Некорректно сконфигурированные беспроводные клиенты

Неправильно настроенные устройства клиентов не конфигурируются специально в целях безопасности внутренней сети предприятия. При этом они находятся как вне контролируемой зоны, так и внутри неё, что позволяет злоумышленнику создавать разнообразные атаки.

Взлом шифрования

Защищённость WEP очень слаба. В Интернете есть множество специального программного обеспечения для взлома этой технологии, которое выбирает статистику трафика так, чтобы её было достаточно для воссоздантя ключа шифрования. В стандартах WPA и WPA2 также имеются уязвимости различной степени опасности, которые позволяют их взлом. [4] В данном отношении в положительном ракурсе можно рассматривать технологию WPA2-Enterprise (802.1x).

Имперсонация и IdentityTheft

Имперсонация авторизованного пользователя создаёт серьезную угрозу беспроводной сети, так как в ней определить подлинность пользователя сложнее, чем в проводной. Для персонализации существуют SSID и возможна фильтрация по MAC-адресам, но эти данные передаются в пространстве в открытом виде, и их нетрудно фальсифицировать, а подделав, понизить пропускную способность канала, используя вставку лишних кадров. А разобрав алгоритм шифрования можно создавать атаки на структуру сети. Имперсонация клиента возможна не только при MAC-аутентификации или использовании статических шифровальных ключей. Сети на стандарте 802.1x не являются абсолютно безопасными. Некоторые структуры имеют простоту шифрования схожую с WEP, иные, при надёжности, но не дают гарантию устойчивости к совокупности атак.

Отказы в обслуживании

DoS атаки применяются для нарушения качества работы сети или на для абсолютного прекращения доступа клиентов к сетям. В случае Wi-Fi сети заметить источник, загружающий сеть «мусорными» пакетами, очень непросто – его нахождение определяется лишь зоной покрытия. При этом существует аппаратный вариант этой атаки – установливается достаточно сильный источник помех в необходимом частотном диапазоне. [7, 8]

ГЛАВА IIСРЕДСТВА ЗАЩИТЫ БЕСПРОВОДНЫХ СЕТЕЙ

Как средства защиты от часто встречающихся угроз в беспроводных сетях используется такие технологии:

Режим безопасности WEP

WEP (Wired Equivalent Privacy) – метод обеспечения безопасности сети, доступен для работы с устаревшими устройствами, но его применение не приветствуется из-за относительно легкого взлома защиты. При использовании протокола WEP настраивается ключ безопасности сети, который выполняет шифрование данных, передаваемых компьютером через сеть другим устройствам.

Используют два метода защиты WEP:

1) проверка подлинности в открытой системе;

2) проверка подлинности с использованием общих ключей.

Эти методы не обеспечивают высокого уровня безопасности, однако метод проверки подлинности в открытой системе является более безопасным. Для большинства устройств и точек доступа беспроводной сети, ключ проверки подлинности с использованием общих ключей совпадает со статическим ключом шифрования WEP, который используется для обеспечения безопасности сети. Перехватив сообщение для проверки подлинности с использованием общих ключей, можно, применяя средства анализа, выделить ключ проверки подлинности с использованием общих ключей, а затем статический ключ шифрования WEP, после чего становится открыт полный доступ к сети.

Режим безопасности WPA

WPA (Wi-Fi Protected Access) является обновлённой программой сертификации устройств беспроводной связи. Технология WPA включает несколько составляющих:

v протокол 802.1x — универсальный протокол для аутентификации, авторизации и учета (AAA);

v протокол TKIP — протокол временной целостности ключей, другой вариант перевода — протокол целостности ключей во времени (Temporal Key Integrity Protocol);

v протокол EAP — расширяемый протокол аутентификации (Extensible Authentication Protocol);

v MIC — криптографическая проверка целостности пакетов (Message Integrity Code);

v протокол RADIUS

Шифрованием данных в WPA занимается протокол TKIP, использующий такой же алгоритм шифрования что WEP (RC4), но при этом использует динамические (часто меняющиеся) ключи. В этой технологии применяется более длинный вектор инициализации и используется криптографическая контрольная сумма (MIC) для подтверждения целостности пакетов.

RADIUS-протокол выполняет работу вместе с сервером аутентификации (RADIUS-сервер). При таком режиме беспроводные точки доступа находятся в enterprise-режиме.

При отсутствии RADIUS-сервера роль сервера аутентификации выполняет точка доступа — так называемый режим WPA-PSK.

Режим безопасности WPA-PSK

WPA-PSK (pre-shared key, общийключ). В данной технологии в конфигурации всех точек доступа задаётся общий ключ. Этот же ключ же прописывается и на пользовательских мобильных устройствах. Такой метод защиты безопаснее в сравнении с WEP, однако не удобен с точки зрения управления. PSK-ключ необходимо задать на каждом беспроводном устройстве, все клиенты сети могут его видеть. При необходимости заблокировки доступа к конкретному пользователю в сеть, нужно снова задавать новый PSK на каждом устройстве сети. Вследствие этого данный режим WPA-PSK можно использовать в домашней сети или небольшом офисе с небольшим числом пользователей.

