1. Несанкціоноване підключення до бездротових мереж WLAN і WiFi
2. Прослуховування трафіку мереж WLAN і WiFi
3. Уразливість до відмови в обслуговуванні мереж WLAN і WiFi
4. мобільність клієнтів
5. Безконтрольність бездротових мереж WLAN і WiFi
6. Захист бездротових мереж WLAN і WiFi
7. Сучасні механізми захисту мереж WLAN і WiFi
8. Вибір технології забезпечення безпеки бездротових WLAN і WiFi
9. В кінці, але не останню чергу
10. Інші статті на цю тему:

2006

Питання безпеки є важливим аспектом в проектуванні і впровадженні локальних бездротових мереж (Wireless Local Area Network, WLAN). Особливості реалізації, пов'язані з використанням загального середовища передачі, що виходить за контрольований фізичний периметр, вимагає використання специфічного підходу при забезпеченні безпеки WLAN. У даній статті розглядаються основні загрози і методи захисту, характерні для бездротових мереж.

Несанкціоноване підключення до бездротових мереж WLAN і WiFi

На відміну від провідної мережі, для підключення до WLAN не потрібно отримувати фізичний доступ до активного мережевого обладнання, але досить перебуваючи в межах радіодоступності встановити логічний зв'язок (асоціацію) з точкою доступу.

Як правило, радіомережа далеко виходить за межі фізичного периметра, і навіть якщо мережа побудована з урахуванням вимог мінімізації рівня сигналу, використання потужних бездротових карток і спрямованих антен дозволяє зловмисникові взаємодіяти з точкою доступу на значній відстані.

Прослуховування трафіку мереж WLAN і WiFi

Багато бездротові картки підтримують можливість роботи в режимі моніторингу. Цей режим, трохи схожий з неселективним режимом адаптерів IEEE 802.3, дає можливість зберігати трафік бездротової мережі навіть без встановлення з нею логічного зв'язку. У конкретний момент часу картка має можливість прослуховувати тільки один з каналів, однак більшість мережевих аналізаторів бездротових мереж підтримують можливість автоматизованого перемикання між каналами (channel hoping) для збору пакетів на всіх можливих каналах.

Після виявлення цікавить його бездротової мережі зловмисник може сконцентрувати увагу на потрібному каналі і збирати весь трафік цієї мережі. Як і у випадку з несанкціонованим підключенням, зловмисник має можливість аналізувати пакети, перебуваючи на значній відстані від точки доступу.

Існує безліч різноманітних мережевих аналізаторів для WLAN. Як приклад можна привести програми AirMagnet Laptop, Wildpackets Aeropeak і CommView for WiFi для операційної системи Windows і Ethereal, Kismet для Linux.

Для роботи мережевого аналізатора необхідно встановити в систему спеціальні драйвери мережевої карти, що підтримують роботу в режимі моніторингу (HostAP, AirJack, Madwifi, IPW2200 для Linux). Драйвери для Windows, як правило, входять в поставку мережевого аналізатора.

Уразливість до відмови в обслуговуванні мереж WLAN і WiFi

Специфіка бездротової мережі WLAN і WiFi робить її дуже вразливою для атак, спрямованих на відмову в обслуговуванні. На якість зв'язку можуть позначитися погодні умови, незначна зміна розташування антени, використання бездротової мережі в сусідній будівлі або офісах і т.д. Що стосується антропогенних атак, то їх можна розділити на три великі групи: використання вразливостей фізичного, канального і вищих рівнів моделі OSI. Детальніше дані типи атак планується розглянути в наступних статтях.

Як показує практика, превентивних методів захисту від атак, спрямованих на відмову в обслуговуванні, не існує. Цю особливість бездротової мережі треба враховувати при плануванні і не використовувати WiFi для передачі трафіку з високими вимогами до доступності.

мобільність клієнтів

Багато клієнтів бездротових мереж мобільні в буквальному сенсі цього слова, тобто часто змінюють своє місце розташування. Це призводить до того, що вони часто працюють з бездротовими мережами, відмінними від мережі компанії. При цьому часто не дотримуються елементарні вимоги безпеки, і передача цінних даних (найчастіше це паролі користувачів, що збігаються з тими, які використовуються в мережі компанії) відбувається по незахищених каналах зв'язку, або гірше того - по каналам, які контролюються зловмисником.

Для того, щоб усвідомити проблеми безпеки клієнтів бездротових мереж, можна уявити їх в якості клієнтів VPN, які отримують доступ до корпоративної мережі через агресивне середовище Інтернету, в той час, як потенційні порушники перебувають в одному з ними локальному сегменті. Зараз мало хто дозволить незахищеному клієнту використовувати VPN, однак, застосування бездротових мереж без належного захисту клієнтів - цілком поширена практика.

