Windows 10

Угрозы и уязвимости беспроводных сетей. Организация гостевой сети

09.05.2019
Угрозы и уязвимости беспроводных сетей. Организация гостевой сети

Серьезной проблемой для всех беспроводных локальных сетей (и, если уж на то пошло, то и всех проводных локальных сетей) является безопасность. Безопасность здесь так же важна, как и для любого пользователя сети Интернет. Безопасность является сложным вопросом и требует постоянного внимания. Огромный вред может быть нанесен пользователю из-за того, что он использует случайные хот-споты (hot-spot) или открытые точки доступа WI-FI дома или в офисе и не использует шифрование или VPN (Virtual Private Network - виртуальная частная сеть). Опасно это тем, что пользователь вводит свои личные или профессиональные данные, а сеть при этом не защищена от постороннего вторжения.

WEP

Изначально было сложно обеспечить надлежащую безопасность для беспроводных локальных сетей.

Хакеры легко осуществляли подключение практически к любой WiFi сети взламывая такие первоначальные версии систем безопасности, как Wired Equivalent Privacy (WEP). Эти события оставили свой след, и долгое время некоторые компании неохотно внедряли или вовсе не внедряли у себя беспроводные сети, опасаясь, что данные, передаваемые между беспроводными WiFi устройствами и Wi-Fi точками доступа могут быть перехвачены и расшифрованы. Таким образом, эта модель безопасности замедляла процесс интеграции беспроводных сетей в бизнес и заставляла нервничать пользователей, использующих WiFi сети дома. Тогда институт IEEE, создал рабочую группу 802.11i , которая работала над созданием всеобъемлющей модели безопасности для обеспечения 128-битного AES шифрования и аутентификации для защиты данных. Wi-Fi Альянс представил свой собственный промежуточный вариант этого спецификации безопасности 802.11i: Wi-Fi защищенный доступ (WPA – Wi-Fi Protected Access). Модуль WPA сочетает несколько технологий для решения проблем уязвимости 802.11 WEP системы. Таким образом, WPA обеспечивает надежную аутентификацию пользователей с использованием стандарта 802.1x (взаимная аутентификация и инкапсуляция данных передаваемых между беспроводными клиентскими устройствами, точками доступа и сервером) и расширяемый протокол аутентификации (EAP).

Принцип работы систем безопасности схематично представлен на рис.1

Также, WPA оснащен временным модулем для шифрования WEP-движка посредствам 128 – битного шифрования ключей и использует временной протокол целостности ключей (TKIP). А с помощью контрольной суммы сообщения (MIC) предотвращается изменение или форматирование пакетов данных. Такое сочетание технологий защищает конфиденциальность и целостность передачи данных и гарантирует обеспечение безопасности путем контроля доступа, так чтобы только авторизованные пользователи получили доступ к сети.

WPA

Дальнейшее повышение безопасности и контроля доступа WPA заключается в создании нового уникального мастера ключей для взаимодействия между каждым пользовательским беспроводным оборудованием и точками доступа и обеспечении сессии аутентификации. А также, в создании генератора случайных ключей и в процессе формирования ключа для каждого пакета.

В IEEE стандарт 802.11i, ратифицировали в июне 2004 года, значительно расширив многие возможности благодаря технологии WPA. Wi-Fi Альянс укрепил свой модуль безопасности в программе WPA2. Таким образом, уровень безопасности передачи данных WiFi стандарта 802.11 вышел на необходимый уровень для внедрения беспроводных решений и технологий на предприятиях. Одно из существенных изменений 802.11i (WPA2) относительно WPA это использования 128-битного расширенного стандарта шифрования (AES). WPA2 AES использует в борьбе с CBC-MAC режимом (режим работы для блока шифра, который позволяет один ключ использовать как для шифрования, так и для аутентификации) для обеспечения конфиденциальности данных, аутентификации, целостности и защиты воспроизведения. В стандарте 802.11i предлагается также кэширование ключей и предварительной аутентификации для упорядочивания пользователей по точкам доступа.

WPA2

Со стандартом 802.11i, вся цепочка модуля безопасности (вход в систему, обмен полномочиями, аутентификация и шифрование данных) становится более надежной и эффективной защитой от ненаправленных и целенаправленных атак. Система WPA2 позволяет администратору Wi-Fi сети переключиться с вопросов безопасности на управление операциями и устройствами.

Стандарт 802.11r является модификацией стандарта 802.11i. Данный стандарт был ратифицирован в июле 2008 года. Технология стандарта более быстро и надежно передает ключевые иерархии, основанные на технологии Handoff (передача управления) во время перемещения пользователя между точками доступа. Стандарт 802.11r является полностью совместимой с WiFi стандартами 802.11a/b/g/n.

Также существует стандарт 802.11w , предназначенный для усовершенствования механизма безопасности на основе стандарта 802.11i. Этот стандарт разработан для защиты управляющих пакетов.

Стандарты 802.11i и 802.11w – механизмы защиты сетей WiFi стандарта 802.11n.

Шифрование файлов и папок в Windows 7

Функция шифрования позволяет вам зашифровать файлы и папки, которые будет в последствии невозможно прочитать на другом устройстве без специального ключа. Такая возможность присутствует в таких версиях пакетаWindows 7 как Professional, Enterprise или Ultimate. Далее будут освещены способы включения шифрования файлов и папок.

Включение шифрования файлов:

Пуск -> Компьютер(выберите файл для шифрования)-> правая кнопка мыши по файлу->Свойства->Расширенный(Генеральная вкладка)->Дополнительные атрибуты->Поставить маркер в пункте шифровать содержимое для защиты данных->Ок->Применить->Ok(Выберите применить только к файлу)->

Включение шифрования папок:

Пуск -> Компьютер(выберите папку для шифрования)-> правая кнопка мыши по папку-> Свойства->Расширенный(Генеральная вкладка)->Дополнительные атрибуты-> Поставить маркер в пункте шифровать содержимое для защиты данных->Ок->Применить->Ok(Выберите применить только к файлу)->Закрыть диалог Свойства(Нажать Ok или Закрыть).

Сегодня достаточно зайти в любое кафе и запустить поиск активных Bluetooth-устройств — и сразу найдутся два-три телефона и КПК, у которых открыт доступ ко всем файлам и сервисам безо всякого пароля. Можно также украсть телефонную книжку, подсоединиться к Интернету по GPRS и даже открыть вьетнамский переговорный пункт с чужого аппарата.

аспространение беспроводных сетей привело к возникновению множества новых проблем с обеспечением безопасности информации. Получить доступ к плохо защищенным радиосетям или перехватить информацию, передающуюся по радиоканалам, порой совсем несложно. Причем если в случае беспроводных локальных сетей Wi-Fi (семейства стандартов IEEE 802.11) эта проблема так или иначе решается (созданы специальные устройства для защиты этих сетей, совершенствуются механизмы доступа, аутентификации и шифрования), то в сетях Bluetooth (стандарта IEEE 802.15.1) таится серьезная угроза безопасности информации.

