Обеспечение безопасности в беспроводных сетях.
Содержание:
Введение
Уже несколько десятилетий люди применяют компьютерные сети для обеспечения связи между персоналом, компьютерами и серверами в компаниях, колледжах и городах. Однако наблюдается тенденция ко все более широкому использованию беспроводных сетей. И действительно, сейчас доступны беспроводные интерфейсы, позволяющие использовать сетевые службы, работать с электронной почтой и просматривать Web-страницы независимо от того, где находится пользователь. Эти беспроводные приложения позволяют людям расширить свое рабочее место и получить в результате этого ряд преимуществ. Во время деловых поездок можно, например, отправлять электронные письма в ожидании посадки на самолет в аэропорту. Домовладельцы могут с легкостью использовать общее Internet-соединение для многих ПК и ноутбуков без прокладки кабелей.
Беспроводные сети
Беспроводные сети представляют собой недорогой метод соединения информационных систем, просты в установке и работе. Однако она ведет к возникновению серьезных вопросов безопасности в организациях, использующих данный тип соединений. Для предотвращения прослушивания сетей и обеспечения корректной аутентификации было разработано множество механизмов безопасности, однако, до сих пор в предлагаемых стандартах и в их реализациях остается целый ряд серьезных уязвимостей.
Современные беспроводные технологии
В беспроводных локальных сетях главным образом используется группа стандартов технологии 802.11x (a, b, g и т. д.). Эти стандарты позволяют соединять рабочие станции каналами, с пропускной способностью до 54 Мбит/с, с использованием беспроводной точки доступа, которая подключается к кабельной сети или напрямую к другой рабочей станции.
Стандартные архитектуры:
Для эффективного использования беспроводных локальных сетей (WLAN) на предприятии необходимо обеспечить достаточную зону покрытия в областях, где сотрудники или посетители организации будут размещать свои компьютеры. В помещениях радиус действия обычной беспроводной системы стандарта 802.11x WLAN составляет, как правило, около 50 метров. Вне помещения радиус действия может достигать 500 метров. Следовательно, точки доступа (AP) должны размещаться так, чтобы обеспечивать область покрытия в соответствующих областях. Реальный радиус действия определяется используемым оборудованием, а также формой и материалами, из которых сделаны окружающие физические объекты.
Безопасность передачи данных:
Беспроводные сети используют воздух и пространство для передачи и приема информации (сигналы являются открытыми для любого лица, находящегося в зоне действия), что требует должной защиты конфиденциальности и целостности информации при ее передаче между рабочими станциями и точками доступа.
Стандарт 802.11x определяет протокол Wired Equivalent Privacy (WEP) для защиты информации при ее передаче через WLAN. WEP предусматривает обеспечение трех основных аспектов:
- Аутентификация;
- Конфиденциальность;
- Целостность.
Аутентификация
В дополнение к средствам защиты информации от хакеров станции могут использовать метод криптографии с открытым ключом для аутентификации их другими станциями или точками доступа. Это может оказаться необходимым до того, как точка доступа или контроллер позволит определенной станции начать взаимодействие с защищенной частью сети. Аналогичным образом и клиент может аутентифицировать
точку доступа. Станция аутентифицирует сама себя путем шифрования строки текста в пакете с помощью секретного ключа. Приемная станция дешифрует текст с помощью открытого ключа передающей станции. Если дешифрованный текст совпадает с каким-то предопределенным текстом, например, именем станции, приемная станция считает передавшую ей фрейм станцию легитимной. В данном случае шифрование определенной строки текста выполняет роль цифровой подписи.
