Как правило, процедура развертывания беспроводной сети подразумевает ряд мероприятий, направленных на обеспечение безопасности итоговой инфраструктуры. Однако трудность состоит в том, что лишь иногда «ряд» подразумевает действительно внедрение продуманной политики безопасности, зачастую, к сожалению, для этого не делается вообще ничего.

Существует мнение, что пренебрежение проблемами несанкционированного доступа вызвано некоторой инерционностью внедрения беспроводных технологий. Если еще год-два назад термин «Wi-Fi» можно было встретить достаточно редко, в основном в пресс-релизах и специализированных обзорах, то сейчас семейство стандартов 802.11b/g активно используется на «бытовом» уровне — публичные беспроводные сети функционируют во множестве мест, начиная от ресторанов и заканчивая залами ожидания аэропортов и гостиницами. Кроме того, пользователя плавно подвели к мысли, что без Wi-Fi жизнь нельзя считать полноценной, поэтому так широк выбор различных устройств, поддерживающих 802.11b/g — ничего другого, фактически, не остается.

Конечно же, беспроводные технологии — это действительно очень удобно. И популярность данного вида связи растет радующими глаз темпами. Но, как давно замечено, популярность чего-либо в сфере компьютерных технологий практически стопроцентно вызывает нездоровый интерес различных «криминальных элементов от IT». Тут бы и задуматься о безопасности всерьез — ведь порой и стандартные средства могут оказаться бессильны.

Ощущение изначальной уязвимости беспроводных сетей появляется после простейших размышлений. В чем состоит отличие проводной сети от беспроводной? В общем случае проводная сеть, при условии идеальной и бесспорной порядочности ее пользователей, может быть атакована лишь из Интернета — если подключена к Сети. Беспроводная же открыта всем ветрам, и помимо вторжений из Интернета ей как минимум угрожает попытка «прощупывания» со стороны коллег из соседнего офиса или с нижнего этажа. А это уже немаловажно — подобные действия способны не только принести удовлетворение от созерцания беспроводной сети, но и найти пути, чтобы в нее проникнуть. Соответственно, если безопасности не уделяется должного внимания, такую сеть вполне можно считать публичной, что неизбежно отразится на ее функционировании не лучшим образом.

Зачем взламывать беспроводную сеть

Попытки проникновения в корпоративную закрытую сеть могут происходить по нескольким причинам. Во-первых, целенаправленный взлом с целью похищения конфиденциальной информации. Чаще всего именно из-за этого необходимо позаботиться о безопасности беспроводного сегмента сети, хотя на самом деле процент таких взломов достаточно невелик. Гораздо большей популярностью пользуются попытки проникнуть в сеть, чтобы воспользоваться чужим интернет-соединением.

В данном случае также происходит воровство, но не осязаемых конфиденциальных документов, а виртуальное — воровство интернет-трафика. Если злоумышленник пользуется чужим интернет-каналом для сугубо утилитарных целей (электронная почта, веб-серфинг), то ощутимого материального урона он не нанесет, но если локальная сеть организации используется как плацдарм для рассылки спама или последующей масштабной интернет-атаки — последствия могут быть крайне неприятными как со стороны интернет-провайдера, так и со стороны контролирующих органов.

Каковы же наиболее популярные средства защиты беспроводных сетей из тех, что предоставляют производители оборудования уровня SOHO? Их три:

  1. Разграничение доступа, основанное на MAC-аутентификации.
  2. Запрет широковещательной передачи идентификатора SSID.
  3. 64- и 128-битное WEP-шифрование трафика.

MAC-аутентификация

Принято считать, что разграничение доступа, основанное на разделении аппаратных MAC-адресов беспроводных сетевых адаптеров на «своих» и «чужих», является эффективным средством противодействия атакам. Это действительно так, но лишь при обеспечении дополнительных мер безопасности.

Кстати, аутентификация беспроводного клиента по MAC-адресу — исключительно инициатива конкретного производителя, спецификации беспроводных стандартов 802.11b/g такой меры безопасности не предусматривают. То есть подобный метод аутентификации может либо присутствовать, либо нет, — в зависимости от желания и маркетинговой политики производителя.

Даже если существует возможность «отсеивания» чужих беспроводных клиентов, полностью полагаться на эту меру не стоит — ее взлом занимает считанные минуты и доступен даже начинающему хакеру с неоконченным средним образованием. Суть взлома такова: при помощи специальной утилиты прослушивается радиообмен точки доступа на канале, по которому происходит обмен информацией с клиентами, и в полученном трафике выделяется список «своих» клиентов. Затем остается лишь программно подменить аппаратный адрес своего беспроводного адаптера на один из списка валидных адресов (в подавляющем большинстве случаев это можно сделать даже стандартными средствами драйвера) — и «чужой» адаптер стал «своим».