И хотя Bluetooth предназначен для организации связи между устройствами на расстоянии не более 10-15 м, сегодня во всем мире используется много портативных мобильных устройств с поддержкой Bluetooth, владельцы которых часто посещают места с большим скоплением людей, поэтому одни устройства случайно оказываются в непосредственной близости от других. К тому же многие такие аппараты сконфигурированы недостаточно аккуратно (большинство людей оставляют все установки по умолчанию), и информацию с них можно без труда перехватить. Таким образом, наиболее слабым звеном в технологии Bluetooth является сам пользователь, который не хочет заниматься обеспечением собственной безопасности. Подчас ему, например, надоедает слишком часто набирать PIN-код и другие идентификационные механизмы, и тогда все защитные функции он просто отключает.

А между тем уже созданы средства для поиска уязвимых устройств с поддержкой Bluetooth, и эксперты по безопасности считают, что вскоре поиск уязвимых Bluetooth-соединений станет такой же распространенной практикой, как и поиск открытых сетей Wi-Fi. Первый хакерский инструмент Redfang, нацеленный на Bluetooth-устройства, появился еще в июне 2003 года. Redfang обходит защиту, проводя мощную агрессивную атаку для определения «личности» любого Bluetooth-устройства в диапазоне атакующего. После этого вопрос безопасности данной технологии стал еще более актуальным.

При этом если беспроводные локальные сети Wi-Fi, содержащие конфиденциальную информацию, в большинстве случаев все-таки достаточно надежно защищаются системными администраторами и специалистами по информационной безопасности, то защита устройств с Bluetooth обеспечивается плохо. А ведь быстрое распространение интерфейса Bluetooth ставит вопросы безопасности все более остро, и самое пристальное внимание этой проблеме должны уделять не только пользователи, но и администраторы компаний, сотрудники которых используют Bluetooth-интерфейс. И чем интенсивнее взаимодействие Bluetooth-устройств с компьютером в корпоративной сети, тем острее необходимость в конкретных мерах безопасности, поскольку потеря или кража такого устройства откроет нападающему доступ к секретным данным и услугам компании.

А пока технология Bluetooth демонстрирует нам пример того, как вся тяжесть обеспечения безопасности ложится на плечи пользователя независимо от его желания и квалификации.

Общие принципы работы Bluetooth

Отличие от Wi-Fi, Bluetooth предназначен для построения так называемых персональных беспроводных сетей (Wireless Personal Area Network, WPAN). Изначально планировалась разработка стандарта, позволяющего создавать небольшие локальные сети и получать беспроводной доступ к устройствам в пределах дома, офиса или, скажем, автомобиля. В настоящее время группа компаний, принимающих участие в работе над бесплатной открытой спецификацией Bluetooth, насчитывает более 1500 членов. По мнению многих специалистов, Bluetooth не имеет равных в своей нише. Более того, стандарт IEEE 802.15.1 стал конкурентом таких технологий, как Wi-Fi, HomeRF и IrDA (Infrared Direct Access — инфракрасный прямой доступ). До этого самой распространенной технологией беспроводного соединения компьютеров и периферийных устройств являлся инфракрасный доступ (IrDA). Но, в отличие от IrDA, работающего по принципу «точка-точка» в зоне прямой видимости, технология Bluetooth создавалась как для работы по такому же принципу, так и в качестве многоточечного радиоканала.

Первоначально Bluetooth-передатчики имели малый радиус действия (до 10 м, то есть в пределах одной комнаты), но позже была определена и более широкая зона охвата — до 100 м (то есть в пределах дома). Такие передатчики могут либо встраиваться в устройство, либо подключаться отдельно в качестве дополнительного интерфейса.

Но главным преимуществом Bluetooth, благодаря которому он постепенно вытесняет IrDA, является то, что для связи не обязательна прямая видимость устройств — их могут разделять даже такие «радиопрозрачные» препятствия, как стены и мебель; к тому же взаимодействующие между собой приборы могут находиться в движении.

Основным структурным элементом сети Bluetooth является так называемая пикосеть (piconet) — совокупность от двух до восьми устройств, работающих на одном и том же шаблоне. В каждой пикосети одно устройство работает как ведущее (master), а остальные являются ведомыми (slave). Ведущее устройство определяет шаблон, на котором будут работать все ведомые устройства его пикосети, и синхронизирует работу сети. Стандарт Bluetooth предусматривает соединение независимых и даже не синхронизированных между собой пикосетей (числом до десяти) в так называемую scatternet. Для этого каждая пара пикосетей должна иметь как минимум одно общее устройство, которое будет ведущим в одной и ведомым в другой сети. Таким образом, в пределах отдельной scatternet с интерфейсом Bluetooth может быть одновременно связано максимум 71 устройство.

Безопасность Bluetooth зависит от настройки

ля защиты Bluetooth-соединения предусмотрено шифрование передаваемых данных, а также выполнение процедуры авторизации устройств. Шифрование данных происходит с ключом, эффективная длина которого — от 8 до 128 бит, что позволяет устанавливать уровень стойкости результирующего шифрования в соответствии с законодательством каждой страны. Поэтому стоит сразу отметить, что правильно сконфигурированные Bluetooth-устройства спонтанно соединяться не могут, поэтому случайных утечек важной информации к посторонним лицам не бывает. К тому же ничто не ограничивает защиту на уровне конкретных приложений.

В зависимости от выполняемых задач спецификация Bluetooth предусматривает три режима защиты, которые могут использоваться как по отдельности, так и в различных комбинациях:

  1. В первом режиме — минимальном (который обычно применяется по умолчанию) — никаких мер для безопасного использования Bluetooth-устройства не предпринимается. Данные кодируются общим ключом и могут приниматься любыми устройствами без ограничений.
  2. Во втором режиме осуществляется защита на уровне устройств, то есть активируются меры безопасности, основанные на процессах опознания/аутентификации (authentication) и разрешения/авторизации (authorization). В этом режиме определяются различные уровни доверия (trust) для каждой услуги, предложенной устройством. Уровень доступа может указываться непосредственно в чипе, и в соответствии с этим устройство будет получать определенные данные от других устройств.
  3. Третий режим — защита на уровне сеанса связи, где данные кодируются 128-битными случайными числами, хранящимися в каждой паре устройств, участвующих в конкретном сеансе связи. Этот режим требует опознания и использует кодировку/шифрование данных (encryption).

Второй и третий режимы часто применяются одновременно. Главная задача процесса аутентификации состоит в том, чтобы проверить, действительно ли устройство, инициирующее сеанс связи, является именно тем, за которое себя выдает. Устройство, инициирующее связь, посылает свой адрес-идентификатор (Bluetooth Device Address, BD_ADDR). Инициируемое устройство посылает в ответ случайное число в качестве запроса. В это время оба устройства рассчитывают опознавательный ответ, комбинируя адрес-идентификатор с полученным случайным числом. В результате сравнения происходит либо продолжение установления связи, либо разъединение (если опознавательные ответы не совпадут).