Служба аутентификации WEP используется для аутентификации рабочих станций на точках доступа. Аутентифицированная рабочая станция тогда, когда она отправляет ответный пакет с MAC-адресом в процессе начального обмена данными с точкой доступа. В реальных условиях данная форма аутентификации не обеспечивает доказательства того, что к точке доступа подключается именно конкретная рабочая станция, а не какой-либо другой компьютер. WEP также предусматривает возможность использования механизма криптографической аутентификации, который базируется на знании общего секрета, и обрабатывается алгоритмом RC4 для доказательства подлинности рабочей станции при доступе к AP. При обмене аутентификационными данными, используя систему вызов/ответ, рабочая станция сначала посылает запрос аутентификации на точку доступа, которая передает номер вызова, сгенерированный случайным образом. После этого рабочая станция, зашифровав вызов с использованием общего секрета, возвращает его точке доступа. При расшифровке точкой доступа ответа, с помощью своей копии общего секрета, и получения исходного числа – рабочая
станция будет аутентифицирована для доступа к AP. При использовании этого метода рабочая станция остается открытой для подключения других точек доступа. Соответственно, обмен данными также не защищен от атак через посредника или от перехвата данных.
Аутентификация является ключевым компонентом системы безопасности WLAN. Ни одна из опций, доступных пользователям WLAN, сама по себе не предусматривает защиту от рисков, связанных с использованием WLAN.
Конфиденциальность
Механизм обеспечения конфиденциальности базируется на RC4, который является мощным алгоритмом шифрования, поэтому атаковать его достаточно сложно. RC4 используется для генерирования псевдослучайной последовательности ключей, комбинируемой с информацией для формирования шифрованного текста. Этот механизм защищает всю информацию заголовка протокола и данные протокола 802.11x. WEP поддерживает ключи длиной 40 бит и 128 бит. К сожалению, WEP не определяет механизм управления ключами, т.е. многие инсталляции WEP базируются на использовании статических ключей. Инициализационный вектор оказывает очень существенное влияние на шифрование информации, т.к. отправляется в открытом фрагменте пакета, позволяя таким образом «прослушать» себя. При перехвате инициализационных векторов, злоумышленник сможет завладеть достаточным объемом пакетов для определения ключа шифрования. Применение RC4 в WEP является недостатком.
Целостность
Используемая проверка целостности представляет собой циклическую 32-битную проверку избыточности (CRC), которая вычисляется для каждого пакета перед его шифрованием, после чего данные в комбинации с CRC шифруются и отправляются в пункт назначения. Несмотря на то, что CRC с
криптографической точки зрения небезопасна (Шифрование), она защищается
шифрованием. Если алгоритм шифрования обладает достаточной мощностью, то используемая здесь система шифрования может быть достаточно надежной. Однако недостатки WEP представляют угрозу и для целостности пакетов.
Идентификатор набора служб (SSID)
Это 32-битная строка, используемая в качестве сетевого имени. Чтобы связать рабочую станцию с точкой доступа, обе системы должны иметь один и тот же SSID. К сожалению, SSID распространяется многими точками доступа, т.е. любая рабочая станция, находящаяся в режиме ожидания, может получить SSID и добавить саму себя в соответствующую сеть.
MAC-адрес
Некоторые точки доступа позволяют использовать MAC-адреса авторизованных рабочих станций для аутентификации (предусмотрено поставщиком). Другими словами, конфигурация AP настроена на разрешение соединения только по тем MAC-адресам, о которых известно этой точке доступа. При этом MAC-адреса должны передаваться в открытом виде; в противном случае сеть функционировать не будет. А злоумышленнику, прослушивает трафик, это на руку. Он может определять авторизованные MAC-адреса и настраивать свою собственную систему на использование одного из этих MAC-адресов для установки соединения с AP.
WEP
Использование WEP не предотвращает перехват данных или атаки через
посредника.
Протокол 802.1X: контроль доступа в сеть по портам.
Протокол 802.1X – надстройка для всех протоколов контроля доступа
2 уровня, включая Ethernet и WLAN.
