Некорректно сконфигурированные беспроводные клиенты
Неправильно настроенные устройства клиентов не конфигурируются специально в целях безопасности внутренней сети предприятия. При этом они находятся как вне контролируемой зоны, так и внутри неё, что позволяет злоумышленнику создавать разнообразные атаки.
Взлом шифрования
Защищённость WEP очень слаба. В Интернете есть множество специального программного обеспечения для взлома этой технологии, которое выбирает статистику трафика так, чтобы её было достаточно для воссоздантя ключа шифрования. В стандартах WPA и WPA2 также имеются уязвимости различной степени опасности, которые позволяют их взлом. [4] В данном отношении в положительном ракурсе можно рассматривать технологию WPA2-Enterprise (802.1x).
Имперсонация и IdentityTheft
Имперсонация авторизованного пользователя создаёт серьезную угрозу беспроводной сети, так как в ней определить подлинность пользователя сложнее, чем в проводной. Для персонализации существуют SSID и возможна фильтрация по MAC-адресам, но эти данные передаются в пространстве в открытом виде, и их нетрудно фальсифицировать, а подделав, понизить пропускную способность канала, используя вставку лишних кадров. А разобрав алгоритм шифрования можно создавать атаки на структуру сети. Имперсонация клиента возможна не только при MAC-аутентификации или использовании статических шифровальных ключей. Сети на стандарте 802.1x не являются абсолютно безопасными. Некоторые структуры имеют простоту шифрования схожую с WEP, иные, при надёжности, но не дают гарантию устойчивости к совокупности атак.
Отказы в обслуживании
DoS атаки применяются для нарушения качества работы сети или на для абсолютного прекращения доступа клиентов к сетям. В случае Wi-Fi сети заметить источник, загружающий сеть «мусорными» пакетами, очень непросто – его нахождение определяется лишь зоной покрытия. При этом существует аппаратный вариант этой атаки – установливается достаточно сильный источник помех в необходимом частотном диапазоне. [7, 8]
ГЛАВА IIСРЕДСТВА ЗАЩИТЫ БЕСПРОВОДНЫХ СЕТЕЙ
Как средства защиты от часто встречающихся угроз в беспроводных сетях используется такие технологии:
Режим безопасности WEP
WEP (Wired Equivalent Privacy) – метод обеспечения безопасности сети, доступен для работы с устаревшими устройствами, но его применение не приветствуется из-за относительно легкого взлома защиты. При использовании протокола WEP настраивается ключ безопасности сети, который выполняет шифрование данных, передаваемых компьютером через сеть другим устройствам.
Используют два метода защиты WEP:
1) проверка подлинности в открытой системе;
2) проверка подлинности с использованием общих ключей.
Эти методы не обеспечивают высокого уровня безопасности, однако метод проверки подлинности в открытой системе является более безопасным. Для большинства устройств и точек доступа беспроводной сети, ключ проверки подлинности с использованием общих ключей совпадает со статическим ключом шифрования WEP, который используется для обеспечения безопасности сети. Перехватив сообщение для проверки подлинности с использованием общих ключей, можно, применяя средства анализа, выделить ключ проверки подлинности с использованием общих ключей, а затем статический ключ шифрования WEP, после чего становится открыт полный доступ к сети.
Режим безопасности WPA
WPA (Wi-Fi Protected Access) является обновлённой программой сертификации устройств беспроводной связи. Технология WPA включает несколько составляющих:
v протокол 802.1x — универсальный протокол для аутентификации, авторизации и учета (AAA);
v протокол TKIP — протокол временной целостности ключей, другой вариант перевода — протокол целостности ключей во времени (Temporal Key Integrity Protocol);
v протокол EAP — расширяемый протокол аутентификации (Extensible Authentication Protocol);
v MIC — криптографическая проверка целостности пакетов (Message Integrity Code);
v протокол RADIUS
Шифрованием данных в WPA занимается протокол TKIP, использующий такой же алгоритм шифрования что WEP (RC4), но при этом использует динамические (часто меняющиеся) ключи. В этой технологии применяется более длинный вектор инициализации и используется криптографическая контрольная сумма (MIC) для подтверждения целостности пакетов.
RADIUS-протокол выполняет работу вместе с сервером аутентификации (RADIUS-сервер). При таком режиме беспроводные точки доступа находятся в enterprise-режиме.
При отсутствии RADIUS-сервера роль сервера аутентификации выполняет точка доступа — так называемый режим WPA-PSK.
Режим безопасности WPA-PSK
WPA-PSK (pre-shared key, общийключ). В данной технологии в конфигурации всех точек доступа задаётся общий ключ. Этот же ключ же прописывается и на пользовательских мобильных устройствах. Такой метод защиты безопаснее в сравнении с WEP, однако не удобен с точки зрения управления. PSK-ключ необходимо задать на каждом беспроводном устройстве, все клиенты сети могут его видеть. При необходимости заблокировки доступа к конкретному пользователю в сеть, нужно снова задавать новый PSK на каждом устройстве сети. Вследствие этого данный режим WPA-PSK можно использовать в домашней сети или небольшом офисе с небольшим числом пользователей.