Если кто-то подслушивает соединение по эфиру, то для того, чтобы украсть аутентификационный ключ, ему необходимо знать алгоритм для выявления ключа из запроса и ответа, а определение такого обратного алгоритма потребует значительной компьютерной мощности. Поэтому стоимость извлечения ключа простым подслушиванием процедуры аутентификации неоправданно высока.

Что касается авторизации, то она предназначена для того, чтобы опознанное Bluetooth-устройство разрешило доступ к определенной информации или к услугам. Существуют три уровня доверия между Bluetooth-устройствами: проверенное (trusted), не вызывающее доверия (non-trusted) и неизвестное (unknown). Если устройство имеет доверительные отношения с инициирующим, то последнему разрешается неограниченный доступ к ресурсам. Если же устройству не доверяют, то доступ к ресурсам ограничивается так называемыми защитными слоями обслуживания (layer security service). Например, первый защитный слой требует опознания и разрешения для открытия доступа к сервису, второй — только опознания, третий — только кодировки. Неизвестное устройство, которое не было опознано, считается непроверенным.

И наконец, 128-битное шифрование данных помогает защитить секретную информацию от просмотра нежелательными посетителями. Только адресат с личным расшифровывающим ключом (decryption key) имеет доступ к этим данным.

Расшифровывающий ключ устройства основан на ключе связи. Это упрощает процесс генерации ключа, так как отправитель и адресат обладают общей секретной информацией, которая расшифрует код.

Служба Bluetooth-шифрования имеет, в свою очередь, три режима:

Режим без кодирования;

Режим, где кодируется только установление связи с устройствами, а передаваемая информация не кодируется;

Режим, при котором кодируются все виды связи.

Итак, защитные функции Bluetooth должны обеспечивать безопасную коммуникацию на всех связующих уровнях. Но на практике, несмотря на предусмотренную стандартом безопасность, в этой технологии имеется целый ряд существенных изъянов.

Например, слабым местом защиты Bluetooth-устройств является то, что производители стремятся предоставить пользователям широкие полномочия и контроль над устройствами и их конфигурацией. В то же время современная Bluetooth-технология обладает недостаточными средствами для опознания пользователей (то есть система безопасности Bluetooth не принимает во внимание личность или намерения пользователя), что делает Bluetooth-устройства особенно уязвимыми к так называемым spoofing-нападениям (радиодезинформации) и неправильному применению опознавательных устройств.

Кроме того, приоритетным считается надежность опознавания устройств, а не их безопасное обслуживание. Поэтому обнаружение услуг (service discovery) является критической частью всей схемы Bluetooth.

Крайне слабым местом интерфейса Bluetooth можно считать и процесс первичного спаривания устройств (pairing), при котором происходит обмен ключами в незакодированных каналах, что делает их уязвимыми для стороннего прослушивания. В результате перехвата передачи в момент процесса спаривания можно получить ключ инициализации путем вычисления этих ключей для любого возможного варианта пароля и последующего сравнения результатов с перехваченной передачей. Ключ инициализации, в свою очередь, используется хакером для расчета ключа связи и сравнивается с перехваченной передачей для проверки. В связи с этим рекомендуется производить процедуру спаривания в знакомой и безопасной среде, что значительно уменьшает угрозу подслушивания. Кроме того, риск перехвата можно уменьшить, если пользоваться длинными паролями, которые усложняют их определение из перехваченных сообщений.

Вообще, допускаемая стандартом возможность использования коротких паролей является еще одной причиной уязвимости Bluetooth-соединения, что, как и в случае с использованием простых паролей системными администраторами компьютерных сетей, может привести к их угадыванию (например, при автоматическом сравнении с базой заурядных/распространенных паролей). Такие пароли значительно упрощают инициализацию, но делают ключи связи очень простыми в плане извлечения из перехваченных передач.

Кроме того, ради простоты пользователи склонны применять спаренные ключи связи, а не более защищенные динамичные. По этой же причине вместо комбинаторных ключей они выбирают модульные. А устройство с модульным ключом использует его для соединения со всеми устройствами, которые устанавливают с ним связь. В результате любое устройство с модульным ключом может использовать его для подслушивания на безопасных соединениях, где применяется такой же ключ связи и от проверенных устройств (то есть тех, с которыми связь уже была когда-то установлена). При использовании же модульных ключей никакой защиты не существует.

Однако любое Bluetooth-устройство с личным ключом связи (decryption key) вполне безопасно. Так что меры безопасности по технологии Bluetooth могут защитить соединения только при условии правильной настройки и при правильном пользовании сервисами. И это единственный способ уберечь персональные данные и конфиденциальную информацию от попадания в чужие руки.

Вирусные атаки по Bluetooth

егодня в рамках общей тенденции усложнения телефонных аппаратов стремительно набирает популярность относительно новый тип карманных устройств под названием смартфон (в переводе с английского — «умный телефон»), который по сути является результатом синтеза сотовых телефонов и карманных компьютеров (КПК).

Аналитики оценивают рынок смартфонов как наиболее перспективный сегмент мобильной телефонии. Некоторые даже утверждают, что смартфоны и коммуникаторы в конце концов вытеснят с рынка и традиционные сотовые телефоны, и КПК, причем произойти это может в самое ближайшее время. Аргументация для такого предсказания железная: каждый человек мечтает увидеть у себя на ладони максимально многофункциональное устройство за те же деньги. А современные смартфоны дешевеют прямо на глазах.

В результате скромные мобильники, предназначенные только для того, чтобы звонить, под давлением прогресса постепенно уступают место сложным многофункциональным устройствам с компьютерными функциями. К тому же, согласно данным аналитической компании Mobile Data Association (MDA), количество мобильных телефонов, поддерживающих новые технологии, к концу текущего года должно удвоиться.

Однако немногие пользователи отдают себе отчет в том, чем им грозит переход от примитивных «звонилок» к сложным коммуникационным устройствам, которые работают под управлением операционных систем и программного обеспечения. А между тем уже в середине прошлого года был обнаружен первый вирус для смартфонов под управлением операционной системы Symbian (доля смартфонов с этой ОС, если исключить КПК и коммуникаторы, составляет 94%).

Итак, первый в истории мобильный вирус, а точнее сетевой червь под названием Cabir, начал распространяться по сотовым сетям и заражать смартфоны под управлением Symbian. Впрочем, практически одновременно с Cabir другой вирус под именем Duts поразил Windows Mobile. Хотя оба этих вируса особого вреда пользователям еще не причинили (они даже спрашивали разрешение у владельцев телефонов на то, чтобы заразить их мобильники, и такое разрешение ничего не подозревающие пользователи им давали!), однако вирусы для смартфонов совершенствуются гораздо быстрее, чем их старшие братья — компьютерные вирусы. Не прошло и года с момента появления первых вирусов, как очередной анонимный творец вредоносных программ продемонстрировал важное достижение — блокировал антивирусное ПО.

