ТЕХНИЧЕСКИЕ АСПЕКТЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ РАБОТЫ ПОЛЬЗОВАТЕЛЕЙ В БЕСПРОВОДНЫХ СЕТЯХ Wi – Fi
Беспроводные технологии Wi-Fi связи являются не только модной новинкой, но и эффективным инструментом, значительно расширяющим возможности пользователей.
Мобильные устройства, такие как ноутбуки и карманные компьютеры, становятся неотъемлемым атрибутом человека.
Возрастание численности интернет-кафе и других хот-спотов сегодня зачастую являются основными инструментами, обеспечивающими мобильность интернет услуг.
Основными элементами, обеспечивающими беспроводной доступ пользователя к сети Интернет являются
беспроводные точки доступа.
Они представляют собой входные «ворота» внутрь сети, позволяя подключаться всем пользователям, включая злоумышленников.
Точка доступа управляет беспроводным трафиком на границе проводной и
беспроводной сети, поэтому любой злоумышленник, который может получить к ней доступ, может похитить персональную информацию других пользователей, которая циркулирует в трафике беспроводной сети [1].
За последние несколько лет, стоимость
Wi-Fi устройств значительно снизилась.
С 2008 года, в каждый ноутбук оборудован встроенным Wi-Fi адаптером.
Это обстоятельство обуславливает возрастающую доступность и мобильность интернет – пользователя.
Однако безопасность беспроводных сетей представляет серьезную проблему, требующую тщательного изучения.
Целью данной статьи является анализ характеристик беспроводных сетей и их аппаратных компонентов, потенциальных угроз для их пользователей и выработке рекомендаций по их защите от потенциальных злоумышленников.
Общие принципы и определения беспроводных сетей Wi-Fi
Wi-Fi - название технологии беспроводной связи.
В основу ее функционирования положен протокол 802.11.
В настоящее время наиболее распространен стандарт 802.11g, обеспечивающий скорость до 54 мегабит/сек.
Wi-Fi 802.11g работает на частоте 2.5 ГГц [2].
Различают несколько типов Wi-Fi устройств:
Точки доступа.
Обеспечивают подключение беспроводных устройств к проводным сетям.
Имеют несколько дополнительных режимов работы, например создание Wi-Fi сети, когда только одна из точек подключена к проводной сети.
Маршрутизатор.
Тоже самое, что и точка доступа, но имеет расширенные функции, например NAT, фильтрации и прочее.
Клиентские устройства.
Соответственно могут подключаться к точкам доступа.
Могут создавать сети точка-точка (AD-HOC), между несколькими клиентскими устройствами.
Можно придать клиентскому устройству любую функцию: Station (клиент), AD-HOC (точка-точка), AP (точка доступа), Bridge (ретранслятор), Monitor (перехват всего трафика в радиусе действия сети).
Wi-Fi сеть характеризуется следующими параметрами: 1) ESSID - "имя сети".
2) BSSID - уникальный идентификатор сети - MAC-адрес точки доступа; 3) Скорость доступа.
От 54 мегабит, до 1 мегабита; 4) Тип шифрования: "Отсутствует", WEP, WPA/WPA2; 5) Канал: Разные каналы - разная частота, это необходимо, чтобы разные сети не мешали друг другу; 6) Радиус действия: До 30 метров в помещении и 100 метров на открытом пространстве.
При подключении к точке доступа узко-направленной антенны, дальность действия может возрастать до 5 километров в пределах прямой видимости.
Основные угрозы безопасности в беспроводных сетях Wi-Fi К числу основных угроз для администраторов и пользователей беспроводных сетей относятся [3]:
- доступ к ресурсам и дискам пользователей Wi-Fi-сети, а через неё — и к ресурсам LAN;
- прослушивание трафика, извлечение из него конфиденциальной информации;
- искажение проходящей в сети информации;
- воровство интернет - трафика;
- атака на
персональные компьютеры пользователей и серверы сети (например, Denial of Service или даже глушение радиосвязи);
- внедрение поддельной точки доступа;
- рассылка
спама и противоправная деятельность от имени сети.
Технологии защиты в беспроводных сетях Wi-Fi WEP.
Позволяет шифровать трафик в рамках локальной сети.