Під час минулорічної виставки-конференції Infosecurity Moscow 2005 Навчальний центр «Інформзахист» спільно з компанією Positive Technologies провів експеримент, що дозволив оцінити, наскільки фахівці в області безпеки серйозно ставляться до бездротових мереж.

З цією метою була розгорнута бездротова мережа-приманка (honeynet), яка давала можливість після деяких зусиль отримати доступ до Internet. Яке ж було здивування дослідників, коли виявилося, що багато хто з учасників Infosecurity не тільки не проти використати чужу бездротову мережу, але отримують з її допомогою корпоративну пошту. При цьому багато хто з них, як потім з'ясувалося при особистій бесіді, не уявляють, що їх трафік може аналізувати не тільки власник ресурсу, але і будь-який знаходиться поряд приймач.

Безконтрольність бездротових мереж WLAN і WiFi

Найчастіше власник мережі і її адміністратори навіть не підозрюють, що на підприємстві розгорнута бездротова мережа. Дешевизна бездротових пристроїв, їх поширеність і простота використання робить WiFi серйозним каналом витоку корпоративної інформації.

Співробітник може підключити до локальної мережі бездротову точку доступу або налаштувати на своєму ноутбуці мережевий міст між бездротовим адаптером та локальною мережею. Він може забути відключити бездротової адаптер після роботи з домашньою мережею і т. П. Все це дає йому, а не виключено, що і зовнішньому зловмисникові, можливість отримання доступу до корпоративних даних.

Одного разу, під час виїзного навчання, проводилися практичні роботи з курсу "Безпека бездротових мереж" і слухачі виявили "несанкціоновану" точку доступу. При аналізі трафіку було виявлено, що ця точка доступу не тільки дозволяє нерозпізнаних підключення, але і видає IP-адреси з корпоративного сервера DHCP. Виявилося, що один зі співробітників компанії вирішив "поекспериментувати" зі своєю домашньою точкою доступу на роботі і підключив AP до мережі підприємства. В результаті слухачі виявлено не навчальний, а цілком реальний інцидент.

Захист бездротових мереж WLAN і WiFi

В ході розробки в бездротові мережі були закладені можливості захисту від несанкціонованого підключення та прослуховування. Першим із запропонованих стандартів захисту був WEP (Wired Equivalent Privacy), який використовує криптографічний алгоритм RC4 зі статичним розподілом ключів шифрування для аутентифікації клієнтів, що підключаються і шифрування трафіка. Однак в 2001 р були публічно продемонстровано уразливості даного протоколу, що дозволяють атакуючому відновити ключ WEP після перехоплення певної кількості зашифрованих даних. Атаки на WEP отримали подальший розвиток, і в 2004 р з'явилися так звані KoreK-атаки, що дозволяють атакуючому отримати ключ після перехоплення набагато меншого обсягу даних, ніж в оригінальному варіанті. Крім того, управляти статичним розподілом ключів в разі великої кількості клієнтів практично неможливо.

Сучасні механізми захисту мереж WLAN і WiFi

Оскільки WEP не забезпечує адекватного рівня безпеки, для захисту бездротових мереж досить широко використовуються засоби побудови віртуальних приватних мереж. В цьому випадку канальний рівень OSI визнається небезпечним, а вся бездротова мережа прирівнюється до мережі Інтернет, доступ з якої в корпоративну мережу можливий тільки по каналу, захищеного засобами VPN на основі PPTP, IPSec в тунельному режимі або L2TP + IPSec. Однак використання VPN накладає ряд обмежень на використання бездротових мереж. Зникає прозорість, для роботи з мережею потрібно активізувати бездротове підключення. І так досить невелика пропускна здатність бездротового каналу додатково утилізується за рахунок службового трафіку протоколу організації віртуальної приватної мережі. Можуть виникати розриви VPN з'єднання при інтенсивному перемиканні між точками доступу.

Сучасна підсистема безпеки сімейства стандартів 802.11 представлена ​​двома специфікаціями: WPA і 802.11i. Перша з них, як і WEP, задіє для захисту трафіку алгоритм RC4, але з динамічної генерацією ключів шифрування. Пристрої, що підтримують 802.11i, як алгоритм шифрування використовують AES. Обидва протоколу, і 802.11i, і WPA для аутентифікації пристроїв можуть застосовувати як статично розподіляється ключ, так і технологію 802.1X.

