Розповідати в черговий раз, що таке Wi-Fi, ми не будемо. Всі плюси цієї технології вже розписані уздовж і поперек, найбільш просунуті користувачі встигли обзавестися Centrino-ноутбуками, потихеньку починають з'являтися громадські точки доступу і т.д. Коротше кажучи, справа необхідна, і минути нам цей етап не вдасться, не сидіти ж століття на проводах. Втім, є у цієї технології одна серйозна проблема, від вирішення якої багато в чому залежить її майбутнє. На жаль, але це безпека.

Надійний захист мережі - це спокійний сон

Безпека Wi-Fi мережі включає в себе два аспекти: це захист від несанкціонованого доступу та шифрування переданої інформації. Відзначимо відразу, що вирішити їх сьогодні зі стовідсотковою гарантією неможливо, але убезпечити себе від всіляких «любителів» можна і потрібно.

Адже бездротове обладнання та програмне забезпечення за замовчуванням містить в собі певні засоби захисту, і залишається тільки їх задіяти і правильно налаштувати. Однак перш ніж перейти до оцінки цих коштів, ми наведемо кілька фактів, що підтверджують гостроту проблеми. Якщо поглянути на результати опитування головних менеджерів з безпеки IT-компаній, проведеного фірмою Defcom, то складається цікава картина. Порядку 90% опитаних оптимістично бездротових мереж, але відсувають його на невизначений термін через слабку захищеність таких мереж на сучасному етапі. Рівновага з точки зору безпеки між дротяними і бездротовими мережами настане, на їхню думку, тільки через 3-5 років. І більше 60% стверджують, що недостатня безпека серйозно гальмує розвиток цього напрямку, немає довіри, відповідно, багато хто не ризикує відмовлятися від перевірених часом дротяних рішень.

Головне меню налаштувань бездротового роутера

Втім, що там IT-менеджери, дослідження експертів Навчального центру «Інформзахист» показало дивовижні результати. Прозондировав близько 2 км одній з московських вулиць (який, не розголошується зі зрозумілих причин) за допомогою програми Wi-Fi моніторингу було виявлено 11 працюючих мереж. З них 4 були абсолютно беззахисні, а решта в основному використовували для захисту протокол WEP, що забезпечує тільки мінімальний рівень безпеки. Коментувати таку безрадісну картину, напевно, не має сенсу, тому перейдемо від цифр до фактів.

Про точках доступу і SSID

Першими діями будь-якого зловмисника є пошук точки доступу і спроба увійти в мережу. Найвразливіше місце тут, як це не дивно, це точка доступу, оскільки за замовчуванням всі її функції безпеки відключені. Причина такої кричущої недолугості нам незрозуміла (звичайно, можна включити, але все це зроблять?). Залишимо цей недолік на совісті виробників, і звернемося до решти умов підключення до мережі.

Меню редагування ідентифікатори мережі SSID

Одним з найважливіших параметрів, необхідних для отримання доступу є ідентифікатор мережі SSID. Це вбудоване засіб захисту стандарту 802.11 є ім'я, яке потрібно ввести для входу в мережу. Зазвичай широковещательная трансляція ідентифікатора відключена, так що зловмисникові необхідно знати SSID. Завдання його отримання вирішується досить просто, ноутбук з Wi-Fi і пару спеціалізованих програм видадуть всю необхідну інформацію досить швидко. До речі, якщо ви думаєте, що таке ПЗ є великою рідкістю, то помиляєтеся. Наприклад, досить популярна в «деяких колах» програма NetStumbler дозволяє знайти всі працюючі в даній точці мережі, визначити SSID, шифрування каналу і безліч інших параметрів. В принципі, навіть при відсутності такого ПО можна просто «зняти» трафік між точкою доступу і комп'ютером і проаналізувати його, SSID фігурує там в явному вигляді.

Список активних пристроїв: IP- і MAC-адреси

Ще одним поширеним методом перешкоджання несанкціонованому доступу є обмеження числа користувачів мережі виділенням кожному конкретного MAC-адреси. Ну, це скоріше захист від невігласів, MAC-адресу передається в незашифрованому вигляді, так що дізнатися його і підставити в потрібне місце - справа нехитра. Як бачите, з цього боку рівень захисту мінімальний, і потрібні інші заходи. Прийнятним варіантом можна вважати використання віртуальних приватних мереж VPN (Wi-Fi це надбудова над Ethernet, отже, можуть бути застосовані ті ж методи), яке забезпечує більш високий рівень безпеки, або шифрування. На останньому зупинимося більш детально.

