###
  • Интернет
  • Программы
  • Игры
  • Проблемы
  • Windows
  • Социальные сети
  • Android
  • Ios

    • Защита информации и беспроводные сети. Средства защиты беспроводных сетей

    30.07.2019 Социальные сети

    На данный момент большинство фирм и предприятий все больше внимания уделяют использованию непосредственно Wi-Fi-сетей. Обусловлено это удобством, мобильностью и относительной дешевизной при связи отдельных офисов и возможностью их перемещения в пределах действия оборудования. В Wi-Fi-сетях применяются сложные алгоритмические математические модели аутентификации, шифрования данных, контроля целостности их передачи – что позволят быть относительно спокойным за сохранность данных при использовании данной технологии.

    Анализ безопасности беспроводных сетей.

    На данный момент большинство фирм и предприятий все больше внимания уделяют использованию непосредственно Wi-Fi-сетей. Обусловлено это удобством, мобильностью и относительной дешевизной при связи отдельных офисов и возможностью их перемещения в пределах действия оборудования. В Wi-Fi-сетях применяются сложные алгоритмические математические модели аутентификации, шифрования данных, контроля целостности их передачи – что позволят быть относительно спокойным за сохранность данных при использовании данной технологии.

    Однако данная безопасность относительна, если не уделять должного внимания настройке беспроводной сети. К данному моменту уже существует список «стандартных» возможностей которые может получить хакер при халатности в настройке беспроводной сети:

    Доступ к ресурсам локальной сети;

    Прослушивание, воровство (имеется ввиду непосредственно интернет-траффик) трафика;

    Искажение проходящей в сети информации;

    Внедрение поддельной точки доступа;

    Немного теории.

    1997 год – выход в свет первого стандарта IEEE 802.11. Варианты защиты доступа к сети:

    1. Использовался простой пароль SSID (Server Set ID) для доступа в локальную сеть. Данный вариант не предоставляет должного уровня защиты, особенно для нынешнего уровня технологий.

    2. Использование WEP (Wired Equivalent Privacy) – то есть использование цифровых ключей шифрования потоков данных с помощью данной функции. Сами ключи это всего лишь обыкновенные пароли с длиной от 5 до 13 символов ASCII, что соответствует 40 или 104-разрядному шифрованию на статическом уровне.

    2001 год - внедрение нового стандарта IEEE 802.1X. Данный стандарт использует динамические 128-разрядные ключи шифрования, то есть периодически изменяющихся во времени. Основная идея заключается в том, что пользователь сети работает сеансами, по завершении которых им присылается новый ключ - время сеанса зависит от ОС (Windows XP - по умолчанию время одного сеанса равно 30 минутам).

    На данный момент существуют стандарты 802.11:

    802.11 - Первоначальный базовый стандарт. Поддерживает передачу данных по радиоканалу со скоростями 1 и 2 Мбит/с.

    802.11a - Высокоскоростной стандарт WLAN. Поддерживает передачу данных со скоростями до 54 Мбит/с по радиоканалу в диапазоне около 5 ГГц.

    I802.11b - Наиболее распространенный стандарт. Поддерживает передачу данных со скоростями до 11 Мбит/с по радиоканалу в диапазоне около 2,4 ГГц.

    802.11e - Требование качества запроса, необходимое для всех радио интерфейсов IEEE WLAN

    802.11f - Стандарт, описывающий порядок связи между равнозначными точками доступа.

    802.11g - Устанавливает дополнительную технику модуляции для частоты 2,4 ГГц. Предназначен, для обеспечения скоростей передачи данных до 54 Мбит/с по радиоканалу в диапазоне около 2,4 ГГц.

    802.11h - Стандарт, описывающий управление спектром частоты 5 ГГц для использования в Европе и Азии.

    802.11i (WPA2) - Стандарт, исправляющий существующие проблемы безопасности в областях аутентификации и протоколов шифрования. Затрагивает протоколы 802.1X, TKIP и AES.

    На данный момент широко используется 4 стандарта: 802.11, 802.11a, 802.11b, 802.11g.

    2003 года - был внедрён стандарт WPA (Wi-Fi Protected Access), который совмещает преимущества динамического обновления ключей IEEE 802.1X с кодированием протокола интеграции временного ключа TKIP (Temporal Key Integrity Protocol), протоколом расширенной аутентификации EAP (Extensible Authentication Protocol) и технологией проверки целостности сообщений MIC (Message Integrity Check).

    Помимо этого, параллельно развивается множество самостоятельных стандартов безопасности от различных разработчиков. Ведущими являются такие гиганты как Intel и Cisco.

    2004 год - появляется WPA2, или 802.11i, - максимально защищённый на данное время стандарт.

    Технологии защиты Fi-Wi сетей.

    WEP

    Эта технология была разработана специально для шифрования потока передаваемых данных в рамках локальной сети. Данные шифруются ключом с разрядностью от 40 до 104 бит. Но это не целый ключ, а только его статическая составляющая. Для усиления защиты применяется так называемый вектор инициализации IV (Initialization Vector), который предназначен для рандомизации дополнительной части ключа, что обеспечивает различные вариации шифра для разных пакетов данных. Данный вектор является 24-битным. Таким образом, в результате мы получаем общее шифрование с разрядностью от 64 (40+24) до 128 (104+24) бит, что позволяет при шифровании оперировать и постоянными, и случайно выбранными символами. Но с другой стороны 24 бита это всего лишь ~16 миллионов комбинаций (2 24 степени) – то есть по истечению цикла генерации ключа начинается новый цикл. Взлом осуществляется достаточно элементарно:

    1) Нахождение повтора (минимальное время, для ключа длинной 40 бит – от 10 минут).

    2) Взлом остальной части (по сути - секунды)

    3) Вы можете внедряться в чужую сеть.

    При этом для взлома ключа имеются достаточно распространенные утилиты такие как WEPcrack.

    802.1X

    IEEE 802.1X - это основополагающий стандарт для беспроводных сетей. На данный момент он поддерживается ОС Windows XP и Windows Server 2003.

    802.1X и 802.11 являются совместимыми стандартами. В 802.1X применяется тот же алгоритм, что и в WEP, а именно - RC4, но с некоторыми отличиями (большая «мобильность», т.е. имеется возможность подключения в сеть даже PDA-устройства) и исправлениями (взлом WEP и т. п.).

    802.1X базируется на протоколе расширенной аутентификации EAP (Extensible Authentication Protocol), протоколе защиты транспортного уровня TLS (Transport Layer Security) и сервере доступа RADIUS (Remote Access Dial-in User Service).

    После того, как пользователь прошёл этап аутентификации, ему высылается секретный ключ в зашифрованном виде на определённое незначительное время - время действующего на данный момент сеанса. По завершении этого сеанса генерируется новый ключ и опять высылается пользователю. Протокол защиты транспортного уровня TLS обеспечивает взаимную аутентификацию и целостность передачи данных. Все ключи являются 128-разрядными.