Он предназначен для обеспечения обобщенного механизма аутентификации при доступе в сеть и предусматривает следующий набор элементов: аутентификатор. Сетевое устройство, осуществляющее поиск других объектов для аутентификации; для WLAN это может быть AP; соискатель. Объект, которому требуется доступ. В случае с WLAN это может быть рабочая станция; сервер аутентификации. Источник служб аутентификации. 802.1X разрешает централизацию этой функции, поэтому данный сервер является, например, сервером RADIUS; сетевая точка доступа. Точка присоединения рабочей станции к сети. По сути, это порт на коммутаторе или концентраторе. В беспроводной технологии является связью между рабочей станции и точкой доступа; процесс доступа через порт (PAE). PAE – это процесс, выполняющий протоколы аутентификации. PAE есть как у аутентификатора, так и у соискателя; расширяемый протокол аутентификации (EAP). Протокол EAP (определен в стандарте RFC 2284) представляет собой протокол, используемый при обмене аутентификационными данными. Поверх EAP могут работать и другие протоколы аутентификации более высокого уровня. Использование протокола 802.1X позволяет применить более надежный механизм аутентификации, нежели возможности, доступные в 802.11x. При использовании совместно с сервером RADIUS становится возможным централизованное управление пользователями. Взаимная аутентификация является необязательной относительно 802.1X, и, таким образом, множество инсталляций по умолчанию будет открыто для атак перехватом. 802.1X также предусматривает одноразовую аутентификацию (в начале сеанса). Следовательно, если злоумышленник завладеет MAC-адресом легальной рабочей станции, он получит возможность захватить сеанс и работать в сети WLAN под видом одного из легальных пользователей.
Вопросы безопасности беспроводных соединений
Риски, связанные с использованием сетей WLAN, варьируются от прослушивания до направленных внутренних атак и даже атак, нацеленных на внешние сайты.
Обнаружение WLAN.
NetStumber – утилита, которая работает в операционных системах семейства Windows и может использоваться совместно со спутниковым навигатором (ресивером глобальной системы позиционирования, GPS) для обнаружения
беспроводных сетей WLAN. Она идентифицирует SSID сети WLAN, а также определяет, используется и в ней WEP.
Обнаружить сети WLAN не составит особого усилия во время обхода нужного
района или поездки по городу, обследование офисного здания с переносным компьютером в руках. Внешняя антенна не является необходимой, однако помогает расширить диапазон обнаружения, которым обладают утилиты.
Прослушивание
Беспроводные сети позволяют соединять с физической сетью компьютеры, находящиеся на некотором расстоянии от нее, как если бы эти компьютеры находились непосредственно в сети. Можно подключиться к беспроводной сети организации, располагающейся в здании, человеку, сидящему в машине на стоянке рядом с ним. Даже при надежной аутентификации, которую должны проходить все пользователи для доступа к секретным файлам и системам, злоумышленник может без труда добыть секретные сведения посредством пассивного прослушивания сети. Атаку посредством пассивного прослушивания практически невозможно обнаружить.
Активные атаки
Преодоление периметра сетевой защиты организации, где размещают
большую часть средств безопасности (межсетевые экраны, системы обнаружения вторжений и т. д.). Расположенные внутри периметра системы, как правило, защищены в гораздо меньшей степени. Вместо проведения внутренних атак злоумышленник может использовать сетевое соединение для атаки извне. Тогда организация становится источником атакующего трафика, нацеленного на другую компьютерную систему. Злоумышленник может располагаться где угодно в радиусе действия беспроводной сети. Посредством атак изнутри злоумышленник может обходить стороной механизмы защиты большей части организаций, те механизмы, которые использовались бы для отслеживания действий злоумышленников.
Реализация безопасности беспроводных сетей
Реализация WLAN должна предваряться полной оценкой рисков, связанных с проектом. Необходимо провести изучение потенциальных угроз, выявить любые имеющиеся контрмеры, принять дополнительные меры для снижения рисков.