У специалистов пока нет единого мнения о том, можно ли считать появление подобных червей предвестием эпидемий мобильных вирусов, однако ничего технически сложного в создании подобной «нечисти» нет, так что в ближайшее время мы обязательно столкнемся с попытками хакеров запустить что-нибудь более вредоносное. Теоретически мобильный вирус может, к примеру, стереть имена и телефоны из записной книжки и другие данные, хранящиеся в трубке, а также разослать SMS-сообщения, написанные якобы владельцем зараженного аппарата. Заметим при этом, что как сама по себе рассылка подобных сообщений, так и наличие платных SMS-сервисов может сильно подорвать бюджет обладателя инфицированного телефона.

Что касается первых вирусов и их клонов, то владельцам смартфонов достаточно отключать функциональность Bluetooth, когда она не нужна, или ставить устройство в режим недоступности для обнаружения другими Bluetooth-гаджетами.

Производители антивирусного ПО уже начали серьезно относиться к защите мобильных телефонов, и если вы столкнулись с проявлениями вирусных атак на свой мобильник, то можете обратиться за помощью к производителям антивирусных программ, которые разработали средства и для защиты смартфонов. Самую популярную в настоящее время антивирусную программу Mobile Anti-Virus для очищения мобильных телефонов от вирусов выпускает компания F-Secure (http://mobile.f-secure.com).

«Лаборатория Касперского», в свою очередь, сообщила, что Россия стала девятым государством, на территории которого в смарфоны проник сетевой червь Cabir, и предложила пользователям установить на мобильные телефоны специальную программу для его поиска и удаления. Программа доступна для бесплатной загрузки на Wap-сайте «Лаборатории Касперского» (http://www.kaspersky.ru).

Новозеландская компания Symworks (http://www.simworks.biz) также выпускает антивирусные программы для КПК и мобильных телефонов. С их помощью можно обнаружить уже с десяток вредоносных программ, которые распространяются под видом полезного программного обеспечения для этих устройств. Один из вирусов даже специально констатирует, что борется с антивирусной программой от Symworks.

Разработчик антивирусов компания Trend Micro тоже предложила пользователям мобильных устройств бесплатную антивирусную защиту. Этот новый продукт не только уничтожает известные вирусы, но и убирает SMS-спам. Trend Micro Mobile Security можно скачать и использовать до июня этого года. Антивирусный пакет совместим со всеми популярными мобильными устройствами на базе Windows Mobile for Smartphone, Windows Mobile 2003 for Pocket PC и Symian OS v7.0 с интерфейсом UIQ v2.0/2.1. Скачать программу можно по адресу: http://www.trendmicro.com/en/products/mobile/tmms/evaluate/overview.htm .

Последний из найденных вирусов — Drever-C — действует в лучших традициях жанра: он проникает в телефон под видом обновленной версии антивируса (этим приемом часто пользуются и вирусы для ПК). При этом все распространенные системы защиты от F-Secure, SimWorks и Лаборатории «Касперского» оказываются бессильными против него.

Заключение

ак правило, покупатели мобильных телефонов и Bluetooth-гаджетов больше беспокоятся о собственном здоровье, нежели о состоянии своих аппаратов. Поэтому сразу их успокоим — поскольку стандарт IEEE 802.15.1 разрабатывался с расчетом на малую мощность, то влияние его на здоровье человека ничтожно. Радиоканал обеспечивает скорость 721 Кбит/с, что совсем немного по сравнению с другими стандартами. Этот факт обусловливает применение Bluetooth в соединениях лишь тех компонентов, объем передачи (трафик) которых незначителен.

Со временем все слабые стороны данной технологии, несомненно, будут вскрыты. Вполне возможно, что специальная рабочая группа по Bluetooth (Special Interest Group, SIG) обновит спецификации стандарта, когда изъяны будут выявлены. Производители, со своей стороны, модернизируют продукты, учитывая все рекомендации по безопасности.

Защити свой мобильник от вируса!

Поскольку вирусы, подобные Cabir, могут распространяться только на мобильные телефоны с Bluetooth в обнаруживаемом режиме, лучший способ защиты от заражения — это переводить аппарат в скрытый режим Bluetooth (hidden или non-discoverable).

Для передачи вируса Cabir с одного устройства на другое необходима беспроводная технология Bluetooth, так что зона его распространения ограничивается радиусом примерно в 10-15 м. И для того, чтобы он смог перепрыгнуть на другое устройство, находящееся в этой зоне, нужно не только чтобы был активирован Bluetooth, но и чтобы ничего не подозревающий обладатель мобильного телефона одобрил внедрение вируса в свой аппарат, поскольку при передаче файла на экране появляется предупреждение, что инсталлируется приложение от неизвестного источника.

После этого владелец должен разрешить вирусу запуститься и начать работу.

Впрочем, последние сообщения отображаются не на всех аппаратах и не во всех клонах вируса, так что владелец телефона не всегда может его «поприветствовать».

Отметим, что сегодня уже разработан модифицированный стандарт связи, который является следующим поколением Bluetooth, — IEEE 802.15.3. Он также предназначен для небольших сетей и локальной передачи данных, но предусматривает более высокую скорость передачи данных (до 55 Мбит/с) и на большее расстояние (до 100 м). В такой сети одновременно могут работать до 245 пользователей. Причем при возникновении помех со стороны других сетей или бытовых приборов каналы связи будут автоматически переключаться, что обеспечит стандарту 802.15.3 высокую надежность и устойчивость соединения. Возможно, новый стандарт будет применяться в тех областях, где требуется высокая скорость обмена данными и необходимо большее расстояние для передачи, а предыдущий будет использоваться для несложной компьютерной периферии (клавиатур, мышей и пр.), телефонных гарнитур, наушников и музыкальных плееров. В любом случае конкуренция этих стандартов будет определяться их ценой и энергетической эффективностью.

Что касается мобильных телефонов, то компании Microsoft и Symbian Limited готовят новые дополнительные средства защиты. Ведь не секрет, что мобильные телефоны применяются сегодня не только как средство коммуникации, но и как активно используемая компьютерная периферия (GPRS-модем и запоминающее устройство), что предъявляет повышенные требования к их защите.

Угрозы для сетей WLAN

Обеспечить безопасность беспроводной сети еще сложнее, чем защитить проводную сеть. Защита должна стоять на первом месте для всех, кто использует или администрирует сети.

В диапазоне действия точки доступа сеть WLAN открыта для всех, кто обладает соответствующими учетными данными, посредством которых выполняется ассоциация с точкой доступа. Обладая беспроводным сетевым адаптером и знанием приемов взлома, злоумышленник может не присутствовать физически в том месте, где находится сеть WLAN, чтобы получить к ней доступ.

Вопросы безопасности приобретают еще большее значение, когда речь идет о корпоративных сетях, поскольку жизнедеятельность компании, помимо прочего, зависит от защищённости данных. Нарушения системы безопасности могут иметь катастрофические последствия для компаний, особенно если компания оперирует финансовой информацией своих клиентов. Беспроводные сети все чаще развертываются на предприятиях и во многих случаях являются уже не просто более удобным вариантом, но и критически важной частью сети. Хотя сети WLAN всегда были подвержены атакам, по мере роста их популярности они становятся целью номер один.