    Отдельно необходимо упомянуть о безопасности RADIUS: использует в своей основе протокол UDP (а поэтому относительно быстр), процесс авторизации происходит в контексте процесса аутентификации (т.е. авторизация как таковая отсутствует), реализация RADIUS-сервера ориентирована на однопроцессное обслуживание клиентов (хотя возможно и многопроцессное - вопрос до сих пор открытый), поддерживает довольно ограниченное число типов аутентификации (сleartext и CHAP), имеет среднюю степень защищенности. В RADIUS"е шифруется только cleartext-пароли, весь остальной пакет остается "открытым" (с точки зрения безопасности даже имя пользователя является очень важным параметром). А вот CHAP – это отдельный разговор. Идея в том, что бы cleartext-пароль ни в каком виде никогда не передавался бы через сеть. А именно: при аутентификации пользователя клиент посылает пользовательской машине некий Challenge (произвольная случайная последовательность символов), пользователь вводит пароль и с этим Challengе"ем пользовательская машина производит некие шифрующий действия используя введенный пароль (как правило это обыкновенное шифрование по алгоритму MD5 (RFC-1321). Получается Response. Этот Response отправляется назад клиенту, а клиент все в совокупности (Challenge и Response) отправляет на аутентификацию 3A-серверу (Authentication, Authorization, Accounting). Тот (также имея на своей стороне пользовательский пароль) производит те же самые действия с Challeng"ем и сравнивает свой Response с полученным от клиента: сходится - пользователь аутентифицирован, нет - отказ. Таким образом, cleartext-пароль знают только сам пользователь и 3А-сервер и пароль открытым текстом не "ходит" через сеть и не может быть взломан.

    WPA

    WPA (Wi-Fi Protected Access) - это временный стандарт (технология защищённого доступа к беспроводным сетям), который является переходным перед IEEE 802.11i. По сути, WPA совмещает в себе:

    802.1X - основополагающий стандарт для беспроводных сетей;

    EAP - протокол расширенной аутентификации (Extensible Authentication Protocol);

    TKIP - протокол интеграции временного ключа (Temporal Key Integrity Protocol);

    MIC - технология проверки целостности сообщений (Message Integrity Check).

    Основные модули - TKIP и MIC. Стандарт TKIP использует автоматически подобранные 128-битные ключи, которые создаются непредсказуемым способом и общее число вариаций которых примерно 500 миллиардов. Сложная иерархическая система алгоритма подбора ключей и динамическая их замена через каждые 10 Кбайт (10 тыс. передаваемых пакетов) делают систему максимально защищённой. От внешнего проникновения и изменения информации также обороняет технология проверки целостности сообщений (Message Integrity Check). Достаточно сложный математический алгоритм позволяет сверять отправленные в одной точке и полученные в другой данные. Если замечены изменения и результат сравнения не сходится, такие данные считаются ложными и выбрасываются.

    Правда, TKIP сейчас не является лучшим в реализации шифрования, из-за новой технологии Advanced Encryption Standard (AES), используемой ранее в VPN.

    VPN

    Технология виртуальных частных сетей VPN (Virtual Private Network) была предложена компанией Intel для обеспечения безопасного соединения клиентских систем с серверами по общедоступным интернет-каналам. VPN наверное одна из самых надежных с точки зрения шифрования и надёжности аутентификации.

    Технологий шифрования в VPN применяется несколько, наиболее популярные из них описаны протоколами PPTP, L2TP и IPSec с алгоритмами шифрования DES, Triple DES, AES и MD5. IP Security (IPSec) используется примерно в 65-70% случаев. С его помощью обеспечивается практически максимальная безопасность линии связи.

    Технология VPN не была ориентированна именно для Wi-Fi - она может использоваться для любого типа сетей, но защита с её помощью беспроводных сетей наиболее правильное решение.

    Для VPN выпущено уже достаточно большое количество программного (ОС Windows NT/2000/XP, Sun Solaris, Linux) и аппаратного обеспечения. Для реализации VPN-защиты в рамках сети необходимо установить специальный VPN-шлюз (программный или аппаратный), в котором создаются туннели, по одному на каждого пользователя. Например, для беспроводных сетей шлюз следует установить непосредственно перед точкой доступа. А пользователям сети необходимо установить специальные клиентские программы, которые в свою очередь также работают за рамками беспроводной сети и расшифровка выносится за её пределы. Хотя всё это достаточно громоздко, но очень надёжно. Но как и все - это имеет свои недостатки, в данном случае их два:

    Необходимость в достаточно емком администрировании;

    Уменьшение пропускной способности канала на 30-40%.

    За исключением этого – VPN, это вполне понятный выбор. Тем более в последнее время, развитие VPN оборудования происходит как раз в направлении улучшения безопасности и мобильности. Законченное решение IPsec VPN в серии Cisco VPN 5000 служит ярким примером. Тем более что в данной линейке представлена пока только единственное сегодня решение VPN на основе клиентов, которое поддерживает Windows 95/98/NT/2000, MacOS, Linux и Solaris. Кроме этого бесплатная лицензия на использование марки и распространение программного обеспечения клиента IPsec VPN поставляется со всеми продуктами VPN 5000, что тоже не маловажно.

    Основные моменты защиты Fi-Wi сетей организации.

    В свете всего выше изложенного можно убедиться что имеющиеся на данный момент механизмы и технологии защиты позволяют обеспечить безопасность вашей сети, при использовании Fi-Wi. Естественно если администраторы не будут полагаться только на элементарные настройки, а озаботятся тонкой настройкой. Конечно нельзя сказать, что таким образом ваша сеть превратится в неприступный бастион, но выделив достаточно серьезные средства на оборудование, время для настройки и конечно для постоянного контроля – можно обеспечить безопасность с вероятностью примерно до 95 %.

    Основные моменты при организации и настройке Wi-Fi сети которыми не стоит пренебрегать:

    - Выбор и установка точки доступа:

    > перед приобретением внимательно ознакомьтесь с документацией и имеющейся на данный момент информации о дырах в реализации ПО для этого класса оборудования (всем известный пример дыры в IOS маршрутизаторов Cisco, позволяющая злоумышленнику получить доступ к листу конфига). Возможно будет смысл ограничиться покупкой более дешевого варианта и обновлением ОС сетевого устройства;

    > изучите поддерживаемые протоколы и технологии шифрования;

    > при возможности приобретайте устройства, использующие WPA2 и 802.11i, так как они для обеспечения безопасности используют новую технологию - Advanced Encryption Standard (AES). На данный момент это могут быть двухдиапазонные точеки доступа (AP) к сетям IEEE 802.11a/b/g Cisco Aironet 1130AG и 1230AG. Данные устройства поддерживают стандарт безопасности IEEE 802.11i, технологию защиты от вторжений Wi-Fi Protected Access 2 (WPA2) с использованием Advanced Encryption Standard (AES) и гарантируют емкость, отвечающую самым высоким требованиям пользователей беспроводных локальных сетей. Новые АР используют преимущества двухдиапазонных технологий IEEE 802.11a/b/g и сохраняют полную совместимость с ранними версиями устройств, работающих на IEEE 802.11b;

    > подготовьте предварительно клиентские машины для совместной работы с приобретаемым оборудованием. На данный момент некоторые технологии шифрования могут не поддерживаться ОС или драйверами. Это поможет избежать лишних затрат времени при разворачивании сети;

    > не устанавливать точку доступа вне брандмауэра;

    > располагайте антенны внутри стен здания, а также ограничивайте мощность радиоизлучения, чтобы снизить вероятность подключения «извне».

    > используйте направленные антенны, не используйте радиоканал по умолчанию.