Бастіон перший, примарний - WEP

Перший елемент безпеки протокол WEP (Wired Equivalent Privacy - еквівалент провідний безпеки) був закладений в специфікаціях стандарту 802.11 з самого початку. Він був задуманий як основний засіб захисту бездротового каналу зв'язку та шифрував трафік між точкою доступу і комп'ютером. Для забезпечення зв'язку у всіх учасників повинен збігатися секретний ключ довжиною 40 біт (потокове шифрування методом RC4 зі статичним ключем).

Налаштування методу авторизації і вибір формату WEP-ключа

Однак уже в 2001 році дослідницькі групи з університету Берклі і Мерілендського університету незалежно один від одного опублікували доповіді про помилки в проектуванні і реалізації цього протоколу, що дозволяють його легко зламати. Для обчислення секретного ключа досить перехопити і проаналізувати порядку 3-7 млн. Пакетів (прикладом програми може служити AirSnort під Linux). У тимчасових величинах це близько 2-4 годин для активно працюючої мережі. Правда, існує версія WEP з 104-бітовим ключем, але оскільки принцип захисту не змінився, то фактично це відбивається тільки на часі «розтину» мережі.

Таким чином, можна констатувати, що протокол WEP з покладеним на нього завданням не справляється в принципі. Можливо, розробники Wi-Fi не вірили в таке серйозне майбутнє свого дітища, або просто не побажали витрачати сили і час на створення пристойного протоколу шифрування. Але все ж зауважимо, що використання WEP часто досить для домашніх Wi-Fi мереж: невеликий трафік не дозволяє зловмисникові набрати необхідний для розшифровки ключа обсяг інформації. Для корпоративних мереж цей протокол є абсолютно непридатним, оскільки не володіє необхідним рівнем безпеки, і захищає фактично тільки від хуліганів. Залишається використовувати, інший, більш надійний протокол.

Бастіон другий, майже досконалий - WPA

Протокол WEP був «ахіллесовою п'ятою» Wi-Fi мереж, його низька ефективність досить сильно стримувало подальше поширення бездротових мереж. Як гідної заміни йому в квітні 2003 року був випущений новий стандарт безпеки WPA (Wi-Fi Protected Access - захищений доступ до Wi-Fi), істотно відрізняється від WEP.

Вибір доступу до WiFi-мережі - автоматично відбувається вибір TKIP в качесве протоколу захисту

По-перше, нарешті реалізована динамічна генерація ключів шифрування (це виключає можливість прослуховування трафіку і обчислення статичного ключа), в основу якої покладено протокол TKIP (Temporal Key Integrity Protocol). Його основними завданнями є перевірка цілісності WEP-пакетів і шифрування кожного WEP-пакета окремим ключем. Фактично це означає, що тепер кожен пакет в мережі має свій власний унікальний ключ, і додатково до цього кожен пристрій в мережі наділяється ключем, знову ж постійно змінюваних через певні проміжки часу.

Шифрування пакета здійснюється наступним чином: генерується випадкове число IV (Initialization Vector - вектор ініціалізації) і WEP-ключ (основою для нього служить master key), потім вони складаються, і отриманим ключем шифрується пакет даних. Подібний підхід дає величезну кількість варіантів ключів, по завіреннях розробників цього протоколу ймовірність отримання однакового ключа хоча б для двох пакетів мізерна, стверджується, що повторення можливе десь років через 50-70, та й то за умови постійної роботи.

Другою корисною функцією WPA є можливість аутентифікації користувача при вході в мережу. Це означає, що для доступу користувач буде зобов'язаний ввести логін і пароль, які будуть звірятися з обліковими записами сервера аутентифікації. Зрозуміло, це тільки принцип, насправді процес більш складний і регламентується протоколом EAP (Extensible Authentication Protocol).

Тепер трохи про особливості WPA. В першу чергу, для того, щоб захиститися, потрібно, як мінімум включити WPA. Тут є одна невелика тонкість - необхідно, щоб абсолютно всі пристрої в мережі підтримували цей стандарт. Якщо хоча б у одного ця функція відсутня або відключена, то результат нульовий - для всієї мережі використовується звичайне WEP-шифрування.

Далі, раз з'явилися паролі, то виникає проблема їх вибору. Оскільки пароль є основою для отримання ключа шифрування, ретельність його вибору має вирішальне значення для безпеки всієї мережі. Зловмиснику цілком по плечу кілька разів форматувати процедуру обміну ключами з точкою доступу з подальшим аналізом трафіку на предмет отримання пароля.

