суббота, 1 июня 2013 г.

Безопасность беспроводных сетей

Беспроводные сети имеют очень много общего с проводными сетями. Но есть одно существенное различие — для того чтобы проникнуть в беспроводную сеть не нужен физический контакт с сетью. Для подключения хакеру достаточно установить антенну в зоне действия беспроводной сети.

Хотя, в защите современных Wi-Fi-сетей и применяются сложные алгоритмы аутентификации, контроля целостности передачи и шифрования данных тем не менее впервые Wi-Fi сети зачастую не имели защиты от хакерских атак. В течении семи лет (с 1990 по 1997 год) вопросами безопасности в Wi-Fi сетях практически никто не занимался. Вместо этого разработчики решали вопросы связанные с передачей данных, увеличением пропускной способности сети, совместимости оборудования и т. п.



Поэтому, изначально единственной защитой Wi-Fi сети был системный идентификатор сети (SSID) передаваемый в открытом виде. Особенно радовала хакеров возможность широковещания сетевого имени (SSID Broadcast). Кстати, она по умолчанию используется в большинстве современных точек доступа. Ещё одна «страшная» преграда для хакеров это использование доступа по MAC-адресам. Современные точки доступа имеют возможность изменять MAC- адрес из меню администрирования.  Перехват его не составляет трудностей поскольку он передаётся в открытом виде. Поэтому  для подключения к беспроводным сетям нет необходимости в покупке сложного оборудования и специальных программ. Для взлома достаточно иметь при себе ноутбук с wi-fi  картой и дистрибутив с BackTrack Live CD. Такая простота взлома и породила легенды о разъезжающих по городам хакерах (wardriver) с мощными антеннами. Ходили слухи что у них была даже своя система условных знаков, которые рисовались на стенах и указывали незащищенные точки доступа.

Что же может получить хакер в незащищённой беспроводной сети? Например:
  • доступ к ресурсам пользователей Wi-Fi-сети, а через неё и к ресурсам LAN;
  • проводить противоправную деятельность от имени вашей сети.
  • подслушивание трафика с целью из него конфиденциальной информации;
  • незаконное подключение к интернету;
  • искажение проходящей в сети информации;
  • получить доступ настройкам точки доступа и подменить DNS сервера;
  • внедрение поддельной точки доступа;
Главной защитой долгое время являлось использование Wired Equivalent Privacy (WEP). Основа алгоритма поточный шифр RC-4, разработанный Рональдом Райвестом в 1987 году. Этот алгоритм является симметричным и получил широкое распространение благодаря высокому быстродействию. Сейчас в wi-fi утройствах используется две разновидности WEP: WEP-40 и WEP-104 (в настройках точек доступа часто обозначаются как WEP64 и WEP128), различающиеся только длиной ключа. Сами ключи представляют из себя обыкновенные пароли с длиной от 5 до 13 символов ASCII, что соответствует 40 или 104-разрядному шифрованию на статическом уровне.


Кадр WEP включает в себя следующие поля:
1. Незашифрованная часть
1. Вектор инициализации (англ. Initialization Vector) (24 бита)
2. Пустое место (англ. Pad) (6 бит)
3. Идентификатор ключа (англ. Key ID) (2 бита)
2. Зашифрованная часть
1. Данные
2. Контрольная сумма (32 бита)


Как показало время, WEP оказалась, мягко говоря, не самой надёжной технологией защиты. Взлом может быть осуществлён в период от нескольких минут до 1-1.5 часов. Кстати, все основные атаки хакеров на беспроводные сети пришлись как раз на эпоху внедрения WEP. В статье "Как взломать Wi-Fi сеть защищёную WEP шифрованием при помощи Aircrack" я привёл пример взлома WEP с использованием программ доступных в репозитарии Ubuntu Linux.

После 2001 года для проводных и беспроводных сетей был внедрён новый стандарт IEEE 802.1X, который использует вариант динамических 128-разрядных ключей шифрования. Таким образом, пользователи сети работают сеансами, по завершении которых им присылается новый ключ.
В конце 2003 года был внедрён стандарт Wi-Fi Protected Access (WPA), который совмещает преимущества динамического обновления ключей IEEE 802.1X с протоколом расширенной аутентификации Extensible Authentication Protocol (EAP), кодированием протокола интеграции временного ключа Temporal Key Integrity Protocol (TKIP) и технологией проверки целостности сообщений Message Integrity Check (MIC).
WPA — это временный стандарт, о котором договорились производители оборудования, пока не вступил в силу IEEE 802.11i. По сути, WPA = 802.1X + EAP + TKIP + MIC, где:

  • EAP — протокол расширенной аутентификации (Extensible Authentication Protocol),
  • MIC — технология проверки целостности сообщений (Message Integrity Check).
  • TKIP — протокол интеграции временного ключа (Temporal Key Integrity Protocol),
  • WPA — технология защищённого доступа к беспроводным сетям (Wi-Fi Protected Access),

Как видим, ключевыми здесь являются новые модули TKIP и MIC. Стандарт TKIP использует автоматически подобранные 128-битные ключи, которые создаются непредсказуемым способом и общее число вариаций которых достигает 500 миллиардов. Сложная иерархическая система алгоритма подбора ключей и динамическая их замена через каждые 10 Кбайт (10 тыс. передаваемых пакетов) делают систему максимально защищённой.
При этом в протоколе WPA также присутствуют уязвимости.  Саммы главным злом для протокола WPA являются атаки на отказ в обслуживании (DoS). (В современных роутерах, микропрогрмма которых написана на Linux, проблема решена) подобного рода атаки. Цель атак подобного рода направлена на достижение неработоспособности сети или какой-либо ее части. Особенности Wi-Fi-сетей делают DoS-атаки возможными на всех уровнях, в том числе на физическом, при этом очень трудно доказать сам факт проведения DoS. Например, никто не мешает создать сильные помехи в частотном диапазоне 2,4 ГГц которые выведут из строя сеть. Самая большая проблема на канальном уровне - возможность спуфинга точек доступа. Это возможно благодаря тому, что для связи клиентское оборудование обычно выбирает точку доступа с наиболее качественным сигналом. Подменить базовую точку доступа не составит труда: для этого нужно обеспечить сильный сигнал в выбранной зоне и узнать SSID жертвы. После такого "клонирования" злоумышленник перехватывает весь трафик, а в результате не только будет получен отказ в обслуживании, но и появится возможность со временем получить WPA-ключи.
Злоумышленник может легко вывести из строя сеть на базе WPA, просто посылая каждую секунду два пакета со случайными ключами шифрования. Точка доступа взламываемой сети, приняв эти пакеты, решает, что производится попытка несанкционированного доступа, и закрывает все соединения, чтобы не допустить использования сетевых ресурсов сторонним лицом.
В 2004 году появляется WPA2, или 802.11i, — максимально защищённый стандарт который призван заменить WPA. В нём реализован Counter Mode with Cipher Block Chaining Message Authentication Code Protocol, протокол блочного шифрования с кодом аутентичности сообщения и режимом сцепления блоков и счётчика CCMP и шифрование AES, за счет чего WPA2 стал более защищенным, чем свой предшественник. С 13 марта 2006 года поддержка WPA2 является обязательным условием для всех сертифицированных Wi-Fi устройств. Недавно прошла информация о наличии уязвимости в протоколе WPA2. О характере уязвимости и чем она грозит пользователям пока сообщений нет.
Сейчас у пользователей и администраторов имеются все необходимые средства для надёжной защиты Wi-Fi сетей которые позволяют при отсутствии явных ошибок обеспечить уровень безопасности, соответствующий ценности информации, находящейся в такой сети.
Несколько рекомендаций которые помогут Вам правильно настроить сеть:
1. Максимальный уровень безопасности обеспечит применение WPA2+VPN ;
2. Используйте устройства, поддерживающие WPA2 и 802.11i;
3. Запретите доступ к настройкам точки доступа с помощью беспроводного подключения, то используйте эту возможность. Настраивайте AP только по проводам;
4. Если точка доступа позволяет управлять доступом клиентов по MAC-адресам (Media Access Control, в настройках часто называется Access List), используйте эту возможность. Это создаст дополнительный барьер на пути злоумышленника;
5. Если оборудование позволяет запретить трансляцию в эфир идентификатора SSID, используйте эту возможность (опция часто называется “closed network”).
6. Располагайте антенны как можно дальше от окон, внешних стен здания, а также ограничивайте мощность радиоизлучения, чтобы снизить вероятность подключения «с улицы». Используйте направленные антенны если нужно сделать беспроводную сеть на улице;
7. Всегда используйте максимально длинные ключи. 128-бит — это минимум. Никогда не прописывайте в настройках простые, «дефолтные» или очевидные ключи и пароли (день рождения, 12345), периодически их меняйте.
8. Обязательно используйте сложный пароль для доступа к настройкам точки доступа. Если точка доступа не позволяет ограничивать доступ паролем, её место на свалке;

Комментариев нет:

Отправить комментарий