Данные статической составляющей шифруются ключом с разрядностью от 40 до 104 бит.
Для повышения защищенности применяется вектор инициализации Initialization Vector для рандомизации дополнительной части ключа.
Это обеспечивает различные вариации шифра для разных пакетов данных.
Данный вектор является 24-битным.
Таким образом, возможно общее шифрование с разрядностью от 64 (40+24) до 128 (104+24) бит.
Основное слабое место этой технологии — это вектор инициализации.
24 бита, подразумевает около 16 миллионов комбинаций (2 в 24 степени) — после использования этого количества ключ начинает повторяться.
Злоумышленнику необходимо найти эти повторы (в реальности от 15 минут до часа).
802.1X.
Это стандарт, который оказался ключевым для развития индустрии беспроводных сетей в целом.
За его основу взято исправление недостатков технологий безопасности WEP.
Он базируется на протоколе расширенной аутентификации Extensible Authentication Protocol (EAP), протоколе защиты транспортного уровня Transport Layer Security (TLS) и сервере доступа RADIUS (Remote Access Dial-in User Server).
В нем добавлена новая организация работы клиентов сети.
После того, как пользователь прошёл этап аутентификации, ему высылается секретный ключ в зашифрованном виде на определённое незначительное время — время действующего на данный момент сеанса.
По завершении этого сеанса генерируется новый ключ и опять высылается пользователю.
Протокол защиты транспортного уровня TLS обеспечивает взаимную аутентификацию и целостность передачи данных.
Все ключи являются 128-разрядными по умолчанию.
WPA.
Это временный стандарт, о котором договорились производители оборудования, пока не вступил в силу IEEE 802.11i.
По сути, WPA = 802.1X + EAP + TKIP + MIC, где:
WPA — технология защищённого доступа к беспроводным сетям (Wi-Fi Protected Access);
EAP — протокол расширенной аутентификации (Extensible Authentication Protocol;
TKIP — протокол интеграции временного ключа (Temporal Key Integrity Protocol);
MIC — технология проверки целостности сообщений (Message Integrity Check).
TKIP использует автоматически подобранные 128-битные ключи, которые создаются непредсказуемым способом и общее число вариаций которых достигает 500 миллиардов.
Сложная иерархическая система алгоритма подбора ключей и динамическая их замена через каждые 10 Кбайт (10 тыс.
передаваемых пакетов) делают систему максимально защищённой.
От внешнего проникновения и изменения информации также обороняет технология проверки целостности сообщений (Message Integrity Check).
Она позволяет сверять отправленные в одной точке и полученные в другой данные.
Если замечены изменения и результат сравнения не сходится, такие данные считаются ложными и выбрасываются.
WPA2.
Этот стандарт во многом построен на основе предыдущей версии, WPA, использующей элементы IEEE 802.11i.
Стандарт предусматривает применение шифрования AES, аутентификации 802.1x, а также защитных спецификаций RSN и CCMP.
Как предполагается, WPA2 должен существенно повысить защищенность Wi-Fi-сетей по сравнению с прежними технологиями.
По аналогии с WPA, WPA2 также делится на два типа: WPA2-PSK и WPA2-802.1x.
VPN.
Технология виртуальных частных сетей
Virtual Private Network (VPN) используется для обеспечения безопасного соединения клиентских систем с серверами по общедоступным интернет-каналам. VPN очень хорошо себя зарекомендовали с точки зрения шифрования и надёжности аутентификации.
И хотя технология
VPN не предназначалась изначально именно для Wi-Fi, она может использоваться для любого типа сетей, и идея защитить беспроводную сеть с её помощью одна из лучших на сегодня.
Рекомендации по обеспечению безопасности беспроводных сетях Wi-Fi
Для обеспечения требуемого
уровня безопасности, следует соблюдать следующие правила при организации и настройке Wi-Fi сети [4]: -
максимальный уровень безопасности обеспечит
применение VPN; -
если есть возможность использовать 802.1X (например, точка доступа поддерживает, имеется RADIUS-сервер); -
перед покупкой сетевых устройств узнайте, какие протоколы или технологии шифрования ими поддерживаются.