    - Настройка точки доступа:

    > если точка доступа позволяет запрещать доступ к своим настройкам с помощью беспроводного подключения, то используйте эту возможность. Изначально не давайте возможность хакеру при внедрении в вашу сеть контролировать ключевые узлы по радиоканалу. Отключите вещание по радиоканалу такие протоколы как SNMP, web-интерфейс администрирования и telnet;

    > обязательно(!) используйте сложный пароль для доступа к настройкам точки доступа;

    > если точка доступа позволяет управлять доступом клиентов по MAC-адресам непременно используйте это;

    > если оборудование позволяет запретить трансляцию в эфир идентификатора SSID – сделайте это обязательно. Но при этом у хакера всегда есть возможность получить SSID при подключении как легитимного клиент;

    > политика безопасности должна запрещать беспроводным клиентам осуществлять ad-hoc соединения (такие сети позволяют двум или более станциям подключаться непосредственно друг к другу, минуя точки доступа, маршрутизирующие их трафик). Хакеры могут использовать несколько типов атак на системы, использующие ad-hoc-соединения. Первичная проблема с ad-hoc сетями - недостаток идентификации. Эти сети могут позволить хакеру провести атаки man in the middle, отказ в обслуживании (DoS), и/или скомпрометировать системы.

    - Выбор настройки в зависимости от технологии:

    > если есть возможность - запретите доступ для клиентов с SSID;

    > если нет другой возможности - обязательно включайте хотя бы WEP, но не ниже 128bit.

    > если при установке драйверов сетевых устройств предлагается на выбор три технологиями шифрования: WEP, WEP/WPA и WPA, то выбирайте WPA;

    > если в настройках устройства предлагается выбор: “Shared Key“(возможен перехват WEP-ключа, который одинаков для всех клиентов) и “Open System”(возможно внедрение в сеть, если известен SSID) - выбирайте “Shared Key”. В данном случае (если вы используете WEP-аутентификацию) – наиболее желательно включить фильтрацию по МАС-адресу;

    > если ваша сеть не велика – можно выбрать Pre-Shared Key (PSK).

    > если есть возможность использовать 802.1X. Но при этом при настройке RADIUS-сервера желательно выбирать тип аутентификации CHAP;

    > максимальный уровень безопасности на данный момент обеспечивает применение VPN - используйте эту технологию.

    - Пароли и ключи:

    > при использовании SSID придерживайтесь требований аналогичных требованиям парольной защиты - SSID должен быть уникален (не забывайте, что SSID не шифруется и может быть легко перехвачен!);

    > всегда используйте максимально длинные ключи. Не используйте ключи меньше 128 бит;

    > не забывайте про парольную защиту – используйте генератор паролей, меняйте пароли через определенный промежуток времени, храните пароли в тайне;

    > в настройках обычно имеется выбор из четырёх заранее заданных ключей - используйте их все, меняя по определенному алгоритму. По возможности ориентируйтесь не на дни недели (всегда существуют люди в любой организации, работающие по выходным – что мешает осуществить внедрение в сеть в эти дни?).

    > старайтесь применять длинные динамически изменяющиеся ключи. Если вы используете статические ключи и пароли, меняйте пароли через определенный промежуток времени.

    > проинструктируйте пользователей, что бы они хранили пароли и ключи в тайне. Особенно важно, если некоторые используют для входа ноутбуки которые хранят дома.

    - Сетевые настройки:

    > для организации разделяемых ресурсов используйте NetBEUI. Если это не противоречит концепции вашей сети - не используйте в беспроводных сетях протокол TCP/IP для организации папок и принтеров общего доступа.

    > не разрешайте гостевой доступ к ресурсам общего доступа;

    > старайтесь не использовать в беспроводной сети DHCP - используйте статические IP-адреса;

    > ограничьте количество протоколов внутри WLAN только необходимыми.

    - Общее:

    > на всех клиентах беспроводной сети используйте файерволлы или при ХР хотя бы активизируйте брандмауэр;

    > регулярно следите за уязвимостями, обновлениями, прошивками и драйверами ваших устройств;

    > используйте периодически сканеры безопасности, для выявления скрытых проблем;

    > определите инструменты для выполнения беспроводного сканирования, а также частоту выполнения этого сканирования. Беспроводное сканирование поможет определить местонахождение неправомочных точек доступа.

    > если финансы вашей организации позволяют – приобретите системы обнаружения вторжения (IDS, Intrusion Detection System), такие как:

    CiscoWorks Wireless LAN Solution Engine (WLSE), в которой реализовано несколько новых функций - самовосстановление, расширенное обнаружение несанкционированного доступа, автоматизированное обследование площадки развертывания, "теплое" резервирование, отслеживание клиентов с созданием отчетов в реальном времени.
    CiscoWorks WLSE - централизованное решение системного уровня для управления всей беспроводной инфраструктурой на базе продуктов Cisco Aironet. Усовершенствованные функции управления радиоканалом и устройствами, поддерживаемые CiscoWorks WLSE, упрощают текущую эксплуатацию беспроводной сети, обеспечивают беспрепятственное развертывание, повышают безопасность, гарантируют максимальную степень готовности, сокращая при этом расходы на развертывание и эксплуатацию.

    Система Hitachi AirLocation использует сеть стандарта IEEE802.11b и способна работать как внутри помещений, так и вне зданий. Точность определения координат объекта, по словам разработчиков, составляет 1-3 м, что несколько точнее, чем аналогичная характеристика GPS- систем. Система состоит из сервера определения координат, управляющего сервера, комплекта из нескольких базовых станций, комплекта WLAN- оборудования и специализированного ПО. Минимальная цена комплекта - около $46,3 тыс. Система определяет местонахождение необходимого устройства и расстояние между ним и каждой точкой доступа за счет вычисления времени отклика терминала на посылаемые точками, связанными в сеть с расстоянием между узлами 100-200 м, сигналы. Для достаточно точного местоположения терминала, таким образом, достаточно всего трех точек доступа.

    Да цены на такое оборудование достаточно высоки, но любая серьезная компания может решить потратить данную сумму для того, что бы быть уверенной в безопасности свой беспроводной сети.

    Итак, вы купили беспроводной адаптер, подключили его в сеть, настроили подключение к интернету – и у вас наступила полная беспроводная свобода. Теперь для доступа в сеть не нужно подключать кабель, достаточно лишь быть в зоне покрытия беспроводной сети – а это намного проще и удобнее. Однако это просто и удобно не только для вас. Ведь, в отличие от проводных сетей, для того, чтобы взломать беспроводные сети, достаточно оказаться в зоне их действия, которая может распространяться за пределы зданий.

    Не стоит думать, что вам нечего опасаться в том случае, если вы установили беспроводную сеть дома. Конечно, вряд ли на вашем домашнем компьютере будет храниться какая-то конфиденциальная информация (хотя может быть и такое), и самое большее, на что может рассчитывать злоумышленник – это ваш личный фотоархив и подборка любимой музыки. Однако главная опасность взлома домашних беспроводных сетей состоит не в этом. Обычно предметом интереса хакеров становится ваш доступ в интернет.

    Если вы платите за интернет в зависимости от потребляемого трафика, такое несанкционированное подключение может привести к лишним расходам. Счастливые обладатели безлимитных тарифов тоже не могут чувствовать себя спокойно, конечно, если их доступом в интернет начнет пользоваться кто-то еще, они финансово не пострадают. Но при этом есть опасность того, что скорость вашего соединения упадет – это особенно актуально, если любитель халявы не будет скромничать и начнет использовать пиринг через ваш канал на полную катушку.

    Ну а говорить о необходимости защиты беспроводных сетей на предприятии не приходится – работа современной организации часто настолько зависит от IT-инфраструктуры, что сбои и нарушения защиты локальных сетей могут полностью разрушить эффективную деятельность.

