УДК 004.56
Шатов И.В.
Безопасность Wi-Fi-сетей
Обзор Интернет-материалов по защите беспроводных сетей связи. |
На современном этапе развития сетевых технологий технология
беспроводных сетей Wi-Fi
является наиболее удобной в условиях, требующих мобильности, простоты установки
и использования.
Wi-Fi (от англ. wireless fidelity - беспроводная
связь) - стандарт широкополосной беспроводной связи семейства 802.11,
разработанный в 1997 г. Как правило технология Wi-Fi используется для
организации беспроводных локальных компьютерных сетей, а также создания так
называемых горячих точек высокоскоростного доступа в Интернет.
Во всем мире стремительно растет потребность в беспроводных
соединениях, особенно в сфере бизнеса. Пользователи с беспроводным доступом к
информации всегда и везде могут работать гораздо более производительно и
эффективно, чем их коллеги, привязанные к проводным телефонным и компьютерным
сетям.
Обычно беспроводные сетевые технологии группируются по трем
типам, различающимся по масштабу действия их радиосистем, и все они с успехом
применяются в бизнесе.
PAN (персональные сети) - короткодействующие,
радиусом до 10 м; связывают ПК и другие устройства (КПК, мобильные телефоны,
принтеры и т.п.). С помощью PAN реализуется простая
синхронизация данных, устраняются проблемы с обилием кабелей в офисах,
осуществляется простой обмен информацией в небольших рабочих группах. Наиболее
перспективный стандарт для PAN - Bluetooth.
WLAN (беспроводные локальные сети) - радиус действия
до 100 м. С их помощью реализуется беспроводной доступ к групповым ресурсам в
здании, университетском кампусе и т.п. Обычно такие сети используются для
продолжения проводных корпоративных локальных сетей. В небольших компаниях WLAN
могут полностью заменить проводные соединения. Основной стандарт для WLAN -
802.11.
WWAN (беспроводные сети широкого действия) -
беспроводная связь, которая обеспечивает мобильным пользователям доступ к их
корпоративным сетям и Интернету. Пока здесь нет доминирующего стандарта, но
наиболее активно внедряется технология GPRS - быстрее всего в Европе и с
некоторым отставанием в США.
Как и любая компьютерная сеть, < lang="EN">Wi-< lang="EN">Fi
является источником повышенного риска несанкционированного доступа. Проникнуть в
беспроводную сеть значительно проще, чем в обычную, - не нужно подключаться к
проводам, достаточно оказаться в зоне приема сигнала.
Беспроводные сети отличаются от
кабельных только на первых двух уровнях семиуровневой модели взаимодействия
открытых систем - физическом (Phy) и отчасти канальном (MAC). Реальная
безопасность сетей обеспечивается именно на этих уровнях, поэтому разница в
безопасности тех и других сетей сводится к разнице в безопасности физического и
MAC-уровней.
Сегодня в защите Wi-Fi-сетей применяются сложные
алгоритмические математические модели аутентификации, шифрования данных и
контроля целостности их передачи, однако вероятность доступа к информации
посторонних лиц весьма существенна. И если настройке сети не уделять должного
внимания, злоумышленник может:
заполучить доступ к ресурсам и дискам пользователей
Wi-Fi-сети, а через неё и к ресурсам LAN;
подслушивать трафик,
извлекать из него конфиденциальную информацию;
искажать проходящую в сети информацию;
воспользоваться Интернет-трафиком;
атаковать ПК пользователей и серверы сети;
внедрять поддельные точки доступа;
рассылать спам и совершать другие противоправные действия
от имени вашей сети.
Для защиты сетей 802.11 предусмотрен комплекс мер
безопасности передачи данных. На раннем этапе использования Wi-Fi-сетей такой
мерой был пароль SSID (Server Set ID) для доступа в локальную сеть, но со
временем оказалось, что эта технология не может обеспечить надежную защиту.
Долгое время главной защитой служило использование цифровых
ключей шифрования потоков данных с помощью функции Wired Equivalent Privacy
(WEP). Сами ключи представляют собой обыкновенные пароли с длиной от 5 до 13
символов ASCII. Данные шифруются ключом с разрядностью от 40 до 104 бит. Но это
не целый ключ, а только его статическая составляющая. Для усиления защиты
применяется так называемый вектор инициализации - Initialization Vector (IV),
который предназначен для рандомизации дополнительной части ключа, что
обеспечивает различные вариации шифра для разных пакетов данных. Этот вектор -
24-битный. Таким образом мы получаем общее шифрование с разрядностью от 64
(40+24) до 128 (104+24) бит и в результате при шифровании оперируем и
постоянными, и случайно подобранными символами.
Но, как оказалось,
взломать такую защиту можно. Соответствующие утилиты присутствуют в Интернете
(например AirSnort, WEPcrack). Основное её слабое место - вектор
инициализации. 24 бит позволяют создавать около 16 млн комбинаций, после
использования которых ключ начинает повторяться. Хакеру необходимо найти эти
повторы (от 15 мин. до одного часа для ключа 40 бит) и за секунды взломать
остальную часть ключа. После этого он может входить в сеть как обычный
зарегистрированный пользователь.
Как показало время, WEP - тоже не самая надёжная технология
защиты. После 2001 г. для проводных и беспроводных сетей внедрён новый стандарт
IEEE 802.1X, который использует вариант динамических 128-разрядных, т.е.
периодически изменяющихся во времени, ключей шифрования. Таким образом,
пользователи сети работают сеансами, по завершении которых им присылается новый
ключ. Например, Windows XP поддерживает этот стандарт, и по умолчанию время
одного сеанса равно 30 минутам.
