Безопасность при работе с&nb p;Wi-Fi. Часть 2

Часть вторая. Технологии и методы защиты беспроводных сетей

Сейчас в Интернете появляется все больше списков доступных беспроводных точек, куда попадают как гостиницы и рестораны, так и просто места, в которых можно подключиться и бесплатно пользоваться Интернетом. К примеру, решил офис установить себе беспроводную сеть. Поставили точку доступа, а пароль и шифрование — забыли. Или поставили слабое шифрование.

 

 

И от имени этой компании Интернетом пользуются не только сотрудники, но и, например, соседние офисы, вардрайверы, которые шли по улице и сканировали сети, нашли и выложили информацию на специальный сайт, прохожие, которые случайно или уже на сайте нашли информацию, что здесь можно поживиться Интернетом за чужой счет.

Давайте рассмотрим способы, которыми можно защитить от несанкционированного доступа в сеть, а именно технологии и методы защиты.

Технологии защиты

WEP

Эта технология была разработана специально для шифрования потока передаваемых данных в рамках локальной сети. Данные шифруются ключом с разрядностью от 40 до 104 бит. Но это не целый ключ, а только его статическая составляющая. Для усиления защиты применяется так называемый вектор инициализации (Initialization Vector, IV), который предназначен для рандомизации дополнительной части ключа, что обеспечивает различные вариации шифра для разных пакетов данных. Данный вектор является 24-битным. Таким образом, в результате мы получаем общее шифрование с разрядностью от 64 (40 + 24) до 128 (104 + 24) бит. Идея очень здравая, поскольку при шифровании мы оперируем и постоянными, и случайно подобранными символами.

Но, как оказалось, взломать такую защиту можно — соответствующие утилиты присутствуют в Интернете (например, AirSnort, WEPcrack). Основное ее слабое место — это как раз таки вектор инициализации. Поскольку мы говорим о 24 битах, это подразумевает около 16 миллионов комбинаций (2 в 24-й степени) — после использования этого количества ключ начинает повторяться. Хакеру необходимо найти эти повторы (от 15 минут до часа для ключа 40 бит) и за секунды взломать остальную часть ключа. После этого он может входить в сеть как обычный зарегистрированный пользователь.

802.1X

IEEE 802.1X — это новый стандарт, который оказался ключевым для развития индустрии беспроводных сетей в целом. На данный момент он поддерживается только со стороны ОС Windows XP и анонсирован для Windows Server 2003. За основу взято исправление недостатков технологий безопасности, применяемых в 802.11, в частности, возможность взлома WEP, зависимость от технологий производителя и так далее. 802.1X позволяет подключать в сеть даже PDA-устройства, что позволяет более выгодно использовать саму идею беспроводной связи. С другой стороны, 802.1X и 802.11 являются совместимыми стандартами. В 802.1X применяется тот же алгоритм, что и в WEP, а именно — RC4, но с некоторыми отличиями.

802.1X базируется на протоколе расширенной аутентификации (Extensible Authentication Protocol, EAP), протоколе защиты транспортного уровня (Transport Layer Security, TLS) и сервере доступа RADIUS (Remote Access Dial-in User Server). К этому стоит добавить новую организацию работы клиентов сети. После того как пользователь прошел этап аутентификации, ему высылается секретный ключ в зашифрованном виде на определенное незначительное время — время действующего на данный момент сеанса. По завершении этого сеанса генерируется новый ключ и опять высылается пользователю. Протокол защиты транспортного уровня TLS обеспечивает взаимную аутентификацию и целостность передачи данных. Все ключи являются 128-разрядными по умолчанию.

WPA

WPA — это временный стандарт, о котором договорились производители оборудования, пока не вступил в силу IEEE 802.11i. По сути, WPA — это 802.1X плюс EAP плюс TKIP плюс MIC, где:

• WPA — технология защищенного доступа к беспроводным сетям (Wi-Fi Protected Access);
• EAP — протокол расширенной аутентификации (Extensible Authentication Protocol);
• TKIP — протокол интеграции временного ключа (Temporal Key Integrity Protocol);
• MIC — технология проверки целостности сообщений (Message Integrity Check).

Как видим, ключевыми здесь являются новые модули TKIP и MIC. Стандарт TKIP использует автоматически подобранные 128-битные ключи, которые создаются непредсказуемым способом и общее число вариаций которых достигает 500 миллиардов. Сложная иерархическая система алгоритма подбора ключей и динамическая их замена через каждые 10 килобайт (10 тысяч передаваемых пакетов) делают систему максимально защищенной.

От внешнего проникновения и изменения информации также обороняет технология проверки целостности сообщений (Message Integrity Check). Достаточно сложный математический алгоритм позволяет сверять отправленные в одной и полученные в другой точке данные. Если замечены изменения и результат сравнения не сходится, такие данные считаются ложными и выбрасываются.