Атаки могут инициироваться посторонними людьми и недовольными сотрудниками, но помимо подобных недоброжелателей атака может быть ненамеренно спровоцирована любым сотрудником. Беспроводные сети особенно подвержены следующим угрозам:

· беспроводные злоумышленники;

· вредоносные приложения;

· перехват данных

· атаки DoS

На рисунке нажмите на каждую из угроз, чтобы просмотреть дополнительные сведения.

Примечания . В этой главе не рассматриваются такие угрозы, как спуфинг MAC-адреса точки доступа или беспроводного клиента, взлом и атаки на инфраструктуру.

Атака типа «отказ в обслуживании»

Ниже приведены причины возникновения DoS-атаки на беспроводную сеть.

· Неправильная настройка устройств - ошибки конфигурации могут стать причиной отключения сети WLAN. Например, администратор может случайно изменить конфигурацию и отключить сеть, либо злоумышленник с правами администратора может отключить сеть WLAN намеренно.



· Злоумышленник, намеренно препятствующий обмену данными по беспроводной сети - такие злоумышленники стремятся отключить беспроводную сеть полностью или до той степени, когда санкционированные устройства не смогут получить доступ к среде.

· Случайные помехи - сети WLAN работают на нелицензируемых частотных полосах и, следовательно, все беспроводные сети независимо от функций безопасности подвержены воздействию помех со стороны других беспроводных устройств. Случайные помехи могут возникать в результате работы таких устройств, как микроволновые печи, радиотелефоны, радио-няни и др. Полоса 2,4 ГГц в большей степени подвержена воздействию помех, чем полоса 5 ГГц.

Чтобы минимизировать риск DoS-атаки вследствие неправильной настройки устройств и вредоносных атак, следует обеспечить защиту всех устройств, хранить пароли в надежном месте, создавать резервные копии и изменять конфигурацию только в нерабочие часы.

Случайные помехи возникают только в случае работы других беспроводных устройств. Оптимальным решением является мониторинг сети WLAN на предмет проблем, связанных с помехами, и решение таких проблем по мере их возникновения. Поскольку полоса 2,4 ГГц в большей степени подвержена воздействию помех, в наиболее слабых зонах можно использовать полосу 5 ГГц. Некоторые решения для сетей WLAN обеспечивают автоматическую регулировку каналов точками доступа и позволяют использовать полосу 5 ГГц, чтобы компенсировать помехи. Например, некоторые решения стандарта 802.11n/ac/ad подстраиваются автоматически в целях противодействия помехам.

На рисунке показано, как радиотелефон или микроволновая печь могут создавать помехи для обмена данными по сети WLAN.

Технология Cisco CleanAir позволяет устройствам определять и находить источники помех, не относящиеся к стандарту 802.11. Эта технология создает сеть, которая способна автоматически приспосабливаться к изменениям в среде.

DoS-атаки с использованием кадров управления

Хотя это и маловероятно, злоумышленники могут намеренно инициировать DoS-атаку, используя устройства радиоэлектронного противодействия, которые создают случайные помехи. Более вероятно, что злоумышленники попытаются оперировать кадрами управления, потребляя, таким образом, ресурсы точки доступа, и загрузят каналы настолько, что они не смогут обслуживать санкционированный пользовательский трафик.

Кадры управления можно использовать для организации различных типов DoS-атак. Распространены два типа атак с использованием кадров управления.

· Атака путем ложного отключения - для осуществления такой атаки злоумышленник отправляет набор команд «отмены ассоциации» на все беспроводные устройства в пределах BSS. Эти команды вызывают отключение всех клиентов. При отключении все беспроводные клиенты сразу же пытаются выполнить повторную ассоциацию, что вызывает резкое увеличение объёма трафика. Злоумышленник продолжает отправлять кадры отмены ассоциации, и цикл повторяется.

· Лавинная атака разрешений отправки CTS - данный тип атаки возникает, когда злоумышленник использует метод разрешения конфликтов в среде CSMA/CA для монополизации полосы пропускания и отклонения доступа для всех остальных беспроводных клиентов. Для этого злоумышленник постоянно выполняет в BSS лавинную рассылку разрешений отправки CTS на ложный STA. Все остальные беспроводные клиенты, совместно использующие среду радиочастот, принимают CTS и перестают выполнять передачу данных до тех пор, пока злоумышленник не прекратит передачу кадров CTS.

На рис. 1 показано, как беспроводной клиент и точка доступа используют метод CSMA/CA для доступа к среде.

На рис. 2 показано, как злоумышленник создает лавинную рассылку кадров CTS на ложный беспроводной клиент. Теперь все остальные клиенты вынуждены дожидаться завершения периода, заданного в кадре CTS. Однако злоумышленник продолжает отправлять кадры CTS. Следовательно, остальные клиенты вынуждены постоянно ждать. Таким образом, злоумышленник контролирует среду.

Примечание . Это всего лишь единичный пример атаки с использованием кадров управления. Существуют и многие другие.

Чтобы снизить риск возникновения подобных атак, корпорация Cisco разработала ряд решений, включая функцию Cisco Management Frame Protection (MFP), которая также обеспечивает полноценную профилактическую защиту от спуфинга кадров и устройств. Система предотвращения вторжений Cisco Adaptive Wireless дополняет это решение функциями обнаружения вторжений на ранних сроках путем сопоставления сигнатур атак.

Комитет по стандартам IEEE 802.11 также разработал два стандарта безопасности беспроводной сети. Стандарт 802.11i, использующий Cisco MFP, определяет механизмы безопасности для беспроводных сетей, в то время как стандарт защиты кадров управления 802.11w направлен на решение проблем, связанных с манипуляцией кадрами управления.

Вредоносные точки доступа

Вредоносная точка доступа представляет собой беспроводной маршрутизатор, который можно охарактеризовать следующим образом.

· Такой маршрутизатор подключается к корпоративной сети без явной авторизации и в нарушение корпоративной политики. Любой пользователь, имеющий доступ к объектам, может установить (со злым умыслом или без) недорогой беспроводной маршрутизатор, который теоретически обеспечивает доступ к ресурсам защищенной сети.

· Злоумышленник может подключить или включить такой маршрутизатор с целью захвата данных клиента (например, MAC-адреса беспроводных и проводных клиентов) или захвата и маскировки пакетов данных для получения доступа к ресурсам сети; или же в целях инициации атаки с перехватом.

Следует также учитывать, насколько просто создать персональную беспроводную точку доступа. Например, пользователь, имеющий защищённый доступ к сети, настраивает свой авторизованный узел Windows, как точку доступа к сети Wi-Fi. При этом несакционированные устройства обходят меры безопасности и получают доступ к ресурсам сети, как одно общее устройство.

Чтобы предотвратить установку вредоносных точек доступа, организации должны использовать программное обеспечение для активного мониторинга спектра радиосигналов на предмет наличия несанкционированных точек доступа. Например, на снимке экрана программного обеспечения для управления сетями инфраструктуры Cisco Prime на рисунке показана карта радиочастот, определяющая местоположение злоумышленника с обнаруженным ложным MAC-адресом.

