Захист бездротової мережі
Бездротові мережі широко використовуються в компаніях будь-якого масштабу. Завдяки низькій ціні та простоті розгортання бездротові мережі можуть мати перевагу перед провідними на малих та середніх підприємствах. У великих установах бездротові мережі забезпечують мережеві з'єднання, необхідних ділового спілкування працівників у робочих приміщеннях чи кімнатах відпочинку.
Щоб скористатися перевагами бездротових мереж, їх необхідно захистити. Незахищені бездротові мережі відкривають практично необмежений доступ до корпоративної мережі для хакерів та інших зловмисників, які нерідко прагнуть отримати безкоштовний доступ в Internet. У великих установах іноді існують несанкціоновані бездротові мережі - члени робочих груп або кінцеві користувачі іноді ігнорують корпоративну політику і встановлюють точки доступу (Access Points, AP), і це велику небезпеку для підприємства. Досвідчені спамери та шахраї використовують незахищені бездротові мережі для масового розсилання повідомлень електронної пошти. Вони роз'їжджають містами та промисловими зонами у пошуках вразливих бездротових мереж, а коли знаходять, налаштовують свої мобільні комп'ютери для підключення до мережі, отримують через DHCP дійсну IP-адресу, DNS та стандартну інформацію про шлюз, а потім передають свої повідомлення. Користувачам таких продуктів, як NetStumbler, або вбудованого інструментарію управління бездротовою мережею, що є в більшості ноутбуків і PDA, ймовірно, доводилося виявляти незахищені бездротові мережі у своїх житлових районах, по сусідству або всередині свого підприємства.
Власники незахищених мереж мають бути готові і до зниження пропускної спроможності Internet-з'єднання, і до проникнення вірусів і хробаків, і навіть до несення кримінальної чи цивільної відповідальності за використання незахищених мереж для здійснення атак проти третіх осіб. У цій статті розглядаються практичні заходи, які можна вжити для захисту бездротових мереж, методи автоматизованого розгортання параметрів та інструменти для аналізу незахищених та неавторизованих бездротових мереж.
Основи бездротових мереж
Перш ніж приступати до захисту бездротової мережі, необхідно зрозуміти основні принципи організації. Як правило, бездротові мережі складаються з вузлів доступу та клієнтів із бездротовими адаптерами. Вузли доступу та бездротові адаптери оснащуються приймачами для обміну даними один з одним. Кожному AP та бездротовому адаптеру призначається 48-розрядна адреса MAC, яка функціонально еквівалентна адресі Ethernet. Вузли доступу пов'язують бездротові та дротові мережі, забезпечуючи бездротовим клієнтам доступ до дротових мереж. Зв'язок між бездротовими клієнтами в однорангових мережах можливий без AP, але цей метод рідко застосовується в установах. Кожна бездротова мережа ідентифікується призначеним адміністратором ідентифікатором SSID (Service Set Identifier). Зв'язок бездротових клієнтів з AP можливий, якщо вони розпізнають SSID вузла доступу. Якщо в бездротовій мережі є кілька вузлів доступу з одним SSID (і однаковими параметрами аутентифікації та шифрування), то можливе перемикання між ними бездротових мобільних клієнтів.
Найбільш поширені бездротові стандарти - 802.11 та його удосконалені варіанти. У специфікації 802.11 визначено характеристики мережі, що працює зі швидкостями до 2 Мбіт/с. У вдосконалених випадках передбачені вищі швидкості. Перший, 802.11b, поширений найбільш широко, але швидко замінюється стандартом 802.11g. Бездротові мережі 802.11b працюють у 2,4-ГГц діапазоні та забезпечують швидкість передачі даних до 11 Мбіт/с. Удосконалений варіант 802.11a був ратифікований раніше, ніж 802.11b, але з'явився на ринку пізніше. Пристрої цього стандарту працюють у діапазоні 5,8 ГГц із типовою швидкістю 54 Мбіт/с, але деякі постачальники пропонують вищі швидкості, до 108 Мбіт/с, у турборежимі. Третій, удосконалений варіант, 802.11g, працює в діапазоні 2,4 ГГц, як і 802.11b, зі стандартною швидкістю 54 Мбіт/с та з більш високою (до 108 Мбіт/с) у турборежимі. Більшість бездротових мереж 802.11g здатні працювати з клієнтами 802.11b завдяки зворотній сумісності, закладеній у стандарті 802.11g, але практична сумісність залежить від конкретної реалізації постачальника. Основна частина сучасного бездротового обладнання підтримує два або більше варіантів 802.11. Новий бездротовий стандарт, 802.16, іменований WiMAX, проектується з метою забезпечити бездротовий доступ для підприємств і житлових будинків через станції, аналогічні станціям стільникового зв'язку. Ця технологія у цій статті не розглядається.
Реальна дальність зв'язку AP залежить від багатьох факторів, у тому числі варіанта 802.11 та робочої частоти обладнання, виробника, потужності, антени, зовнішніх та внутрішніх стін та особливостей топології мережі. Однак бездротовий адаптер з вузькоспрямованою антеною з великим коефіцієнтом посилення може забезпечити зв'язок з AP та бездротовою мережею на значній відстані приблизно до півтора кілометра в залежності від умов.
Через загальнодоступний характер радіоспектру виникають унікальні проблеми з безпекою, які відсутні у провідних мережах. Наприклад, щоб підслуховувати повідомлення в проводовій мережі, необхідний фізичний доступ до такого мережного компонента, як точка підключення пристрою до локальної мережі, комутатор, маршрутизатор, брандмауер або хост-комп'ютер. Для бездротової мережі потрібен лише приймач, такий як стандартний сканер частот. Через відкритість бездротових мереж розробники стандарту підготували специфікацію Wired Equivalent Privacy (WEP), але зробили її необов'язковим. У WEP застосовується спільний ключ, відомий бездротовим клієнтам та вузлам доступу, з якими обмінюються інформацією. Ключ можна використовувати як автентифікації, так шифрування. У WEP застосовується алгоритм шифрування RC4. 64-розрядний ключ складається з 40 розрядів, що визначаються користувачем, та 24-розрядного вектора ініціалізації. Намагаючись підвищити безпеку бездротових мереж, деякі виробники обладнання розробили розширені алгоритми з 128-розрядними та довшими ключами WEP, що складаються з 104-розрядної та довшої користувальницької частини та вектора ініціалізації. WEP застосовується з 802.11a, 802.11b- та 802.11g-сумісним обладнанням. Однак, незважаючи на збільшену довжину ключа, вади WEP (зокрема слабкі механізми аутентифікації та ключі шифрування, які можна розкрити методами криптоаналізу) добре документовані, і сьогодні WEP не вважається надійним алгоритмом.