Широковещательная передача SSID

SSID — свего рода имя беспроводной сети, знание этого идентификатора является необходимым условием для подключения. Если, скажем, инфраструктура сети компании подразумевает наличие пяти точек доступа, то каждой точке можно либо назначить уникальный идентификатор SSID (причем образуется пять «логических» сетей), либо организовать работу точек в режиме повторения для наиболее полного покрытия одной логической сетью — хотя, конечно, возможны различные вариации. Так или иначе, для подключения к беспроводному сегменту сети этот идентификатор надо знать.

SSID может широко транслироваться в эфир (широковещательная передача) или быть «скрытым» — в таком случае клиенту придется в настройках своего подключения прописать идентификатор вручную. Принято считать, что отключение широковещательной передачи SSID повышает степень безопасности беспроводной сети, впрочем, данное утверждение весьма и весьма спорно.

В действительности же запрещение трансляции SSID нисколько не способствует увеличению «атакоустойчивости». Такой шаг способен привести лишь к появлению потенциальных проблем у подключаемых клиентов, поскольку конфигурирование сети становится гораздо менее гибким. Отключение широковещательной передачи SSID создает иллюзию надежности: ведь значение этого идентификатора все равно можно подслушать — оно находится во фреймах Probe Response. В любом случае беспроводная точка доступа — потенциальный источник угрозы, так как опытный пользователь, имеющий в арсенале ноутбук с беспроводным адаптером и необходимый минимум знаний, достаточно короткий срок может стать полноценным участником корпоративной сети со всеми вытекающими последствиями. Естественно, речь идет о преодолении стандартных препятствий, предусмотренных спецификациями стандартов 802.11b/g и инициативой производителя.

Миф о WEP-шифровании

Одной из наиболее действенных мер по защите беспроводной сети от несанкционированного вторжения принято считать WEP-шифрование трафика. WEP (Wired Equivalence Privacy) представляет собой статический ключ длиной 64 или 128 бит, при помощи которого шифруется вся информация между точкой доступа и беспроводными клиентами в случае Infrastructure-организации сети или между клиентами при Ad-Hoc-организации.

Шифрование базируется на алгоритме RC4. Правда, профессионалы от IT-безопасности не питают к нему особого доверия, поскольку он легко поддается взлому. Да и с WEP-шифрованием все далеко неоднозначно — и при 64-, и при 128-битном ключе имеет место некоторая условность. Дело в том, что эффективная длина ключа в первом случае составляет 40 бит, а во втором — 104 бит. Недостающие до заявленных служебные 24 бит используются для дешифрования информации на принимающей стороне. Таким образом, числа «64» и «128» хороши лишь для пресс-релизов, а не для реальной безопасности. Кроме того, не будем забывать, что ключи являются статическими — а значит, их нужно периодически менять. Если для беспроводной сети, состоящей из точки доступа и трех клиентов, это не представляет особой проблемы, то для корпоративных сетей с сотнями беспроводных пользователей данное решение явно не подходит. Более того, для обеспечения достаточного уровня безопасности при использовании WEP-шифрования требуется смена 64-битного ключа раз в полчаса, а 128-битного — раз в час (в реальности часто ключи прописывают раз и навсегда, не мудрствуя лукаво). Налицо практическое применение сизифова труда.

Однако это трудности, лежащие на поверхности. Какие же методы сегодня предпочитаются при взломе WEP? Прежде всего, анализ «подслушанного» трафика утилитами AirSnort и WEPCrack (поиск в Интернете при помощи www.google.com выдает домашние страницы обоих проектов в первой же строчке). Для того чтобы читатель реально представлял себе степень защиты (или беззащитности) беспроводной сети, приведем следующие цифры: при анализе беспроводного трафика на расшифровку 128-битного ключа (на самом деле он 104-битный) при помощи AirSnort уходит всего 2-4 часа.

Веб-конфигурирование точки доступа

Удобная возможность, которой гордятся производители точек доступа, также представляет собой огромную брешь в безопасности — если конфигурирование точки с помощью браузера производится с беспроводного терминала. Основываясь на вышеописанных методах и перехватив трафик к точке доступа не представляет абсолютно никакого труда выделить пароль администратора и сделать с точкой доступа все, что угодно — вплоть до ее физического повреждения (например, воспользовавшись процедурой обновления микропрограммы и залив в точку произвольный файл). На самом деле несанкционированное «руление» точкой доступа не имеет практического смысла для злоумышленника, если его целью не является, скажем, стремление просто «насолить» данной конкретной сети.

Относительно конфигурирования точки беспроводного доступа можно лишь посоветовать не использовать в этом случае веб-браузер. Лучше производить такие действия посредством фирменной SNMP-утилиты настройки, которая идет в комплекте со всеми точками доступа, либо telnet-клиента (или при помощи подключения к последовательному порту точки доступа), если эта возможность предусмотрена производителем, причем именно из проводного сегмента сети.