Примечание . Cisco Prime является программным обеспечением для управления сетями, которое взаимодействует с другими подобными программами, обеспечивая общее представление и централизованное размещение всех данных о сети. Как правило, это ПО развертывается в очень крупных организациях.

Атака с перехватом

К одному из более сложных типов атак, которые может применить злоумышленник, относится атака с перехватом. Существует множество способов создания атаки с перехватом.

Один из самых распространённых видов такой атаки называется «злой двойник», в рамках которой злоумышленник внедряет вредоносную точку доступа и настраивает ее с использованием такого же имени SSID, что и у санкционированной точки доступа. Места, где предлагается бесплатный доступ к сети Wi-Fi, например, аэропорты, кафе и рестораны - самые популярные мишени для атак такого типа, поскольку на этих объектах используется открытая аутентификация.

При подключении беспроводных клиентов отображаются две точки доступа, предлагающие беспроводной доступ. Те, кто находятся рядом с вредоносной точкой доступа, обнаруживают более мощный сигнал, и, скорее всего, выполнят ассоциацию с точкой доступа «злой двойник». Теперь пользовательский трафик отправляется на постороннюю точку доступа, которая, в свою очередь, захватывает данные и пересылает их на надежную точку доступа. Обратный трафик от санкционированной точки доступа отправляется на вредоносную точку доступа, захватывается, а затем пересылается ничего не подозревающей станции (STA). Злоумышленник может украсть пароль пользователя, личную информацию, получить доступ к сети и скомпрометировать систему пользователя.

Например, на рис. 1 злоумышленник находится в кафе «Латте Боба» и пытается захватить трафик от ничего не подозревающих беспроводных клиентов. Злоумышленник запускает программное обеспечение, которое делает его ноутбук точкой доступа типа «злой двойник», имеющей то же имя SSID и канал, что и санкционированный беспроводной маршрутизатор.

На рис. 2 пользователь видит два доступных беспроводных подключения, но выбирает для ассоциации точку доступа «злой двойник». Злоумышленник захватывает пользовательские данные и пересылает их на санкционированную точку доступа, которая, в свою очередь, направляет ответный трафик обратно на точку доступа «злой двойник». Точка доступа «злой двойник» захватывает ответный трафик и пересылает данные ничего не подозревающему пользователю.

Успешность предотвращения атаки с перехватом зависит от сложности инфраструктуры сети WLAN и тщательности мониторинга сети. Процесс начинается с определения санкционированных устройств в сети WLAN. Для этого пользователи должны пройти аутентификацию. После того, как определены все санкционированные устройства, можно выполнить мониторинг сети на предмет наличия подозрительных устройств или трафика.

Корпоративные сети WLAN, в которых используются самые современные устройства WLAN, предоставляют администраторам инструменты, которые в комплексе работают, как беспроводная система предотвращения вторжения (IPS). К таким инструментам относятся сканеры, с помощью которых выявляются вредоносные точки доступа и одноранговые сети, а также инструменты управления радиоресурсами, которые осуществляют мониторинг радиочастотной полосы на предмет активности и загрузки точки доступа. Большая нагрузка на точку доступа сигнализирует администратору о возможном наличии несанкционированного трафика.

Обзор безопасности беспроводной сети

Безопасность сети Wi-Fi всегда вызывала особое беспокойство, поскольку границы сети расширились. Сигналы беспроводной связи могут передаваться через твердые препятствия - потолки, полы, стены, за пределы дома или офиса. Без строгих мер безопасности установка сети WLAN - сродни повсеместному размещению Ethernet-портов, даже на улице.

Чтобы предотвратить угрозы со стороны злоумышленников, пытающихся проникнуть в беспроводную сеть, и защитить данные, использовались две функции обеспечения безопасности.

· Сокрытие идентификатора SSID . Точки доступа и некоторые беспроводные маршрутизаторы позволяют отключить кадр сигнала идентификатора SSID. Беспроводные клиенты должны вручную определить имя SSID, чтобы подключиться к сети.

· Фильтрация MAC-адресов . Администратор может вручную разрешить или запретить клиентам беспроводной доступ в зависимости от MAC-адреса их физического оборудования.

Хотя эти две функции отсеивают большинство пользователей, на самом деле ни сокрытие идентификатора SSID, ни фильтрация MAC-адресов не помешают умелому взломщику. Имена SSID легко обнаружить даже в том случае, если точки доступа не выполняют их широковещательную рассылку, а MAC-адреса можно подделать. Оптимальным способом защиты беспроводной сети является использование систем аутентификации и шифрования (см. рис. 1).

В исходном стандарте 802.11 представлено два типа аутентификации:

· Аутентификация открытой системы . Все беспроводные клиенты могут легко выполнить подключение, и такая система может использоваться только в тех случаях, когда безопасность не имеет особого значения (например, в местах, где предоставляется бесплатный доступ к Интернету - кафе, отели и удалённые расположения).

· Аутентификация согласованного ключа . Для аутентификации и шифрования данных, передаваемых между беспроводным клиентом и точкой доступа, предоставляет такие механизмы, как WEP, WPA или WPA2 . Однако для подключения пароль необходимо предварительно согласовать между сторонами.

На схеме на рис. 2 представлены краткие сведения о различных типах аутентификации.

Методы аутентификации согласованного ключа

Как показано на рис. 1, доступны три варианта аутентификации согласованного ключа:

· Протокол шифрования беспроводной связи (WEP) . Исходная спецификация 802.11, которая разработана для обеспечения конфиденциальности на уровне, сопоставимом с проводным подключением. Защита данных обеспечивается посредством метода шифрования RC4 с использованием статического ключа. Однако ключ никогда не изменяется при передаче пакетов, поэтому его достаточно легко взломать.

· Защищённый доступ к Wi-Fi (WPA) . Стандарт Wi-Fi Alliance, который использует WEP, но обеспечивает защиту данных за счёт гораздо более надежного алгоритма шифрования с использованием временных ключей (TKIP). TKIP изменяет ключ для каждого пакета, поэтому его гораздо сложнее взломать.

· IEEE 802.11i/WPA2 . Стандарт IEEE 802.11i является отраслевым стандартом безопасности беспроводных сетей. Версия Wi-Fi Alliance называется WPA2. 802.11i и WPA2 используют для шифрования усовершенствованный стандарт шифрования (AES). В настоящее время AES считается самым надежным протоколом шифрования.

Использовать WEP уже не рекомендуется. Общие ключи WEP показали свою несостоятельность, и, следовательно, их не следует использовать. Чтобы компенсировать слабые стороны общих ключей WEP, компании сначала пытались скрывать идентификаторы SSID и фильтровать MAC-адреса. Эти методы также оказались слишком ненадежными.

Ввиду ненадежности систем безопасности на основе WEP, в течение некоторого времени использовались промежуточные меры безопасности. Такие поставщики, как Cisco, стремясь удовлетворить повышенные требования в отношении безопасности, разработали собственные системы, одновременно пытаясь усовершенствовать стандарт 802.11i. В процессе развития стандарта 802.11i был создан алгоритм шифрования TKIP, который был связан с методом обеспечения безопасности Wi-Fi Alliance WPA.