У відповідь на недоліки WEP галузева асоціація Wi-Fi Alliance, що налічує понад 200 членів, серед яких Apple Computer, Cisco Systems, Dell, IBM та Microsoft, вирішила розробити стандарт Wi-Fi Protected Access (WPA). WPA перевершує WEP завдяки доданню протоколу TKIP (Temporal Key Integrity Protocol) та надійному механізму автентифікації на базі 802.1x та протоколу EAP (Extensible Authentication Protocol). Передбачалося, що WPA стане робочим стандартом, який можна буде уявити для схвалення комітету IEEE як розширення стандартів 802.11. Розширення, 802.11i, було ратифіковано в 2004 р., а WPA оновлено до WPA2 з метою сумісності з Advanced Encryption Standard (AES) замість WEP та TKIP. WPA2 назад сумісний і може застосовуватися разом із WPA. WPA був призначений для мереж підприємств з інфраструктурою аутентифікації RADIUS (Remote Authentication Dial-In User Service - служба дистанційної аутентифікації користувачів по лініях, що комутуються), але версія WPA, іменована WPA Pre-Shared Key (WPAPSK), отримала підтримку деяких виробників і готується до застосування на невеликих підприємствах. Як і WEP, WPAPSK працює із загальним ключем, але WPAPSK надійніший за WEP.
У багатьох складається невірне уявлення про 802.1x. Стандарт використовується для керування доступом до портів у комутаторах дротових мереж та вузлів доступу до AP бездротових мереж. У 802.1x не заданий метод аутентифікації (наприклад, можна використовувати версію 3 специфікації X.509 або Kerberos) і немає механізму шифрування або обов'язкової вимоги шифрувати дані.
Три кроки до безпеки
Існує три механізми захисту бездротової мережі: налаштувати клієнт та AP на використання одного (не вибирається за замовчуванням) SSID, дозволити AP зв'язок тільки з клієнтами, MAC-адреси яких відомі AP, та налаштувати клієнти на аутентифікацію в AP та шифрування трафіку. Більшість AP налаштовуються на роботу з SSID, що вибирається за замовчуванням, без ведення списку дозволених MAC-адрес клієнтів і з відомим загальним ключем для аутентифікації та шифрування (або взагалі без аутентифікації та шифрування). Зазвичай, ці параметри документовані в оперативній довідковій системі на Web-вузлі виробника. Завдяки цим параметрам недосвідчений користувач може легко організувати бездротову мережу і почати працювати з нею, але одночасно вони спрощують хакерам завдання проникнення в мережу. Положення посилюється тим, що більшість вузлів доступу настроєно на широкомовну передачу SSID. Тому зломщик може знайти вразливі мережі за стандартним SSID.
Перший крок до безпечної бездротової мережі - змінити SSID вузла доступу, що вибирається за замовчуванням. Крім того, слід змінити цей параметр на клієнта, щоб забезпечити зв'язок з AP. Зручно призначити SSID, що має сенс для адміністратора та користувачів підприємства, але не явно ідентифікує бездротову мережу серед інших SSID, перехоплюваних сторонніми особами.
Наступний крок – при можливості блокувати широкомовну передачу SSID вузлом доступу. В результаті зломщику стає складніше (хоча така можливість зберігається) виявити присутність бездротової мережі та SSID. У деяких AP скасувати широкомовну передачу SSID не можна. У разі слід максимально збільшити інтервал широкомовної передачі. Крім того, деякі клієнти можуть встановлювати зв'язок лише за умови широкомовної передачі SSID вузлом доступу. Таким чином, можливо, доведеться провести експерименти з цим параметром, щоб вибрати режим, який підходить у конкретній ситуації.
Після цього можна дозволити доступ до вузлів доступу лише від бездротових клієнтів з відомими MAC-адресами. Така міра навряд чи доречна у великій організації, але на малому підприємстві з невеликою кількістю бездротових клієнтів це надійна додаткова лінія оборони. Зломникам потрібно з'ясувати MAC-адреси, яким дозволено підключатися до AP підприємства, та замінити MAC-адресу власного бездротового адаптера дозволеним (у деяких моделях адаптерів MAC-адресу можна змінити).
Вибір параметрів аутентифікації та шифрування може бути найскладнішою операцією захисту бездротової мережі. Перш ніж призначити параметри, необхідно провести інвентаризацію вузлів доступу та бездротових адаптерів, щоб встановити протоколи безпеки, що підтримуються ними, особливо якщо бездротова мережа вже організована з використанням різноманітного обладнання від різних постачальників. Деякі пристрої, особливо старі AP та бездротові адаптери, можуть бути несумісними з WPA, WPA2 або ключами WEP збільшеної довжини.
Ще одна ситуація, про яку слід пам'ятати, - необхідність введення користувачами деяких старих пристроїв шістнадцяткового числа, що представляє ключ, а в інших старих AP та бездротових адаптерах потрібно ввести фразу-пароль, що перетворюється на ключ. В результаті важко досягти застосування одного ключа всім обладнанням. Власники такого обладнання можуть використовувати такі ресурси, як WEP Key Generator (), для генерації випадкових ключів WEP та перетворення фраз-паролей у шістнадцяткові числа.
В цілому, WEP слід застосовувати лише у випадках крайньої необхідності. Якщо використання WEP обов'язково, варто вибирати ключі максимальної довжини та настроїти мережу на режим Open замість Shared. У режимі Open у мережі автентифікація клієнтів не виконується, і встановити з'єднання з вузлами доступу може кожен. Ці підготовчі з'єднання частково завантажують бездротовий канал зв'язку, але зловмисники, які встановили з'єднання AP, не зможуть продовжувати обмін даними, оскільки не знають ключа шифрування WEP. Можна навіть блокувати попередні з'єднання, налаштувавши AP на прийом з'єднань тільки від відомих MAC-адрес. На відміну від Open, у режимі Shared вузол доступу використовує ключ WEP для автентифікації бездротових клієнтів у процедурі запит-відгук, і зломщик може розшифрувати послідовність та визначити ключ шифрування WEP.
