Общий обзор технологии Wi Fi

Некорректно сконфигурированные беспроводные клиенты. Данная категория представляет угрозу еще большую, чем некорректно сконфигурированные ТД. Эти устройства буквально «приходят и уходят» с предприятия, часто они не конфигурируются специально с целью минимизации беспроводных рисков или довольствуются установками по умолчанию (которые не могут считаться безопасными). Такие устройства оказывают неоценимую помощь хакерам, обеспечивая удобную точку входа для сканирования сети и распространения в ней вредоносного ПО.

Взлом шифрования. Злоумышленникам давно доступны специальные средства для взлома сетей, основывающихся на стандарте шифрования WEP. Эти инструменты широко представлены в Интернете, и их применение не требует особых навыков. Они используют уязвимости алгоритма WEP, пассивно собирая статистику трафика в беспроводной сети до тех пор, пока полученных данных не окажется достаточно для восстановления ключа шифрования. С использованием последнего поколения средств взлома WEP, применяющих специальные методы инъекции трафика, срок «до тех пор» колеблется от 15 мин до 15 секунд. Совсем недавно были обнаружены первые, пока еще незначительные, уязвимости в TKIP, позволяющие расшифровывать и отправлять в защищенную сеть небольшие пакеты.

Риск  четвертый – новые угрозы и  атаки

Беспроводные  технологии породили новые способы  реализации старых угроз, а также  некоторые новые, доселе невозможные  в проводных сетях. Во всех случаях  бороться с атакующим стало гораздо  тяжелее, так как невозможно ни отследить  его физическое местоположение, ни изолировать от сети.

Разведка. Большинство  традиционных атак начинаются с разведки, в результате которой злоумышленником  определяются дальнейшие пути их развития. Для беспроводной разведки используются как средства сканирования беспроводных сетей (NetStumbler, Wellenreiter, встроенный клиент JC), так и средства сбора и анализа пакетов, ведь многие управляющие пакеты WLAN не зашифрованы. При этом очень сложно отличить станцию, собирающую информацию, от обычной, пытающейся получить авторизованный доступ к сети или от попытки случайной ассоциации.

Многие пробуют  защитить свои сети путем сокрытия ее названия в маячках (Beacon), рассылаемых  точками доступа, и отключения ответа на широковещательный запрос ESSID (Broadcast ESSID). Общепризнанно, что методов, относящихся к классу Security through Obscurity, недостаточно, поскольку атакующий все равно видит беспроводную сеть на определенном радиоканале, и ему остается лишь ждать первого авторизованного подключения, так как в его процессе в эфире передается ESSID в незашифрованном виде. После этого данная мера безопасности просто теряет смысл. Некоторые особенности беспроводного клиента Windows XP SP2 (поправленные в SP3) еще более усугубляли ситуацию, ведь клиент постоянно рассылал имя такой скрытой сети в эфир, пытаясь подключиться к ней. В результате злоумышленник не только получал имя сети, но и мог «подсадить» такого клиента на свою точку доступа.

Имперсонализация (Identity Theft). Имперсонализация авторизованного  пользователя – серьезная угроза любой сети, не только беспроводной. Однако в последнем случае определить подлинность пользователя сложнее. Конечно, существуют SSID, и можно пытаться фильтровать по MAC-адресам, но и то и другое передается в эфире в открытом виде, и то и другое несложно подделать. А подделав, как минимум «откусить» часть пропускной способности сети, вставлять неправильные фреймы с целью нарушения авторизованных коммуникаций. Расколов же хоть чуть-чуть алгоритмы шифрования – устраивать атаки на структуру сети (например, ARP Poisoning, как в случае с недавно обнаруженной уязвимостью TKIP). Не говоря уже о взломе WEP, рассмотренном пунктом выше.

Существует  ложное убеждение, что имперсонализация пользователя возможна только в случае MAC-аутентификации или применения статических ключей, что схемы на основе 802.1x, такие как LEAP, являются абсолютно безопасными. К сожалению, это не так, и уже сейчас доступен инструментарий для взлома, к примеру LEAP. Другие схемы, скажем EAP-TLS или PEAP, более надежны, но они не гарантируют устойчивости к комплексной атаке, использующей несколько факторов одновременно.

Отказы в обслуживании (Denial of Service, DoS). Задачей атаки «Отказ в обслуживании» является либо нарушение показателей качества функционирования сетевых услуг, либо полная ликвидация возможности доступа к ним для авторизованных пользователей. Для этого, к примеру, сеть может быть завалена «мусорными» пакетами (с неправильной контрольной суммой и т. д.), отправленными с легитимного адреса. В случае беспроводной сети отследить источник такой атаки без специального инструментария просто нельзя. Кроме того, есть возможность организовать DoS на физическом уровне, запустив достаточно мощный генератор помех в нужном частотном диапазоне.

