Тема 5.
Освоение базового функционала для
работы с различными типами Wi- Fi устройств
Режимы работы точки доступа,
их настройка и применение.
В
режиме точки доступа, или как его называют иностранцы «Access Point», роутер
работает как устройство, которое превращает кабельный сигнал в беспроводной.
Основное отличие маршрутизатора в режиме точки доступа от другого сетевого
прибора, который собственно называется «точка доступа», в том, что он не только
раздает WiFi, то есть превращает в радиосигнал проводной интернет, но и имеет
функционал для раздачи IP адресов и перенаправления портов, в чем и заключается
основная функция именно роутера.
Режим
модема (ADSL Modem)
В
чистом видео модем — это аппарат, который предназначен для работы с
провайдерами, предоставляющими доступ во всемирную паутину через телефонный
кабель по технологии ADSL. И больше ни для чего другого — сам модем в режиме
роутера работать либо просто не может. А вот роутер в режиме модема с
поддержкой ADSL способен не только получать интернет по телефонному шнуру, но и
ретранслировать его беспроводным способом и назначать IP другим клиентам.
Репитер
(Repeater)
Вообще
«репитер» — это беспроводной удлинитель или повторитель сигнала, продлевающий
его от точки раздачи wifi на некоторое расстояние для присоединения к интернету
компьютеров, находящихся в зоне неуверенного приема. Если наш любимый с вами
wifi роутер имеет режим репитера, значит умеет делать то же самое — удлинять
беспроводной сигнал, тем самым расширяя зону приема. Кроме того, режим
повторителя полезен, если необходимо обойти какое-либо препятствие при создании
беспроводного моста, когда между двумя точками доступа нет прямой видимости.
Тогда помещаем роутер в режиме ретранслятора в прямой видимости от обеих точек
и передаем сигнал через него.
Клиент,
или Мост (Client, WISP, WDS, Bridge)
У
роутера в режиме моста много названий, но суть сводится к одному — он принимает
беспроводной сигнал и передает его по кабелю на присоединенное к нему
устройство. Режим моста удобно использовать, когда необходимо подключить к wifi
«клиента», то есть какой-то девайс, у которого нет встроенного беспроводного
модуля, например, телевизор или принтер.
Как
настроить режим роутера Asus?
В
разных моделях настройка режима роутера происходит по-разному. Нам надо будет
подключиться к какому-то уже существующему вайфайю, который раздается каким-то
другим роутером, и распространять его уже в нашей квартире. Показываю на
примере Asus RT-N10U B в новой прошивке.
Заходим
в админку (http://192.168.1.1), пункт «Администрирование», вкладка «Режим
работы» (красным) или сразу кликаем на «Беспроводной роутер» в самом верху
страницы настроек (зеленым).
В
данный момент по умолчанию активирован режим «Беспроводной роутер». Его
настройки вы найдете в этой статье, а мы поставим флажок на втором по счету —
режим повторителя. И нажимаем кнопку «Сохранить».
Откроется
страница, на которой отобразятся все беспроводные сети, находящиеся в радиусе
приема роутера. Выбираем из них ту, к которой нам надо подключиться и вводи
ключ доступа, если она запаролена.
Жмем
подключить. После соединения со сторонним роутером, вы сможете сделать еще одну
интересную настройку: либо использовать данные для доступа той существующей
сети, которую мы удлиняем. Либо задать свои собственные — тогда к нашему мы
подключаемся с одними данными (SSID и паролем), а к тому, второму, в который
непосредственно вставлен кабель интернета и сигнал которого мы удлиняем, — с
другими.
Дальше
дело техники — ждем, когда все эти настройки применятся, и вы отключитесь от
сети. После чего в списке доступных беспроводных подключений появится то новое,
которое только что создали. Подключаемся к нему — и вперед, по просторам
рунета!
Маршрутизатор
Асус в режиме точки доступа
Режим
точки доступа а Асуса заключается в том, что он соединяется кабелем с другим
роутером или модемом, который в свою очередь подключен к провайдеру и уже
передает дальше сигнал wifi. Его удобно использовать, если у вас интернет
работает через ADSL модем, а у самого роутера такой встроенной возможности нет.
Либо если ваш маршрутизатор не оснащен беспроводным модулем и не может
раздавать сигнал по вайфай. Думаю, разбирать его нет смысла, так как подробно
все описано в статье про модем в режиме роутера, ссылку на которую я уже дал
выше.
Роутер
Asus в режиме моста, или клиента
Клиент
— тот, кто что-то получает. Этот режим называется так, потому что при нем
роутер работает в обратном направлении — не вещает беспроводной сигнал из
подключенного кабеля, а наоборот, получает по wifi интернет от другой точки
доступа и распространяет его на другие устройства при помощи кабеля. Этот
порядок работы доступен только в некоторых моделях.
