Очевидно, что в беспроводных сетях в качестве среды передачи данных используется радиоэфир. В то же время, вследствие его высокой доступности, остро встает вопрос обеспечения безопасности передаваемых через беспроводную сеть данных. Поэтому безопасность в беспроводных сетях обеспечивается на трех уровнях:

· Физический;

· Канальный;

· Транспортный.

На физическом уровне существуют два метода защиты - помехообразующие устройства и широковещание SSID. Помехообразующие устройства можно установить по периметру требуемого радиуса сети, чтобы беспроводная сеть функционировала только в заданной области, и ее сигнал невозможно было поймать вне этой зоны. Также существует возможность отключения широковещания SSID. SSID - это ServiceSetIdentifier, иными словами - имя сети, которое транслируется в сеть при помощи специальных пакетов раз в 100мс.

Для повышения безопасности рекомендуется отключать широковещание SSID. Благодаря этому, вы сможете "скрыть" свою сеть, и подключение к ней будет возможно только после указания SSID. Однако данный метод защиты не является панацеей, так как злоумышленник сможет узнать SSID после анализа пакетов. На канальном уровне также существует метода защиты, такой как фильтрация MAC-адресов. При подключении к точке доступа, выполняется проверка MAC-адреса клиентского устройства, и если он совпадает с "белым списком", то разрешается подключение к сети. Аналогично, есть возможность работы по принципу "черного" списка. Становится ясно, что для защиты данных необходимо использовать механизмы шифрования на транспортном уровне.

Алгоритмы безопасности беспроводных сетей

1) Wired Equivalent Privacy (WEP) алгоритм для обеспечения безопасности сетей Wi-Fi. Используется для обеспечения конфиденциальности и защиты передаваемых данных авторизированных пользователей беспроводной сети от прослушивания. Существует две разновидности WEP: WEP-40 и WEP-104, различающиеся только длиной ключа. Это одна из первых технологий, в настоящее время она является устаревшей, так как ее взлом может быть осуществлен всего за несколько минут. В основе WEP лежит поточный шифр RC4, выбранный из-за своей высокой скорости работы и возможности использования переменной длины ключа. Для подсчета контрольных сумм используется CRC32.

Целью работы является изучение современного состояния средств защиты информации в беспроводных сетях на основе групп протоколов IEEE 802.11, а также разработка комплекса мер для усиления безопасности на основе практических пошаговых рекомендаций. Данное исследование может представлять интерес как для специалистов в области разработки средств защиты беспроводных сетей, так и для технических сотрудников, выполняющих непосредственное администрирование беспроводных сетей.

Ключевые слова: IEEE 802.11, беспроводные сети, защита информации, шифрование, безопасность.

Защита беспроводных сетей по технологии групп протоколов IEEE 802.11 (известных под торговой маркой Wi-Fi) является одной из важных задач, стоящих перед разработчиками и администраторами коммуникаций. В общем случае, защита должна обеспечивать невозможность доступа в сеть без разрешения администратора сети, выражаемого в выдаче кодов доступа или специальных устройств доступа. Особенность беспроводных сетей на базе протоколов IEEE 802.11 приводит к следующим сложностям защиты, по сравнению с проводными компьютерными сетями [1]:

1) Для подключения к беспроводной сети, не требуется физический доступ к кабелю витой пары или оптоволокну — достаточно находиться в зоне приёма сигнала маршрутизатора;

2) Сама передача данных по беспроводному каналу может быть перехвачена и обработана даже без устройства доступа, специальными аппаратными или программными средствами.

Основные стандартные меры по защите информации в Wi-Fi сетях.

К стандартным мерам защиты относятся программные и аппаратные средства, предназначенные для решения следующих задач:

1) Предотвращение несанкционированного подключения к беспроводной сети пользователей;

2) Предотвращение доступа к запрещенным ресурсам уже подключившихся пользователей;

3) В случае уже произошедшего доступа, выполнить меры по сбору информации для предотвращения следующего инцидента доступа.

Как правило, в большинстве случаев выполняются следующие стандартные меры по повышению уровня защиты беспроводной сети [2]:

1) Замена ключей доступа на более комплексные;

2) Смена протоколов шифрования на более современные и устойчивые к взлому методом перебора;

3) Установка программного обеспечения для протоколирования доступа пользователей к ресурсам внутри сети.