    Шифрование

    Шифрование – это один из самых очевидных способов защиты беспроводной сети. В теории все просто – для того, чтобы пользовательское устройство смогло подключиться к беспроводной сети, они должно тем или иным способом подтвердить свое право с помощью аутентификации. Таким образом, для защиты информации в компьютерных сетях достаточно лишь ограничить доступ к сети при помощи паролей или других средств аутентификации.

    Исторически первым таким способом защиты беспроводных сетей стало шифрование алгоритмом WEP. Какое-то время назад алгоритм предоставлял достаточно надежную защиту беспроводных сетей, однако в 2001 году криптоаналитиками было проведено несколько исследований, которые обращали внимание на определенные уязвимости этого алгоритма, из-за которых защищенное этим алгоритмом соединение взламывается в течение нескольких минут. Несмотря на то, что такое шифрование лучше, чем передача данных по прямому, незашифрованному соединению, в качестве защиты беспроводных сетей от хакеров беспроводных сетей оно не подходит. Несмотря на это, до сих пор существует большое количество беспроводных сетей, которые защищены именно этим алгоритмом. Это связано с тем, что устаревшее оборудование не поддерживает современные способы защиты информации в компьютерных сетях. Однако, несмотря на ошибки реализации одного способа шифрования, этот подход к защите информации в сетях достаточно эффективен. Поэтому вслед за WEP появился другой алгоритм, лишенный недостатков своего предшественника – WPA.

    Помимо устранения ошибок в алгоритме шифрования, этот способ защиты применял новый расширенный протокол аутентификации EAP, временный протокол целостности ключа TKIP и механизм проверки целостности сообщений MIC. Казалось бы, этот внушительный набор технологий должен обеспечивать высокий уровень защиты компьютерных сетей. Однако не так давно, в 2009 году были представлены доказательства того, что любое соединение, защищенное этим протоколом, может быть взломано (причем, при удачных сочетаниях настроек, преодоление защиты компьютерных сетей занимает около 1 минуты). Впрочем, шифрование в качестве метода защиты беспроводных сетей не собирается сдавать свои позиции. В 2004 году, задолго до того, как WPA оказался скомпрометирован, был разработан новый протокол WPA 2. Основное отличие от WPA – это смена принципиально уязвимого способа шифрования RC4 на более стойкий алгоритм AES. На данный момент нет сообщений о том, что такая защита компьютерных сетей может быть взломана.

    Однако серьезным камнем преткновения полного внедрения такого современного и стойкого к способам обхода защиты беспроводных сетей от хакеров беспроводных сетей, как WPA2, является его поддержка со стороны клиентских устройств. Нет никаких проблем, если вы развертываете сеть с нуля – все современные устройства, выпущенные после 2006 года, поддерживают этот способ защиты информации в сетях. Однако, если у вас есть беспроводные устройства, которые вы хотели бы использовать в беспроводных сетях, и они при этом не поддерживают WPA2, то не стоит забывать, что шифрование – это не единственный эффективный способ защиты компьютерных сетей.

    Фильтрация по MAC-адресам

    Достаточно эффективен такой способ защиты локальных сетей, как фильтрация доступа по MAC-адресам. MAC-адрес – это уникальный номер сетевого интерфейса (сетевой карты). Таким образом, зная заранее MAC-адреса доверенных устройств, можно настроить защиту беспроводной сети. Однако, поскольку на современном сетевом оборудовании можно менять заводской MAC-адрес, этот способ защиты информации в сети может оказаться неэффективным. Ведь если злоумышленник каким-то образом получит доступ к доверенному устройству, он может скопировать его MAC-адрес, и, в дальнейшем, использовать его для проникновения в сеть с любого другого устройства (если оно, конечно, поддерживает смену MAC-адреса). Тем не менее, этот способ можно использовать в дополнении с другими, и тем самым усилить защиту беспроводной сети.

    Скрытие SSID

    Для того, чтобы что-то взломать, это что-то нужно увидеть или по крайней мере знать о его существовании. И если для защиты локальной сети такой способ плохо подходит (попробуйте спрятать провода), то для защиты беспроводных сетей это довольно красивый выход. Дело в том, что по умолчанию точка доступа постоянно транслирует свой SSID – идентификатор беспроводной сети. Именно этот идентификатор замечает сетевая карта вашего ноутбука или коммуникатора, когда на нем появляется сообщение о том, что обнаружена новая беспроводная сеть. Несмотря на то, что отмена трансляции SSID не делает обнаружение сетей в принципе невозможным, злоумышленнику будет гораздо труднее ее обнаружить и еще труднее – подключиться к такой сети. Впрочем, у такого способа защиты информации в сетях есть и определенные недостатки: при подключении новых устройств к существующей беспроводной сети потребуется ввести название сети вручную.

    Вообще, такой способ защиты информации, как VPN, был придуман не столько для защиты беспроводных сетей, сколько для того, чтобы организовывать защищенное подключение к удаленной локальной сети через интернет. Однако эта технология прекрасно работает в беспроводных сетях и отлично подходит для защиты локальных сетей. В этом случае сама беспроводная сеть может быть полностью лишена другой защиты, однако при этом в ней не будет открытых ресурсов – все уязвимые ресурсы находятся в виртуальной сети, единственный интерфейс в которую доступен только через беспроводную сеть. Современные алгоритмы шифрования обеспечивают высокую стойкость такого соединения и надежную защиту информации в компьютерных сетях.

    Тема защиты беспроводных сетей достаточно обширна, однако общие правила защиты информации в сетях в общем-то одинаковы. Если вы хотите получить по-настоящему стойкую к взлому защиту компьютерных сетей, то лучше комбинировать несколько способов защиты.

    Сочетание многослойной системы защиты локальной сети (наиболее продвинутый вариант шифрования, скрытие SSID, фильтрация MAC-адресов и передача данных по VPN) позволит получить эффективную защиту информации в компьютерных сетях. Однако, в погоне за эффективностью постарайтесь соблюдать баланс между надежностью защиты и удобством использования – ведь чем больше в вашей беспроводной сети будет различных проверок и препятствий, тем сложнее ей будет пользоваться. Поэтому, задумываясь о защите локальной сети, подумайте о вероятности хакерской атаки на вашу сеть – не стоит перегружать сеть неоправданными мерами защиты, это может отрицательно сказаться на производительности и привести к потерям пропускной способности.

    В качестве средств защиты от наиболее частых угроз беспроводных сетей можно использовать следующее программое обеспечение

    WPA (Wi-Fi Protected Access) представляет собой обновлённую программу сертификации устройств беспроводной связи. Технология WPA состоит из нескольких компонентов:

    протокол 802.1x -- универсальный протокол для аутентификации, авторизации и учета (AAA)

    протокол EAP -- расширяемый протокол аутентификации (Extensible Authentication Protocol)

    протокол TKIP -- протокол временнОй целостности ключей, другой вариант перевода -- протокол целостности ключей во времени (Temporal Key Integrity Protocol)

    MIC -- криптографическая проверка целостности пакетов (Message Integrity Code)

    протокол RADIUS

    За шифрование данных в WPA отвечает протокол TKIP, который, хотя и использует тот же алгоритм шифрования -- RC4 -- что и в WEP, но в отличие от последнего, использует динамические ключи (то есть ключи часто меняются). Он применяет более длинный вектор инициализации и использует криптографическую контрольную сумму (MIC) для подтверждения целостности пакетов (последняя является функцией от адреса источника и назначения, а также поля данных).