Самым
ярким примером аппарата, работающего в этом ключе — wifi адаптер. А из роутеров
такой способностью обладает Asus EA-N66.
Называется
этот режим в данной модели «Беспроводной сетевой адаптер».
Данный
тип также позволяет объединить две автономные сети при помощи беспроводного
«моста». При создании такого подключения нужно, чтобы оба роутера имели данный
режим (Bridge). Либо можно сделать так, чтобы одно устройство было активировано
как «точка доступа», транслирующая сигнал, а другое — как «клиент», принимающее
его и распространяющее по кабелям на компьютеры своей сети. Из линейки Асуса,
коего поклонником я являюсь, для организации такого моста подойдет современная
моделька RT-N13U.
Режим Ad Hoc
В
режиме Ad Hoc клиенты устанавливают связь непосредственно
друг с другом. Устанавливается одноранговое взаимодействие по типу "точка-точка", и компьютеры взаимодействуют
напрямую без применения точек доступа. При этом создается только одна зона
обслуживания, не имеющая интерфейса для подключения к проводной локальной сети.
Основное
достоинство данного режима - простота организации: он не требует
дополнительного оборудования (точки доступа). Режим может применяться для
создания временных сетей для передачи данных.
Однако
необходимо иметь в виду, что режим Ad Hoc позволяет устанавливать соединение на
скорости не более 11 Мбит/с, независимо от используемого оборудования. Реальная
скорость обмена данными будет ниже и составит не более 11/N Мбит/с, где N - число устройств в сети. Дальность связи составляет не
более ста метров, а скорость передачи данных
быстро падает с увеличением расстояния.
Инфраструктурный режим беспроводные
сети соединяют (присоединяют) беспроводную сеть к проводной сети Ethernet.
Беспроводная сеть в режиме инфраструктуры также поддерживает центральные точки
подключения для клиентов WLAN.
Точка беспроводного
доступа (AP) требуется для беспроводной сети в режиме инфраструктуры. Чтобы
присоединиться к WLAN, точка доступа и все беспроводные клиенты должны быть
настроены на использование одного и того же SSID. Затем точка доступа
подключается к проводной сети, чтобы предоставить беспроводным клиентам доступ,
например, к Интернет-соединениям или принтерам. К WLAN могут быть добавлены
дополнительные точки доступа, чтобы увеличить охват инфраструктуры и
поддерживать любое количество беспроводных клиентов.
По сравнению с
альтернативными одноранговыми беспроводными сетями, сети в режиме
инфраструктуры предлагают такие преимущества, как масштабируемость,
централизованное управление безопасностью и улучшенный охват.
Недостатком инфраструктурных беспроводных сетей
является просто дополнительная стоимость приобретения оборудования точки
доступа.
Обратите внимание, что
все домашние беспроводные маршрутизаторы имеют встроенную точку доступа для
поддержки режима инфраструктуры.
Топологии
построения Wi-Fi сетей Топология типа «шина» Топология «шина» самой своей
структурой предполагает идентичность сетевого оборудования компьютеров, а также
равноправие всех абонентов. Пример такой топологии приведен на рисунке 1.1
Рисунок 1.1 - топология типа «шина» Здесь отсутствует центральный абонент,
через которого передается вся информация, что увеличивает ее надежность.
Добавить новых абонентов в шину довольно просто. Надо ввести параметры новой
точки доступа, что приведет к перезагрузке последней точки. Шине не страшны
отказы отдельных точек, так как все остальные компьютеры сети могу нормально
продолжать обмен данными между собой, но при этом оставшиеся часть компьютеров
не сможет получить доступ в интернет. Топология типа «кольцо» В данной
топологии каждая точка доступа соединяется только с двумя другими. Пример такой
топологии приведен на рисунке 1.2 Рисунок 1.2 - Топология типа «кольцо»
Подключение новых абонентов в «кольцо» осуществить очень просто, хотя это и
требует обязательной остановки работы двух крайних точек от новой точки
доступа. Основное преимущество кольца стоит в том, что ретрансляция сигналов
каждым абонентам позволяет существенно увеличить размеры всей сети в целом.
Кольцо в этом отношении существенно превосходит любые другие топологии.
Топология типа «Звезда» Данная топология имеет ярко выделенный центр, к
которому подключается все остальные абоненты. Весь обмен информации идет
исключительно через центральную точку доступа, на которую в результате ложиться
большая нагрузка. Пример такой топологии приведен рисунке 1.3. Рисунок 1.3 -
топология типа «Звезда» Если говорить об устойчивости звезды к отказам точек,
то выход из строя обычной точки доступа никак не отражается на функционировании
оставшийся части сети, но любой отказ центральной токи делает сеть полностью
неработоспособной. Главный недостаток данной топологии состоит в жестком
ограничении количества абонентов. Так как все точки работают на одном канале,
обычно центральный абонент может обслуживать не более 10 периферийных абонентов
из-за большого падения скорости. [1]
·
Директор информационной службы
·
2006
·
№ 04
Безопасность
беспроводных сетей
24.04.2006
· Ключевые
слова :
· CSO
MEGAFON.RU
реклама
Проблемы
безопасности беспроводных сетей, описанные в ряде статей, спровоцировали
недоверие к беспроводным технологиям. Насколько оно оправданно?