AirSnort и компания — реальная угроза

Массовые проблемы начались еще в 2001 году, с появлением первого публичного релиза утилиты AirSnort, одного из инструментов для проведения «пассивных» атак на беспроводные сети. AirSnort просто перехватывает пакеты и накапливает информацию, а когда количество пакетов достигает достаточного уровня, происходит аналих данных и вычисление ключа шифрования.

Как мы помним, в 2001 году вычислительные мощности персональных компьютеров были довольно далеки от современных, поэтому определение ключа шифрования было делом достаточно долгим. Сегодня же подобная процедура может быть проведена в разы быстрее, поэтому угроза взлома беспроводной сети стала еще более реальной. Хотя количество пакетов, необходимых для перехвата и анализа, не изменилось — их число может достигать 10 млн.

Примечательно, что «прослушку» засечь невозможно — пользователи беспроводной сети не обнаруживают никакой подозрительной деятельности и не догадываются, что сеть уже давно на прицеле. Беспроводной адаптер на компьютере с запущенным AirSnort не посылает абсолютно никакой информации «наружу» и не общается ни с одним из компьютеров в сети. И неважно, позволяют ли настройки сети доступ неавторизованных пользователей или нет — пакеты все равно будут прослушаны.

Интересна точка зрения авторов данной утилиты — Блэйка Хегирли и Джереми Брюстля: «Да, AirSnort может быть использована в качестве инструмента взлома, но это и веский аргумент против заявленной безопасности WEP-шифрования». Авторы убеждены, что AirSnort докажет практически каждому, насколько незащищены беспроводные сети: «Мы чувствовали, единственный правильный путь — выпустить утилиту в свободное пользование. Обычному пользователю или сетевому администратору среднего уровня неочевидно, насколько уязвимо WEP-шифрование, но AirSnort призвана открыть людям глаза».

Это не голословное утверждение — AirSnort доступна в исходных текстах на веб-странице проекта, и любой, кто знаком с языком C, может убедиться, как просто проникнуть в беспроводную сеть. С этой точки зрения Хегирли и Брюстль выглядят уже не злобными хакерами, а буквально создателями катализатора, призванного усилить безопасность 802.11b/g.

Несмотря на *nix-корни AirSnort, в сети обнаружилась и откомпилированная для платформы Win32 версия, скриншот которой мы и приводим.

Инструмент для пассивной атаки — AirSnort

С 2001 года популярность беспроводных сетей значительно возросла, также возросло и количество различных утилит для проведения пассивных атак — к AirSnort добавилась WEPCrack, написанная на языке Perl, утилиты Aircrack, Kismet и WepLab. Их число не ограничивается вышеперечисленными, это лишь наиболее популярные инструменты для атаки Wi-Fi-сетей.

Более того, идет активная работа над портированием «взломщиков» на платформу Windows, что не может не настораживать.

Ведь число пользователей различных операционных систем с открытым кодом, для которых и существует большинство разработок, неизмеримо меньше приверженцев Windows, поэтому в самое ближайшее время «любая домохозяйка сможет взломать беспроводную сеть ближайшего супермаркета».

Кстати, для успешного взлома Aircrack и WepLab требуется на порядок меньшее, чем AirSnort, количества пакетов — это уже не миллионы, а сотни тысяч. Убедительный довод, чтобы задуматься о методах противодействия.

Помимо пассивного подслушивания существуют и методы активных атак, которые заключаются в воздействии на беспроводную сеть с целью получения необходимой злоумышленнику информации, которая впоследствии будет использована для доступа к сети.

Популярные методы активной атаки — повторное использование вектора инициализации и манипуляция битами.

Первый тип активной атаки достаточно интересен: злоумышленник выбирает «жертву» в беспроводной сети и атакует ее повтоярющейся информацией, известной только ему. Одновременно идет прослушивание точки доступа и сбор шифрованной информации между «жертвой» и точкой доступа — после чего, на основе полученной шифрованной информации и ее имеющегося нешифрованного эквивалента, вычисляется ключ криптования.

Чем усилить безопасность беспроводной сети?

Как уже понятно, скрытие идентификатора SSID, ведение списка валидных MAC-адресов и использование WEP-шифрования обеспечивают не безопасность, а ее видимость — примерно как решетки на окнах, сделанные из пластилина. Путь один: найти методы, способные реально усложнить жизнь злоумышленникам, ведь, как известно, невзламываемых ключей не бывает, дело лишь во времени, требуемом для их вычисления.

На сегодняшний день разумными считаются три средства, дополняющие уже имеющиеся, — стандарты IEEE 802.1x, 802.11i и протокол WPA.