Рассмотрим механизмы работы WPA. Технология WPA была введена как временная мера до до начала использования стандарта 802.11i. Некоторые производители до ввода этого стандарта стали применять технологию WPA2, в некоторой степени включающую в себя элементы стандарта 802.11i, например, использование протокола CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), вместо TKIP. В WPA2 качестве алгоритма шифрования используется улучшеная технология шифрования AES (Advanced Encryption Standard). Для работы с ключами используется протокол 802.1x., который может выполнять несколько функций. В вопросах безопасности рассмотрим функции аутентификации пользователя и распределение ключей шифрования. В данном протоколе аутентификация выполняется «на уровне порта». До тех пор, пока пользователь не выполнит аутентификацию, он может отправлять/принимать пакеты, имеющие отношение только к процессу его учетных данных и только. Лишь пройдя успешную аутентификацию порты точки доступа или коммутатора будут открыты и клиент сможет пользоваться ресурсами сети.

Протокол EAP выполняет функции аутентификации и является лишь надстройкой для методов аутентификации. Все преимущества протокола состоят в том, что он очень просто реализуется на точке доступа, так как ей не нужно знать никаких особенностей разнообразных методов аутентификации. В этом случае точка доступа в качестве аутентификатора выполняет лишь передаточные функции между пользователем и сервером аутентификации. Существуют следующие методы аутентификации:

ü EAP-SIM, EAP-AKA — выполняются в сетях мобильной связи GSM;

ü LEAP — пропреоретарный метод от Cisco systems;

ü EAP-MD5 — простейший метод, аналогичный CHAP;

ü EAP-MSCHAP V2 — в основе метода аутентификации лежит использование логина/пароля пользователя в MS-сетях;

ü EAP-TLS — аутентификация на основе цифровых сертификатов;

ü EAP-SecureID — в основе метода лежит применение однократных паролей.

Кроме вышеизложенных, можно выделить ещё два метода: EAP-TTLS и EAP-PEAP, которые перед непосредственной аутентификацией клиента вначале создают TLS-туннель между пользователем и сервером аутентификации, внутри которого и выполняется сама аутентификация, с использованием методов MD5, TLS, PAP, CHAP, MS-CHAP, MS-CHAP v2. Создание туннеля повышает уровень безопасности аутентификации, защищая от атак типа «человек посредине», «session hihacking» или атаки по словарю.

Схема аутентификации состоит из трех компонентов:

v Supplicant — приложение, запущенное на устройстве пользователя, пытающегося выполнить подключение к сети;

v Authenticator — узел доступа, аутентификатор (беспроводная точка доступа или проводной коммутатор с поддержкой протокола 802.1x);

v Authentication Server — сервераутентификации (RADIUS-сервер).

Аутентификация состоит из следующих этапов:

1) Клиент посылает запрос на аутентификацию в сторону точки доступа.

2) Точка доступа в ответ создает клиенту запрос на идентификацию клиента.

3) Клиент в ответ высылает пакет с необходимыми данными, который точка доступа перенаправляет в сторону сервера аутентификации.

4) Сервер аутентификации отсылает аутентификатору (точке доступа) запрос информации о подлинности клиента.

5) Аутентификатор пересылает этот пакет клиенту.

После этого выполняется взаимная идентификации сервера и клиента. Число пересылок пакетов в одну и в другую сторону изменяется в зависимости от метода EAP, но в беспроводных сетях используется лишь «strong» аутентификация с обоюдной аутентификацией клиента и сервера (EAP-TLS, EAP-TTLS, EAP-PEAP) и созданием шифрования канала связи.

6) На следующем этапе, сервер аутентификации, с необходимой информацией от клиента, разрешает или запрещает пользователю доступ, с отсылкой соответствующего сообщения аутентификатору (точке доступа). Аутентификатор выполняет открытие порта, если со стороны сервера аутентификации пришел положительный ответ.

7) Порт открывается, аутентификатор пересылает клиенту сообщение об успешном завершении процесса, и клиент получает доступ в сеть. После отключения клиента, порт на точке доступа опять переходит в состояние «закрыт». [9]

Для соединения клиента и точки доступа применяются пакеты EAPOL. Протокол RADIUS используется при обмене данными между аутентификатором и RADIUS-сервером.

Начальная аутентификация выполняется на базе общих данных, которые известны и клиенту, и серверу аутентификации, например, логин/пароль, сертификат и т.д. При этом создаётся «мастер ключ», с помощью которого клиент и сервер аутентификации генерируют «парный мастер ключ», который передается точке доступа от сервера аутентификации. Впоследствии на основе «парного мастера ключа» и создаются все остальные изменяющиеся со временем ключи, которые и закрывают передаваемый трафик.

Глава III НАСТРОЙКА БЕЗОПАСНОСТИ В WIFI-СЕТИ

Наши рекомендации