Проблемы
безопасности беспроводных сетей, описанные в ряде статей, спровоцировали
недоверие к беспроводным технологиям. Насколько оно оправданно?
Почему беспроводные
сети считаются более уязвимыми, чем кабельные? В проводных сетях данные могут
быть перехвачены только в том случае, если злоумышленник получит физический
доступ к среде передачи. В беспроводных сетях сигнал распространяется в эфире,
поэтому любой, находящийся в зоне действия сети, может перехватить этот сигнал.
Злоумышленнику даже
не обязательно пребывать на территории компании, достаточно попасть в зону
распространения радиосигнала.
Угрозы
беспроводным сетям
Готовясь к
обеспечению безопасности беспроводных сетей, прежде всего необходимо
установить, что может им угрожать.
Пассивная
атака
Перехват сигналов
беспроводной сети аналогичен прослушиванию радиопередачи. Достаточно иметь
ноутбук (или КПК) и анализатор беспроводных протоколов. Широко распространено
заблуждение, что несанкционированное подключение к беспроводной сети вне офиса
можно пресечь, контролируя выходную мощность сигнала. Это не так, поскольку
использование злоумышленником беспроводной карты повышенной чувствительности и
направленной антенны позволяет легко преодолеть данную меру предосторожности.
Даже уменьшив
вероятность несанкционированного подключения к сети, не следует оставлять без
внимания возможность «прослушивания» трафика, поэтому для безопасной работы в
беспроводных сетях необходимо шифровать передаваемую информацию.
Активная
атака
Опасно подключать
незащищенную беспроводную сеть к кабельной сети. Незащищенная точка доступа,
подсоединенная к локальной сети, представляет собой широко открытую дверь для
злоумышленников. Для предприятий это чревато тем, что конкуренты могут получить
доступ к конфиденциальным документам. Незащищенные беспроводные сети позволяют
хакерам обойти межсетевые экраны и настройки безопасности, которые защищают
сеть от атак через Internet. В домашних сетях злоумышленники могут получить
бесплатный доступ к Internet за счет своих соседей.
Следует отслеживать
и выявлять неконтролируемые точки доступа, подключенные к сети
несанкционированно. Подобные точки, как правило, устанавливают сами сотрудники
предприятия. (Например, менеджер отдела продаж приобрел беспроводную точку
доступа и использует ее, чтобы все время оставаться на связи.) Такая точка
может быть специально подключена к сети злоумышленником с целью получения
доступа к сети компании вне офиса.
Следует помнить о
том, что уязвимыми являются как подключенные к беспроводной сети компьютеры,
так и те, в которых есть включенная беспроводная карта с настройками по
умолчанию (она, как правило, не блокирует проникновение через беспроводную
сеть). Например, пока пользователь, ожидающий своего рейса, просматривает
ресурсы Internet через развернутую в аэропорту сеть Wi-Fi, хакер, сидящий
неподалеку, изучает информацию, хранящуюся на компьютере мобильного сотрудника.
Аналогичным атакам могут подвергнуться пользователи, работающие посредством
беспроводных сетей в помещениях кафе, выставочных центров, холлах гостиниц и
пр.
Поиск
доступных беспроводных сетей
Для активного поиска
уязвимых беспроводных сетей (War driving) обычно используется автомобиль и
комплект беспроводного оборудования: небольшая антенна, беспроводная сетевая
карта, переносной компьютер и, возможно, GPS-приемник. Используя широко
распространенные программы-сканеры, такие как Netstumbler, можно легко найти
зоны приема беспроводных сетей.
Поклонники War
Driving имеют много способов обмениваться информацией. Один из них (War
Chalking) подразумевает нанесение на схемах и картах символов, указывающих на
обнаруженные беспроводные сети. Эти обозначения содержат сведения о величине
радиосигнала, наличии той или иной разновидности защиты сети и о возможности
доступа в Internet. Любители такого «спорта» обмениваются информацией через Internet-сайты,
«вывешивая», в частности, подробные карты с месторасположением обнаруженных
сетей. Кстати, полезно проверить, нет ли там вашего адреса.
Отказ в
обслуживании
Бесплатный доступ в
Internet или корпоративную сеть не всегда является целью злоумышленников.
Иногда задачей хакеров может быть вывод из строя беспроводной сети.