Специализированные  инструменты атакующего. Инструментарий атак на беспроводные сети широко доступен в Интернете и постоянно пополняется новыми средствами. Основными типами инструментов атакующего являются:

- средства разведки – сканирования сетей и определения их параметров, сбора и анализа трафика (Kismet, NetStumbler, AirMagnet, Ethereal, Wireshark со специальным модулем, THC-RUT);

- инструменты взлома шифрования (AirCrack, WEPWedgie, WEPCrack, WepAttack, AirSnort);

- инструменты взлома механизмов аутентификации для их обхода или получения параметров учетной записи доступа пользователя (ASLEAP, THC-LEAPCracker);

- инструменты организации отказов в обслуживании (WLANjack, hunter_killer);

- сканеры уязвимостей (Nessus, xSpider);

- инструменты манипулирования беспроводными соединениями (HotSpotter, SoftAP, AirSnarf);

- традиционный инструментарий (SMAC, IRPAS, Ettercap, Cain & Abel, DSNIFF, IKEcrack).

Это список может  быть расширен.

Риск  пятый – риск утечки информации из проводной сети

Практически все  беспроводные сети в какой-то момент соединяются с проводными. Соответственно, любая беспроводная ТД может быть использована как плацдарм для атаки. Но это еще не все: некоторые ошибки в их конфигурации в сочетании с ошибками конфигурации проводной сети могут открывать пути для утечек информации. Наиболее распространенный пример – ТД, работающие в режиме моста (Layer 2 Bridge), подключенные в плоскую сеть (или сеть с нарушениями сегментации VLAN) и передающие в эфир широковещательные пакеты из проводного сегмента, запросы ARP, DHCP, фреймы STP и т. п. Некоторые из этих данных могут быть полезными для организаций атак Man-in-The-Middle, различных Poisoning и DoS, да и просто разведки.

Другой распространенный сценарий основывается на особенностях реализации протоколов 802.11. В случае, когда на одной ТД настроены сразу несколько ESSID, широковещательный трафик будет распространяться сразу во все ESSID. В результате, если на одной точке настроены защищенная сеть и публичная зона доступа, злоумышленник, подключенный к последней, может, например, нарушить работу протоколов DHCP или ARP в защищенной сети. Это можно исправить, включив режим Multi-BSSID, он же Virtual AP, который поддерживается практически всеми производителями оборудования класса Enterprise (и мало кем из класса Consumer), но об этом нужно знать.

Риск  шестой – особенности функционирования беспроводных сетей

Некоторые особенности  функционирования беспроводных сетей  порождают дополнительные проблемы, способные влиять в целом на их доступность, производительность, безопасность и стоимость эксплуатации. Для грамотного решения этих проблем требуются специальный инструментарий поддержки и эксплуатации, специальные механизмы администрирования и мониторинга, не реализованные в традиционном инструментарии управления беспроводными сетями.

Активность в нерабочее время. К беспроводным сетям можно подключиться в любом месте в зоне их покрытия и в любое время. Из-за этого многие организации ограничивают доступность беспроводных сетей в своих офисах исключительно рабочими часами (вплоть до физического отключения ТД). В свете сказанного естественно предположить, что всякая беспроводная активность в сети в нерабочее время должна считаться подозрительной и подлежать расследованию.

Скорости. ТД, разрешающие  подключения на низких скоростях, имеют  бoльшую зону покрытия. Таким образом, они предоставляют дополнительную возможность удаленного взлома. Если в офисной сети, где все работают на скоростях 24/36/54 Мб/с, вдруг появляется соединение на 1 или 2 Мб/с, это может быть сигналом, что кто-то пытается пробиться в сеть с улицы.

Помехи. Качество работы беспроводной сети зависит от многих факторов. Наиболее ярким примером являются помехи, значительно снижающие  пропускную способность и количество поддерживаемых клиентов, вплоть до полной невозможности использования сети. Источником помех может быть любое устройство, излучающее сигнал достаточной мощности в том же частотном диапазоне, что и ТД. С другой стороны, злоумышленники могут использовать помехи для организации DoS-атаки на сеть.

Помимо помех, существуют другие аспекты, влияющие на качество связи в беспроводных сетях – неверно сконфигурированный клиент или сбоящая антенна ТД могут создавать проблемы как на физическом, так и на канальном уровне, приводя к ухудшению качества обслуживания остальных клиентов сети.

Рис. 2.

Традиционные  средства защиты не спасают от новых  классов атак

 

 

Защита  беспроводных сетей  Wi Fi.

Мы рассмотрели  основные угрозы безопасности беспроводных сетей. Теперь рассмотрим существующие технологии защиты.

