Рубрика:
Безопасность /
Сетевая безопасность
|
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|
ВИКТОР ИГНАТЬЕВ
Безопасность беспроводных сетей
На сегодняшний день Россия является одной из наиболее развивающихся стран в индустрии информационных технологий, но развивающейся не с точки зрения создания новых технологий, а с точки зрения увеличения единиц компьютерной техники в год. Каждый человек приобретает компьютер ради какой-то цели: начинающие фирмы покупают компьютерную технику больше для престижа, чем для реальных задач, в то время как крупные компании и корпорации уже не могут представить свой бизнес без существования компьютеров. Соответственно с увеличением числа компьютерной техники в офисах появляется проблема передачи данных с одной рабочей станции на другую.
Эта проблема решается проводкой сети. Если количество машин около 40-50 штук, это ещё можно стерпеть, и протянуть ~500 метров кабеля и расставить маршрутизаторы/свитчи/хабы, но что делать, если речь идёт о крупной корпорации, где количество компьютеров и офисной техники исчисляется сотнями? Закупать километры кабеля и десятки единиц сетевого оборудования? Нет. В XXI столетии люди научились передавать информацию по воздуху. Теперь нет необходимости в проводах и кабелях. Технология беспроводной передачи данных в России считается достаточно новой, в то время как в Европе и США она уже стала обычной составляющей рабочего места ИТ-работника. В настоящее время большое количество фирм покупают готовые решения на базе беспроводных сетей и избавляют себя от массы организационных проблем. Разумеется, стандартов беспроводной связи существует немало, ниже приводятся характеристики основных из них.
Разновидности протоколов и их характеристики
Стандарт wireless 1394 – известная технология FireWire нашла для себя новую область применения – беспроводные системы. Wireless Working Group в настоящее время работает над адаптацией протоколов 1394 к беспроводным средам, построенным на основе технологии 802.11, т.е. беспроблемным соединением между FireWire и сетями AirPort/WiFi. Основная идея этого протокола – защита цифровых аудио- и видеоданных от несанкционированного перехвата.
Стандарт HiperLAN2 – High Perfomance Radio LAN, как прогнозируют, может стать основным конкурентом технологий беспроводных сетей 802.11.
HiperLAN2 ориентирован на работу в диапазоне 5 ГГц и способен обеспечить скорость передачи данных до 54 Мбит/с. Спецификации протокола доступа к среде MAC несколько другая, нежели чем у 802.11а. Для 802.11а он аналогичен Ethernet, а в HiperLAN2 больше напоминает АТМ. Так же HiperLAN2 имеет поддержку трафика мультимедиа и QoS.
Стандарт 5-UP – протокол 5-GHz Unified Protocol (5-UP), обеспечивает возможность взаимодействия друг с другом высокоскоростных и низкоскоростных устройств и передачу мультимедийных потоков со скоростью до 108 Мбит/с. 5-UP является расширением для беспроводных сетей IEEE, ETSI.
Технология xG – технология модуляции, обеспечивающая возможность высокоскоростной радиопередачи данных по узкой полосе частот. Она позволяет передавать данные на скорости 150 Мбит/c и выше в низкочастотном диапазоне, используемом для пейджинга (35-150 Гц). Сфера применения технологии – DSL, кабельное телевидение, локальные сети и т. п.
Технология HomeRF 1.0 нацелена на построение беспроводных сетей в частных домовладениях и малых офисах. Оборудование HomeRF работает в диапазоне частот 2,4 ГГц, для передачи трафика используется метод расширения спектра со скачкообразной перестройкой частоты.
В марте 2001 г. появилась модернизация – HomeRF 2.0. В новом стандарте заметно увеличилась поддерживаемая скорость обмена данными до 10 Мбит/с, а также уровень шифрования на уровне MAC – 120 бит.