Современные беспроводные сети всегда должны использовать стандарт 802.11i/WPA2. WPA2 является версией Wi-Fi стандарта 802.11i, следовательно, термины WPA2 и 802.11i зачастую являются взаимозаменяемыми.

С 2006 года все устройства, на которые нанесен логотип Wi-Fi Certified, сертифицированы для использования WPA2.

Примечание . В целях оптимизации производительности, сети Wireless-N должны использовать режим безопасности WPA2-Personal.

В таблице на рис. 2 показаны общие сведения о трех типах методов аутентификации согласованных ключей.

Методы шифрования

Шифрование используется для защиты данных. Если злоумышленник выполнил захват зашифрованных данных, он не сможет их расшифровать за короткий срок.

Стандарты IEEE 802.11i, Wi-Fi Alliance WPA и WPA2 используют следующие протоколы шифрования:

· Шифрование с использованием временных ключей (TKIP) . TKIP является методом шифрования, который используется стандартом WPA. Он обеспечивает поддержку предыдущих версий оборудования сетей WLAN за счёт устранения исходных уязвимостей, характерных для метода шифрования 802.11 WEP. Он использует WEP, однако выполняет шифрование полезной нагрузки 2 уровня с использованием TKIP и выполняет проверку целостности сообщений в зашифрованном пакете, чтобы убедиться в том, что сообщение не используется несанкционированно.

· Усовершенствованный стандарт шифрования (AES) . AES является методом шифрования, который используется стандартом WPA2. Этот метод является предпочтительным, поскольку соответствует отраслевому стандарту IEEE 802.11i. AES выполняет те же функции, что и TKIP, но обеспечивает значительно более надежный метод шифрования. Он использует протокол CCMP, который позволяет узлам назначения распознавать зашифрованные и незашифрованные биты, используемые несанкционированно.

Примечание . По возможности всегда следует выбирать WPA2 с AES.

За последние несколько лет популярность беспроводных сетей значительно возросла. На рост популярности беспроводного доступа в значительной мере оказывают влияние такие факторы, как интеграция в современные ноутбуки карт беспроводного доступа, появления PDA устройств, радио IP телефонов и т.д. По оценке компании IDC, до конца 2004 года планируется, что продажи оборудования беспроводного доступа достигнут 64 млн. устройств (для сравнения в 2002 году было продано 24 млн. устройств). Сейчас беспроводный доступ можно встретить в ресторанах, гостиницах и аэропортах, многие компании используют беспроводные сети для подключения пользователей к своей ИТ инфраструктуре, пользователи домашних сетей используют беспроводный доступ, для подключения к сети Интернет. При этом лишь немногие ставят вопрос безопасности беспроводной сети на первое место.

Введение

За последние несколько лет популярность беспроводных сетей значительно возросла. На рост популярности беспроводного доступа в значительной мере оказывают влияние такие факторы, как интеграция в современные ноутбуки карт беспроводного доступа, появления PDA устройств, радио IP телефонов и т.д. По оценке компании IDC, до конца 2004 года планируется, что продажи оборудования беспроводного доступа достигнут 64 млн. устройств (для сравнения в 2002 году было продано 24 млн. устройств). Сейчас беспроводный доступ можно встретить в ресторанах, гостиницах и аэропортах, многие компании используют беспроводные сети для подключения пользователей к своей ИТ инфраструктуре, пользователи домашних сетей используют беспроводный доступ, для подключения к сети Интернет. При этом лишь немногие ставят вопрос безопасности беспроводной сети на первое место.

Проблемы безопасности беспроводного доступа

1. Позиционирование SSID

Параметр SSID является идентификатором беспроводной сети. Он применяется для разделения пользователей беспроводной сети на логические группы. SSID позволяет пользователю подключиться к требуемой беспроводной сети, и при необходимости, может быть сопоставлен с идентификатором виртуальной локальной сети (VLAN). Такое сопоставление необходимо для организации разграничения уровней доступа беспроводных пользователей к ресурсам корпоративной инфраструктуры.

Некоторые сетевые инженеры, при проектировании беспроводной сети, считают, что SSID является одним из средств обеспечения безопасности и отключение широковещательной рассылки значения SSID позволит усилить безопасность сети. На самом деле, отключение широковещательной рассылки этого параметра не только не повысит безопасность беспроводной сети, но и сделает сеть менее гибкой по отношению к клиентам. Некоторые клиенты не смогут корректно работать с точкой радиодоступа, на которой отключено вещание значения SSID. Следует иметь ввиду, что даже при отключении вещания SSID, возможность определения этого идентификатора по-прежнему остается, так как его значение передается во фреймах probe response. Нужно так же понимать, что разделив пользователей на различные логические группы при помощи SSID, вероятность подслушивания трафика остается, даже у пользователей, которые не зарегистрированы на точке беспроводного доступа.

2. Аутентификация с использованием MAC адреса

Аутентификация - это процесс определения личности клиента по предоставленной им информации, например, имя и пароль. Многие производители беспроводного оборудования поддерживают аутентификацию пользовательских устройств по MAC-адресам, однако стандарт IEEE (Institut of Electrical and Electronic Engineers) 802.11 такой тип аутентификации не предусматривает.

Аутентификация по MAC адресу без использования дополнительных методов обеспечения безопасности малоэффективна. Злоумышленнику достаточно просто получить доступ к беспроводной сети в которой настроена только аутентификация по MAC адресу. Для этого необходимо проанализировать радиоканал, на котором точка радиодоступа работает с клиентами, и получить список MAC адресов устройств, которым открыт доступ к сети. Для получения доступа к сетевым ресурсам по беспроводной сети необходимо заменить MAC адрес своей беспроводной карты, на известный MAC адрес клиента.

3. Проблемы с шифрованием при помощи статических ключей WEP

WEP (Wired Equivalent Privacy) - ключ, который предназначен для шифрования трафика между точкой радиодоступа и ее пользователями. Шифрование WEP основано на недостаточно криптоустойчивом алгоритме шифрования RC4. Длина WEP ключа составляет 40 или 104 бита. К ключу добавляется нешифрованная последовательность символов для успешного декодирования сигнала на обратной стороне размером 24 бита. Таким образом, принято говорить о длинах ключей 64 и 128 бит, однако эффективная часть ключа составляет всего лишь 40 и 104 бита. Стоит отметить, что при такой длине статического ключа, говорить о повышенной криптоустойчивости беспроводной сети не приходиться. В сети Интернет можно без особого труда найти программы, которые позволяют получить WEP ключ на основе трафика собранного анализатором. К таким программам относятся, например, WEPCrack и AirSnort. Для повышения криптоустойчивости, статический ключ размером 64 бита необходимо менять ориентировочно раз в 20 минут, а ключ размером 128 бит раз в час. Представьте себе, что вам необходимо каждый час изменять статический WEP ключ на точке доступа и всех ее клиентах. А если количество пользователей 100 или 1000? Такое решение не будет востребовано, из-за неоправданной сложности в эксплуатации.

4. Сетевые атаки

Сетевые атаки можно разделить на активные и пассивные.