Атака «отказ в
обслуживании» может быть достигнута несколькими способами. Если хакеру удается установить
соединение с беспроводной сетью, его злонамеренные действия могут вызвать ряд
таких серьезных последствий: например, рассылку ответов на запросы протокола
разрешения адресов (Address Resolution Protocol, ARP) для изменения ARP-таблиц
сетевых устройств с целью нарушения маршрутизации в сети или внедрение
несанкционированного сервера протокола динамической конфигурации хостов
(Dynamic Host Configuration Protocol, DHCP) для выдачи неработоспособных
адресов и масок сетей. Если хакер выяснит подробности настроек беспроводной
сети, то сможет переподключить пользователей на свою точку доступа (см.
рисунок), а последние окажутся отрезанными от сетевых ресурсов, которые были
доступны через «законную» точку доступа.
|
|
|
Внедрение несанкционированной точки доступа. |
Злоумышленник может
также заблокировать частоты, используемые беспроводными сетями, применяя для
этого генератор сигналов (его можно изготовить из деталей микроволновой печи).
В результате вся беспроводная сеть или ее часть выйдут из строя.
Меры
безопасности в стандартах IEEE 802.11
Оригинальный
стандарт 802.11 предусматривает для обеспечения безопасности беспроводных сетей
использование стандарта «конфиденциальности, эквивалентной проводной» (Wired
Equivalent Privacy, WEP). Беспроводные сети, использующие WEP, требуют
настройки статического WEP-ключа на точках доступа и всех станциях. Этот ключ
может использоваться для аутентификации и шифрования данных. При его
компрометации (например, в случае утери переносного компьютера) необходимо сменить
ключ на всех устройствах, что подчас весьма затруднительно. При использовании
ключей WEP для аутентификации беспроводные станции посылают точке доступа
соответствующий запрос, получая в ответ незашифрованное сообщение (clear text
challenge). Клиент должен его зашифровать, используя свой WEP-ключ, и вернуть
точке доступа, которая расшифрует сообщение с помощью собственного WEP-ключа.
Если расшифрованное сообщение совпадает с оригинальным, то это обозначает, что
клиент знает WEP-ключ. Следовательно, аутентификация считается успешной, и
клиенту отправляется соответствующее уведомление.
Успешно завершив
аутентификацию и ассоциацию, беспроводное устройство может использовать
WEP-ключ для шифрования трафика, передаваемого между устройством и точкой
доступа.
Стандарт 802.11
определяет и другие механизмы контроля доступа. Точка доступа может
использовать фильтрацию по аппаратным адресам (Media Access Control, MAC),
предоставляя или запрещая доступ на основе MAC-адреса клиента. Данный метод
затрудняет, но не предотвращает подключение несанкционированных устройств.
Насколько
безопасен WEP?
Одно из правил
криптографии гласит: имея открытый текст и его зашифрованную версию, можно
установить использованный метод шифрования. Это особенно актуально при
использовании слабых алгоритмов шифрования и симметричных ключей, такие,
например, предусматривает WEP.
Этот протокол
использует для шифрования алгоритм RC4. Слабость его состоит в том, что если
зашифровать известный открытый текст, то на выходе получится ключевой поток,
который использовался для шифрования данных. Согласно стандарту 802.11,
ключевой поток состоит из WEP-ключа и 24-разрядного вектора инициализации. Для
каждого пакета используется следующий вектор, который отправляется в открытом
виде вместе с пакетом, так что принимающая станция может использовать его
совместно с WEP-ключом, чтобы расшифровать пакет.
Если получить один
ключевой поток, то можно расшифровать любой пакет, зашифрованный тем же самым
вектором. Так как вектор меняется для каждого пакета, то для расшифровки нужно
дождаться следующего пакета, использующего тот же самый вектор. Чтобы иметь
возможность расшифровывать WEP, необходимо собрать полный комплект векторов и
ключевых потоков. Утилиты по взлому WEP работают именно таким образом.
Добыть открытый и зашифрованный
текст можно в процессе аутентификации клиента. Перехватывая трафик на
протяжении некоторого времени, можно набрать необходимое количество исходных
данных для проведения атаки. Чтобы скопить необходимые для анализа данные,
хакеры используют и множество других методов, включая атаки типа «men in the
middle».
Когда принималось
решение о формате фрейма для беспроводных сетей, IEEE предложила свой
собственный формат под названием Subnetwork Address Protocol (SNAP).
Два байта, следующие
за MAC-заголовком во фрейме SNAP стандарта 802.11, всегда имеют значение «AA
AA». Протокол WEP шифрует все байты, следующие за MAC-заголовком, поэтому для
первых двух зашифрованных байт всегда известен открытый текст («АА АА»). Этот
путь предоставляет возможность получить фрагменты зашифрованного и открытого
сообщения.
В Internet бесплатно
распространяются утилиты для взлома WEP. Самые известные из них — AirSnort и
WEPCrack. Для успешного взлома WEP-ключа с их помощью достаточно набрать от 100
тыс. до 1 млн. пакетов. Новые утилиты Aircrack и Weplab для взлома WEP-ключей
реализуют более эффективный алгоритм, при котором требуется существенно меньше
пакетов. По этой причине протокол WEP является ненадежным.
