Аналіз безпеки бездротових мереж

Наша взаимовыгодная связь https://banwar.org/

На даний момент більшість фірм і підприємств все більше уваги приділяють використанню безпосередньо Wi-Fi-мереж. Обумовлено це зручністю, мобільністю і відносною дешевизною при зв'язку окремих офісів і можливістю їх переміщення в межах дії обладнання. У Wi-Fi-мережах застосовуються складні алгоритмічні математичні моделі аутентифікації, шифрування даних, контролю цілісності їх передачі - що дозволять бути відносно спокійним за збереження даних при використанні даної технології.

Автор Сергій [t_serge_vlad ять mail.ru]

Аналіз безпеки бездротових мереж.

На даний момент більшість фірм і підприємств все більше уваги приділяють використанню безпосередньо Wi-Fi-мереж. Обумовлено це зручністю, мобільністю і відносною дешевизною при зв'язку окремих офісів і можливістю їх переміщення в межах дії обладнання. У Wi-Fi-мережах застосовуються складні алгоритмічні математичні моделі аутентифікації, шифрування даних, контролю цілісності їх передачі - що дозволять бути відносно спокійним за збереження даних при використанні даної технології.

Однак дана безпеку відносна, якщо не приділяти належної уваги налаштування бездротової мережі. До даного моменту вже існує список «стандартних» можливостей які може отримати хакер при недбалості в налаштуванні бездротової мережі:

- доступ до ресурсів локальної мережі;

- прослуховування, злодійство (мається на увазі безпосередньо інтернет-трафік) трафіку;

- спотворення проходить в мережі інформації;

- впровадження підробленої точки доступу;

- розсилка спаму від імені вашої мережі.

Трохи теорії.

1997 рік - вихід у світ першого стандарту IEEE 802.11. Варіанти захисту доступу до мережі:

1. Використовувався простий пароль SSID (Server Set ID) для доступу в локальну мережу. Даний варіант не надає належного рівня захисту, особливо для нинішнього рівня технологій.

2. Використання WEP (Wired Equivalent Privacy) - тобто використання цифрових ключів шифрування потоків даних за допомогою даної функції. Самі ключі це всього лише звичайні паролі з довжиною від 5 до 13 символів ASCII, що відповідає 40 або 104-розрядному шифрування на статичному рівні.

2001 рік - впровадження нового стандарту IEEE 802.1X. Даний стандарт використовує динамічні 128-розрядні ключі шифрування, тобто періодично змінюються в часі. Основна ідея полягає в тому, що користувач мережі працює сеансами, по завершенні яких їм надсилається новий ключ - час сеансу залежить від ОС (Windows XP - за замовчуванням час одного сеансу дорівнює 30 хвилинам).

На даний момент існують стандарти 802.11:

802.11 - Початковий базовий стандарт. Підтримує передачу даних по радіоканалу зі швидкостями 1 і 2 Мбіт / с.

802.11a - Високошвидкісний стандарт WLAN. Підтримує передачу даних зі швидкостями до 54 Мбіт / с по радіоканалу в діапазоні близько 5 ГГц.

I802.11b - Найбільш поширений стандарт. Підтримує передачу даних зі швидкостями до 11 Мбіт / с по радіоканалу в діапазоні близько 2,4 ГГц.

802.11e - Вимога якості запиту, необхідне для всіх радіо інтерфейсів IEEE WLAN

802.11f - Стандарт, що описує порядок зв'язку між рівнозначними точками доступу.

802.11g - встановлює додаткову техніку модуляції для частоти 2,4 ГГц. Призначений, для забезпечення швидкостей передачі даних до 54 Мбіт / с по радіоканалу в діапазоні близько 2,4 ГГц.

802.11h - Стандарт, що описує управління спектром частоти 5 ГГц для використання в Європі і Азії.

802.11i (WPA2) - Стандарт, що виправляє існуючі проблеми безпеки в областях аутентифікації і протоколів шифрування. Зачіпає протоколи 802.1X, TKIP і AES.

На даний момент широко використовується 4 стандарти: 802.11, 802.11a, 802.11b, 802.11g.

2003 року - був впроваджений стандарт WPA (Wi-Fi Protected Access), який поєднує переваги динамічного оновлення ключів IEEE 802.1X з кодуванням протоколу інтеграції тимчасового ключа TKIP (Temporal Key Integrity Protocol), протоколом розширеної аутентифікації EAP (Extensible Authentication Protocol) і технологією перевірки цілісності повідомлень MIC (Message Integrity Check).