Стандарт IEEE 802.15.1 – Bluetooth предназначен для построения так называемых персональных беспроводных сетей (Wireless Personal Area Network, WPAN). Беспроводная технология Bluetooth является стандартом связи на небольших расстояниях между мобильными персональными компьютерами, мобильными телефонами и иными портативными устройствами. Изначально дальность действия радиоинтерфейса закладывалась равной 10 метрам, однако сейчас спецификациями Bluetooth уже определена и вторая зона около 100 м – для покрытия стандартного дома или вне его. При этом нет необходимости в том, чтобы соединяемые устройства находились в зоне прямой видимости друг друга, их могут разделять «радиопрозрачные» препятствия (стены, мебель и т. п.), и к тому же приборы могут находиться в движении. Для работы радиоинтерфейса Bluetooth используется так называемый нижний (2,45 ГГц) диапазон ISM (industrial, scientific, medical), предназначенный для работы промышленных, научных и медицинских приборов. Радиоканал обладает полной пропускной способностью в 1 Мбит/с, что обеспечивает создание асимметричного канала передачи данных на скоростях 723,3/57,6 Кбит/с или полнодуплексного канала на скорости 433,9 Кбит/с.
Базовый стандарт IEEE 802.11. В его основу положена сотовая архитектура, причем сеть может состоять как из одной, так и из нескольких ячеек. Каждая сота управляется так называемой точкой доступа – Access Point (AP). Точка доступа вместе с подключенными рабочими станциями пользователей образует базовую зону обслуживания – Basic Service Set (BSS). Точки доступа многосотовой сети взаимодействуют между собой через распределительную систему Distribution System (DS), представляющую собой эквивалент магистрального сегмента кабельных сетей. Вся инфраструктура, включающая точки доступа и распределительную систему, образует расширенную зону обслуживания – Extended Service Set. Также предусмотрен односотовый вариант беспроводной сети, который может быть реализован и без точки доступа, при этом часть ее функций выполняются непосредственно рабочими станциями. Для обеспечения роуминга предусмотрены специальные процедуры сканирования и присоединения – Association.
Также существует ряд расширений протокола IEEE 802.11, такие как: IEEE 802.11a, b-n. В таблицах 1 и 2 даны сравнительные характеристики наиболее распространённых протоколов.
Таблица 1. Выгода протоколов
802.11b |
802.11a |
802.11g |
Wireless-B |
Wireless-A |
Wireless-G |
- Низкая цена.
- Прекрасный диапазон сигнала.
- Покрытие обеспечивается в нескольких
- помещениях.
- Оптимален для развёртки публичных «hotspots».
|
- Поддерживает большее количество пользователей на комнату.
- Не чувствительна к помехам от устройств работающих на частоте 2.4 ГГц.
- Совместима с сетями Wireless-B и Wireless-G.
- Покрытие ограничено одной комнатой.
|
- Лучшее предложение, цена больше на 10%, но скорость больше Wireless-B в 5 раз.
- Совместима с Wireless-B сетями и hotspot.
- Прекрасный диапазон сигнала.
- Покрытие обеспечивается в нескольких помещениях.
|
Таблица 2. Сравнение протоколов
Стандарт |
802.11b |
802.11a |
802.11g |
Популярность |
Широко распространён, готов к развёртке повсеместно. |
Новая технология. |
Новая технология, отмечена быстрым ростом. |
Скорость |
До 11 Mbps (при работе через кабельный модем скорость не более 4-5 Mbps). |
До 54 Mbps (В 5 раз больше чем 802.11b) |
До 54 Mbps (В 5 раз больше чем 802.11b) |
Относительная стоимость |
Недорогой. |
Относительно дорогостоящий. |
Относительно недорогостоящий. |
Частота |
Более насыщенная частота 2.4 ГГц. Возможны конфликты с некоторыми другими устройствами работающими на такой же частоте(телефоны, микроволновые печи) |
Свободная частота 5 ГГц, может сосуществовать с сетями частоты 2.4 ГГц без помех. |
Более насыщенная частота 2.4 ГГц. Возможны конфликты с некоторыми другими устройствами работающими на такой же частоте(телефоны, микроволновые печи) |
Диапазон |
Обычно до 30-45 м в помещении, зависит от конструкции здания и строительных материалов. |
Короче чем у 802.11b и 802.11g. От 7 до 22 м в помещении. |
Обычно до 30-45 м в помещении, зависит от конструкции здания и строительных материалов. |
Публичный доступ |
Количество публичных точек доступа (Hotspots) быстро растёт, они расположены в таких местах как: гостиницы, супермаркеты, кафе, аэропорты. |
На данный момент не доступно. |
Совместима с действующими 802.11b hotspots на скорости 11Mbps. В будущем планируется конвертировать 802.11b hotspots в 802.11g. |
Совместимость |
Самая обширная совместимость. |
Несовместим с 802.11b и 802.11g |
Возможно работа с сетями 802.11b, не совместима с 802.11a. |
В России уже имеется определённый опыт использования беспроводных сетей, вот некоторые примеры работающих сетей.
