Первичная проблема с ad-hoc сетями - недостаток идентификации. Эти сети могут позволить хакеру провести атаки man in the middle, отказ в обслуживании (DoS), и/или скомпрометировать системы.

- Выбор настройки в зависимости от технологии:

> если есть возможность - запретите доступ для клиентов с SSID;

> если нет другой возможности - обязательно включайте хотя бы WEP, но не ниже 128bit.

> если при установке драйверов сетевых устройств предлагается на выбор три технологиями шифрования: WEP, WEP/WPA и WPA, то выбирайте WPA;

> если в настройках устройства предлагается выбор: “Shared Key“(возможен перехват WEP-ключа, который одинаков для всех клиентов) и “Open System”(возможно внедрение в сеть, если известен SSID) - выбирайте “Shared Key”. В данном случае (если вы используете WEP-аутентификацию) – наиболее желательно включить фильтрацию по МАС-адресу;

> если ваша сеть не велика – можно выбрать Pre-Shared Key (PSK).

> если есть возможность использовать 802.1X. Но при этом при настройке RADIUS-сервера желательно выбирать тип аутентификации CHAP;

> максимальный уровень безопасности на данный момент обеспечивает применение VPN - используйте эту технологию.

- Пароли и ключи:

> при использовании SSID придерживайтесь требований аналогичных требованиям парольной защиты - SSID должен быть уникален (не забывайте, что SSID не шифруется и может быть легко перехвачен!);

> всегда используйте максимально длинные ключи. Не используйте ключи меньше 128 бит;

> не забывайте про парольную защиту – используйте генератор паролей, меняйте пароли через определенный промежуток времени, храните пароли в тайне;

> в настройках обычно имеется выбор из четырёх заранее заданных ключей - используйте их все, меняя по определенному алгоритму. По возможности ориентируйтесь не на дни недели (всегда существуют люди в любой организации, работающие по выходным – что мешает осуществить внедрение в сеть в эти дни?).

> старайтесь применять длинные динамически изменяющиеся ключи. Если вы используете статические ключи и пароли, меняйте пароли через определенный промежуток времени.

> проинструктируйте пользователей, что бы они хранили пароли и ключи в тайне. Особенно важно, если некоторые используют для входа ноутбуки которые хранят дома.

- Сетевые настройки:

> для организации разделяемых ресурсов используйте NetBEUI. Если это не противоречит концепции вашей сети - не используйте в беспроводных сетях протокол TCP/IP для организации папок и принтеров общего доступа.

> не разрешайте гостевой доступ к ресурсам общего доступа;

> старайтесь не использовать в беспроводной сети DHCP - используйте статические IP-адреса;

> ограничьте количество протоколов внутри WLAN только необходимыми.

- Общее:

> на всех клиентах беспроводной сети используйте файерволлы или при ХР хотя бы активизируйте брандмауэр;

> регулярно следите за уязвимостями, обновлениями, прошивками и драйверами ваших устройств;

> используйте периодически сканеры безопасности, для выявления скрытых проблем;

> определите инструменты для выполнения беспроводного сканирования, а также частоту выполнения этого сканирования. Беспроводное сканирование поможет определить местонахождение неправомочных точек доступа.

> если финансы вашей организации позволяют – приобретите системы обнаружения вторжения (IDS, Intrusion Detection System), такие как:

CiscoWorks Wireless LAN Solution Engine (WLSE), в которой реализовано несколько новых функций - самовосстановление, расширенное обнаружение несанкционированного доступа, автоматизированное обследование площадки развертывания, "теплое" резервирование, отслеживание клиентов с созданием отчетов в реальном времени.
CiscoWorks WLSE - централизованное решение системного уровня для управления всей беспроводной инфраструктурой на базе продуктов Cisco Aironet. Усовершенствованные функции управления радиоканалом и устройствами, поддерживаемые CiscoWorks WLSE, упрощают текущую эксплуатацию беспроводной сети, обеспечивают беспрепятственное развертывание, повышают безопасность, гарантируют максимальную степень готовности, сокращая при этом расходы на развертывание и эксплуатацию.

Система Hitachi AirLocation использует сеть стандарта IEEE802.11b и способна работать как внутри помещений, так и вне зданий. Точность определения координат объекта, по словам разработчиков, составляет 1-3 м, что несколько точнее, чем аналогичная характеристика GPS- систем. Система состоит из сервера определения координат, управляющего сервера, комплекта из нескольких базовых станций, комплекта WLAN- оборудования и специализированного ПО. Минимальная цена комплекта - около $46,3 тыс. Система определяет местонахождение необходимого устройства и расстояние между ним и каждой точкой доступа за счет вычисления времени отклика терминала на посылаемые точками, связанными в сеть с расстоянием между узлами 100-200 м, сигналы. Для достаточно точного местоположения терминала, таким образом, достаточно всего трех точек доступа.

Да цены на такое оборудование достаточно высоки, но любая серьезная компания может решить потратить данную сумму для того, что бы быть уверенной в безопасности свой беспроводной сети.