Якщо можна застосувати WPA, необхідно вибрати між WPA, WPA2 і WPA-PSK. Головним фактором при виборі WPA або WPA2, з одного боку, та WPA-PSK - з іншого, є можливість розгорнути інфраструктуру, необхідну WPA та WPA2 для автентифікації користувачів. Для WPA та WPA2 потрібно розвернути сервери RADIUS і, можливо, Public Key Infrastructure (PKI). WPA-PSK, як і WEP, працює із загальним ключем, відомим бездротовому клієнту та AP. WPA-PSK можна сміливо використовувати загальний ключ WPA-PSK для аутентифікації та шифрування, тому що йому не притаманний недолік WEP (можливість дізнатися ключ шифрування методом криптоаналізу процедури аутентифікації).
Природно, у вузлах доступу різних постачальників застосовуються свої інтерфейси і методи налаштування конфігурації, тому неможливо уявити єдиний список докладних інструкцій для всіх пристроїв. Але наведена вище інформація буде корисною при налаштуванні вузлів доступу.
Налаштування клієнта Windows
Windows Server 2003 та Windows XP полегшують налаштування клієнта для роботи у бездротових мережах, особливо у мережах з WEP. Компанія Microsoft організувала службу Wireless Zero Configuration у XP і назвала її Wireless Configuration service у Windows 2003. Запущена служба виконує моніторинг бездротових адаптерів для прийому широкомовних посилок SSID від вузлів доступу. Якщо прийнята широкомовна передача відомого SSID і є достатньо інформації для конфігурації, Windows автоматично підключається до мережі (якщо налаштована на з'єднання). Служба бездротового налаштування видає стандартне діалогове вікно для налаштування параметрів бездротової мережі незалежно від встановленого бездротового адаптера. На жаль, служба не працює з усіма бездротовими адаптерами; якщо вона не працює з конкретною платою, необхідно блокувати її і використовувати драйвер і інструментальний комплект для налаштування, що поставляється разом з мережним адаптером.
Щоб використати службу налаштування, слід відкрити утиліту Network Connections на панелі керування, клацнути правою кнопкою миші на значку бездротового адаптера, вибрати пункт Properties і перейти до вкладки Wireless Networks. Необхідно переконатися, що режим Use Windows для configure my wireless network settings активізовано, і клацнути на кнопці Add, щоб налаштувати бездротову мережу. На екрані 1 відображається діалогове вікно для введення параметрів бездротової мережі. Потім слід ввести SSID для бездротової мережі, з якою потрібно встановити з'єднання, вибрати метод Network Authentication. Якщо вибрати Open або Shared, то поле Data encryption можна вказати одне з значень - WEP або Disabled. Якщо вибрано WPA або WPA-PSK, можна використовувати алгоритми шифрування TKIP або AES.
| Екран 1. Налаштування бездротової установки в XP |
У разі використання WPA або WPA-PSK для аутентифікації або шифрування можна ввести ключ аутентифікації або шифрування (щоб активізувати поле Network key та поле Confirm network key, потрібно скасувати режим The key is provided for me automatically). Якщо існує більше одного ключа, слід вибрати номер ключа або індекс. У деяких вузлах доступу та бездротових адаптерах можна зберігати та використовувати до чотирьох ключів з метою підвищення гнучкості. Наприклад, ключі можна змінювати щотижня, вручну вибираючи ключ зі списку кожного понеділка вранці.
Виявлення несанкціонованих вузлів доступу
Як зазначалося вище, хибні вузли доступу можуть становити величезну небезпеку для підприємства. Але через переваги і простоту установки AP (особливо якщо використовуються параметри, що вибираються за умовчанням) дуже ймовірно, що хтось одного разу встановить вузол доступу в мережі підприємства.
Знайти несанкціоновані вузли доступу може бути складно, але це необхідно для надійного захисту. У Windows 2003 з'явилося нове оснащення консолі Microsoft Management Console (MMC), зване Wireless Network Monitor, за допомогою якого можна протоколювати активність мережних клієнтів та знаходити вузли доступу. Проте встановлювати Windows 2003 в ноутбуках тільки задля оснащення MMC незручно, дорого і взагалі необов'язково. Більшість ноутбуків і PDA з вбудованими бездротовими адаптерами мають інструментарій, придатний для пошуку несанкціонованих AP.
Якщо ноутбук або PDA поставляються без такого інструменту або необхідні передові функції, наприклад GPS (глобальна система позиціонування у поєднанні з двонаправленою антеною та компасом дозволяє обчислити методом тріангуляції місцезнаходження несанкціонованого AP), то кращим може бути такий безкоштовний інструмент, як NetStumbler. За адресою можна отримати дві версії: одну для Windows 2000 та пізніших версій та одну для пристроїв на базі Windows CE, яку називають MiniStumbler. На екрані 2 показано NetStumbler, який працює на ноутбуці Dell з пакетом XP Service Pack 2 (SP2) і Dell TrueMobile 1400, одним з багатьох бездротових адаптерів, сумісних з NetStumbler.
За допомогою NetStumbler можна виявити несанкціоновані AP, просто запустивши програму на портативному комп'ютері та пройшовши територією підприємства з ноутбуком. Виявлені вузли доступу відображаються на екрані. Таким чином можна отримати інформацію про MAC-адресу вузла доступу, прослуховуваний канал, шифрування та постачальника. Крім того, NetStumbler показує відношення сигнал-шум для радіосигналу. Чим вище число, тим менша відстань до AP.
Перш ніж вдасться виявити несанкціоновані вузли доступу, необхідно з'ясувати MAC-адресу та SSID кожного законно встановленого AP на підприємстві. Розгортаючи вузли доступу, слід записувати їх MAC-адреси, SSID та розташування. Роблячи обхід із NetStumbler, слід шукати вузли доступу з незнайомими SSID та невідомими MAC-адресами. Виявивши незаконні пристрої, слід записати їх місцезнаходження, потім пройти в різних напрямках і відзначити напрямок, в якому показник SNR збільшується. Якщо продовжувати йти в цю сторону, рано чи пізно буде виявлено AP або, принаймні, окреслено приблизну область її місцезнаходження для більш повного дослідження в майбутньому. Слід враховувати, що AP може бути на підлозі або на стелі.