В октябре 2000 г. в Иваново завершился второй этап развёртки городской беспроводной сети. Сеть работает по стандарту Wi-Fi/802.11b, на частоте 2,4-2,483 ГГц, со скоростью 11 Мбит/с. Число поддерживаемых рабочих мест составляет до 100 радиоабонентов. Сеть, изначально создававшаяся как корпоративная, со временем приобрела статус городской (и областной) беспроводной сети передачи данных.
Актуальность Wi-Fi-технологии можно показать на очень ярком примере беспроводной сети передачи данных Заполярного ГКМ для обмена данными с буровыми площадками филиала «Тюменбургаз» ДООО «Бургаз». Сеть была окончательно развёрнута 31 декабря 2001 г., работает по стандарту Wi-Fi/802.11b. Рабочий диапазон частот: 2400-2483 МГц. Радиус зоны действия сети: до 3 км (местная сеть на буровой площадке), до 25-35 км (магистральный канал).
Также можно привести пример функционирования сети в тяжёлых погодных условиях. В марте 2001 г. был закончен финальный этап развёртывания корпоративной сети передачи данных для нескольких нефтегазодобывающих управлений (НГДУ) в районе городов Новый Уренгой и Пыть-Ях. Сеть работает по стандарту Wi-Fi/802.11b, на частоте 2,4-2,483 ГГц, со скоростью 11 Мбит/с, имеет модифицированный протокол MAC в маршрутизаторах ORiNOCO Outdoor Routers. В связи с суровыми погодными условиями всё уличное оборудование монтировалось в специальных термоконтейнерах. Базовые станции монтировались на буровых вышках – на высоте от 30 до 80 м.
Преимущества беспроводных сетей
Итак, предположим, вы уже много наслышаны о беспроводных сетях и решили внедрить эту технологию в свой бизнес.
Какую выгоду вы получаете от этого?
- Простота развёртывания. Сетевым администраторам и прочим IT-специалистам больше не придётся протягивать метры кабелей через чердаки и подвалы. Они с удовольствием потратят это время на настройку и отладку сети.
- Мобильность. На схеме 1 изображена примерная схема сети малого предприятия. Если бы вашей задачей являлось перенести всю сеть в здание нового офиса, то для этого вам потребовалось бы отключить все сетевые кабели, вытащить их и смотать, а на новом месте проделать обратную процедуру. Даже если переехать нужно было бы всего лишь одному сотруднику, у вас бы ушло некоторое время на демонтаж кабеля и новое подключение.
Схема 1. Обычная кабельная сеть
Теперь обратим внимание на схему 2. На ней изображена схема беспроводной сети. (По причине высокого распространения за основу взят стандарт 802.11). Из схемы видно, что пользователи могут безо всяких проблем перемещаться в зоне действия беспроводной сети. В случае переезда вам достаточно будет установить точку доступа в удобном месте и включить компьютеры.
Схема 2. Беспроводная сеть. Стандарт 802.11
Средства защиты
Многие производители аппаратной части разрабатывают свои методы защиты и шифрования соединений, но они в большинстве своём мало совместимы друг с другом.
Далее подробно рассмотрим безопасность сетей стандарта IEEE 802.11b, так как 90% (если не больше) корпоративных сетей развёрнуты именно на его базе.
Стандарт 802.11b имеет модель защиты, которая позволяет мобильным клиентам безопасно соединяться и взаимодействовать с точкой доступа и обеспечивает конфиденциальную передачу данных. Она состоит из двух базовых методов:
A Service Set Identification (SSID) – служебный идентификатор, это имя сети в сегменте беспроводной сети. Он также логически разделяет пользователей и точку доступа. Вообще для соединения с сетью беспроводной сетевой адаптер (WNIC) клиента должен быть настроен с таким же SSID, что и у точки доступа.