Крім цього, паралельно розвивається безліч самостійних стандартів безпеки від різних розробників. Провідними є такі гіганти як Intel і Cisco.

2004 рік - з'являється WPA2, або 802.11i, - максимально захищений на даний час стандарт.

Технології захисту Fi-Wi мереж.

WEP

Ця технологія була розроблена спеціально для шифрування потоку даних, що передаються в рамках локальної мережі. Дані шифруються ключем з розрядністю від 40 до 104 біт. Але це не цілий ключ, а тільки його статична складова. Для посилення захисту застосовується так званий вектор ініціалізації IV (Initialization Vector), який призначений для рандомізації додаткової частини ключа, що забезпечує різні варіації шифру для різних пакетів даних. Даний вектор є 24-бітовим. Таким чином, в результаті ми отримуємо загальне шифрування з розрядністю від 64 (40 + 24) до 128 (104 + 24) біт, що дозволяє при шифруванні оперувати і постійними, і випадково вибраними символами. Але з іншого боку 24 біта це всього лише ~ 16 мільйонів комбінацій (224 ступеня) - тобто по закінченню циклу генерації ключа починається новий цикл. Злом здійснюється досить елементарно:

1) Знаходження повтору (мінімальний час, для ключа довжиною 40 біт - від 10 хвилин).

2) Злом решти (по суті - секунди)

3) Ви можете впроваджуватися в чужу мережу.

При цьому для злому ключа є досить поширені утиліти такі як WEPcrack.

802.1X

IEEE 802.1X - це основоположний стандарт для бездротових мереж. На даний момент він підтримується ОС Windows XP і Windows Server 2003.

802.1X і 802.11 є сумісними стандартами. У 802.1X застосовується той же алгоритм, що і в WEP, а саме - RC4, але з деякими відмінностями (велика «мобільність», тобто є можливість підключення в мережу навіть PDA-пристрої) і виправленнями (злом WEP і т. п.).

802.1X базується на протоколі розширеної аутентифікації EAP (Extensible Authentication Protocol), протоколі захисту транспортного рівня TLS (Transport Layer Security) і сервері доступу RADIUS (Remote Access Dial-in User Service).

Після того, як користувач пройшов етап аутентифікації, йому надсилається секретний ключ в зашифрованому вигляді на певний незначний час - час діючого на даний момент сеансу. По завершенні цього сеансу генерується новий ключ і знову висилається користувачеві. Протокол захисту транспортного рівня TLS забезпечує взаємну аутентифікацію і цілісність передачі даних. Всі ключі є 128-розрядними.

Окремо необхідно згадати про безпеку RADIUS: використовує в своїй основі протокол UDP (а тому відносно швидкий), процес авторизації відбувається в контексті процесу аутентифікації (тобто авторизація як така відсутня), реалізація RADIUS-сервера орієнтована на однопроцессной обслуговування клієнтів (хоча можливо і многопроцессность - питання досі відкрите), підтримує досить обмежене число типів аутентифікації (сleartext і CHAP), має середній ступінь захищеності. У RADIUS'е шифрується тільки cleartext-паролі, весь інший пакет залишається "відкритим" (з точки зору безпеки навіть ім'я користувача є дуже важливим параметром). А ось CHAP - це окрема розмова. Ідея в тому, що б cleartext-пароль ні в якому вигляді ніколи не передавався б через мережу. А саме: при аутентифікації користувача клієнт посилає користувальницької машині якийсь Challenge (довільна випадкова послідовність символів), користувач вводить пароль і з цим Challengе'ем призначена для користувача машина виробляє якісь шифрує дії використовуючи введений пароль (як правило це звичайне шифрування за алгоритмом MD5 (RFC-1321 ). Виходить Response. Цей Response відправляється назад клієнту, а клієнт все в сукупності (Challenge і Response) відправляє на аутентифікацію 3A-сервера (Authentication, Authorization, Accounting). Той (також маючи на своєму боці поль зовательскій пароль) виробляє ті ж самі дії з Challeng'ем і порівнює свій Response з отриманим від клієнта: сходиться - користувач аутентифікований, немає - відмова. Таким чином, cleartext-пароль знають тільки сам користувач і 3А-сервер і пароль відкритим текстом не « ходить "через мережу і не може бути зламаний.