Особливо важливо відзначити, що досвідчений хакер може встановити AP з таким же SSID, який є в мережі, сподіваючись застати зненацька нічого не підозрюваних користувачів. Підключившись до несанкціонованого AP, користувачі намагатимуться звернутися до мережевих ресурсів, таких як поштовий сервер та програми, розміщені у Web. Їм не вдасться отримати доступ до ресурсів через AP зломщика, але поки це з'ясується, вони можуть розкрити свої паролі та імена. Слід навчити співробітників служби підтримки відслідковувати виклики, пов'язані з проблемами бездротової мережі, які можуть свідчити про незаконні вузли доступу, та попросити користувачів повідомляти про їхнє місцезнаходження. По сигналах, що надходять, слід проводити розслідування з використанням NetStumbler або інших інструментів і перевіряти MAC-адреси всіх AP в цьому районі, щоб переконатися в законності їх установки.
Додаткову інформацію про захист бездротової мережі для підприємств будь-яких розмірів і навіть домашніх користувачів можна отримати у чудовій книзі Джозефа Девіса Deploying Secure 802.11 Wireless Networks with Microsoft Windows (видавництво Microsoft Press, 2003). За адресою можна отримати відомості про книгу та про те, як її придбати, а також знайти посилання на додаткові матеріали. Відмінний оперативний ресурс -. Ця сторінка знаходиться в розділі Windows 2003 Web-вузла Microsoft, але в ній є посилання на інформацію для XP.
Бездротові мережі зручніші за провідні, але вони також можуть бути вразливими для хакерів та шкідливих програм (наприклад, хробаків). Оскільки бездротові мережі використовують радіохвилі, які можуть проходити крізь стіни, сигнал може вийти за межі будинку.
Якщо не намагатися захистити мережу, користувачі комп'ютерів, неподалік, зможуть отримати доступ до даних, що зберігаються на комп'ютерах мережі, та користуватися вашим підключенням до Інтернету. За допомогою налаштування ключа безпеки бездротової мережі можна захистити від несанкціонованого доступу.
Способи захисту бездротової мережі
Бездротову мережу слід настроїти таким чином, щоб лише вибрані користувачі мали доступ до неї.
Нижче наведено кілька параметрів безпеки бездротової мережі:
Технологія захищеного доступу Wi-Fi (WPA та WPA2)
Технологія захищеного доступу Wi-Fiшифрує інформацію та перевіряє, чи не змінено мережевий ключ безпеки. Крім того, технологія захищеного доступу Wi-Fi виконує аутентифікацію користувачів, щоб забезпечити доступ до мережі лише авторизованим користувачам.
Існує два типи аутентифікації WPA: WPA та WPA2.
Тип WPAпризначений для роботи з усіма бездротовими мережевими адаптерами, але він не сумісний із старішими маршрутизаторами або точками доступу. Тип WPA2безпечніший за тип WPA, але він несумісний з деякими старими мережевими адаптерами.
Технологія WPA призначена для використання із сервером аутентифікації 802.1х, який створює різні ключі для кожного користувача. Тоді вона називається WPA-Enterprise або WPA2-Enterprise. Вона може також використовуватися в режимі попередньо встановленого загального ключа (PSK), коли кожен користувач отримує однакову ідентифікаційну фразу. Тоді це називається WPA-Personal або WPA2-Personal.
Протокол Wired Equivalent Privacy (WEP)
WEP як старий метод безпеки мережі, як і раніше доступний для підтримки старих пристроїв, більше використовувати не рекомендується. При увімкненні протоколу WEP встановлюється ключ безпеки. Цей ключ шифрування, які надсилаються через мережу з одного комп'ютера на інший. Однак безпека WEP відносно легко зламати.
Увага!Рекомендовано використовувати WPA2. Не рекомендується використовувати WEP. WPA або WPA2 безпечніше. Якщо під час спроби запуску WPA або WPA2 вони не працюють, рекомендується оновити мережний адаптер для роботи з одним із працюючих технологій WPA або WPA2.
Аутентифікація 802.1х
Аутентифікація 802.1хможе підвищити рівень захисту бездротових мереж стандарту 802.11 та мереж Ethernet. Аутентифікація 802.1х використовує сервер аутентифікації для перевірки користувачів та надання дозволу на доступ до мережі. У бездротових мережах 802.1х можна використовувати з ключами WPA, WPA2 або WEP. Цей тип автентифікації зазвичай використовується для підключення до мережі на робочому місці.
Отже, ви купили бездротовий адаптер, підключили його до мережі, налаштували підключення до інтернету – і у вас настала повна бездротова свобода. Тепер для доступу в мережу не потрібно підключати кабель, достатньо лише бути в зоні покриття бездротової мережі – а це набагато простіше та зручніше. Однак це просто та зручно не тільки для вас. Адже, на відміну від провідних мереж, для того, щоб зламати бездротові мережі, достатньо опинитися в зоні їхньої дії, яка може поширюватися за межі будівель.
Не варто думати, що вам нічого боятися в тому випадку, якщо ви встановили бездротову мережу будинку. Звичайно, навряд чи на вашому домашньому комп'ютері зберігатиметься якась конфіденційна інформація (хоча може бути і таке), і найбільше, на що може розраховувати зловмисник – це ваш особистий фотоархів та добірка улюбленої музики. Проте головна небезпека злому домашніх бездротових мереж не в цьому. Зазвичай предметом інтересу хакерів стає ваш доступ до інтернету.
Якщо ви платите за інтернет залежно від споживаного трафіку, таке несанкціоноване підключення може призвести до зайвих витрат. Щасливі власники безлімітних тарифів теж не можуть почуватися спокійно, звичайно, якщо їх доступом до інтернету почне користуватися хтось ще, вони фінансово не постраждають. Але при цьому є небезпека того, що швидкість вашого з'єднання впаде – це особливо актуально, якщо любитель халяви не скромничатиме і почне використовувати піринг через ваш канал на повну котушку.
Ну а говорити про необхідність захисту бездротових мереж на підприємстві не доводиться – робота сучасної організації часто настільки залежить від ІТ-інфраструктури, що збої та порушення захисту локальних мереж можуть повністю зруйнувати ефективну діяльність.