Wired Equivalent Privacy (WEP) – был утверждён IEEE для того, чтобы безопасность WLAN стала сопоставима с обычными проводными сетями, такими как локальная сеть (LAN). Иными словами, WEP представляет собой возможность шифрования передаваемых данных. В процессе WEP-кодирования используется симметричный ключ и математический алгоритм для преобразования данных в нечитаемый текст, называемый текст-шифр. В криптографии симметричный ключ – это значение с переменной длиной, используется для шифрования и расшифровки данных. Любое устройство, участвующее в соединении, должно иметь одинаковый ключ. WEP-ключи конфигурируются WLAN-администратором, чем длиннее ключ, тем сложнее будет расшифровать шифр-текст. WEP использует алгоритм RC4, которому в свою очередь необходим Вектор Инициализации (InitializationVector (IV)). IV это псевдо-случайная бинарная строка для скачкообразного процесса шифрования для алгоритмов, зависящих от предыдущей последовательности блоков шифр-текста. WEP совмещает в себе до 4 симметричных ключей переменной длины, основанных на потоковом шифре RC4. Все ключи статичны и одинаковы для всех устройств в WLAN. Это означает, что все WEP-ключи вручную настраиваются на всех WLAN-устройствах и не меняются, пока администратор не сгенерирует новые ключи. Большинство 802.11b-оборудования поддерживают 2 размера ключей:
- 64-бита 40-битный ключ и 24-битный Вектор Инициализации;
- 128-бит 104-битный ключ и 24-битный Вектор Инициализации.
WEP имеет 2 основных назначения:
- Запрещение доступа к WLAN;
- Препятствие «атаке повтором».
Точка доступа использует WEP для предотвращения доступа к WLAN, посылая текстовые запросы конечному клиенту. Клиент шифрует запрос своим ключом и отправляет его обратно точке доступа. Если результат идентичен, пользователь получает доступ в сеть.
Рисунок 1
WEP также препятствует «атаке повтором». «Атака повтором» заключается в декодировании пойманных в беспроводной сети пакетов. Если атакуемый WLAN-пользователь шифрует 802.11b фреймы WEP, атакующий не сможет декодировать данные до тех пор, пока у него не будет верного WEP-ключа.
Для получения доступа к WLAN стандарт 802.11b указывает, что клиент должен пройти 2 этапа:
- Процесс авторизации.
- Процесс присоединения.
Клиент, желающий подключиться к WLAN, должен сперва пройти авторизацию.
В процессе авторизации проверяется информация о клиенте, и это является начальным этапом соединения с точкой доступа. Существует 2 типа авторизации:
- Открытая система (Open System Authentication).
- Общий ключ (Shared Key Authentication).
Открытая система (OSA) подразумевает, что всё взаимодействие проходит в открытом виде, без использования WEP-ключей. Любой клиент может беспрепятственно присоединиться к WLAN. Единственное, что необходимо, – это SSID. Некоторые точки доступа принимают даже нулевой SSID. Точка доступа может быть настроена на оба типа.
В отличие от OSA, Shared Key Authentication (SKA) подразумевает посылку запроса на шифрование. Клиент шифрует запрос и посылает его обратно. Точка доступа декодирует ответ и сравнивает его с оригиналом. Если результат положительный, клиент может осуществить присоединение.
Присоединение – это финальный этап соединения с беспроводной сетью, результатом которого является полноценное подключение клиента к точке доступа.
Таким образом, стандарт 802.11b предусматривает 3 состояния:
- Состояние 1: Неавторизирован и не присоединён.
- Состояние 2: Авторизирован и не присоединён.
- Состояние 3: Авторизирован и присоединён.
С технической точки зрения процесс доступа делится на 3 фазы:
- Фаза поиска.
- Фаза авторизации.
- Фаза присоединения.
Фаза поиска. Клиент посылает пробный пакет по всем каналам и ждёт ответа от любой точки доступа. Ответ точки доступа содержит информацию, необходимую для процесса соединения.
Фаза авторизации. Как указывалось выше, точка доступа может быть одновременно и SKA и OSA типа. Настройка точки доcтупа определяет, какой тип авторизации будет использоваться.