Технология WEP

Wired Equivalent Privacy (WEP) — алгоритм для обеспечения безопасности сетей Wi-Fi. Используется для обеспечения конфиденциальности и защиты передаваемых данных авторизированных пользователей беспроводной сети от прослушивания. Существует две разновидности WEP: WEP-40 и WEP-104, различающиеся только длиной ключа. В настоящее время данная технология является устаревшей, так как ее взлом может быть осуществлен всего за несколько минут. Тем не менее, она продолжает широко использоваться

Cама технология была разработана специально для шифрования потока передаваемых данных в рамках локальной сети. Однако в ней используется не самый стойкий алгоритм RC4 на статическом ключе. Существует 64-, 128-, 256- и 512-битное шифрование. Для усиления защиты часть ключа (от 40 бит в 64-битном шифровании) является статической, а другая часть – динамической, так называемый вектор инициализации (Initialization Vector или IV), меняющейся в процессе работы сети. Данный вектор 24-битный. Основной уязвимостью WEP является то, что вектор инициализации повторяется через определенный промежуток времени (24 бита – около 16 миллионов комбинаций). Взломщику потребуется лишь собрать эти повторы и за секунды взломать остальную часть ключа. После чего он входит в сеть, как обычный зарегистрированный пользователь.

Если более  подробно рассматривать ключи, то они имеют длину 40 и 104 бита для WEP-40 и WEP-104 соответственно. Используются два типа ключей: ключи по умолчанию и назначенные ключи. Назначенный ключ отвечает определенной паре отправитель-получатель. Может иметь любое, заранее оговоренное сторонами значение. Если же стороны предпочтут не использовать назначенный ключ, им выдается один из четырех ключей по умолчанию из специальной таблицы. Для каждого кадра данных создается сид (англ. Seed), представляющий собой ключ с присоединенным к нему вектором инициализации.

Все атаки на WEP основаны на недостатках шифра RC4, таких, как возможность коллизий векторов инициализации и изменения  кадров. Для всех типов атак требуется  проводить перехват и анализ кадров беспроводной сети. В зависимости от типа атаки, количество кадров, требуемое для взлома, различно. С помощью программ, таких как Aircrack-ng, взлом беспроводной сети с WEP шифрованием осуществляется очень быстро и не требует специальных навыков.

Технология WPA

WPA (Wi-Fi Protected Access) – более стойкий алгоритм шифрования, чем WEP. Высокий уровень безопасности достигается за счет использования протоколов TKIP и MIC.

- TKIP – протокол  интеграции временного ключа  (Temporal Key Integrity Protocol) – каждому устройству присваивается изменяемый ключ.

- MIC – технология  проверки целостности сообщений  (Message Integrity Check) – защищает от перехвата  пакетов и их перенаправления. Стандарт TKIP использует автоматически подобранные 128-битные ключи, которые создаются непредсказуемым способом, и общее число их вариаций достигает 500 миллиардов. Сложная иерархическая система алгоритма подбора ключей и динамическая их замена через каждые 10 KB (10 тыс. передаваемых пакетов) делают систему максимально защищенной. MIC использует весьма непростой математический алгоритм, который позволяет сверять отправленные в одной и полученные в другой точке данные. Если замечены изменения и результат сравнения не сходится, такие данные считаются ложными и выбрасываются. Существуют два вида WPA:

- WPA-PSK (Pre-shared key) – для генерации ключей сети  и для входа в сеть используется  ключевая фраза. Оптимальный вариант  для домашней или небольшой  офисной сети.

- WPA-802.1x – вход  в сеть осуществляется через  сервер аутентификации. Оптимально  для сети крупной компании.

Даже не принимая во внимания тот факт что WEP, предшественник WPA, не обладает какими-либо механизмами  аутентификации пользователей как  таковой, его ненадёжность состоит, прежде всего, в криптографической  слабости алгоритма шифрования. Ключевая проблема WEP заключается в использовании слишком похожих ключей для различных пакетов данных. WPA является гораздо более надёжной технологией защиты. При этом механизмы шифрования, которые используются для WPA-802.1x и WPA-PSK, являются идентичными. Единственное отличие WPA-PSK состоит в том, что аутентификация производится с использованием пароля, а не по сертификату пользователя.

 

Технология WPA2

WPA2 во многом  построен на основе предыдущей  версии, WPA, использующей элементы IEEE 802.11i. Стандарт предусматривает применение шифрования AES, аутентификации 802.1x, а также защитных спецификаций RSN и CCMP. Как предполагается, WPA2 должен существенно повысить защищенность Wi-Fi-сетей по сравнению с прежними технологиями. По аналогии с WPA, WPA2 также делится на два типа: WPA2-PSK и WPA2-802.1x.