Шифрування
Шифрування – це один із найбільш очевидних способів захисту бездротової мережі. Теоретично все просто – для того, щоб пристрій зміг підключитися до бездротової мережі, вони повинні тим чи іншим способом підтвердити своє право за допомогою аутентифікації. Таким чином, для захисту інформації в комп'ютерних мережах достатньо обмежити доступ до мережі за допомогою паролів або інших засобів аутентифікації.
Історично першим у такий спосіб захисту бездротових мереж стало шифрування алгоритмом WEP. Якийсь час тому алгоритм надавав досить надійний захист бездротових мереж, однак у 2001 році криптоаналітиками було проведено кілька досліджень, які звертали увагу на певні вразливості цього алгоритму, через які захищене цим алгоритмом з'єднання зламується протягом декількох хвилин. Незважаючи на те, що таке шифрування краще, ніж передача даних по прямому незашифрованому з'єднанню, в якості захисту бездротових мереж від хакерів бездротових мереж воно не підходить. Незважаючи на це, досі існує велика кількість бездротових мереж, захищених саме цим алгоритмом. Це з тим, що застаріле обладнання не підтримує сучасні засоби захисту у комп'ютерних мережах. Однак, незважаючи на помилки реалізації одного способу шифрування, цей підхід до захисту інформації в мережах є досить ефективним. Тому за WEP з'явився інший алгоритм, позбавлений недоліків свого попередника – WPA.
Крім усунення помилок в алгоритмі шифрування, цей спосіб захисту застосовував новий розширений протокол автентифікації EAP, тимчасовий протокол цілісності ключа TKIP та механізм перевірки цілісності MIC-повідомлень. Здавалося б, цей значний набір технологій повинен забезпечувати високий рівень захисту комп'ютерних мереж. Однак нещодавно, в 2009 році були представлені докази того, що будь-яке з'єднання, захищене цим протоколом, може бути зламана (причому, при вдалих поєднаннях налаштувань, подолання захисту комп'ютерних мереж займає близько 1 хвилини). Втім, шифрування як метод захисту бездротових мереж не збирається здавати свої позиції. У 2004 році, задовго до того, як WPA виявився скомпрометований, було розроблено новий протокол WPA 2. Основна відмінність від WPA – це зміна принципово вразливого способу шифрування RC4 на більш стійкий алгоритм AES. На даний момент немає повідомлень про те, що такий захист комп'ютерних мереж може бути зламаний.
Однак серйозним каменем спотикання повного впровадження такого сучасного та стійкого до способів обходу захисту бездротових мереж від хакерів бездротових мереж, як WPA2 є його підтримка з боку клієнтських пристроїв. Немає проблем, якщо ви розгортаєте мережу з нуля – всі сучасні пристрої, випущені після 2006 року, підтримують цей спосіб захисту інформації в мережах. Однак, якщо у вас є бездротові пристрої, які ви хотіли б використовувати в бездротових мережах, і вони не підтримують WPA2, то не варто забувати, що шифрування - це не єдиний ефективний спосіб захисту комп'ютерних мереж.
Фільтрування за MAC-адресами
Досить ефективний спосіб захисту локальних мереж, як фільтрація доступу по MAC-адресах. MAC-адреса – це унікальний номер мережного інтерфейсу (мережевої карти). Таким чином, знаючи заздалегідь MAC-адреси довірених пристроїв, можна налаштувати захист бездротової мережі. Однак, оскільки на сучасному мережному обладнанні можна змінювати заводську MAC-адресу, цей спосіб захисту інформації в мережі може виявитися неефективним. Адже якщо зловмисник якимось чином отримає доступ до довіреного пристрою, він може скопіювати його MAC-адресу, і надалі використовувати його для проникнення в мережу з будь-якого іншого пристрою (якщо воно, звичайно, підтримує зміну MAC-адреси). Тим не менш, цей спосіб можна використовувати в додатку з іншими, тим самим посилити захист бездротової мережі.
Приховування SSID
Для того, щоб щось зламати, це треба побачити або принаймні знати про його існування. І якщо для захисту локальної мережі такий спосіб погано підходить (спробуйте сховати дроти), то для захисту бездротових мереж це досить гарний вихід. Справа в тому, що за промовчанням точка доступу постійно транслює свій SSID – ідентифікатор бездротової мережі. Саме цей ідентифікатор помічає мережну картку вашого ноутбука або комунікатора, коли на ньому з'являється повідомлення про те, що виявлено нову бездротову мережу. Незважаючи на те, що скасування трансляції SSID не робить виявлення мереж у принципі неможливим, зловмиснику буде важче її виявити і ще важче підключитися до такої мережі. Втім, такий спосіб захисту інформації в мережах має певні недоліки: при підключенні нових пристроїв до існуючої бездротової мережі потрібно ввести назву мережі вручну.
Взагалі такий спосіб захисту інформації, як VPN, був придуманий не стільки для захисту бездротових мереж, скільки для того, щоб організовувати захищене підключення до віддаленої локальної мережі через інтернет. Однак ця технологія чудово працює у бездротових мережах і відмінно підходить для захисту локальних мереж. У цьому випадку сама бездротова мережа може бути повністю позбавлена іншого захисту, проте при цьому в ній не буде відкритих ресурсів – усі вразливі ресурси знаходяться у віртуальній мережі, єдиний інтерфейс у якій доступний лише через бездротову мережу. Сучасні алгоритми шифрування забезпечують високу стійкість такого з'єднання та надійний захист інформації у комп'ютерних мережах.
Тема захисту бездротових мереж досить велика, проте загальні правила захисту в мережах загалом однакові. Якщо ви хочете отримати по-справжньому стійкий до злому захист комп'ютерних мереж, краще комбінувати кілька способів захисту.
Поєднання багатошарової системи захисту локальної мережі (найпросунутіший варіант шифрування, приховування SSID, фільтрація MAC-адрес і передача даних по VPN) дозволить отримати ефективний захист інформації в комп'ютерних мережах. Однак, у гонитві за ефективністю постарайтеся дотримуватися балансу між надійністю захисту та зручністю використання – адже чим більше у вашій бездротовій мережі буде різних перевірок та перешкод, тим складніше їй буде користуватися. Тому, замислюючись про захист локальної мережі, подумайте про ймовірність атаки хакера на вашу мережу - не варто перевантажувати мережу невиправданими заходами захисту, це може негативно позначитися на продуктивності і призвести до втрат пропускної здатності.