Технологія 802.1X служить для аутентифікації клієнта перед отриманням доступу до канального рівня технології Ethernet навіть при наявності фізичного підключення. Для аутентифікації використовується протокол EAP і його варіанти (PEAP, EAP-TTLS, LEAP). Як сервер аутентифікації може виступати сервер, який реалізує необхідні розширення протоколу RADIUS. Серйозним гідністю 802.1X є той факт, що вона може використовуватися як в провідний, так і бездротової мережі. Тобто компанія може впровадити 802.1X для WiFi, а потім, по мірі відновлення активного мережного обладнання задіяти ту ж саму інфраструктуру для аутентифікації дротових клієнтів. Дуже часто в рекомендаціях щодо забезпечення безпеки бездротових мереж фігурує вимога до відключення широкомовного розсилання ідентифікатора мережі (SSID broadcast, guest mode і т.д.). У цьому випадку точка доступу припиняє розсилати широкомовні пакети beacon з ідентифікатором мережі та іншої службовою інформацією, що полегшує клієнтові настройку.

Це може утруднити виявлення бездротової мережі зловмисником, що володіє невисокою кваліфіцікаціей, але так само і ускладнити настройку клієнтських пристроїв (особливо, якщо точка доступу працює на граничних каналах).

Ще один часто використовуваний механізм доступу - авторизація по MAC-адресами має сенс використовувати тільки як додатковий механізм захисту, але не як основний, оскільки він досить легко обходиться зловмисниками.

Вибір технології забезпечення безпеки бездротових WLAN і WiFi

Бездротові мережі можна умовно розділити на домашні (SOHO), загальнодоступні і корпоративні. У кожному з цих випадків мають сенс різні підходи до забезпечення безпеки мережі, оскільки моделі загроз розрізняються для кожного з типів мереж.

У SOHO мережах застосовуються як технології побудови VPN (наприклад, PPTP, сервер якого вбудований в багато бездротові маршрутизатори, або IPSec-PSK), так і WPA-PSK (тобто з аутентифікацією на загальних ключах). Однак при виборі в якості протоколу захисту WPA-PSK слід пам'ятати, що будь-який протокол аутентифікації, заснований на паролі, вразливий для атак відновлення парольної фрази по перехопленої сесії. Відповідно, для захисту бездротової мережі слід вибирати достатній стійкий до підбору пароль (згідно з багатьма рекомендаціями, що складається як мінімум з 20 символів).

Для захисту корпоративних мереж найбільшою популярністю користуються рішення на основі технології 802.1X або коштів побудови віртуальних приватних мереж. І та, і інша технологія дозволяє задіяти вже наявні в корпоративній мережі компоненти, такі, як інфраструктура відкритих ключів, сервери RADIUS, шлюзи VPN для захисту від перехоплення трафіку і несанкціонованого підключення до бездротової мережі. Гідність VPN - можливість задіяти існуюче обладнання, програмні продукти і досвід, накопичений при експлуатації традиційних віртуальних приватних мереж. Додатковим плюсом впровадження 802.1X служить можливість подальшого перенесення цієї технології і в локальну мережу, оскільки все більше і більше дротяних комутаторів підтримують 802.1X.компоненти, такі, як інфраструктура відкритих ключів, сервери RADIUS, шлюзи VPN для захисту від перехоплення трафіку і несанкціонованого підключення до бездротової мережі. Гідність VPN - можливість задіяти існуюче обладнання, програмні продукти і досвід, накопичений при експлуатації традиційних віртуальних приватних мереж. Додатковим плюсом впровадження 802.1X служить можливість подальшого перенесення цієї технології і в локальну мережу, оскільки все більше і більше дротяних комутаторів підтримують 802.1X.

В кінці, але не останню чергу

Рішення про впровадження бездротової мережі WLAN і WiFi, як і будь-який впровадження IT-технології, має супроводжуватися аналізом ризиків, розробкою політики безпеки і інструкцій адміністраторів і користувачів по роботі з впроваджуваної технологією. При розгортанні WiFi у великій мережі слід подумати про механізми централізованого управління настройками точок доступу і клієнтських станцій. Оскільки вимоги до безпеки бездротової мережі відрізняються від провідний, варто розділити ці мережі за допомогою брандмауера. Бажано контролювати настройки робочих станцій і точок доступу як за допомогою активних засобів (сканерів вразливостей) так і за допомогою бездротових систем виявлення атак. Останні допоможуть так же вирішити проблему підключення несанкціонованих бездротових пристроїв.

Далі буде.

Завантажити статтю в форматі PDF

Інші статті на цю тему:

повідомити про помилку