Правда, TKIP сейчас не является лучшим в реализации шифрования, поскольку в силу вступают новые алгоритмы, основанные на технологии Advanced Encryption Standard (AES), которая, кстати говоря, уже давно используется в VPN. Что касается WPA, поддержка AES уже реализована в Windows XP, пока только опционально.

WPA2 во многом построен на основе предыдущей версии, WPA, использующей элементы IEEE 802.11i. Стандарт предусматривает использование шифрования AES, аутентификации 802.1X, а также защитных спецификаций RSN и CCMP. Как предполагается, WPA2 должен существенно повысить защищенность Wi-Fi-сетей по сравнению с прежними технологиями.

VPN

Технология виртуальных частных сетей (Virtual Private Network, VPN) была предложена компанией Intel для обеспечения безопасного соединения клиентских систем с серверами по общедоступным интернет-каналам. VPN очень хорошо себя зарекомендовала с точки зрения шифрования и надежности аутентификации. Плюс технологии состоит и в том, что на протяжении более трех лет практического использования в индустрии данный протокол не получил никаких нареканий со стороны пользователей. Информации о его взломах не было.

Технологий шифрования в VPN применяется несколько, наиболее популярные из них описаны протоколами PPTP, L2TP и IPSec с алгоритмами шифрования DES, Triple DES, AES и MD5. IP Security (IPSec) используется примерно в 65–70 процентах случаев. С его помощью обеспечивается практически максимальная безопасность линии связи.

И хотя технология VPN не предназначалась изначально именно для Wi-Fi, она может использоваться для любого типа сетей, и идея защитить с ее помощью беспроводные их варианты — одна из лучших на сегодня.

Для VPN выпущено уже достаточно большое количество программного (ОС Windows NT/2000/XP, Sun Solaris, Linux) и аппаратного обеспечения. Для реализации VPN-защиты в рамках сети необходимо установить специальный VPN-шлюз (программный или аппаратный), в котором создаются туннели, по одному на каждого пользователя. Например, для беспроводных сетей шлюз следует установить непосредственно перед точкой доступа. А пользователям сети необходимо установить специальные клиентские программы, которые, в свою очередь, также работают за рамками беспроводной сети, и расшифровка выносится за ее пределы.

Хотя все это достаточно громоздко, но очень надежно, главный недостаток такого решения — необходимость в администрировании. Второй существенный минус — уменьшение пропускной способности канала на 30–40 процентов.

Методы защиты

На сегодняшний день у обычных пользователей и администраторов сетей имеются все необходимые средства для надежной защиты Wi-Fi, и при отсутствии явных ошибок (пресловутый человеческий фактор) всегда можно обеспечить уровень безопасности

Таким образом, на сегодняшний день у обычных пользователей и администраторов сетей имеются все необходимые средства для надежной защиты Wi-Fi, и при отсутствии явных ошибок (пресловутый человеческий фактор) всегда можно обеспечить уровень безопасности, соответствующий ценности информации, находящейся в такой сети. Приведем основные правила при организации и настройке частной Wi-Fi-сети (если нет задачи сделать ее общедоступной).