Безопасность точки доступа
В самом начале реализации проекта необходимо настроить безопасность
точки беспроводного доступа. В идеальном случае точка доступа позволяет указать ключ WEP. Убедитесь, что этот ключ нельзя легко угадать. Хотя такой шаг и не предотвратит взлом ключа, он сделает процесс несанкционированного определения ключа несколько сложнее. Если возможно, используйте MAC-адреса для ограничения набора рабочих станций, которым разрешено подключение. Это усложнит задачу управления проектом, однако данный подход помогает ограничить обнаружение рабочих станций точкой доступа. Убедитесь, если возможно, что точка доступа не осуществляет распространение SSID. Большая часть точек доступа, доступных на рынке, снабжены некоторым интерфейсом управления. Это может быть веб-интерфейс или интерфейс SNMP. По возможности используйте HTTPS для управления точкой доступа и предотвращайте доступ злоумышленника посредством использования высоконадежных паролей. </p>
Последнее, что необходимо принимать в расчет при рассмотрении точек доступа, – их расположение. Помните, что беспроводные сигналы могут распространяться на значительные расстояния. Сигналы могут элементарно доходить до других этажей здания, автомобильной парковки или вовсе за пределы территории предприятия. Попытайтесь разместить точки доступа так, чтобы их диапазон действия как можно меньше выходил за пределы помещения или здания, занимаемого компанией. В организациях редко удается полностью ограничить распространение cигнала таким образом. Однако следует помнить, что данный подход подразумевает максимально возможное ограничение радиуса действия. Если возможно предотвратить доступ постороннего человека во внутреннюю сеть с обычным адаптером беспроводной сети, проходящего по улице за пределами предприятия, то необходимо принять соответствующие меры.
Безопасность передачи данных
Даже, несмотря на серьезные уязвимости, присутствующие в WEP, необходимо использовать этот протокол. Защита WEP может быть преодолена, однако для этого потребуется много усилий, и нет никаких причин для того, чтобы позволять злоумышленнику действовать совершенно свободно. Принимая во внимание, что WEP недостаточно защищает важную информацию, рекомендуется использовать иной тип системы шифрования, помимо WLAN. Следует применять VPN при соединении рабочих
станций WLAN с внутренней сетью. Большая часть VPN-продуктов предусматривает надежные алгоритмы шифрования, в которых отсутствуют недостатки, присущие WEP. Размещать WLAN, лучше всего, в зоне, защищаемой межсетевым экраном или другим устройством контроля доступа, и использовать VPN при соединении с этой системой. Безопасность рабочей
станции. Если злоумышленник хочет проникнуть в сеть WLAN, то будет использовать снифферы для обнаружения других рабочих
станций. Даже если не получится проникнуть во внутренние системы или прослушать информацию, передаваемую в сети, он сможет атаковать другие рабочие станции. Необходимо установить соответствующее антивирусное ПО. Но если риск велик, на рабочих станциях следует применить еще персональные межсетевые экраны.
Заключение
В заключении я бы хотел подытожить всю информацию и дать рекомендации по защите беспроводных сетей. Существует три механизма защиты беспроводной сети: настроить клиент и AP на использование одного (не выбираемого по умолчанию) SSID, разрешить AP связь только с клиентами, MAC-адреса которых известны AP, и настроить клиенты на аутентификацию в AP и шифрование трафика. Большинство AP настраиваются на работу с выбираемым по умолчанию SSID, без ведения списка разрешенных MAC-адресов клиентов и с известным общим ключом для аутентификации и шифрования (или вообще без аутентификации и шифрования). Обычно эти параметры документированы в оперативной справочной системе на Web-узле изготовителя. Благодаря этим параметрам неопытный пользователь может без труда организовать беспроводную сеть и начать работать с ней, но одновременно они упрощают хакерам задачу проникновения в сеть. Положение усугубляется тем, что большинство узлов доступа настроено на широковещательную передачу SSID. Поэтому взломщик может отыскать уязвимые сети по стандартным SSID. Первый шаг к безопасной беспроводной сети — изменить выбираемый по умолчанию SSID узла доступа. Кроме того, следует изменить данный параметр на клиенте, чтобы обеспечить связь с AP. Удобно назначить SSID, имеющий смысл для администратора и пользователей предприятия, но не явно идентифицирующий данную беспроводную сеть среди других SSID, перехватываемых посторонними лицами. Следующий шаг — при возможности блокировать широковещательную передачу SSID узлом доступа. В результате взломщику становится сложнее (хотя возможность такая сохраняется) обнаружить присутствие беспроводной сети и SSID. В некоторых AP отменить широковещательную передачу SSID нельзя. В таких случаях следует максимально увеличить интервал широковещательной передачи. Кроме того, некоторые клиенты могут устанавливать связь только
при условии широковещательной передачи SSID узлом доступа. Таким образом, возможно, придется провести эксперименты с этим параметром, чтобы выбрать режим, подходящий в конкретной ситуации. После этого можно разрешить обращение к узлам доступа только от беспроводных клиентов с известными MAC-адресами. Такая мера едва ли уместна в крупной организации, но на малом предприятии с небольшим числом беспроводных клиентов это надежная дополнительная линия обороны. Взломщикам потребуется выяснить MAC-адреса, которым разрешено подключаться к AP предприятия, и заменить MAC-адрес собственного беспроводного адаптера разрешенным (в некоторых моделях адаптеров MAC-адрес можно изменить).