Несанкціонований доступ – читання, оновлення або руйнування інформації за відсутності відповідних повноважень.
Несанкціонований доступ здійснюється, як правило, з використанням чужого імені, зміною фізичних адрес пристроїв, використанням інформації, що залишилася після вирішення завдань, модифікацією програмного та інформаційного забезпечення, розкраданням носія інформації, установкою апаратури запису.
Для успішного захисту інформації користувач повинен мати чітке уявлення про можливі шляхи несанкціонованого доступу. Основні типові шляхи несанкціонованого одержання інформації:
· Викрадення носіїв інформації та виробничих відходів;
· Копіювання носіїв інформації з подолання заходів захисту;
· маскування під зареєстрованого користувача;
· Містифікація (маскування під запити системи);
· Використання недоліків операційних систем та мов програмування;
· Використання програмних закладок та програмних блоків типу "троянський кінь";
· Перехоплення електронних випромінювань;
· Перехоплення акустичних випромінювань;
· Дистанційне фотографування;
· Застосування підслуховуючих пристроїв;
· зловмисне виведення з ладу механізмів захисту і т.д.
Для захисту інформації від несанкціонованого доступу застосовуються:
1) організаційні заходи;
2) технічні засоби;
3) програмні засоби;
4) шифрування.
Організаційні заходи включають:
· пропускний режим;
· зберігання носіїв та пристроїв у сейфі (дискети, монітор, клавіатура тощо);
· обмеження доступу осіб до комп'ютерних приміщень тощо.
Технічні засоби включають:
· Фільтри, екрани на апаратуру;
· Ключ для блокування клавіатури;
· Пристрої аутентифікації – для читання відбитків пальців, форми руки, райдужної оболонки ока, швидкості та прийомів друку тощо;
· Електронні ключі на мікросхемах і т.д.
Програмні засоби включають:
· парольний доступ - завдання повноважень користувача;
· блокування екрана та клавіатури за допомогою комбінації клавіш в утиліті Diskreet з пакета Norton Utilites;
· Використання засобів парольного захисту BIOS - на сам BIOS і на ПК в цілому і т.д.
Шифрування – це перетворення (кодування) відкритої інформації на зашифровану, не доступну розуміння сторонніх. Методи шифрування та розшифровування повідомлення вивчає наука криптологія, історія якої налічує близько чотирьох тисяч років.
2.5. Захист інформації у бездротових мережах
Неймовірно швидкі темпи впровадження в сучасних мережах бездротових рішень змушують замислитися над надійністю захисту даних.
Сам принцип бездротової передачі даних містить у собі можливість несанкціонованих підключень до точок доступу.
Не менш небезпечна загроза – ймовірність розкрадання обладнання. Якщо політика безпеки бездротової мережі побудована на МАС-адресах, то мережна карта або точка доступу, вкрадена зловмисником, може відкрити доступ до мережі.
Часто несанкціоноване підключення точок доступу до ЛОМ виконується самими працівниками підприємства, які не замислюються про захист.
Вирішенням таких проблем потрібно займатися комплексно. Організаційні заходи вибираються з умов роботи кожної конкретної мережі. Що ж до заходів технічного характеру, то дуже хороший результат досягається при використанні обов'язкової взаємної автентифікації пристроїв та запровадження активних засобів контролю.
У 2001 році з'явилися перші реалізації драйверів та програм, що дозволяють впоратися із шифруванням WEP. Найуспішніший - PreShared Key. Але і він хороший тільки при надійній шифрації та регулярній заміні якісних паролів (рис.1).
Рисунок 1 – Алгоритм аналізу зашифрованих даних
Сучасні вимоги до захисту
Аутентифікація
В даний час у різному мережному обладнанні, у тому числі в бездротових пристроях, широко застосовується сучасніший спосіб аутентифікації, який визначений у стандарті 802.1х - доки не буде проведена взаємна перевірка, користувач не може приймати, ні передавати жодних даних.
Ряд розробників використовують для аутентифікації у своїх пристроях протоколи EAP-TLS та PEAP, Cisco Systems, пропонує для своїх бездротових мереж, окрім згаданих, такі протоколи: EAP-TLS, РЕАР, LEAP, EAP-FAST.
Усі сучасні методи автентифікації мають на увазі підтримку динамічних ключів.
Головний недолік LEAP та EAP-FAST – ці протоколи підтримуються в основному в обладнанні Cisco Systems (рис. 2).
Рисунок 2 - Структура пакета 802.11x при використанні TKIP-PPK, MIC та шифрації WEP.
Шифрування та цілісність
На підставі рекомендацій 802.11i Cisco Systems реалізовано протокол ТКIР (Temporal Integrity Protocol), що забезпечує зміну ключа шифрування РРК (Per Packet Keying) у кожному пакеті та контроль цілісності повідомлень MIC (Message Integrity Check).
Інший перспективний протокол шифрування та забезпечення цілісності – AES (Advanced Encryption Standart). Він має кращу криптостійкість порівняно DES і ГОСТ 28147-89. Він забезпечує і шифрацію, і цілісність.
Зауважимо, що алгоритм (Rijndael), що використовується в ньому, не вимагає великих ресурсів ні при реалізації, ні при роботі, що дуже важливо для зменшення часу затримки даних і навантаження на процесор.
Стандарт забезпечення безпеки у бездротових локальних мережах – 802,11i.
Стандарт Wi-Fi Protected Access (WPA) – це набір правил, що забезпечують реалізацію захисту даних у мережах 802.11х. Починаючи з серпня 2003 року, відповідність стандартам WPA є обов'язковою вимогою до обладнання, що сертифікується на звання Wi-Fi Certified.
Специфікація WPA містить змінений протокол TKOP-PPK. Шифрування проводиться на поєднанні кількох ключів - поточного та наступного. У цьому довжина IV збільшена до 48 біт. Це дає можливість реалізувати додаткові заходи захисту інформації, наприклад посилити вимоги до реасоціацій, реаутентифікацій.
Специфікації передбачають і підтримку 802.1х/EAP, і автентифікацію з ключем, що розділяється, і, безсумнівно, управління ключами.