• Максимальный уровень безопасности обеспечит применение VPN — используйте эту технологию в корпоративных сетях.
• Если есть возможность использовать 802.1X (например, точка доступа поддерживает, имеется RADIUS-сервер) — воспользуйтесь ею (впрочем, уязвимости есть и у 802.1X).
• Перед покупкой сетевых устройств внимательно ознакомьтесь с документацией. Узнайте, какие протоколы или технологии шифрования ими поддерживаются. Проверьте, поддерживает ли эти технологии шифрования ваша ОС. Если нет, то скачайте обновления с сайта разработчика. Если ряд технологий не поддерживается со стороны ОС, то это должно поддерживаться на уровне драйверов.
• Обратите внимание на устройства, использующие WPA2 и 802.11i, поскольку в этом стандарте для обеспечения безопасности используется новый Advanced Encryption Standard (AES).
• Если точка доступа позволяет запрещать доступ к своим настройкам с помощью беспроводного подключения, то используйте эту возможность. Настраивайте точку доступа только по проводам. Не используйте по радио протокол SNMP, веб-интерфейс и telnet.
• Если точка доступа позволяет управлять доступом клиентов по MAC-адресам (Media Access Control, в настройках может называться Access List), то используйте эту возможность. Хотя MAC-адрес и можно подменить, тем не менее это дополнительный барьер на пути злоумышленника.
• Если оборудование позволяет запретить трансляцию в эфир идентификатора SSID, то используйте эту возможность (опция может называться closed network), но и в этом случае SSID может быть перехвачен при подключении легитимного клиента.
• Запретите доступ для клиентов с SSID по умолчанию ANY, если оборудование позволяет это делать. Не используйте в своих сетях простые SSID — придумайте что-нибудь уникальное, не завязанное на название вашей организации и отсутствующее в словарях. Впрочем, SSID не шифруется и может быть легко перехвачен (или подсмотрен на ПК клиента).
• Располагайте антенны как можно дальше от окон, внешних стен здания, а также ограничивайте мощность радиоизлучения, чтобы снизить вероятность подключения с улицы. Используйте направленные антенны, не используйте радиоканал по умолчанию.
• Если при установке драйверов сетевых устройств предлагается выбор между технологиями шифрования WEP, WEP/WPA (средний вариант) и WPA, то выбирайте WPA (в малых сетях можно использовать режим Pre-Shared Key, PSK). Если устройства не поддерживают WPA, то обязательно включайте хотя бы WEP. При выборе устройства никогда не приобретайте то, что не поддерживает даже WEP с разрядностью 128 бит.
• Всегда используйте максимально длинные ключи. Минимум — 128 бит (но если в сети есть карты 40/64 бит, то в этом случае с ними вы не сможете соединиться). Никогда не прописывайте в настройках простые, «дефолтные» или очевидные ключи и пароли (день рождения, 12345), периодически их меняйте (в настройках обычно имеется удобный выбор из четырех заранее заданных ключей — сообщите клиентам о том, в какой день недели какой ключ используется).
• Не давайте никому информации о том, каким образом и с какими паролями вы подключаетесь (если используются пароли). Искажение данных или их воровство, а также прослушивание трафика путем внедрения в передаваемый поток — очень трудоемкая задача при условии, что применяются длинные динамически изменяющиеся ключи. Поэтому хакерам проще использовать человеческий фактор.
• Если вы используете статические ключи и пароли, то позаботьтесь об их частой смене. Делать это лучше одному человеку — администратору.
• Если в настройках устройства предлагается выбор между методами WEP-аутентификации Shared Key и Open System, то выбирайте Shared Key. Если точка доступа не поддерживает фильтрацию по MAC-адресам, то для входа в Open System достаточно знать SSID, в случае же Shared Key клиент должен знать WEP-ключ. Впрочем, в случае Shared Key возможен перехват ключа, и при этом ключ доступа одинаков для всех клиентов. В связи с этим многие источники рекомендуют Open System.
• Обязательно используйте сложный пароль для доступа к настройкам точки доступа. Если точка доступа не позволяет ограничивать доступ паролем, ее место на свалке.
• Если для генерации ключа предлагается ввести ключевую фразу, то используйте набор букв и цифр без пробелов. При ручном вводе ключа WEP вводите значения для всех полей ключа (при шестнадцатеричной записи вводить можно цифры 0–9 и буквы a–f).
• По возможности не используйте в беспроводных сетях протокол TCP/IP для организации папок, файлов и принтеров общего доступа. Организация разделяемых ресурсов средствами NetBEUI в данном случае безопаснее. Не разрешайте гостевой доступ к ресурсам общего доступа, используйте длинные сложные пароли.
• По возможности не используйте в беспроводной сети DHCP — вручную распределить статические IP-адреса между легитимными клиентами безопаснее.
• На всех ПК внутри беспроводной сети установите файрволы, старайтесь не устанавливать точку доступа вне брандмауэра, используйте минимум протоколов внутри WLAN (например, только HTTP и SMTP). Дело в том, что в корпоративных сетях файрвол стоит обычно один — на выходе в Интернет, взломщик же, получивший доступ через Wi-Fi, может попасть в LAN, минуя корпоративный файрвол.
• Регулярно исследуйте уязвимости своей сети с помощью специализированных сканеров безопасности (в том числе хакерских типа NetStumbler), обновляйте прошивки и драйверы устройств, устанавливайте обновления для Windows.
• Наконец, просто не отправляйте особо секретные данные через Wi-Fi. А еще можно использовать точки доступа — приманки (AP honeypot), специальное оборудование, SSL и SSH.

В заключение укажем ресурсы, на которых можно найти список беспроводных точек в городах:

• wifi.yandex.ru — российский ресурс Wi-Fi-точек;
• www.wifikiev.com — специализированный украинский ресурс: список точек, статьи про Wi-Fi, софт, блоггинг и другое;
• www.wififreespot.com — англоязычный ресурс, содержащий сведения про бесплатные точки доступа по всему миру — в Штатах, Европе, Азии и так далее.

Ссылки по теме

• Безопасность при работе с Wi-Fi. Часть 1

Статья получена: hostinfo.ru

загрузка...