    RADIUS-протокол предназначен для работы в связке с сервером аутентификации, в качестве которого обычно выступает RADIUS-сервер. В этом случае беспроводные точки доступа работают в enterprise-режиме.

    Если в сети отсутствует RADIUS-сервер, то роль сервера аутентификации выполняет сама точка доступа -- так называемый режим

    WPA-PSK (pre-shared key, общий ключ). В этом режиме в настройках всех точек доступа заранее прописывается общий ключ. Он же прописывается и на клиентских беспроводных устройствах. Такой метод защиты тоже довольно секьюрен (относительно WEP), очень не удобен с точки зрения управления. PSK-ключ требуется прописывать на всех беспроводных устройствах, пользователи беспроводных устройств его могут видеть. Если потребуется заблокировать доступ какому-то клиенту в сеть, придется заново прописывать новый PSK на всех устройствах сети и так далее. Другими словами, режим WPA-PSK подходит для домашней сети и, возможно, небольшого офиса, но не более того.

    В этой серии статей будет рассмотрена работа WPA совместно с внешним RADIUS-сервером. Но прежде чем перейти к ней, немного подробнее остановимся на механизмах работы WPA. Технология WPA являлась временной мерой до ввода в эксплуатацию стандарта 802.11i. Часть производителей до официального принятия этого стандарта ввели в обращение технологию WPA2, в которой в той или иной степени используются технологии из 802.11i. Такие как использование протокола CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), взамен TKIP, в качестве алгоритма шифрования там применяется усовершенствованный стандарт шифрования AES (Advanced Encryption Standard). А для управления и распределения ключей по-прежнему применяется протокол 802.1x.

    Как уже было сказано выше, протокол 802.1x может выполнять несколько функций. В данном случае нас интересуют функции аутентификации пользователя и распределение ключей шифрования. Необходимо отметить, что аутентификация происходит «на уровне порта» -- то есть пока пользователь не будет аутентифицирован, ему разрешено посылать/принимать пакеты, касающиеся только процесса его аутентификации (учетных данных) и не более того. И только после успешной аутентификации порт устройства (будь то точка доступа или умный коммутатор) будет открыт и пользователь получит доступ к ресурсам сети.

    Функции аутентификации возлагаются на протокол EAP, который сам по себе является лишь каркасом для методов аутентификации. Вся прелесть протокола в том, что его очень просто реализовать на аутентификаторе (точке доступа), так как ей не требуется знать никаких специфичных особенностей различных методов аутентификации. Аутентификатор служит лишь передаточным звеном между клиентом и сервером аутентификации. Методов же аутентификации, которых существует довольно много:

    EAP-SIM, EAP-AKA -- используются в сетях GSM мобильной связи

    LEAP -- пропреоретарный метод от Cisco systems

    EAP-MD5 -- простейший метод, аналогичный CHAP (не стойкий)

    EAP-MSCHAP V2 -- метод аутентификации на основе логина/пароля пользователя в MS-сетях

    EAP-TLS -- аутентификация на основе цифровых сертификатов

    EAP-SecureID -- метод на основе однократных паролей

    Кроме вышеперечисленных, следует отметить следующие два метода, EAP-TTLS и EAP-PEAP. В отличие от предыдущих, эти два метода перед непосредственной аутентификацией пользователя сначала образуют TLS-туннель между клиентом и сервером аутентификации. А уже внутри этого туннеля осуществляется сама аутентификация, с использованием как стандартного EAP (MD5, TLS), или старых не-EAP методов (PAP, CHAP, MS-CHAP, MS-CHAP v2), последние работают только с EAP-TTLS (PEAP используется только совместно с EAP методами). Предварительное туннелирование повышает безопасность аутентификации, защищая от атак типа «man-in-middle», «session hihacking» или атаки по словарю.

    Протокол PPP засветился там потому, что изначально EAP планировался к использованию поверх PPP туннелей. Но так как использование этого протокола только для аутентификации по локальной сети -- излишняя избыточность, EAP-сообщения упаковываются в «EAP over LAN» (EAPOL) пакеты, которые и используются для обмена информацией между клиентом и аутентификатором (точкой доступа).

    Схема аутентификации состоит из трех компонентов:

    Supplicant -- софт, запущенный на клиентской машине, пытающейся подключиться к сети

    Authenticator -- узел доступа, аутентификатор (беспроводная точка доступа или проводной коммутатор с поддержкой протокола 802.1x)

    Authentication Server -- сервер аутентификации (обычно это RADIUS-сервер).

    Процесс аутентификации состоит из следующих стадий:

    Клиент может послать запрос на аутентификацию (EAP-start message) в сторону точки доступа

    Точка доступа (Аутентификатор) в ответ посылает клиенту запрос на идентификацию клиента (EAP-request/identity message). Аутентификатор может послать EAP-request самостоятельно, если увидит, что какой-либо из его портов перешел в активное состояние.

    Клиент в ответ высылает EAP-response packet с нужными данными, который точка доступа (аутентификатор) перенаправляет в сторону Radius-сервера (сервера аутентификации).

    Сервер аутентификации посылает аутентификатору (точке доступа) challenge-пакет (запрос информации о подлинности клиента). Аутентификатор пересылает его клиенту.

    Далее происходит процесс взаимной идентификации сервера и клиента. Количество стадий пересылки пакетов туда-сюда варьируется в зависимости от метода EAP, но для беспроводных сетей приемлема лишь «strong» аутентификация с взаимной аутентификацией клиента и сервера (EAP-TLS, EAP-TTLS, EAP-PEAP) и предварительным шифрованием канала связи.

    На следующий стадии, сервер аутентификации, получив от клиента необходимую информацию, разрешает (accept) или запрещает (reject) тому доступ, с пересылкой данного сообщения аутентификатору. Аутентификатор (точка доступа) открывает порт для Supplicant-а, если со стороны RADIUS-сервера пришел положительный ответ (Accept).

    Порт открывается, аутентификатор пересылает клиенту сообщение об успешном завершении процесса, и клиент получает доступ в сеть.

    После отключения клиента, порт на точке доступа опять переходит в состояние «закрыт».

    Для коммуникации между клиентом (supplicant) и точкой доступа (authenticator) используются пакеты EAPOL. Протокол RADIUS используется для обмена информацией между аутентификатором (точкой доступа) и RADIUS-сервером (сервером аутентификации). При транзитной пересылке информации между клиентом и сервером аутентификации пакеты EAP переупаковываются из одного формата в другой на аутентификаторе.

    Первоначальная аутентификация производится на основе общих данных, о которых знают и клиент, и сервер аутентификации (как то логин/пароль, сертификат и т.д.) -- на этом этапе генерируется Master Key. Используя Master Key, сервер аутентификации и клиент генерируют Pairwise Master Key (парный мастер ключ), который передается аутентификатору со стороны сервера аутентификации. А уже на основе Pairwise Master Key и генерируются все остальные динамические ключи, которым и закрывается передаваемый трафик. Необходимо отметить, что сам Pairwise Master Key тоже подлежит динамической смене.

    WEP (Wired Equivalent Privacy) - старый метод обеспечения безопасности сети. Он все еще доступен для поддержки устаревших устройств, но использовать его не рекомендуется. При включении протокола WEP выполняется настройка ключа безопасности сети. Этот ключ осуществляет шифрование информации, которую компьютер передает через сеть другим компьютерам. Однако защиту WEP относительно легко взломать.