Таблиця 3 – Способи реалізації політики безпеки
|
Показник | ||||
|
Підтримка сучасних ОС | ||||
|
Складність ПЗ та ресурсомісткість аутентифікації | ||||
|
Складність управління | ||||
|
Single Sign on (єдиний логін у Windows) | ||||
|
Динамічні ключі | ||||
|
Одноразові паролі | ||||
Продовження таблиці 3
За умови використання сучасного обладнання та ПЗ в даний час цілком можливо побудувати на базі стандартів серії 802.11х захищену та стійку до атак бездротову мережу.
Майже завжди бездротова мережа пов'язана з провідною, а це, крім необхідності захищати бездротові канали, необхідно забезпечувати захист у провідних мережах. Інакше мережа матиме фрагментарний захист, що є загрозою безпеці. Бажано використовувати обладнання, що має сертифікат Wi-Fi Certified, тобто підтверджує відповідність WPA.
Потрібно впроваджувати 802.11х/EAP/TKIP/MIC та динамічне управління ключами. У разі змішаної мережі слід використовувати віртуальні локальні мережі; за наявності зовнішніх антен застосовується технологія віртуальних приватних мереж VPN.
Необхідно поєднувати як протокольні та програмні засоби захисту, так і адміністративні.
Пароль та фільтрація за MAC-адресою повинні захистити вас від злому. Насправді безпека більшою мірою залежить від вашої обачності. Невідповідні методи захисту, нехитрий пароль та легковажне ставлення до сторонніх користувачів у домашній мережі дають зловмисникам додаткові можливості для атаки. З цієї статті ви дізнаєтеся, як можна зламати WEP-пароль, чому слід відмовитися від фільтрів і як з усіх боків убезпечити бездротову мережу.
Захист від непроханих гостей
Ваша мережа не захищена, тому рано чи пізно до вашої бездротової мережі приєднається сторонній користувач — можливо навіть не спеціально, адже смартфони та планшети здатні автоматично підключатися до незахищених мереж. Якщо він просто відкриє кілька сайтів, то, швидше за все, не станеться нічого страшного, крім витрати трафіку. Ситуація ускладниться, якщо через ваше інтернет підключення гість почне завантажувати нелегальний контент.
Якщо ви ще не вжили жодних заходів безпеки, зайдіть в інтерфейс роутера через браузер і змініть дані доступу до мережі. Адреса маршрутизатора, як правило, має вигляд: http://192.168.1.1. Якщо це не так, ви зможете з'ясувати IP-адресу свого мережевого пристрою через командний рядок. У операційній системі Windows 7 клацніть по кнопці «Пуск» і вкажіть у рядку пошуку команду «cmd». Викличте налаштування мережі командою «ipconfig» та знайдіть рядок «Основний шлюз». Вказаний IP - це адреса вашого роутера, яку потрібно ввести в адресному рядку браузера. Розташування настройок безпеки маршрутизатора залежить від виробника. Як правило, вони розташовані в розділі під назвою виду «WLAN | Безпека».
Якщо у вашій бездротовій мережі використовується незахищене з'єднання, слід бути особливо обережним з контентом, який розташований у папках із загальним доступом, оскільки без захисту він знаходиться в повному розпорядженні інших користувачів. При цьому в операційній системі Windows XP Home ситуація із загальним доступом просто катастрофічна: за замовчуванням тут взагалі не можна встановлювати паролі - ця функція є тільки у професійній версії. Натомість всі мережеві запити виконуються через незахищений гостьовий обліковий запис. Забезпечити мережу в Windows XP можна за допомогою невеликої маніпуляції: запустіть командний рядок, введіть "net user guest ВашНовийПароль" і підтвердіть операцію натисканням клавіші "Enter". Після перезавантаження Windows отримати доступ до мережевих ресурсів можна буде лише за наявності пароля, проте більш тонке налаштування в цій версії ОС, на жаль, неможливо. Значно зручніше керування налаштуваннями загального доступу реалізовано в Windows 7. Тут, щоб обмежити коло користувачів, достатньо в Панелі керування зайти в Центр керування мережами та спільним доступом і створити домашню групу, захищену паролем.
Відсутність належного захисту в бездротовій мережі є джерелом інших небезпек, оскільки хакери можуть за допомогою спеціальних програм (сніферів) виявляти всі незахищені з'єднання. Таким чином, зломщикам нескладно буде перехопити ваші ідентифікаційні дані від різних сервісів.
Хакери
Як і раніше, сьогодні найбільшою популярністю користуються два способи захисту: фільтрація за MAC-адресами та приховування SSID (імені мережі): ці заходи захисту не забезпечать вам безпеки. Для того щоб виявити ім'я мережі, зломщику достатньо WLAN-адаптера, який за допомогою модифікованого драйвера перемикається в режим моніторингу, і сніфер - наприклад, Kismet. Зломщик веде спостереження за мережею доти, доки до неї не підключиться користувач (клієнт). Потім він маніпулює пакетами даних і тим самим викидає клієнта з мережі. При повторному підключенні користувача зломщик бачить ім'я мережі. Це здається складним, але насправді весь процес триває лише кілька хвилин. Обійти MAC-фільтр також не важко: зломщик визначає MAC-адресу і призначає його своєму пристрої. Таким чином, підключення стороннього залишається непоміченим для власника мережі.
Якщо ваш пристрій підтримує лише WEP-шифрування, терміново вживіть заходів - такий пароль за кілька хвилин можуть зламати навіть непрофесіонали.
Особливою популярністю серед кібершахраїв користується пакет програм Aircrack-ng, який крім сніфера включає додаток для завантаження і модифікації драйверів WLAN-адаптерів, а також дозволяє виконувати відновлення WEP-ключа. Відомі методи злому - це PTW- та FMS/KoreKатаки, при яких перехоплюється трафік і на основі його аналізу обчислюється WEP-ключ. У цій ситуації у вас є лише дві можливості: спочатку вам слід пошукати для свого пристрою актуальну прошивку, яка підтримуватиме новітні методи шифрування. Якщо ж виробник не надає оновлень, краще відмовитись від використання такого пристрою, адже при цьому ви ставите під загрозу безпеку вашої домашньої мережі.