Беспроводные
технологии становятся безопаснее
Сегодня многие
компании используют удобные и безопасные беспроводные сети. Стандарт 802.11i
поднял безопасность на качественно новый уровень.Рабочая группа IEEE 802.11i, в
задачу которой входило создание нового стандарта безопасности беспроводных
сетей, была сформирована после изучения сведений об уязвимости протокола WEP.
На разработку потребовалось некоторое время, поэтому большинство производителей
оборудования, не дождавшись выхода нового стандарта, стали предлагать свои
методы (см. врезки).
В 2004 году появился новый стандарт, тем не менее, поставщики оборудования по
инерции продолжают использовать старые решения.
802.11i определяет
использование стандарта расширенного шифрования (Advanced Encryption Standard,
AES) вместо WEP. В основе AES лежит реализация алгоритма Рендела, который
большинство криптоаналитиков признает стойким. Этот алгоритм существенно лучше
своего слабого предшественника RC4, который используется в WEP: он
предусматривает использование ключей длиной 128, 192 и 256 разрядов, вместо 64
бит, используемых в оригинальном стандарте 802.11. Новый стандарт 802.11i также
определяет использование TKIP, CCMP и 802.1x/EAP.
Алексей Пастоев, apastoev@kerberus.ru и
Николай Петров, npetrov@kerberus.ru — менеджеры компании
«Керберус»
Протоколы
802.1x и EAP
Стандарт 802.1x
разработан для защиты подключений к сети Ethernet, построенной на коммутируемых
портах. Его действие основано на том, что пользователь, подсоединившись физически
к порту коммутатора, не имеет возможности отправлять данные через этот порт до
тех пор, пока не пройдет аутентификацию на сервере аутентификации, авторизации
и учета (обычно для этих целей применяются серверы RADIUS или TACACS+).
Онаружив недостатки
безопасности сетей 802.11, производители стали использовать проверенный
протокол 802.1x совместно с открытым протоколом аутентификации (Extensible
Authentication Protocol, EAP) для предотвращения несанкционированных
подключений к сети. Различные производители создали свои реализации протокола
EAP для обеспечения безопасности беспроводных сетей (см. таблицу).
EAP-MD5 подтверждает
подлинность пользователя путем проверки пароля. Вопрос использования шифрования
трафика отдан на откуп администратору сети. Слабость EAP-MD5 заключается в
отсутствии обязательного использования шифрования, поэтому EAP-MD5 допускает
возможность атаки типа «men in the middle».
Протокол
«легковесный EAP» (Lightweight EAP, LEAP), который создала компания Cisco,
предусматривает не только шифрование данных, но и ротацию ключей. LEAP не
требует наличия ключей у клиента, поскольку они безопасно пересылаются после
того, как пользователь прошел аутентификацию. Это позволяет пользователям легко
подключаться к сети, используя учетную запись и пароль.
Ранние реализации
LEAP обеспечивали только одностороннюю аутентификацию пользователей. Позднее
Cisco добавила возможность взаимной аутентификации. Однако выяснилось, что
протокол LEAP уязвим к атакам по словарю. Сотрудник американского Института
системного администрирования, телекоммуникаций и безопасности (SANS) Джошуа
Райт разработал утилиту ASLEAP, которая осуществляет подобную атаку, после чего
компания Cisco рекомендовала использовать сильные пароли длиной не менее восьми
знаков, включая спецсимволы, символы верхнего, нижнего регистра и цифры. LEAP
безопасен в той мере, насколько стоек пароль к попыткам подбора.
Более сильный
вариант реализации EAP — EAP-TLS, который использует предустановленные цифровые
сертификаты на клиенте и сервере, был разработан в Microsoft. Этот метод
обеспечивает взаимную аутентификацию и полагается не только на пароль
пользователя, но также поддерживает ротацию и динамическое распределение
ключей. Неудобство EAP-TLS заключается в необходимости установки сертификата на
каждом клиенте, что может оказаться достаточно трудоемкой и дорогостоящей
операцией. К тому же этот метод непрактично использовать в сети, где часто
меняются сотрудники.
Производители
беспроводных сетей продвигают решения упрощения процедуры подключения к
беспроводным сетям авторизированных пользователей. Эта идея вполне осуществима,
если включить LEAP и раздать имена пользователей и пароли. Но если возникает
необходимость использования цифрового сертификата или ввода длинного WEP-ключа,
процесс может стать утомительным.
Компании Microsoft,
Cisco и RSA совместными усилиями разработали новый протокол — PEAP,
объединивший простоту использования LEAP и безопасность EAP-TLS. PEAP
использует сертификат, установленный на сервере, и аутентификацию по паролю для
клиентов. Аналогичное решение — EAP-TTLS — выпустила компания Funk Software.