Рассмотрим механизмы работы WPA. Технология WPA была введена как временная мера до до начала использования стандарта 802.11i. Некоторые производители до ввода этого стандарта стали применять технологию WPA2, в некоторой степени включающую в себя элементы стандарта 802.11i, например, использование протокола CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), вместо TKIP. В WPA2 качестве алгоритма шифрования используется улучшеная технология шифрования AES (Advanced Encryption Standard). Для работы с ключами используется протокол 802.1x., который может выполнять несколько функций. В вопросах безопасности рассмотрим функции аутентификации пользователя и распределение ключей шифрования. В данном протоколе аутентификация выполняется «на уровне порта». До тех пор, пока пользователь не выполнит аутентификацию, он может отправлять/принимать пакеты, имеющие отношение только к процессу его учетных данных и только. Лишь пройдя успешную аутентификацию порты точки доступа или коммутатора будут открыты и клиент сможет пользоваться ресурсами сети.
Протокол EAP выполняет функции аутентификации и является лишь надстройкой для методов аутентификации. Все преимущества протокола состоят в том, что он очень просто реализуется на точке доступа, так как ей не нужно знать никаких особенностей разнообразных методов аутентификации. В этом случае точка доступа в качестве аутентификатора выполняет лишь передаточные функции между пользователем и сервером аутентификации. Существуют следующие методы аутентификации:
ü EAP-SIM, EAP-AKA — выполняются в сетях мобильной связи GSM;
ü LEAP — пропреоретарный метод от Cisco systems;
ü EAP-MD5 — простейший метод, аналогичный CHAP;
ü EAP-MSCHAP V2 — в основе метода аутентификации лежит использование логина/пароля пользователя в MS-сетях;
ü EAP-TLS — аутентификация на основе цифровых сертификатов;
ü EAP-SecureID — в основе метода лежит применение однократных паролей.
Кроме вышеизложенных, можно выделить ещё два метода: EAP-TTLS и EAP-PEAP, которые перед непосредственной аутентификацией клиента вначале создают TLS-туннель между пользователем и сервером аутентификации, внутри которого и выполняется сама аутентификация, с использованием методов MD5, TLS, PAP, CHAP, MS-CHAP, MS-CHAP v2. Создание туннеля повышает уровень безопасности аутентификации, защищая от атак типа «человек посредине», «session hihacking» или атаки по словарю.
Схема аутентификации состоит из трех компонентов:
v Supplicant — приложение, запущенное на устройстве пользователя, пытающегося выполнить подключение к сети;
v Authenticator — узел доступа, аутентификатор (беспроводная точка доступа или проводной коммутатор с поддержкой протокола 802.1x);
v Authentication Server — сервераутентификации (RADIUS-сервер).
Аутентификация состоит из следующих этапов:
1) Клиент посылает запрос на аутентификацию в сторону точки доступа.
2) Точка доступа в ответ создает клиенту запрос на идентификацию клиента.
3) Клиент в ответ высылает пакет с необходимыми данными, который точка доступа перенаправляет в сторону сервера аутентификации.
4) Сервер аутентификации отсылает аутентификатору (точке доступа) запрос информации о подлинности клиента.
5) Аутентификатор пересылает этот пакет клиенту.
После этого выполняется взаимная идентификации сервера и клиента. Число пересылок пакетов в одну и в другую сторону изменяется в зависимости от метода EAP, но в беспроводных сетях используется лишь «strong» аутентификация с обоюдной аутентификацией клиента и сервера (EAP-TLS, EAP-TTLS, EAP-PEAP) и созданием шифрования канала связи.
6) На следующем этапе, сервер аутентификации, с необходимой информацией от клиента, разрешает или запрещает пользователю доступ, с отсылкой соответствующего сообщения аутентификатору (точке доступа). Аутентификатор выполняет открытие порта, если со стороны сервера аутентификации пришел положительный ответ.
7) Порт открывается, аутентификатор пересылает клиенту сообщение об успешном завершении процесса, и клиент получает доступ в сеть. После отключения клиента, порт на точке доступа опять переходит в состояние «закрыт». [9]
Для соединения клиента и точки доступа применяются пакеты EAPOL. Протокол RADIUS используется при обмене данными между аутентификатором и RADIUS-сервером.
Начальная аутентификация выполняется на базе общих данных, которые известны и клиенту, и серверу аутентификации, например, логин/пароль, сертификат и т.д. При этом создаётся «мастер ключ», с помощью которого клиент и сервер аутентификации генерируют «парный мастер ключ», который передается точке доступа от сервера аутентификации. Впоследствии на основе «парного мастера ключа» и создаются все остальные изменяющиеся со временем ключи, которые и закрывают передаваемый трафик.
Глава III НАСТРОЙКА БЕЗОПАСНОСТИ В WIFI-СЕТИ