WPA

WPA (Wi-Fi Protected Access) - це тимчасовий стандарт (технологія захищеного доступу до бездротових мереж), який є перехідним перед IEEE 802.11i. По суті, WPA поєднує в собі:

802.1X - основоположний стандарт для бездротових мереж;

EAP - протокол розширеної аутентифікації (Extensible Authentication Protocol);

TKIP - протокол інтеграції тимчасового ключа (Temporal Key Integrity Protocol);

MIC - технологія перевірки цілісності повідомлень (Message Integrity Check).

Основні модулі - TKIP і MIC. Стандарт TKIP використовує автоматично підібрані 128-бітові ключі, які створюються непередбачуваним способом і загальне число варіацій яких приблизно 500 мільярдів. Складна ієрархічна система алгоритму підбору ключів і динамічна їх заміна через кожні 10 Кбайт (10 тис. Переданих пакетів) роблять систему максимально захищеною. Від зовнішнього проникнення і зміни інформації також обороняє технологія перевірки цілісності повідомлень (Message Integrity Check). Досить складний математичний алгоритм дозволяє звіряти відправлені в одній точці і отримані в іншій дані. Якщо помічені зміни і результат порівняння не сходиться, такі дані вважаються помилковими і викидаються.

Правда, TKIP зараз не є кращим в реалізації шифрування, через нову технологію Advanced Encryption Standard (AES), використовуваної раніше в VPN.

VPN

Технологія віртуальних приватних мереж VPN (Virtual Private Network) була запропонована компанією Intel для забезпечення безпечного з'єднання клієнтських систем з серверами по загальнодоступним інтернет-каналах. VPN напевно одна з найнадійніших з точки зору шифрування і надійності аутентифікації.

Технологій шифрування в VPN застосовується кілька, найбільш популярні з них описані протоколами PPTP, L2TP і IPSec з алгоритмами шифрування DES, Triple DES, AES і MD5. IP Security (IPSec) використовується приблизно в 65-70% випадків. З його допомогою забезпечується практично максимальна безпека лінії зв'язку.

Технологія VPN була орієнтована саме для Wi-Fi - вона може використовуватися для будь-якого типу мереж, але захист з її допомогою бездротових мереж найбільш правильне рішення.

Для VPN випущено вже досить велика кількість програмного (ОС Windows NT / 2000 / XP, Sun Solaris, Linux) і апаратного забезпечення. Для реалізації VPN-захисту в рамках мережі необхідно встановити спеціальний VPN-шлюз (програмний або апаратний), в якому створюються тунелі, по одному на кожного користувача. Наприклад, для бездротових мереж шлюз слід встановити безпосередньо перед точкою доступу. А користувачам мережі необхідно встановити спеціальні клієнтські програми, які в свою чергу також працюють за рамками бездротової мережі і розшифровка виноситься за її межі. Хоча все це досить громіздко, але дуже надійно. Але як і всі - це має свої недоліки, в даному випадку їх два:

- необхідність в досить ємному адмініструванні;

- зменшення пропускної здатності каналу на 30-40%.

За винятком цього - VPN, це цілком зрозумілий вибір. Тим більше останнім часом, розвиток VPN обладнання відбувається якраз в напрямку поліпшення безпеки та мобільності. Закінчене рішення IPsec VPN в серії Cisco VPN 5000 служить яскравим прикладом. Тим більше що в цій лінійці представлена ​​поки тільки єдине сьогодні рішення VPN на основі клієнтів, яке підтримує Windows 95/98 / NT / 2000, MacOS, Linux і Solaris. Крім цього безкоштовна ліцензія на використання марки і поширення програмного забезпечення клієнта IPsec VPN поставляється з усіма продуктами VPN 5000, що теж важливо.

Основні моменти захисту Fi-Wi мереж організації.

У світлі всього вище викладеного можна переконатися що наявні на даний момент механізми і технології захисту дозволяють забезпечити безпеку вашої мережі, при використанні Fi-Wi. Природно якщо адміністраторів не будуть покладатися тільки на елементарні настройки, а будуть стурбовані тонким налаштуванням. Звичайно не можна сказати, що таким чином ваша мережа перетвориться в неприступний бастіон, але виділивши досить серйозні кошти на обладнання, час для настройки і звичайно для постійного контролю - можна забезпечити безпеку з ймовірністю приблизно до 95%.