Разные производители
поддерживают различные типы EAP, а также несколько типов одновременно. Процесс
EAP аналогичен для всех типов.
Типовые операции EAP
Что такое
WPA
После того, как
беспроводные сети были объявлены небезопасными, производители приступили к
реализации собственных решений по обеспечению безопасности. Это поставило
компании перед выбором: использовать решение одного производителя или
дожидаться выхода стандарта 802.11i. Дата принятия стандарта была неизвестна,
поэтому в 1999 году был сформирован альянс Wi-Fi. Его целью являлась унификация
взаимодействия беспроводных сетевых продуктов.
Альянс Wi-Fi
утвердил протокол защищенного беспроводного доступа (Wireless Protected Access,
WPA), рассматривая его как временное решение до выхода стандарта 802.11i.
Протокол WPA предусматривает использование стандартов TKIP и 802.1x/EAP. Любое
оборудование Wi-Fi, сертифицированное на совместимость с WPA, обязано работать
совместно с другим сертифицированным оборудованием. Поставщики могут
использовать и свои собственные механизмы обеспечения безопасности, но должны в
любом случае включать поддержку стандартов Wi-Fi.
После
первоначального объявления параметров 802.11i альянс Wi-Fi создал стандарт
WPA2. Любое оборудование, которое имеет сертификат WPA2, полностью совместимо с
802.11i. Если беспроводная сеть предприятия не поддерживает стандарт 802.11i,
то для обеспечения адекватной безопасности следует как можно быстрее перейти на
802.11i.
Что такое
фильтрация MAC-адресов?
Если WEP
небезопасен, то сможет ли защитить беспроводную сеть фильтрация аппаратных
адресов (Media Access Control, MAC)? Увы, фильтры МАС-адресов предназначены для
предотвращения несанкционированных подключений, против перехвата трафика они
бессильны.
Фильтрация
МАС-адресов не оказывает заметного влияния на безопасность беспроводных сетей.
Она требует от злоумышленника лишь одного дополнительного действия: узнать
разрешенный MAC-адрес. (Кстати, большинство драйверов сетевых карт позволяют
его поменять.)
Насколько легко
узнать разрешенный MAC-адрес? Чтобы получить работающие МАС-адреса, достаточно
в течение некоторого времени следить за беспроводным трафиком с помощью
анализатора протоколов. МАС-адреса можно перехватить, даже если трафик
шифруется, поскольку заголовок пакета, который включает такой адрес, передается
в открытом виде.
Протокол
TKIP
Временный протокол
обеспечения целостности ключа (Temporal Key Integrity Protocol, TKIP)
разработан для устранения недостатков, присущих протоколу WEP. Стандарт TKIP
улучшает безопасность WEP благодаря ротации ключей, использованию более длинных
векторов инициализации и проверки целостности данных.
Программы для взлома
WEP используют слабость статических ключей: после перехвата необходимого числа
пакетов они позволяют легко расшифровать трафик. Регулярная смена ключей
предотвращает этот тип атак. TKIP динамически меняет ключи через каждые 10 тыс.
пакетов. Поздние реализации протокола позволяют менять интервал ротации ключей
и даже установить алгоритм смены ключа шифрования для каждого пакета данных
(Per-Packet Keying, PPK).
Ключ шифрования,
применяемый в TKIP, стал более надежным по сравнению с WEP-ключами. Он состоит
из 128-разрядного динамического ключа, к кот
·
Директор информационной службы
·
2006
·
№ 04
Безопасность
беспроводных сетей
24.04.2006
· Ключевые
слова :
· CSO
MEGAFON.RU
реклама
Проблемы
безопасности беспроводных сетей, описанные в ряде статей, спровоцировали
недоверие к беспроводным технологиям. Насколько оно оправданно?
Проблемы
безопасности беспроводных сетей, описанные в ряде статей, спровоцировали
недоверие к беспроводным технологиям. Насколько оно оправданно?
Почему беспроводные
сети считаются более уязвимыми, чем кабельные? В проводных сетях данные могут
быть перехвачены только в том случае, если злоумышленник получит физический
доступ к среде передачи. В беспроводных сетях сигнал распространяется в эфире,
поэтому любой, находящийся в зоне действия сети, может перехватить этот сигнал.
Злоумышленнику даже
не обязательно пребывать на территории компании, достаточно попасть в зону
распространения радиосигнала.
Угрозы
беспроводным сетям
Готовясь к
обеспечению безопасности беспроводных сетей, прежде всего необходимо
установить, что может им угрожать.
Пассивная
атака
Перехват сигналов
беспроводной сети аналогичен прослушиванию радиопередачи. Достаточно иметь
ноутбук (или КПК) и анализатор беспроводных протоколов. Широко распространено
заблуждение, что несанкционированное подключение к беспроводной сети вне офиса
можно пресечь, контролируя выходную мощность сигнала. Это не так, поскольку
использование злоумышленником беспроводной карты повышенной чувствительности и
направленной антенны позволяет легко преодолеть данную меру предосторожности.