Фаза присоединения. Клиент посылает пакет – запрос на присоединение. Точка доступа посылает пакет – ответ, разрешающий присоединение. Состояние «Авторизирован и присоединён» финальный этап инициализации между точкой доступа и клиентом при условии, что отсутствуют другие защитные механизмы, такие как: RADIUS, EAP или 802.1X. Клиент подключается к WLAN.
Методы атак на беспроводные сети
Атаки условно делятся на 3 основных категории: пассивные атаки, активные атаки и атаки помехами. Рассмотрим подробнее каждую из вышеперечисленных.
Пассивные атаки
Основной целью таких атак является перехват данных, проходящих по каналам беспроводной сети. Для осуществления этого атакующему необходим компьютер с беспроводным сетевым адаптером и специальным программным обеспечением для перехвата трафика. Такое ПО получило название «сниффер» (от англ. to sniff – нюхать, принюхиваться). Яркими представителями этого класса программ являются: для ОС Windows – WinDump, Zxsniffer, Iris. Для UNIX-подобных ОС – TCPDump, Dsniff, Ethereal, Ettercap, AirSnort.
Пассивные атаки очень сложно обнаружить, т.к. никаких исходящих данных от атакующего не поступает. Системным администраторам не следует применять DHCP-серверы, или, если они так необходимы, стоит проверять лог-файлы как можно чаще. Если в сети появится неизвестный MAC-адрес, то следует считать, что это потенциальный взломщик.
Если вы обнаружили, что под окном вашей организации стоит автомобиль с подозрительной антенной, у водителя выясните назначение этой антенны. Именно он может оказаться злоумышленником.
В наше время пассивные атаки очень распространены, это даже стало хобби для многих людей. Такое занятие называется «war driving» или «war plugging» (боевое вождение или боевое присоединение). War-driver вооружаются ноутбуком, беспроводной сетевой картой и антенной помощнее. После проезда нескольких километров по мегаполису они уже имеют список ряда беспроводных сетей, 90% из которых плохо защищены.
Большинство этих «деятелей» используют бесплатную программу определения беспроводных сетей «The Netstumbler». На рисунках 2 и 3 изображено рабочее окно программы Netstumbler. Программа в основном работает с адаптерами, основанными на чипах «Hermes», так как именно они способны определять точки доступа, находящиеся в одном диапазоне и с активированным WEP. Одной из самых распространённых карт на базе чипа «Hermes» является «ORiNOCO». Другим преимуществом этой карты является возможность присоединения внешней антенны, которая в несколько раз увеличивает диапазон «видимости» сигналов точек доступа. К сожалению, карты на чипах «Hermes» не умеют работать в режиме «прослушки» (promiscuous mode). Для этих целей необходимо иметь карту на чипе «PRISM2». Большинство фирм-производителей используют именно этот чип, например, Linksys WPC. Искушенные war-driver имеют два адаптера, один для поиска сетей, другой для перехвата данных.
Несмотря на то что Netstumbler бесплатный продукт, это серьёзное и многофункциональное средство, которое является превосходным решением для поиска беспроводных сетей. Кроме того, Netstumbler может дать детальную информацию относительно найденных беспроводных сетей, эта информация может быть использована в комбинации с GPS, чтобы обеспечить точное местоположение относительно широты и долготы.
Рисунок 2. Рабочее окно программы NetStumbler
Рисунок 3. Рабочее окно программы NetStumbler
После запуска NetStumbler начинает слать широковещательные запросы несколько раз в секунду. Если одна из точек доступа ответила, NetStumbler оповещает об этом пользователя и выдаёт информацию, извлечённую из 802.11b фреймов: SSID, MAC-адрес, канал, силу сигнала и информацию о том, активирован ли WEP или нет.
Есть несколько моментов, на которые стоит обратить внимание.
- Во-первых, большинство точек доступа настроены с SSID по умолчанию, то есть настройщики его не меняли.
- Во-вторых, в некоторых сетях SSID имеет смысловое отношение к сети, например: universityserver. Мы можем предположить, что эта точка доступа какого-то учебного заведения.