    Существует два типа методов защиты WEP: проверка подлинности в открытой системе и проверка подлинности с использованием общих ключей. Ни один из них не обеспечивает высокий уровень безопасности, но метод проверки подлинности с использованием общих ключей является менее безопасным. Для большинства компьютеров и точек доступа беспроводной сети, ключ проверки подлинности с использованием общих ключей совпадает со статическим ключом шифрования WEP, который используется для обеспечения безопасности сети. Злоумышленник, перехвативший сообщения для успешной проверки подлинности с использованием общих ключей, может, используя средства анализа, определить ключ проверки подлинности с использованием общих ключей, а затем статический ключ шифрования WEP. После определения статического ключа шифрования WEP злоумышленник может получить полный доступ к сети. По этой причине эта версия Windows автоматически не поддерживает настройку сети через проверку подлинности с использованием общих ключей WEP.

    Использует генератор псевдослучайных чисел (алгоритм RC4) для получения ключа, а также векторы инициализации. Так как последний компонент не зашифрован, возможно вмешательство третьих лиц и воссоздание WEP-ключа.

    Проведенный анализ угроз беспроводных сетей показал, что наиболее расстроенными угрозами являются чужаки, нефиксированная связь, отказ в обсаживании, подслушивание.

    Обзор программных средств, используемых для защиты информации беспроводных сетей показал, что наиболее целесообразно использовать программу WPA. Программа WPA является обновленной программой сертификации устройств беспроводной связи. В программе WPA усилена безопасность данных и контроль доступа к беспроводным сетям, поддерживается шифрование в соответствии со стандартом AES (Advanced Encryption Standard, усовершенствованный стандарт шифрования), который имеет более стойкий криптоалгоритм.

    Несанкционированный доступ – чтение, обновление или разрушение информации при отсутствии на это соответствующих полномочий .

    Несанкционированный доступ осуществляется, как правило, с использованием чужого имени, изменением физических адресов устройств, использованием информации, оставшейся после решения задач, модификацией программного и информационного обеспечения, хищением носителя информации, установкой аппаратуры записи.

    Для успешной защиты своей информации пользователь должен иметь абсолютно ясное представление о возможных путях несанкционированного доступа. Основные типовые пути несанкционированного получения информации:

    · хищение носителей информации и производственных отходов;

    · копирование носителей информации с преодолением мер защиты;

    · маскировка под зарегистрированного пользователя;

    · мистификация (маскировка под запросы системы);

    · использование недостатков операционных систем и языков программирования;

    · использование программных закладок и программных блоков типа "троянский конь";

    · перехват электронных излучений;

    · перехват акустических излучений;

    · дистанционное фотографирование;

    · применение подслушивающих устройств;

    · злоумышленный вывод из строя механизмов защиты и т.д..

    Для защиты информации от несанкционированного доступа применяются:

    1) организационные мероприятия;

    2) технические средства;

    3) программные средства;

    4) шифрование.

    Организационные мероприятия включают в себя:

    · пропускной режим;

    · хранение носителей и устройств в сейфе (дискеты, монитор, клавиатура и т.д.);

    · ограничение доступа лиц в компьютерные помещения и т.д..

    Технические средства включают в себя:

    · фильтры, экраны на аппаратуру;

    · ключ для блокировки клавиатуры;

    · устройства аутентификации – для чтения отпечатков пальцев, формы руки, радужной оболочки глаза, скорости и приемов печати и т.д.;

    · электронные ключи на микросхемах и т.д.

    Программные средства включают в себя:

    · парольный доступ – задание полномочий пользователя;

    · блокировка экрана и клавиатуры с помощью комбинации клавиш в утилите Diskreet из пакета Norton Utilites;

    · использование средств парольной защиты BIOS – на сам BIOS и на ПК в целом и т.д.

    Шифрование–это преобразование (кодирование) открытой информации в зашифрованную, не доступную для понимания посторонних. Методы шифрования и расшифровывания сообщения изучает наука криптология, история которой насчитывает около четырех тысяч лет.

    2.5. Защита информации в беспроводных сетях

    Невероятно быстрые темпы внедрения в современных сетях беспроводных решений заставляют задуматься о надежности защиты данных.

    Сам принцип беспроводной передачи данных заключает в себе возможность несанкционированных подключений к точкам доступа.

    Не менее опасная угроза - вероятность хищения оборудования. Если политика безопасности беспроводной сети построена на МАС-адресах, то сетевая карта или точка доступа, украденная злоумышленником, может открыть доступ к сети.

    Часто несанкционированное подключение точек доступа к ЛВС выполняется самими работниками предприятия, которые не задумываются о защите.

    Решением подобных проблем нужно заниматься комплексно. Организационные мероприятия выбираются исходя из условий работы каждой конкретной сети. Что касается мероприятий технического характера, то весьма хорошей результат достигается при использовании обязательной взаимной аутентификации устройств и внедрении активных средств контроля.

    В 2001 году появились первые реализации драйверов и программ, позволяющих справиться с шифрованием WEP. Самый удачный - PreShared Key. Но и он хорош только при надежной шифрации и регулярной замене качественных паролей (рис.1).

    Рисунок 1 - Алгоритм анализа зашифрованных данных

    Современные требования к защите

    Аутентификация

    В настоящее время в различном сетевом оборудовании, в том числе в беспроводных устройствах, широко применяется более современный способ аутентификации, который определен в стандарте 802.1х - пока не будет проведена взаимная проверка, пользователь не может ни принимать, ни передавать никаких данных.

    Ряд разработчиков используют для аутентификации в своих устройствах протоколы EAP-TLS и PEAP, Cisco Systems, предлагает для своих беспроводных сетей, помимо упомянутых, следующие протоколы: EAP-TLS, РЕАР, LEAP, EAP-FAST.

    Все современные способы аутентификации подразумевают поддержку динамических ключей.

    Главный недостаток LEAP и EAP-FAST - эти протоколы поддерживаются в основном в оборудовании Cisco Systems (рис. 2).

    Рисунок 2 - Структура пакета 802.11x при использовании TKIP-PPK, MIC и шифрации по WEP.

    Шифрование и целостность

    На основании рекомендаций 802.11i Cisco Systems реализован протокол ТКIР (Temporal Integrity Protocol), обеспечивающий смену ключа шифрования РРК (Per Packet Keying) в каждом пакете и контроль целостности сообщений MIC (Message Integrity Check).

    Другой перспективный протокол шифрования и обеспечения целостности - AES (Advanced Encryption Standart). Он обладает лучшей криптостойкостью по сравнению DES и ГОСТ 28147-89. Он обеспечивает и шифрацию, и целостность.

    Заметим, что используемый в нем алгоритм (Rijndael) не требует больших ресурсов ни при реализации, ни при работе, что очень важно для уменьшения времени задержки данных и нагрузки на процессор.

    Стандарт обеспечения безопасности в беспроводных локальных сетях - 802,11i.

    Стандарт Wi-Fi Protected Access (WPA) - это набор правил, обеспечивающих реализацию защиты данных в сетях 802.11х. Начиная с августа 2003 года соответствие стандартам WPA является обязательным требованием к оборудования, сертифицируемому на звание Wi-Fi Certified.

    В спецификацию WPA входит измененный протокол TKOP-PPK. Шифрование производится на сочетании нескольких ключей - текущего и последующего. При этом длина IV увеличена до 48 бит. Это дает возможность реализовать дополнительные меры по защите информации, к примеру ужесточить требования к реассоциациям, реаутентификациям.