К пассивным атакам относятся атаки, во время проведения которых не оказывается активных воздействий на работу беспроводной сети. Например, злоумышленник, используя программы WEPCrack или AirSnort, на протяжении 3-4 часов пассивной слежки и анализа вычисляет секретный ключ шифрования WEP длиной 128 бит.

Суть активных атак заключается в воздействии на беспроводную сеть с целью получения данных, после обработки которых, будет получен доступ к ресурсам радиосети. К ним относятся такие атаки как, повторное использование вектора инициализации и атака с манипуляцией битов.

Повторное использование вектора инициализации.

Злоумышленник многократно посылает одну и ту же информацию (заранее известного содержания) пользователю, который работает в атакуемом беспроводном сегменте, через внешнюю сеть. Все время пока злоумышленник посылает информацию пользователю, он так же прослушивает радиоканал (канал между пользователем и атакуемой точкой радиодоступа) и собирает шифрованные данные, в которых содержится посланная им информация. Затем злоумышленник вычисляет ключевую последовательность, используя полученные шифрованные данные и известные нешифрованные.

Манипуляция битами.

Атака основана на уязвимости вектора контроля целостности. Например, злоумышленник манипулирует битами пользовательских данных внутри фрейма с целью искажения информации 3 го уровня. Фрейм не претерпел изменений на канальном уровне, проверка целостности на точке радиодоступа проходит успешно и фрейм передается дальше. Маршрутизатор, получив фрейм от точки радиодоступа, распаковывает его и проверяет контрольную сумму пакета сетевого уровня, контрольная сумма пакета оказывается неверной. Маршрутизатор генерирует сообщение об ошибке и отсылает фрейм обратно на точку радиодоступа. Точка радиодоступа шифрует пакет и отправляет клиенту. Злоумышленник захватывает зашифрованный пакет с заранее известным сообщением об ошибке, после чего вычисляет ключевую последовательность.

5. Атаки DoS

К DoS (Deny of Service) атакам относятся виды атак, результатом которых становиться отказ в обслуживании клиентов беспроводной сети. Суть данных атак заключается в том, чтобы парализовать работу беспроводной сети.

Специалистами Квинслендского технологического университета была опубликована информация об обнаруженной уязвимости, связанной с оценкой доступности радиоканала в технологии с прямой последовательностью распространения спектра (DSSS). На базе этой технологии реализован широко – распространенный стандарт 802.11b.

Злоумышленник, используя уязвимость, имитирует постоянную занятость беспроводной сети. В результате такой атаки, все пользователи, работающие с точкой радиодоступа, по отношению к которой произошла атака, будут отключены.

Так же необходимо заметить, что данная атака может быть применима не только к оборудованию, работающему в стандарте 802.11b, но и к оборудованию стандарта 802.11g, хотя он не использует технологию DSSS. Это возможно тогда, когда точка радиодоступа, работающая в стандарте 802.11g поддерживает обратную совместимость со стандартом 802.11b.

На сегодняшний день защиты от DoS атак для оборудования стандарта 802.11b не существует, но, для избежания такой атаки, целесообразно использовать оборудование стандарта 802.11g (без обратной совместимости с 802.11b).

Как лучше построить безопасную беспроводную сеть?

При проектировании и построении беспроводной сети необходимо уделить основное внимание безопасности, надежности, а так же максимально упростить эксплуатационный процесс.

В качестве примера возьмем следующую задачу, в которой необходимо обеспечить доступ пользователей Конференц зала к корпоративным ресурсам. В этом примере мы рассмотрим построение такой сети на базе оборудования, предлагаемого различными компаниями.

Перед построением сети беспроводного доступа, необходимо произвести изучение местности, т.е. вооружившись точкой радиодоступа и портативным компьютером выехать на объект предполагаемой инсталляции. Это позволит определить места наиболее удачного расположения точек радиодоступа, позволяя добиться максимальной зоны покрытия местности. При построении системы безопасности беспроводного доступа необходимо помнить о трех составляющих:

архитектура аутентификации,

механизм аутентификации,

механизм обеспечения конфиденциальности и целостности данных.

В качестве архитектуры аутентификации используется стандарт IEEE 802.1X. Он описывает единую архитектуру контроля доступа к портам устройств с использованием различных методов аутентификации абонентов.

В качестве механизма аутентификации мы будем использовать протокол EAP (Extensible Authentication Protocol). Протокол EAP позволяет осуществлять аутентификацию на основе имени пользователя и пароля, а так же поддерживает возможность динамической смены ключа шифрования. Имена пользователей и пароли необходимо хранить на сервере RADIUS.

В качестве механизма обеспечивающего конфиденциальность и целостность данных мы будет использоваться протоколы WEP и TKIP (Temporal Key Integrity Protocol). Протокол TKIP позволяет усилить защиту WEP шифрования, за счет таких механизмов как MIC и PPK. Рассмотрим более подробно их предназначение.

MIC (Message Integrity Check) повышает эффективность функции контроля целостности в стандарте IEEE 802.11, за счет добавления во фрейм следующих полей, SEC (sequence number) и MIC, что позволяет предотвращать атаки, связанные с повторным использованием вектора инициализации и манипуляции битами.

PPK (Per-Packet Keying) попакетная смена ключа шифрования. Она позволяет снизить вероятность успешных атак, целью которых является определение WEP ключа, но не гарантирует полную защиту.

Чтобы избежать атак типа “отказ в обслуживании”, основанных на уязвимости технологии DSSS, беспроводная сеть будет построена на базе оборудования нового стандарта 802.11g (при этом стандарт 802.11g не должен быть обратно совместимым со стандартом 802.11b). Стандарт 802.11g основан на использовании технологии OFDM (Orthogonal Frequency Division Multiplexing), данная технология позволяет добиться скорости до 54Mbps.

В целях повышения уровня безопасности беспроводной сети целесообразно рассмотреть вопрос об использовании сервера Cisco WLSE (Wireless LAN Solution Engine). Применение этого устройства позволит выявлять несанкционированно установленные точки радиодоступа, а также осуществлять централизованное управление радиосетью.

Для обеспечения отказоустойчивости работы точек беспроводного доступа целесообразно использовать режим standby. Таким образом, получается, что на одном радиоканале будут работать 2-е точки, одна в роли активной, другая в роли резервной.

Если требуется обеспечить отказоустойчивость в аутентифицированном доступе, то необходимо установить два сервера аутентификации ACS. При этом, один будет использоваться в качестве основного, а второй в качестве резервного.

Таким образом, при построении беспроводной сети с учетом требований к безопасности и отказоустойчивости мы задействовали широкий спектр компонентов, которые позволят защитить нас от посягательств злоумышленников и предотвратить возможные атаки.

Конечно, описанное решение, не является минимальным по ценовым характеристикам, однако, уделив первостепенное внимание вопросам безопасности в беспроводной сети риски минимизировали риски, связанные с возможной утечкой внутренней корпоративной информацией.

Поршаков Евгений, Системный инженер INLINE TECHNOLOGIES www.in-line.ru



Возможно вас заинтересует