Вышеперечисленные особенности делают работу атакующего намного проще. Использование Netstumbler – начальный этап злоумышленника. После сбора информации о беспроводной сети и получения SSID, атакующий подключается к ней, чтобы перехватить трафик. Трафик может содержать большое количество информации о сети и о компании, которая использует эту сеть. Например, просматривая трафик, злоумышленник может выяснить адреса DNS-серверов, страницы, заданные по умолчанию в браузерах, сетевые имена, сессии авторизации, и т. д. Эта информация может быть использована для дальнейших атак. Если в сети активирован WEP, атакующий соберёт достаточное количество трафика для взлома шифрованных данных. Netstumbler работает с сетями, настроенными как Открытая система. Это значит, что сеть обнаруживает своё существование и посылает в ответ свой SSID. Однако это не значит, что сеть может быть с лёгкостью скомпрометирована, т.к. могут быть использованы дополнительные средства защиты. Для защиты от Netstumbler и других программ определения беспроводных сетей, администраторы должны конфигурировать беспроводные сети как Закрытые системы. Это значит, что точки доступа не будут отвечать на запросы «нулевого» SSID и будут «невидимы» для таких программ, как Netstumbler, которые полагаются на эту технологию поиска беспроводных сетей. Тем не менее, возможен захват «сырых» 802.11b-фреймов и их последующее декодирование при помощи «Ethereal» и «WildPacket’s AiroPeek». Также для поиска беспроводных сетей могут быть использованы анализаторы спектра радиочастот. Несмотря на несовершенность закрытой системы, следует использовать эту именно технологию.
Следует отметить, что точки доступа работают как полудуплексные устройства, такие как хабы и репитеры. Это означает, что все устройства в сети могут «видеть» трафик других устройств. Единственной защитой является шифрование трафика разными методами: WEP, VPNs, SSL, Secure Shell (SSH), Secure Copy (SCP), и т. д. Некоторые методы могут быть более эффективными, всё зависит от обстоятельств.
Активные атаки
Как только злоумышленник получает доступ к сети при помощи пассивных атак, он приступит к осуществлению активной атаки. В большинстве своём активные атаки на беспроводные сети мало чем отличаются от атак на обычные сети. Но с ростом популярности беспроводных сетей увеличилось и число разновидностей атак на них, например, «drive-by spamming». Эта атака представляет собой рассылку спама из скомпрометированной сети.
Ввиду происхождения беспроводных сетей и несовершенности WEP, неавторизированный доступ и спуфинг являются самыми распространёнными атаками. Спуфингом называют ситуацию, при которой неавторизированный клиент выдает себя за авторизированного. Самой распространённой защитой от подобного рода атак является фильтрация MAC-адресов. Список разрешённых MAC-адресов хранится на точке доступа. Но этот метод тоже не совершенен. Осуществить смену MAC-адреса не составляет особого труда. В ОС Windows это возможно при помощи таких программ, как «Smack», «USTmacdak», а в UNIX-подобных ОС командой «ifconfig». К тому же MAC-адреса передаются в сети открытым текстом, и их сбор также не составит большого труда.
Рисунок 4. Рабочее окно программы AirSnort
В сети может быть активирован WEP, но его тоже можно обойти, т.к. текст-запрос и шифр-текст передаются в открытом виде, и атакующий сможет подобрать ключ и проникнуть в сеть. Для взлома WEP злоумышленнику понадобится специальный сниффер. AirSnort – специальная программа для *nix-платформ для взлома WEP-ключей. Рабочее окно программы отображено на рисунке 4. AirSnort должен собрать от 500мб до 1000 Мб трафика чтобы получить WEP-ключ. Это может занять от пары часов до нескольких дней, всё зависит от загруженности сети: чем она загруженней, тем быстрее атакующий получит ключ. AirSnort использует маленький 24-битный IV, так что не имеет особого значения, какой длины ключ: 64-битный или 128-битный. После того как хакер захватил нужное количество трафика, ему понадобится программа WEPcrack. Это скрипт, который используют для вычисления WEP-ключа из захваченного трафика. Как только ключ захвачен, атакующий может присоединиться к точке доступа.
При соединении с беспроводной сетью взломщик использует обычные средства, характерные для кабельных сетей, такие как: подбор паролей, поиск уязвимых сервисов или просто DoS-атаки или SYN-флуд.