    Спецификации предусматривают и поддержку 802.1х/EAP, и аутентификацию с разделяемым ключом, и, несомненно, управление ключами.

    Таблица 3 - Способы реализации политики безопасности

    Показатель

    Поддержка современных ОС

    Сложность ПО и ресурсоёмкость аутентификации

    Сложность управления

    Single Sign on (единый логин в Windows)

    Динамические ключи

    Одноразовые пароли

    Продолжение таблицы 3

    При условии использования современного оборудования и ПО в настоящее время вполне возможно построить на базе стандартов серии 802.11х защищенную и устойчивую к атакам беспроводную сеть.

    Почти всегда беспроводная сеть связана с проводной, а это, помимо необходимости защищать беспроводные каналы, необходимо обеспечивать защиты в проводных сетях. В противном случае сеть будет иметь фрагментарную защиту, что, по сути, является угрозой безопасности. Желательно использовать оборудование, имеющее сертификат Wi-Fi Certified, то есть подтверждающий соответствие WPA.

    Нужно внедрять 802.11х/EAP/TKIP/MIC и динамическое управление ключами. В случае смешанной сети следует использовать виртуальные локальные сети; при наличии внешних антенн применяется технология виртуальных частных сетей VPN.

    Необходимо сочетать как протокольные и программные способы защиты, так и административные.

    Белорусов Дмитрий Иванович
    Корешков Михаил Сергеевич
    ООО «РИКОМ» г.Москва

    Wi -Fi -сети и угрозы информационной безопасности

    В статье рассмотрены прямые и косвенные угрозы информационной безопасности, которые возникают в связи с развитием технологии беспроводного доступа WiFi. Показано, что применение технологии WiFi может угрожать не только информации, передаваемой непосредственно с помощью оборудования WiFi, но и речевой информации на объекте.

    Широкое применение сетей беспроводной передачи данных на основе технологии IEEE 802.11, более известной как WiFi, не может не обращать на себя внимание специалистов по информационной безопасности объектов. В этой статье авторы ставят целью познакомить читателей с результатами исследований новых угроз информационной безопасности объекта, которые связаны с WiFi -сетями.

    Изначально технология WiFi была ориентирована на организацию точек быстрого доступа в Интернет (hotspot) для мобильных пользователей. Технология позволяет обеспечить одновременный доступ большого числа абонентов к сети Интернет прежде всего в общественных местах (аэропорты, рестораны и т.д.). Преимущества беспроводного доступа очевидны, тем более что изначально технология WiFi стала стандартом де-факто, и у производителей мобильных компьютеров не возникает вопрос совместимости точек доступа имобильных устройств.

    Постепенно сети WiFi распространились и на крупные и мелкие офисы для организации внутрикорпоративных сетей или подсетей.

    Одновременно с этим крупные операторы связи начали развивать собственные сервисы по предоставлению платного беспроводного доступа в Интернет на основе технологии WiFi. Такие сети состоят из большого числа точек доступа, которые организуют зоны покрытия целых районов городов, подобно сотовой связи.

    Как следствие в настоящее время в любом крупном городе рядом практически с любым объектом расположено как минимум несколько WiFi -сетей со своими точками доступа и клиентами, число которых может доходить до сотен.

    Перейдем к рассмотрению угроз информационной безопасности, которые возникают в связи с использованием WiFi -сетей. Все угрозы можно условно разделить на два класса:

    • прямые - угрозы информационной безопасности, возникающие при передачеинформации по беспроводному интерфейсу IEEE 802.11;
    • косвенные - угрозы, связанные с наличием на объекте и рядом с объектом большого количества WiFi -сетей, которые могут использоваться для передачи информации, в том числе и полученной несанкционированно.

    Косвенные угрозы актуальны абсолютно для всех организаций, и, как будет показано далее, они представляют опасность не только для информации, обрабатываемой в компьютерных сетях, но и, что наиболее важно, для речевой информации.

    Рассмотрим прямые угрозы. Для организации беспроводного канала связи в технологии WiFi используется радиоинтерфейс передачи данных. Как канал передачи информации он потенциально подвержен несанкционированному вмешательству с целью перехвата информации, искажения или блокирования.

    При разработке технологии WiFi учтены некоторые вопросы информационной безопасности, однако, как показывает практика, недостаточно.

    Многочисленные «дыры» в безопасности WiFi дали начало отдельному течению в отрасли компьютерного взлома, так называемому вардрайвингу (wardriving - англ.). Вардрайверы - это люди, которые взламывают чужие WiFi -сети из «спортивного» интереса, что, однако, не умаляет опасность угрозы.

    Хотя в технологии WiFi и предусмотрены аутентификация и шифрование для защиты трафика от перехвата на канальном уровне, эти элементы защиты работают недостаточно эффективно.

    Во-первых, применение шифрования снижает скорость передачи информации по каналу в несколько раз, и, зачастую, шифрование умышленно отключается администраторами сетей для оптимизации трафика. Во-вторых, использование в WiFi -сетях достаточно распространённой технологии шифрования WEP давно было дискредитировано за счёт слабых мест в алгоритме распределения ключей RC4, который используется совместно с WEP. Существуют многочисленные программы, позволяющие подобрать «слабые» WEP- ключи. Эта атака получила название FMS по первым буквам инициалов разработчиков. Каждый пакет, содержащий слабый ключ, с 5%-ной степенью вероятности восстанавливает один байт секретного ключа, поэтому общее количество пакетов, которое атакующий должен собрать для реализации атаки, зависит в первую очередь от степени его везучести. В среднем для взлома требуется порядка шести миллионов зашифрованных пакетов. Хакеры лаборатории H1kari of DasbOden Labs усилили FMS -алгоритм, сократив количество необходимых пакетов с шести миллионов до 500 тысяч. А в некоторых случаях 40/104-битный ключ взламывается всего с тремя тысячами пакетов, что позволяет атаковать даже домашние точки доступа, не напрягая их избыточным трафиком.

    Если обмен данными между легальными клиентами и точкой доступа незначителен или практически отсутствует, злоумышленник может заставить жертву генерировать большое количество трафика, даже не зная секретного ключа. Достаточно просто перехватить правильный пакет и, не расшифровывая, ретранслировать его вновь.

    Разработчики оборудования отреагировали вполне адекватным образом, изменив алгоритм генерации векторов инициализации так, чтобы слабые ключи уже не возникали.

    В августе 2004 года хакер по имени KoreK продемонстрировал исходный код нового криптоанализатора, взламывающего даже сильные векторы инициализации. Для восстановления 40-битного ключа ему требовалось всего 200 000 пакетов с уникальными векторами инициализации, а для 104-битного - 500 тысяч. Количество пакетов с уникальными векторами в среднем составляет порядка 95% от общего количества зашифрованных пакетов, так что для восстановления ключа атакующему потребуется совсем немного времени.

    В новом оборудовании WiFi используется технология WPA - WiFi Protected Access (защищенный WiFi -доступ), где вновь была усилена защищённость беспроводных устройств. На место WEP пришел TKIP (Temporal Key Integrity Protocol - протокол краткосрочной целостности ключей), генерирующий динамические ключи, сменяющие друг друга с небольшим интервалом времени. Несмотря на относительную новизну этой технологии, в комплект некоторых хакерских утилит уже входит специальный модуль, отображающий один из ключей протокола. Для несанкционированного подключения к точке доступа, защищённой технологией WPA, этого оказалось вполне достаточно.