Даже уменьшив
вероятность несанкционированного подключения к сети, не следует оставлять без
внимания возможность «прослушивания» трафика, поэтому для безопасной работы в
беспроводных сетях необходимо шифровать передаваемую информацию.
Активная
атака
Опасно подключать
незащищенную беспроводную сеть к кабельной сети. Незащищенная точка доступа,
подсоединенная к локальной сети, представляет собой широко открытую дверь для
злоумышленников. Для предприятий это чревато тем, что конкуренты могут получить
доступ к конфиденциальным документам. Незащищенные беспроводные сети позволяют
хакерам обойти межсетевые экраны и настройки безопасности, которые защищают
сеть от атак через Internet. В домашних сетях злоумышленники могут получить
бесплатный доступ к Internet за счет своих соседей.
Следует отслеживать
и выявлять неконтролируемые точки доступа, подключенные к сети
несанкционированно. Подобные точки, как правило, устанавливают сами сотрудники
предприятия. (Например, менеджер отдела продаж приобрел беспроводную точку
доступа и использует ее, чтобы все время оставаться на связи.) Такая точка
может быть специально подключена к сети злоумышленником с целью получения
доступа к сети компании вне офиса.
Следует помнить о
том, что уязвимыми являются как подключенные к беспроводной сети компьютеры,
так и те, в которых есть включенная беспроводная карта с настройками по
умолчанию (она, как правило, не блокирует проникновение через беспроводную
сеть). Например, пока пользователь, ожидающий своего рейса, просматривает
ресурсы Internet через развернутую в аэропорту сеть Wi-Fi, хакер, сидящий
неподалеку, изучает информацию, хранящуюся на компьютере мобильного сотрудника.
Аналогичным атакам могут подвергнуться пользователи, работающие посредством
беспроводных сетей в помещениях кафе, выставочных центров, холлах гостиниц и
пр.
Поиск
доступных беспроводных сетей
Для активного поиска
уязвимых беспроводных сетей (War driving) обычно используется автомобиль и
комплект беспроводного оборудования: небольшая антенна, беспроводная сетевая
карта, переносной компьютер и, возможно, GPS-приемник. Используя широко
распространенные программы-сканеры, такие как Netstumbler, можно легко найти
зоны приема беспроводных сетей.
Поклонники War
Driving имеют много способов обмениваться информацией. Один из них (War
Chalking) подразумевает нанесение на схемах и картах символов, указывающих на
обнаруженные беспроводные сети. Эти обозначения содержат сведения о величине
радиосигнала, наличии той или иной разновидности защиты сети и о возможности
доступа в Internet. Любители такого «спорта» обмениваются информацией через
Internet-сайты, «вывешивая», в частности, подробные карты с месторасположением
обнаруженных сетей. Кстати, полезно проверить, нет ли там вашего адреса.
Отказ в
обслуживании
Бесплатный доступ в
Internet или корпоративную сеть не всегда является целью злоумышленников.
Иногда задачей хакеров может быть вывод из строя беспроводной сети.
Атака «отказ в
обслуживании» может быть достигнута несколькими способами. Если хакеру удается
установить соединение с беспроводной сетью, его злонамеренные действия могут
вызвать ряд таких серьезных последствий: например, рассылку ответов на запросы
протокола разрешения адресов (Address Resolution Protocol, ARP) для изменения
ARP-таблиц сетевых устройств с целью нарушения маршрутизации в сети или внедрение
несанкционированного сервера протокола динамической конфигурации хостов
(Dynamic Host Configuration Protocol, DHCP) для выдачи неработоспособных
адресов и масок сетей. Если хакер выяснит подробности настроек беспроводной
сети, то сможет переподключить пользователей на свою точку доступа (см.
рисунок), а последние окажутся отрезанными от сетевых ресурсов, которые были
доступны через «законную» точку доступа.
|
|
|
Внедрение несанкционированной точки доступа. |
Злоумышленник может
также заблокировать частоты, используемые беспроводными сетями, применяя для
этого генератор сигналов (его можно изготовить из деталей микроволновой печи).
В результате вся беспроводная сеть или ее часть выйдут из строя.
Меры
безопасности в стандартах IEEE 802.11
Оригинальный
стандарт 802.11 предусматривает для обеспечения безопасности беспроводных сетей
использование стандарта «конфиденциальности, эквивалентной проводной» (Wired
Equivalent Privacy, WEP). Беспроводные сети, использующие WEP, требуют
настройки статического WEP-ключа на точках доступа и всех станциях. Этот ключ
может использоваться для аутентификации и шифрования данных. При его
компрометации (например, в случае утери переносного компьютера) необходимо
сменить ключ на всех устройствах, что подчас весьма затруднительно. При
использовании ключей WEP для аутентификации беспроводные станции посылают точке
доступа соответствующий запрос, получая в ответ незашифрованное сообщение (clear
text challenge). Клиент должен его зашифровать, используя свой WEP-ключ, и
вернуть точке доступа, которая расшифрует сообщение с помощью собственного
WEP-ключа. Если расшифрованное сообщение совпадает с оригинальным, то это
обозначает, что клиент знает WEP-ключ. Следовательно, аутентификация считается
успешной, и клиенту отправляется соответствующее уведомление.