Так, одной из самых результативных атак является атака «Man-in-the-Middle».
Атака человек-по-середине заключается в перехвате сеанса 2 клиентов. Атакующий имеет 2 сетевых адаптера и организовывает фальшивую точку доступа. Он заставляет других клиентов использовать его точку доступа, а сам перенаправляет трафик на реальную точку доступа, тем самым, получая доступ ко всем сеансам связи.
Злоумышленник может установить фальшивую точку доступа в машине, под окном организации, в вентиляционной системе, под столами, в кладовках и т. п. Если его антенна достаточно мощная, то ему необязательно ставить фальшивку близко к легитимной точке доступа.
Атаки помехами
Цель атаки – глушение сигнала, т.е. это атака на отказ в обслуживании, специфичная для беспроводных сетей. Суть атаки заключается в генерации радиошума на частоте работы беспроводной сети. Это не значит, что глушение сигнала является чётким признаком атаки, так как помехи могут исходить от посторонних радиоустройств, таких как радиотелефоны, пейджеры, микроволновые печи и т. п. В таких случаях администратор должен принять следующие меры: отключить bluetooth-устройства в зоне действия беспроводной сети, убрать радиотелефоны и прочую радиотехнику, методом исключений выявить источник помех и убрать его. Умышленная атака происходит следующим образом:
- Атакующий анализирует спектр.
- Выявляет частоты, на которых работает беспроводная сеть.
- Генерирует мощный сигнал на найденных частотах, тем самым подавляя сигнал беспроводной сети.
К счастью, данный метод не распространён, так как конечный итог несоизмерим с затратами на его реализацию. Много мороки для отключения сети на некоторое время.
В то же время администратору достаточно просто переключить сеть на другую частоту.
Рекомендации по обеспечению безопасности беспроводных сетей
Подводя итоги, рассмотрим ряд рекомендаций по обеспечению безопасности беспроводной сети.
- Приобретайте WLAN-продукты с собственным механизмом защиты.
- Установите RADIUS-серверы на кабельном участке сети, для авторизации беспроводных клиентов. Имейте в виду, что Extensible Authentication Protocol – протокол расширенной авторизации (EAP) может быть использован совместно с 802.1X.
- Блокируйте доступ к кабельной сети, пока RADIUS-сервер не авторизирует WLAN-клиента.
- Устанавливайте межсетевой экран перед точкой доступа, это позволит заранее отфильтровать подозрительную активность.
- Все неиспользуемые сервисы должны быть отключены, а попытки их использования записаны в системных журналах(SysLog), которые в свою очередь должны быть установлены в демилитаризованной зоне (DMZ).
- Систему обнаружения атак (IDS) также никто не отменял.
- Неплохой идеей является развёртка VPN и «отселение» WLAN в неё. Это позволит вам воспользоваться следующими методами шифрации данных:
- IKE – 3DES, SHA-HMAC, DH Group 2 и общий ключ.
- IPSec – 3DES, SHA-HMAC, без PFS и режим тоннелирования.
- Активируйте WEP, несмотря на его несовершенность. Статистика показывает, что всего лишь 30% точек доступа использует WEP.
- Организуйте систематическую смену WEP-ключей.
- Смените SSID, установленный по умолчанию на что-нибудь трудно угадываемое.
- Используете систему общего ключа вместо открытой системы.
- Используйте фильтрацию MAC-адресов.
- Организуйте систематическую инвентаризацию беспроводных сетевых адаптеров, чтобы убедиться, что каждый сотрудник пользуется своим адаптером.
- Блокируйте MAC-адреса утраченных WLAN-адаптеров.
- Применяйте пароли на точках доступа.
- Обеспечьте сотрудников антивирусным программным обеспечением и персональными межсетевыми экранами.
- Совмещая межсетевой экран с IPsec, SSH, или SSL, вы значительно укрепите безопасность своей сети.
- Имейте в виду, что любой, находясь в зоне действия точки доступа, может подключиться к сети.
Ссылки на программные продукты:
- AirSnort – http://airsnort.sourceforge.net
- WEPcrack – http://wepcrack.sourceforge.net
- NetStumbler – http://www.netstumbler.com
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|