    Стандарт IEEE 802.11i описывает более продвинутую систему безопасности (известна под именем WPA2), основанную на криптоалгоритме AES. Готовых утилит для её взлома в открытом виде пока не наблюдается, так что с этой технологией можно чувствовать себя в безопасности. По крайней мере, какое-то время она продержится.

    Угроза блокирования информации в канале WiFi практически оставлена без внимания при разработке технологии, что напрасно. Конечно, само по себе блокирование канала не является опасным, поскольку практически всегда сети WiFi являются вспомогательными, однако блокирование зачастую является лишь подготовительным этапом для атаки man-in-the-middle, когда между клиентом и точкой доступа появляется третье устройство, которое перенаправляет трафик между ними через себя. В этом случае возникает уже не только угроза перехвата информации, но и её искажения. Известны, по крайней мере, несколько обработанных атак на WiFi -сети, связанных с отказом в обслуживании DOS (Denail-of-Service), но в рамках данной статьи мы не будем останавливаться на их рассмотрении, ограничимся лишь констатацией наличия реальных угроз.

    Перейдём к рассмотрению косвенных угроз информационной безопасности объекта, которые непосредственно связаны с WiFi- технологией.

    Каналы WiFi -сетей являются крайне привлекательными для использования в качестве транспортной инфраструктуры для устройств несанкционированного получения информации по целому ряду причин:

    1. Сигналы WiFi -устройств имеют достаточно сложную структуру и широкий спектр, поэтому эти сигналы, а тем более, окружающие устройства WiFi невозможно идентифицировать обычными средствами радиомониторинга.

    Как показала практика, уверенное обнаружение сигнала WiFi современными комплексами радиомониторинга в широкой полосе частот возможно только по энергетическому признаку при наличии полос параллельного анализа шириной несколько десятков МГц на скорости не менее 400 МГц/с и лишь в ближней зоне. Сигналы точек доступа, расположенных в дальней зоне, оказываются ниже уровня шумов приёмника.

    Обнаружение WiFi -передатчиков при последовательном сканировании узкополосными приёмниками вообще невозможно.

    2. Практически на каждом объекте или вблизи него развёрнуты частные WiFi -сети или WiFi -сети общего пользования. В окружении таких сетей крайне сложно отличить легальных клиентов собственной и соседних сетей от клиентов с возможностями негласного получения информации, что даёт возможность эффективно маскировать несанкционированную передачу информации среди легальных WiFi -каналов.

    Передатчик WiFi излучает так называемый «OFDM сигнал». Это означает, что в один момент времени устройство передаёт в одном сигнале, занимающем широкую полосу частот (около 20 МГц), несколько несущих информацию - поднесущих информационных каналов, которые расположены так близко друг от друга, что при приёме их на обычном приёмном устройстве, сигнал выглядит как единый «купол». Разделить в таком «куполе» поднесу-щие и идентифицировать передающие устройства можно только специальным приёмником.

    3. В крупных городах сети WiFi общего пользования имеют зону покрытия, достаточную, чтобы гарантировать возможность подключения к ним для передачи информации практически любой точки. Это снимает необходимость использования мобильного пункта приёма информации рядом с объектом, поскольку информация может быть передана несанкционированным устройством через точку доступа общего пользования и далее по сети Интернет в любое место.

    4. Ресурсы, которые предоставляют каналы WiFi -сетей, позволяют передавать звук, данные, видео в реальном масштабе времени. Этот факт открывает широкие возможности перед устройствами перехвата информации. Теперь не только звуковая информация, но и видеоданные с компьютеров или локальной сети под угрозой.

    Все рассмотренные выше преимущества WiFi -технологии с точки зрения защиты информации на объекте являются недостатками. Кроме того, выпускаются и абсолютно легально продаются малогабаритные WiFi- устройства, позволяющие передавать данные, голосовую или видеоинформацию, например, беспроводные WiFi -видеокамеры, которыелегко могут быть переделаны для использования в качестве устройств негласного получения информации.

    Рис. 1. Сигнал WiFi -передатчика в ближней зоне


    Рис. 2. Беспроводная WEB -камера с WiFi- интерфейсом

    1. В помещении несанкционированно установлена WiFi -видеокамера с микрофоном. Для увеличения дальности передачи информации на крыше объекта устанавливается точка доступа WiFi, которая работает в режиме ретранслятора (один из штатных режимов работы WiFi точки доступа) с направленной антенной. В этом случае информация из помещения, в котором установлена камера стандартной мощности WiFi клиента, может быть принята на контрольном пункте, расположенном на расстоянии нескольких километров от объекта, даже в условиях города.

    2. Смартфон одного из сотрудников предприятия с помощью специальной программы(вируса) может переводиться в режим, когда речевая информация с микрофона будет записываться и с помощью встроенного в него WiFi- модуля передаваться на контрольный пункт.

    Для повышения скрытности контрольный пункт может быть использован также в одном из штатных режимов WiFi точек доступа - «передача со скрытым именем». В таком случае точка доступа будет невидима программам обзора сетевого окружения для беспроводных сетей. Необходимо отметить, что в этих программах WiFi клиенты вообще никогда не видны.

    3. И наконец, рассмотрим вариант, когда режим на объекте не позволяет выносить носители информации за его пределы, выход в Интернет отсутствует или ограничен. Как злоумышленник может передать с такого объекта достаточно большой объём данных незаметно? Ответ: ему необходимо абсолютно легально подключиться к соседней широковещательной WiFi -сети и передать информацию, оставаясьнезамеченным среди достаточно большого количества WiFi клиентов соседних сетей, передающих информацию за пределами объекта.

    Выводы:

    Технология WiFi безусловно удобна и универсальна для организации беспроводного доступа к информации. Однако она несёт в себе множество серьёзных угроз информационной безопасности объекта. При этом существуют прямые и косвенные угрозы информационной безопасности. И если от прямых угроз можно избавиться, отказавшись от применения WiFi -устройств в инфраструктуре корпоративной сети и не использовать WiFi- сети на объекте, то косвенные угрозы существуют независимо от применения на объекте WiFi -технологии. Кроме того косвенные угрозы опаснее прямых, поскольку им подвержена не только информация в компьютерных сетях, но и речевая информация на объекте.

    В заключение хотелось бы отметить, что WiFi -технология в настоящее время является не единственной распространённой беспроводной технологией передачи данных, которая может нести в себе угрозы информационной безопасности объекта.

    Bluetooth -устройства также могут использоваться для организации несанкционированной беспроводной передачи данных. По сравнению с WiFi- у Bluetooth -устройств существенно меньше возможностей с точки зрения дальности передачи информации и пропускной способности канала, но есть одно важное преимущество - низкое энергопотребление, что для несанкционированного передатчика является крайне важным.

    Ещё одна технология, которая начинает конкурировать с WiFi при обеспечении беспроводного широкополосного доступа, это -WiMAX. Однако по состоянию на настоящий момент WiMAX -устройства гораздо менее распространены, и их наличие скорее окажется демаскирующим фактором, чем скроет несанкционированный канал передачи информации.

    Таким образом, именно WiFi в настоящее время является не только самой распространённой технологией беспроводного доступа, но и самой удобной с точки зрения несанкционированного получения и передачи информации.

    Литература

    1. Каролик А., Касперски К. Разберемся, что такое вардрайвинг (wardriving) и с чем его необходимо употреблять //Хакер. - №059. - С. 059-0081.