Основні моменти при організації і настройці Wi-Fi мережі якими не варто нехтувати:

- Вибір і установка точки доступу:

> Перед придбанням уважно ознайомтеся з документацією і наявної на даний момент інформації про дірки в реалізації ПО для цього класу обладнання (всім відомий приклад діри в IOS маршрутизаторів Cisco, що дозволяє зловмисникові отримати доступ до листу конфіга). Можливо буде сенс обмежитися покупкою більш дешевого варіанту і оновленням ОС мережевого пристрою;

> Вивчіть підтримувані протоколи і технології шифрування;

> При можливості купуйте пристрої, що використовують WPA2 і 802.11i, так як вони для забезпечення безпеки використовують нову технологію - Advanced Encryption Standard (AES). На даний момент це можуть бути дводіапазонні точок доступу (AP) до мереж IEEE 802.11a / b / g Cisco Aironet 1130AG та 1230AG. Дані пристрої підтримують стандарт безпеки IEEE 802.11i, технологію захисту від вторгнень Wi-Fi Protected Access 2 (WPA2) з використанням Advanced Encryption Standard (AES) і гарантують ємність, що відповідає найвищим вимогам користувачів бездротових локальних мереж. Нові АР використовують переваги дводіапазонних технологій IEEE 802.11a / b / g і зберігають повну сумісність з попередніми версіями пристроїв, що працюють на IEEE 802.11b;

> Підготуйте попередньо клієнтські машини для спільної роботи з придбаним обладнанням. На даний момент деякі технології шифрування можуть не підтримуватися ОС або драйверами. Це допоможе уникнути зайвих витрат часу при розгортанні мережі;

> Не встановлювати точку доступу поза брандмауера;

> Розташовуйте антени всередині стін будівлі, а також обмежуйте потужність радіовипромінювання, щоб знизити ймовірність підключення «ззовні».

> Використовуйте спрямовані антени, не використовуйте радіоканал за замовчуванням.

- Встановлення точки доступу:

> Якщо точка доступу дозволяє забороняти доступ до своїх налаштувань за допомогою бездротового підключення, то використовуйте цю можливість. Спочатку не давайте можливість хакеру при впровадженні в вашу мережу контролювати ключові вузли по радіоканалу. Вимкніть мовлення по радіоканалу такі протоколи як SNMP, web-інтерфейс адміністрування і telnet;

> Обов'язково (!) Використовуйте складний пароль для доступу до налаштувань точки доступу;

> Якщо точка доступу дозволяє управляти доступом клієнтів по MAC-адресами неодмінно використовуйте це;

> Якщо обладнання дозволяє заборонити трансляцію в ефір ідентифікатора SSID - зробіть це обов'язково. Але при цьому у хакера завжди є можливість отримати SSID при підключенні як легітимного клієнт;

> Політика безпеки повинна забороняти бездротовим клієнтам здійснювати ad-hoc з'єднання (такі мережі дозволяють двом або більше станцій підключатися безпосередньо один до одного, минаючи точки доступу, маршрутизирующие їх трафік). Хакери можуть використовувати кілька типів атак на системи, що використовують ad-hoc-з'єднання. Первинна проблема з ad-hoc мережами - недолік ідентифікації. Ці мережі можуть дозволити хакеру провести атаки man in the middle, відмова в обслуговуванні (DoS), і / або скомпрометувати системи.

- Вибір налаштування в залежності від технології:

> Якщо є можливість - забороніть доступ для клієнтів з SSID;

> Якщо немає іншої можливості - обов'язково включайте хоча б WEP, але не нижче 128bit.

> Якщо при установці драйверів мережевих пристроїв пропонується на вибір три технологіями шифрування: WEP, WEP / WPA і WPA, то вибирайте WPA;

> Якщо в настройках пристрою пропонується вибір: "Shared Key" (може бути перехоплення WEP-ключа, який однаковий для всіх клієнтів) і "Open System" (можливо впровадження в мережу, якщо відомий SSID) - вибирайте "Shared Key". В даному випадку (якщо ви використовуєте WEP-аутентифікацію) - найбільш бажано включити фільтрацію по МАС-адресою;

> Якщо ваша мережа не велика - можна вибрати Pre-Shared Key (PSK).