Выбор параметров аутентификации и шифрования может оказаться самой сложной операцией защиты беспроводной сети. Прежде чем назначить параметры, необходимо провести инвентаризацию узлов доступа и беспроводных адаптеров, чтобы установить поддерживаемые ими протоколы безопасности, особенно если беспроводная сеть уже организована с использованием разнообразного оборудования от различных поставщиков. Некоторые устройства, особенно старые AP и беспроводные адаптеры, могут быть несовместимы с WPA, WPA2 или ключами WEP увеличенной
Длины. Еще одна ситуация, о которой следует помнить, — необходимость ввода пользователями некоторых старых устройств шестнадцатеричного числа, представляющего ключ, а в других старых AP и беспроводных адаптерах требуется ввести фразу-пароль, преобразуемую в ключ. В результате трудно добиться применения одного ключа всем оборудованием. Владельцы подобного оборудования могут использовать такие ресурсы, как WEP Key Generator, для генерации случайных ключей WEP и преобразования фраз-паролей в шестнадцатеричные числа. В целом WEP следует применять лишь в случаях крайней необходимости. Если использование WEP обязательно, стоит выбирать ключи максимальной длины и настроить сеть на режим Open вместо Shared. В режиме Open в сети аутентификация клиентов не выполняется, и установить соединение с узлами доступа может каждый.
Эти подготовительные соединения частично загружают беспроводной канал связи, но злоумышленники, установившие соединение в AP, не смогут продолжать обмен данными, так как не знают ключа шифрования WEP. Можно блокировать даже предварительные соединения, настроив AP на прием соединений только от известных MAC-адресов. В отличие от Open,
в режиме Shared узел доступа использует ключ WEP для аутентификации беспроводных клиентов в процедуре запрос-отклик, и взломщик может расшифровать последовательность и определить ключ шифрования WEP.</p>
Если можно применить WPA, то необходимо выбрать между WPA, WPA2 и WPA-PSK. Главным фактором при выборе WPA или WPA2, с одной стороны, и WPA-PSK — с другой, является возможность развернуть инфраструктуру, необходимую WPA и WPA2 для аутентификации пользователей. Для WPA WPA2 требуется развернуть серверы RADIUS и, возможно, Public Key Infrastructure (PKI). WPA-PSK, как и WEP, работает с общим ключом, известным беспроводному клиенту и AP. WPA-PSK можно смело использовать общий ключ WPA-PSK для аутентификации и шифрования, так как ему не присущ недостаток WEP.
- Президент Российской Федерации (Становление института Президента Российской Федерации)
- Антикризисные возможности реорганизации
- Институт завещания в международном частном наследственном праве
- Виды международного коммерческого арбитража и их правовая характеристика (ПОНЯТИЕ И ЗНАЧЕНИЕ МЕЖДУНАРОДНОГО КОММЕРЧЕСКОГО АРБИТРАЖА)
- Территория в международном праве, ее виды
- Очередность и конкуренция алиментных обязательств
- Конституционные гарантии прав и свобод человека (Дисциплина «Конституционное право»)
- Социология и политика образования
- Основные принципы и механизмы корпоративного управления (Основные принципы и механизмы корпоративного управления)
- Основные принципы и механизмы корпоративного управления (Основные принципы и механизмы корпоративного управления.)
- Модель мотивации Портера-Лоулера (Сущность мотивации)
- ОбЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ В БЕСПРОВОДНЫХ СЕТЯХ