Успешно завершив
аутентификацию и ассоциацию, беспроводное устройство может использовать
WEP-ключ для шифрования трафика, передаваемого между устройством и точкой
доступа.
Стандарт 802.11
определяет и другие механизмы контроля доступа. Точка доступа может
использовать фильтрацию по аппаратным адресам (Media Access Control, MAC),
предоставляя или запрещая доступ на основе MAC-адреса клиента. Данный метод
затрудняет, но не предотвращает подключение несанкционированных устройств.
Насколько
безопасен WEP?
Одно из правил
криптографии гласит: имея открытый текст и его зашифрованную версию, можно
установить использованный метод шифрования. Это особенно актуально при
использовании слабых алгоритмов шифрования и симметричных ключей, такие,
например, предусматривает WEP.
Этот протокол
использует для шифрования алгоритм RC4. Слабость его состоит в том, что если
зашифровать известный открытый текст, то на выходе получится ключевой поток, который
использовался для шифрования данных. Согласно стандарту 802.11, ключевой поток
состоит из WEP-ключа и 24-разрядного вектора инициализации. Для каждого пакета
используется следующий вектор, который отправляется в открытом виде вместе с
пакетом, так что принимающая станция может использовать его совместно с
WEP-ключом, чтобы расшифровать пакет.
Если получить один
ключевой поток, то можно расшифровать любой пакет, зашифрованный тем же самым
вектором. Так как вектор меняется для каждого пакета, то для расшифровки нужно
дождаться следующего пакета, использующего тот же самый вектор. Чтобы иметь
возможность расшифровывать WEP, необходимо собрать полный комплект векторов и
ключевых потоков. Утилиты по взлому WEP работают именно таким образом.
Добыть открытый и
зашифрованный текст можно в процессе аутентификации клиента. Перехватывая
трафик на протяжении некоторого времени, можно набрать необходимое количество
исходных данных для проведения атаки. Чтобы скопить необходимые для анализа
данные, хакеры используют и множество других методов, включая атаки типа «men
in the middle».
Когда принималось
решение о формате фрейма для беспроводных сетей, IEEE предложила свой
собственный формат под названием Subnetwork Address Protocol (SNAP).
Два байта, следующие
за MAC-заголовком во фрейме SNAP стандарта 802.11, всегда имеют значение «AA
AA». Протокол WEP шифрует все байты, следующие за MAC-заголовком, поэтому для
первых двух зашифрованных байт всегда известен открытый текст («АА АА»). Этот
путь предоставляет возможность получить фрагменты зашифрованного и открытого
сообщения.
В Internet бесплатно
распространяются утилиты для взлома WEP. Самые известные из них — AirSnort и
WEPCrack. Для успешного взлома WEP-ключа с их помощью достаточно набрать от 100
тыс. до 1 млн. пакетов. Новые утилиты Aircrack и Weplab для взлома WEP-ключей
реализуют более эффективный алгоритм, при котором требуется существенно меньше
пакетов. По этой причине протокол WEP является ненадежным.
Беспроводные
технологии становятся безопаснее
Сегодня многие
компании используют удобные и безопасные беспроводные сети. Стандарт 802.11i
поднял безопасность на качественно новый уровень.Рабочая группа IEEE 802.11i, в
задачу которой входило создание нового стандарта безопасности беспроводных
сетей, была сформирована после изучения сведений об уязвимости протокола WEP.
На разработку потребовалось некоторое время, поэтому большинство производителей
оборудования, не дождавшись выхода нового стандарта, стали предлагать свои
методы (см. врезки).
В 2004 году появился новый стандарт, тем не менее, поставщики оборудования по
инерции продолжают использовать старые решения.
802.11i определяет
использование стандарта расширенного шифрования (Advanced Encryption Standard,
AES) вместо WEP. В основе AES лежит реализация алгоритма Рендела, который
большинство криптоаналитиков признает стойким. Этот алгоритм существенно лучше
своего слабого предшественника RC4, который используется в WEP: он
предусматривает использование ключей длиной 128, 192 и 256 разрядов, вместо 64
бит, используемых в оригинальном стандарте 802.11. Новый стандарт 802.11i также
определяет использование TKIP, CCMP и 802.1x/EAP.
Алексей Пастоев, apastoev@kerberus.ru и
Николай Петров, npetrov@kerberus.ru — менеджеры компании
«Керберус»
Комментарии
Отправить комментарий