> Якщо є можливість використовувати 802.1X. Але при цьому під час налаштування RADIUS-сервера бажано вибирати тип аутентифікації CHAP;

> Максимальний рівень безпеки на даний момент забезпечує застосування VPN - використовуйте цю технологію.

- Паролі та ключі:

> При використанні SSID дотримуйтеся вимог аналогічних вимогам пральний захисту - SSID повинен бути унікальний (не забувайте, що SSID не шифрується і може бути легко перехоплений!);

> Завжди використовуйте максимально довгі ключі. Не використовуйте ключі менше 128 біт;

> Не забувайте про парольний захист - використовуйте генератор паролів, змінюйте паролі через певний проміжок часу, зберігайте паролі в таємниці;

> В настройках зазвичай є вибір з чотирьох заздалегідь заданих ключів - використовуйте їх все, змінюючи за певним алгоритмом. По можливості орієнтуйтеся нема на дні тижня (завжди існують люди в будь-якій організації, що працюють у вихідні - що заважає здійснити впровадження в мережу в ці дні?).

> Намагайтеся застосовувати довгі динамічно змінюються ключі. Якщо ви використовуєте статичні ключі і паролі, міняйте паролі через певний проміжок часу.

> Проінструктуйте користувачів, що б вони зберігали паролі і ключі в таємниці. Особливо важливо, якщо деякі використовують для входу ноутбуки які зберігають удома.

- Мережеві налаштування:

> Для організації поділюваних ресурсів використовуйте NetBEUI. Якщо це не суперечить концепції вашої мережі - не використовуйте в бездротових мережах протокол TCP / IP для організації папок і принтерів загального доступу.

> Не дозволяйте гостьовий доступ до ресурсів загального доступу;

> Намагайтеся не використовувати в бездротовій мережі DHCP - використовуйте статичні IP-адреси;

> Обмежте кількість протоколів усередині WLAN тільки необхідними.

- Загальна:

> На всіх клієнтах бездротової мережі використовуйте фаєрвол або при ХР хоча б активізуйте брандмауер;

> Регулярно стежте за уразливими, оновленнями, прошивками і драйверами ваших пристроїв;

> Використовуйте періодично сканери безпеки, для виявлення прихованих проблем;

> Визначте інструменти для виконання бездротового сканування, а також частоту виконання цього сканування. Бездротове сканування допоможе визначити місцезнаходження неправомірних точок доступу.

> Якщо фінанси вашої організації дозволяють - придбайте системи виявлення вторгнення (IDS, Intrusion Detection System), такі як:

- CiscoWorks Wireless LAN Solution Engine (WLSE), в якій реалізовано кілька нових функцій - самовідновлення, розширене виявлення несанкціонованого доступу, автоматизоване обстеження майданчика розгортання, "тепле" резервування, відстеження клієнтів зі створенням звітів в реальному часі.
CiscoWorks WLSE - централізоване рішення системного рівня для управління всією бездротової інфраструктурою на базі продуктів Cisco Aironet. Вдосконалені функції управління радіоканалом і пристроями, підтримувані CiscoWorks WLSE, спрощують поточну експлуатацію бездротової мережі, забезпечують безперешкодне розгортання, підвищують безпеку, гарантують максимальний ступінь готовності, скорочуючи при цьому витрати на розгортання і експлуатацію.

- Система Hitachi AirLocation використовує мережу стандарту IEEE802.11b і здатна працювати як усередині приміщень, так і поза будівлями. Точність визначення координат об'єкту, за словами розробників, становить 1-3 м, що кілька точніше, ніж аналогічна характеристика GPS- систем. Система складається з сервера визначення координат, керуючого сервера, комплекту з декількох базових станцій, комплекту WLAN- обладнання і спеціалізованого ПЗ. Мінімальна ціна комплекту - близько $ 46,3 тис. Система визначає місцезнаходження необхідного пристрою і відстань між ним і кожною точкою доступу за рахунок обчислення часу відгуку терміналу на що посилаються точками, пов'язаними в мережу з відстанню між вузлами 100-200 м, сигнали. Для досить точного місця розташування терміналу, таким чином, достатньо всього трьох точок доступу.

Так ціни на таке обладнання досить високі, але будь-яка серйозна компанія може вирішити витратити цю суму для того, що б бути впевненою в безпеці свій бездротової мережі.