Проверьте, поддерживают ли эти технологии шифрования ОС; -
обратите внимание на устройства, использующие WPA2 и 802.11i, поскольку в этом стандарте для обеспечения безопасности используется новый Advanced Encryption Standard (AES); -
если точка доступа позволяет запрещать доступ к своим настройкам с помощью беспроводного подключения, то используйте эту возможность.
Настраивайте ее только через проводное подключение; -
если точка доступа позволяет управлять доступом клиентов по
MAC-адресам (Media Access Control, в настройках может называться Access List), используйте эту возможность.
Это дополнительный барьер на пути злоумышленника; -
если оборудование позволяет запретить трансляцию в эфир идентификатора SSID, используйте эту возможность (опция может называться “closed network”), но и в этом случае SSID может быть перехвачен при подключении легитимного клиента; -
запретите доступ для клиентов с SSID по умолчанию “ANY”, если оборудование позволяет это делать.
Не используйте простые SSID; -
располагайте антенны как можно дальше от окон, внешних стен здания, а также ограничивайте мощность радиоизлучения, чтобы снизить вероятность подключения «с улицы»; -
если при установке драйверов сетевых устройств, предлагается выбор между технологиями шифрования WEP, WEP/WPA (средний вариант), необходимо выбирать WPA; -
всегда использовать максимально длинные ключи.
128-бит — это минимум; -
не давать никому информации о том, каким образом и с какими паролями осуществляется подключение к беспроводной сети; -
если используются статические ключи и пароли, необходимо выполнять их частую смену; -
если в настройках беспроводного устройства предлагается выбор между методами WEP-аутентификации “Shared Key” и “Open System”, необходимо выбирать “Shared Key”; -
обязательно использовать сложный пароль для доступа к настройкам точки доступа.
Если точка доступа не позволяет ограничивать доступ паролем, лучше отказаться от ее использования; -
если для генерации ключа использовать набор букв и цифр без пробелов.
При ручном вводе ключа WEP вводите значения для всех полей ключа (при шестнадцатеричной записи вводить можно цифры 0 — 9 и буквы a — f); -
не использовать протокол TCP/IP в беспроводных сетях для организации папок, файлов и принтеров общего доступа.
Организация разделяемых ресурсов средствами NetBEUI в данном случае безопаснее.
Не следует разрешать гостевой доступ к ресурсам общего доступа; -
вручную распределять статические IP-адреса между легитимными клиентами; -
на всех компьютерах внутри беспроводной сети следует установить сетевые экраны; -
не рекомендуется устанавливать беспроводную точку доступа вне
брандмауэра, используйте минимум протоколов внутри WLAN (например, только HTTP); -
необходимо регулярно исследовать уязвимость беспроводной сети с помощью специализированных сканеров безопасности. Выводы Таким образом, учитывая перечисленный комплекс мер пользователей и администраторов сетей имеются все необходимые средства для надёжной защиты беспроводных сетей Wi-Fi, и при отсутствии явных ошибок (в первую очередь
человеческий фактор) всегда можно обеспечить уровень безопасности, соответствующий ценности информации, циркулирующей в такой сети.
В целом, для отдельно взятой беспроводной сети, проводимая политика безопасности должна быть индивидуальной и должна определяться в соответствии с ее структурой, а также программными и техническими средствами при ее практической реализации.
Литература
1. Гордейчик С.
В.
Безопасность беспроводных сетей / Дубровин В.В.
¾ Москва, 2008.
- 288 с.
2. Баскаков И.
В.
Беспроводные сети Wi-Fi / Гордейчик.
С.В., Пролетарский А.
В., Чирков Д.
Н.
- Бином, - 178 с.
3. Медведовский И.Д.
Атака из Internet / Семьянов П.В., Леонов Д.Г., Лукацкий А.В.
¾ Солон, 2002,
- 368 с.
4. William Stallings.
Network Security Essentials.
Applications and Standards / William Stallings,
- 2002, - 432 с.
Опубликовано: Sworld.com.UA
-
https://www.sworld.com.ua/index.php/ru/technical-sciences/electrical-engineering-radio-engineering-telecommunications-and-electronics/1091-vm-nikolaenko-nikolaenko-zadereyko-ab-rh
|