Популярна порада скоротити радіус дії Wi-Fi дає лише видимість захисту. Сусіди все одно зможуть підключатися до вашої мережі, а зловмисники часто користуються Wi-Fi адаптерами з великим радіусом дії.
Публічні точки доступу
Місця з вільним Wi-Fi приваблюють кібершахраїв, тому що через них проходять величезні обсяги інформації, а скористатися інструментами злому може кожен. У кафе, готелях та інших громадських місцях можна знайти публічні точки доступу. Але інші користувачі цих мереж можуть перехопити ваші дані і, наприклад, взяти під свій контроль ваші облікові записи на різних веб-сервісах.
Захист Cookies.Деякі методи атак справді настільки прості, що ними може скористатися кожен. Розширення Firesheep для браузера Firefox автоматично зчитує та відображає у вигляді списку облікові записи інших користувачів, у тому числі на Amazon, у Google, Facebook і Twitter. Якщо хакер клацне по одному із записів у списку, він відразу ж отримає повний доступ до облікового запису і зможе змінювати дані користувача на свій розсуд. Firesheep не здійснює зламування паролів, а лише копіює активні незашифровані cookies. Щоб захиститись від таких перехоплень, слід користуватися спеціальним доповненням HTTPS Everywhere для Firefox. Це розширення змушує онлайн-сервіси постійно використовувати зашифроване з'єднання через HTTPS, якщо він підтримується сервером постачальника послуг.
Захист Android.Нещодавно загальну увагу привернула недоробка в операційній системі Android, через яку шахраї могли отримати доступ до ваших облікових записів у таких сервісах, як Picasa і «Календар Google», а також зчитувати контакти. Компанія Google ліквідувала цю вразливість в Android 2.3.4, але на більшості пристроїв, раніше придбаних користувачами, встановлені старіші версії системи. Для їх захисту можна використовувати програму SyncGuard.
WPA 2
Найкращий захист забезпечує технологія WPA2, яка застосовується виробниками комп'ютерної техніки з 2004 року. Більшість пристроїв підтримують цей тип шифрування. Але, як і інші технології, WPA2 теж має своє слабке місце: за допомогою атаки за словником або методом bruteforce («груба сила») хакери можуть зламувати паролі – правда, лише у разі їхньої ненадійності. Словники просто перебирають закладені в базах даних ключі - зазвичай, всі можливі комбінації чисел і імен. Паролі на кшталт "1234" або "Ivanov" вгадуються настільки швидко, що комп'ютер зломщика навіть не встигає нагрітися.
Метод bruteforce передбачає використання готової бази даних, а, навпаки, підбір пароля шляхом перерахування всіх можливих комбінацій символів. У такий спосіб зломщик може обчислити будь-який ключ - питання лише в тому, скільки часу йому на це потрібно. NASA у своїх інструкціях з безпеки рекомендує пароль мінімум із восьми символів, а краще – з шістнадцяти. Насамперед важливо, щоб він складався з малих і великих літер, цифр та спеціальних символів. Щоб зламати такий пароль, хакеру знадобиться десятиліття.
Поки що ваша мережа захищена не до кінця, тому що всі користувачі всередині неї мають доступ до вашого маршрутизатора і можуть змінювати його налаштування. Деякі пристрої надають додаткові функції захисту, якими також слід користуватися.
Насамперед відключіть можливість маніпулювання роутером через Wi-Fi. На жаль, ця функція доступна лише в деяких пристроях, наприклад, маршрутизаторах Linksys. Всі сучасні моделі роутерів також мають можливість установки пароля до інтерфейсу управління, що дозволяє обмежити доступ до налаштувань.
Як і будь-яка програма, прошивка роутера недосконала - невеликі недоробки чи критичні дірки у системі безпеки не виключені. Зазвичай інформація про це миттєво поширюється по Мережі. Регулярно перевіряйте наявність нових прошивок для роутера (у деяких моделей є навіть функція автоматичного оновлення). Ще один плюс перепрошивок у тому, що вони можуть додати нові функції до пристрою.
Періодичний аналіз мережного трафіку допомагає розпізнати присутність непроханих гостей. В інтерфейсі керування роутером можна знайти інформацію про те, які пристрої та коли підключалися до вашої мережі. Складніше з'ясувати, який обсяг даних завантажив той чи інший користувач.
Гостьовий доступ – засіб захисту домашньої мережі
Якщо ви захистите роутер надійним паролем під час використання шифрування WPA2, вам вже не загрожуватиме жодна небезпека. Але тільки доти, доки ви не передасте свій пароль іншим користувачам. Друзі та знайомі, які зі своїми смартфонами, планшетами чи ноутбуками захочуть вийти в Інтернет через ваше підключення, є фактором ризику. Наприклад, не можна виключати ймовірність того, що їх пристрої заражені шкідливими програмами. Однак через це вам не доведеться відмовляти друзям, тому що в топових моделях маршрутизаторів, наприклад Belkin N або Netgear WNDR3700, спеціально для таких випадків передбачено гостьовий доступ. Перевага цього режиму полягає в тому, що роутер створює окрему мережу з власним паролем, а домашня не використовується.
Надійність ключів безпеки
WEP (WIRED EQUIVALENT PRIVACY).Використовує генератор псевдовипадкових чисел (алгоритм RC4) для отримання ключа та вектори ініціалізації. Оскільки останній компонент не зашифрований, можливе втручання третіх осіб та відтворення WEP-ключа.
WPA (WI-FI PROTECTED ACCESS)Основується на механізмі WEP, але розширений захист пропонує динамічний ключ. Ключі, що згенеровані за допомогою алгоритму TKIP, можуть бути зламані за допомогою атаки Бека-Тевса або Охігаші-Морії. Для цього окремі пакети розшифровуються, піддаються маніпуляціям і знову надсилаються в мережу.
WPA2 (WI-FI PROTECTED ACCESS 2)Задіює для шифрування надійний алгоритм AES (Advanced Encryption Standard). Поряд із TKIP додався протокол CCMP (Counter-Mode/CBC-MAC Protocol), який також базується на алгоритмі AES. Захищену за цією технологією мережу досі зламати не вдавалося. Єдиною можливістю для хакерів є атака за словником або метод грубої сили, коли ключ вгадується шляхом підбору, але при складному паролі підібрати його неможливо.
Завантаження...