Діалог створення правил для досуп в мережу: пристрої фільтруються по MAC-адресу та ім'я

Так, на думку Роберта Московіц, технічного директора ICSA Labs, це завдання цілком здійсненна. Тут слід зауважити, що оскільки WPA є «перехідним» стандартом, то найчастіше поряд з апаратною реалізацією (вона більш краща), зустрічається і програмна реалізація. Наприклад, ноутбуки на базі Intel Centrino з Windows XP отримують можливість використовувати WPA при установці Service Pack SP1. Так ось, більшість програмних реалізацій WPA будують ключ на підставі пароля користувача і мережевого імені машини. Ім'я машини зазвичай відомо, а якщо дізнатися пароль, то цього цілком достатньо для злому захищеною WPA мережі. У разі використання простих паролів, можливе перехоплення трафіку і його аналіз за допомогою методу «словникової атаки». Московіц вважає, що паролі, які мають менше 20 знаків або складаються з стійких виразів, досить серйозно знижують безпеку мережі.

Однак, це всього лише тези. На сьогоднішній день нам поки невідомі реальні порушення захисту мереж з WPA (чого не скажеш про WEP). Навіть якщо це можливо, то тільки професіоналами високого польоту. Слід визнати, що WPA при правильному використанні дає реальну безпеку бездротових мереж і найсерйознішим її недоліком можна вважати «незаконність». До недавніх пір цей стандарт був відсутній в офіційних специфікаціях 802.11, відповідно, підтримувався не всіма виробниками, використовувалися його спрощені або програмні версії і т.д. Це питання нарешті, в наприкінці червня 2004 року вирішено.

Панацея - 802.11i

Ідея цієї версії стандарту 802.11 витала давно, виробники обладнання вже більше півроку продавали свою продукцію на основі попередніх версій. Але тепер протокол WPA став законним і єдиним стандартом безпеки бездротових мереж, і є складовою частиною 802.11i. Найсильнішим елементом цього протоколу, який отримав назву WPA2, став Advanced Encryption Standard (AES) - алгоритм шифрування, що забезпечує більш надійний захист і підтримує ключі довжиною 128, 192 і 256 біт.

Що стосується нових продуктів, побудованих відповідно до 802.11i, то вони в масовій кількості з'являться тільки на початку 2005 року. Так, в планах компанії Intel зробити всі свої продукти Centrino сумісними з новою версією десь до кінця поточного року. На сьогоднішній день вже існує кілька пристроїв компаній Intel, Cisco, Realtek, Broadcom і ін., Які отримали сертифікат WPA2 (наприклад, мережева карта Intel PRO / Wireless 2915ABG).

Рішення проблеми безпеки в мережах Wi-Fi на рівні стандарту значить багато для бездротової індустрії. Бажаний результат - реальна безпека мереж, досягнутий, що дозволяє припускати збільшення інтересу до цих мереж з боку професійних користувачів. Однак уже сьогодні очевидно, що 802.11i це не остаточне рішення, корпоративним клієнтам потрібно більш гнучка система безпеки, настройка політик доступу, управління шириною каналу і т.д. Поки про це навіть не йдеться, але в тому, що ці проблеми коли-небудь виникнуть, сумніватися не доводиться. А значить, історія ще не скінчилася.

Що робити?

Не варто покладатися на російський "авось", налаштувати елементарну WEP-захист може навіть початківець користувач. Правда, з WPA доведеться повозитися, цей протокол розрахований на високий рівень кваліфікації користувачів, тому дуже важливо розібратися в усіх пропонованих опціях і грамотно їх налаштувати. До речі, багато хто вважає, що бездротова мережа відрізняється від провідного в принципі. Нічого подібного, все працює за тими ж законами, і потрібно використовувати ті самі елементарні правила безпеки. Адже ви ж, працюючи в кабельній мережі, що не відкриваєте всім доступ до папок, в яких є цінна інформація. Чиніть точно так же і в бездротової, і сміливо підключайтеся до громадської точки доступу.

Якщо підсумувати все вищесказане, то відповідь очевидна, - користуватися і ще раз користуватися бездротовими мережами, тому що це, по крайней мере, зручно. І при цьому застосовувати всі доступні способи забезпечення безпеки. Звичайно, ймовірність злому мережі існує завжди (ви адже в Інтернет виходьте і теж піддаєте свій комп'ютер ризику), і основним критерієм інтересу вашої мережі для зловмисника є її цінність. Про звичайні мережевих хуліганів говорити, напевно, не варто. Для того щоб «розкрити» навіть WEP-шифрування, потрібно, як мінімум Wi-Fi-ноутбук і знання. У всіх інших випадках можливість несанкціонованого вторгнення в мережу безпосередньо залежить від цінності знаходиться в ній інформації (адже вона повинна окупити витрати на злом). А що стосується WPA, то на наш погляд, використання цього протоколу для невеликих мереж цілком достатньо.

© Костянтин Константинов

Додати коментар