IEEE 802.1x применяется для авторизации, аутентификации и аккаунтинга пользователей, чтобы проверить возможность предоставления доступа к сети. В случае 802.1x используются уже динамические ключи шифрования, что является несомненным плюсом. 802.1х предназначен для работы со сторонними средствами, такими как сервер RADIUS (Remote Access Dial-In User Server) и протокол EAP (Extensive Authentication Protocol).

Сервер RADIUS — своего рода «проходная», вахтер на которой самостоятельно решает, пустить пользователя в сеть или нет. К чести некоторых производителей беспроводного доступа (например, D-Link и U.S. Robotics), возможность авторизации и аутентификации пользователя на сервере RADIUS с помощью 802.1х предусмотрена даже в достаточно старых устройствах стандарта 802.11b.

Средства 802.1x в точке доступа стандарта 802.11b

В настоящее время есть несколько популярных реализаций RADIUS-серверов: FreeRadius, GNU Radius, Cistron Radius, Radiator Radius, Microsoft IAS, Advanced Radius. Некоторые из них — коммерческие продукты, некоторые — доступны для бесплатного использования с соблюдением соответствующих лицензионных требований.

Что следует в данном случае понимать под терминами «авторизация», «аутентификация» и «аккаунтинг»? Аутентификация — процесс определения тождественности пользователя, в наиболее общем виде — посредством имени («логина») и пароля. Авторизация — определение сетевых сервисов, доступных конкретному пользователю, и сервисов, к которым доступ запрещен. Наконец, аккаунтинг — журналирование использования сетевых ресурсов и сервисов.

В общем случае алгоритм привязки RADIUS-сервера к беспроводной сети может быть таков:

  1. Сетевой администратор дает команду RADIUS-серверу завести новую учетную карточку пользователя с занесением в нее имени пользователя, под которым он будет проходить аутентификацию, и его пароля.
  2. Внесенный в базу RADIUS-сервера пользователь с помощью беспроводной связи подключается к точке доступа, чтобы проверить электронную почту.
  3. Точка доступа запрашивает у пользователя его имя и пароль.
  4. Точка доступа связывается с RADIUS-сервером и дает запрос на аутентификацию пользователя.
  5. RADIUS-сервер находит валидные имя пользователя и пароль, дает добро на новую сессию и заводит в журнале соответствующую запись о начале новой сессии.
  6. Точка доступа предоставляет пользователю возможность работать с теми сервисами, которые ему предписаны (это и есть авторизация).
  7. По окончании сессии, которая может быть прервана либо самим пользователем, либо RADIUS-сервером (например, истек «нарезанный» по регламенту промежуток времени работы), RADIUS-сервер делает в журнале запись об окончании сеанса.

Как видим, процедура достаточно строгая, но в тоже время логически верная — хотя и относится лишь к управлению доступом.

Кстати, до сих пор удачных попыток взлома 802.1х не зафиксировано, поэтому развитие идет, безусловно, в верном направлении.

В качестве дополнения к неубедительному протоколу WEP имеется WPA — Wi-Fi Protected Access. WPA реализует принцип временных ключей шифрования и тесно взаимодействует с TKIP — Temporal Key Integrity Protocol (протокол целостности временных ключей). WPA работает в связке с 802.1х и EAP и совместим с последним из компонент всего комплекса безопасности — протоколом 802.11i.

802.11i предусмотрен в качестве глобальной замены WEP (его иногда называют также WPA2). 802.11i является как бы «надмножеством» WPA — сочетает все его возможности со своими оригинальными. 802.11i использует гораздо более мощный, нежели RC4 у WEP, алгоритм шифрования — это AES (Advanced Encryption Standart).

В действительности построить хорошо защищенную сеть можно и при помощи уже имеющихся средств — даже несмотря на WEP, SSID broadcasting и MAC-доступ. Хорошо зарекомендовавшее себя решение — Virtual Private Network, виртуальная частная сеть, в которую можно «завернуть» всю беспроводную сеть вместе с ее огрехами в области безопасности. Средства VPN работают на глобальном сетевом уровне, поэтому, видимо, в настоящее время это один из немногих способов обеспечения достойной безопасности — благо технология IPSec портирована с IPv6 на IPv4.

Об этом, кстати, упоминают и известные нам разработчики AirSnort Хегирли и Брюстль: «Мы можем посоветовать сетевым пользователям обратить внимание на методы шифрования «точка-точка», виртуальные частные сети, для шифрования трафика от вашего ноутбука до сервера».

Пожалуй, они правы: развертывание виртуальной частной сети поверх имеющейся беспроводной позволяет решить львиную долю проблем безопасности — на фоне VPN недостатки WEP, SSID и т. д. будут просто несущественны, так как особой практической ценности в данном случае они не имеют.

Евгений Патий, IT News

Ваша реакция?
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x