Стандарт IEEE 802.1X оказался ключевым для развития
индустрии беспроводных сетей в целом. За основу взято исправление недостатков
технологий безопасности, применяемых в 802.11, в частности возможность взлома
WEP, зависимость от технологий производителя и т. п. 802.1X позволяет подключать
в сеть даже PDA-устройства, что дает возможность более выгодно использовать саму
идею беспроводной связи.
802.1X и 802.11 - совместимые стандарты. В 802.1X
применяется тот же алгоритм, что и в WEP, а именно - RC4, но с некоторыми
отличиями. 802.1X базируется на протоколе расширенной аутентификации (EAP),
протоколе защиты транспортного уровня (TLS) и сервере доступа Remote Access
Dial-in User Server. Протокол защиты транспортного уровня TLS обеспечивает
взаимную аутентификацию и целостность передачи данных. Все ключи являются
128-разрядными по умолчанию.
В конце 2003 г. внедрён стандарт Wi-Fi Protected Access
(WPA), который совмещает преимущества динамического обновления ключей IEEE
802.1X с кодированием протокола интеграции
временного ключа TKIP, протоколом расширенной аутентификации (EAP) и технологией
проверки целостности сообщений MIC. WPA - это временный стандарт, о котором
договорились производители оборудования, пока не вступил в силу IEEE
802.11i.
По сути WPA = 802.1X + EAP + TKIP + MIC, где:
WPA - технология защищённого доступа к беспроводным сетям,
EAP - протокол расширенной
аутентификации (Extensible Authentication Protocol),
TKIP - протокол интеграции
временного ключа (Temporal Key Integrity Protocol),
MIC - технология
проверки целостности сообщений (Message Integrity Check).
Стандарт TKIP использует автоматически подобранные
128-битные ключи, которые создаются непредсказуемым способом; общее число их
вариаций достигает 500 млрд. Сложная иерархическая система алгоритма подбора
ключей и динамическая их замена через каждые 10 Кбайт (10 тыс. передаваемых
пакетов) делают систему максимально защищённой. От внешнего проникновения и
изменения информации также обороняет MIC. Достаточно
сложный математический алгоритм позволяет сверять данные, отправленные в одной
точке и полученные в другой. Если замечены изменения и результаты сравнения не
сходятся, такие данные признаются ложными и выбрасываются.
Правда, TKIP уже не считается лучшим в реализации
шифрования, поскольку в силу вступают новые алгоритмы, основанные на технологии
Advanced Encryption Standard (AES), которая уже давно используется в VPN.
Что касается WPA, поддержка AES уже реализована в Windows XP, но пока только
опционально.
Помимо этого параллельно развивается множество
самостоятельных стандартов безопасности от различных разработчиков, в частности,
в этом направлении преуспевают Intel и Cisco. В 2004 г. появился
WPA2, или 802.11i, который в настоящее время является максимально защищённым.
Таким образом, сегодня у обычных пользователей и
администраторов сетей имеются все необходимые средства для надёжной защиты Wi-Fi,
и при отсутствии явных ошибок (пресловутый человеческий фактор) всегда можно
обеспечить уровень безопасности, соответствующий ценности информации,
находящейся в такой сети.
Беспроводная сеть считается защищенной, если в ней
функционируют три основные составляющие системы безопасности: аутентификация
пользователя, конфиденциальность и целостность передачи данных. При организации
и настройке частной Wi-Fi-сети для получения достаточного уровня безопасности
необходимо соблюдать следующие правила:
шифровать данные путем использования различных систем.
Максимальный уровень безопасности обеспечит применение VPN;
использовать протокол 802.1X;
запретить доступ к настройкам точки доступа с помощью
беспроводного подключения;
управлять доступом клиентов по MAC-адресам;
запретить трансляцию в эфир идентификатора SSID;
располагать антенны как можно дальше от окон, внешних стен
здания, а также ограничивать мощность радиоизлучения;
использовать максимально длинные ключи;
изменять статические ключи и пароли;
использовать метод WEP-аутентификации Shared Key,
так как клиенту для входа в сеть необходимо будет знать WEP-ключ;
пользоваться сложным
паролем для доступа к настройкам точки доступа;
по возможности не использовать
в беспроводных сетях протокол TCP/IP для организации папок, файлов и принтеров
общего доступа. Организация разделяемых ресурсов средствами NetBEUI в данном
случае безопаснее;
не разрешать гостевой доступ к ресурсам общего доступа,
использовать длинные сложные пароли;
не использовать в беспроводной сети DHCP. Вручную
распределять статические IP-адреса между легитимными клиентами безопаснее;
на всех ПК внутри беспроводной сети установить файерволлы,
не устанавливать точку доступа вне брандмауэра, использовать минимум протоколов
внутри WLAN (например только HTTP и SMTP);
регулярно исследовать уязвимости сети с помощью
специализированных сканеров безопасности (например NetStumbler);
использовать такие
специализированные сетевые операционные системы, как
Windows,
Nt,
Windows
2003, Windows
Xp.
Угрозу сетевой безопасности могут представлять и природные
явления, и технические устройства, однако только люди (недовольные уволенные
служащие, хакеры, конкуренты) внедряются в сеть для намеренного получения или
уничтожения информации. Именно они и представляют наибольшую угрозу.
Список источников:
http://www.ultra-net.ru/tech.html#4
http://www.winzone.ru/articles/304/
http://www.dataexpress.ru/review/ccc/2
http://www.intel.com/ru/update/contents/st08031.htm
http://www.thg.ru/network/20030828/print.html
http://www.thg.ru/network/20030828/802_11-04.html
|