Реализация аппаратно-программной защиты.

Для администраторов беспроводной сети, предлагается расширенный комплекс мер на основе автоматизированного контроля за доступом к сети, программируемой смены ключа доступа и перехода на последние стандарты шифрования. Комплекс предназначен для повышения всех уровней защиты беспроводной сети. Перечислим каждый шаг по усилению защиты.

Шаг 1: Контроль доступа за ресурсами.

Рис. 1. Установка контролирующего программного обеспечения для отслеживания доступа к ресурсам

Как видно, запись инцидентов доступа ведется за пределы защищаемой сети, что даже в худшем случае совершенного несанкционированного доступа, позволит сохранить и расследовать историю инцидента.

Шаг 2: Замена протоколов шифрования и доступа

Традиционным алгоритмом шифрования данных в сети Wi-Fi является WEP (Wired Equivalent Privacy) [3]. Он повсеместно распространен и легко конфигурируется, однако существенно уязвим, особенно к методам силового перебора. Обязательной мерой для повышения безопасности беспроводной сети является перевод всех маршрутизаторов и клиентских терминалов на протоколы шифрования данных WPA и WPA2, которые представляют собой следующее поколение алгоритмов шифрования [3].

Помимо установки новых алгоритмов для оборудования, необходимо также усиление собственной сети за счет введения виртуальной внутренней сети, известной как технология VPN (Virtual Private Network). Создание VPN вводит дополнительное шифрование поверх уже используемых уровней [4], что на порядок повышает сложность взлома и делает практически невозможным силовой подбор ключей и паролей.

Шаг 3: Автоматическая регенерация ключей доступа внутри беспроводной сети.

Наконец, исключительной по своей эффективности мерой является автоматическая регенерация ключей доступа, производимая по расписанию и заданному алгоритму на всех устройствах доступа и клиентских терминалах. Такая мера требует разработки и установки специального программного обеспечения, которое выполняет следующие действия:

1) Создает новый ключ доступа в соответствии с правилами, заданными администратором сети;

2) Устанавливает этот ключ на все устройства, используя для подключения еще действующий предыдущий ключ;

3) Повторяет действия не реже периода, заданного администратором сети.

Ведение собственной базы ключей позволит избежать повторного использования ранее примененной последовательности, а использование аппаратно-программного генератора случайных чисел сделает создаваемый ключ статистически непредсказуемым [3]. При правильной настройке такого комплекса, силовой подбор ключа доступа становится практически невозможен, даже при полном доступе злоумышленника к каналу связи. На рисунке 2 показана архитектура такого решения.

Рис. 2. Архитектура система автоматизированной смены ключей доступа в сети Wi-Fi

Рассмотренные меры позволяют сделать невозможным чисто силовые методы взлома беспроводной сети Wi-Fi и существенно затрудняют прочие способы, такие, как социальные и логические. Для обеспечения максимальной степени защиты, рекомендуется комбинировать предложенные меры с другими, например, контролем доступа персонала и расширенные методы идентификации пользователей с использованием электромагнитных карт или датчиков отпечатков пальцев.

1. Пролетарский А. В., Баскаков И. В.,Чирков Д. Н., Федотов Р. А., Бобков А. В., Платонов В. А. Беспроводные сети Wi-Fi. — М.: Интернет-университет информационных технологий — ИНТУИТ.ру, 2013. — 216 с.
2. Пол Беделл. Сети. Беспроводные технологии. — М.: НТ Пресс, 2008. — 448 с.
3. Kshitiz Saxena, Juhi Sharma. Performance Evaluation Of Security Algorithms In A Wi-Fi Testbed: A comparative study of Wi-Fi security protocols. —: LAP LAMBERT Academic Publishing, 2012. — 108 с.
4. Чефранова А. О. Технология построения VPNViPNet — Сети, Наука и учеба, 2009–180 c.

Основные термины (генерируются автоматически): IEEE, беспроводная сеть, сеть, VPN, мера, WEP, автоматическая регенерация ключей, аппаратно-программная защита, общий случай, программное обеспечение.

Синоптики предсказывают, что к 2016 году наступит второй ледниковый период трафик в беспроводных сетях на 10% превзойдёт трафик в проводном Ethernet. При этом от года в год частных точек доступа становится примерно на 20% больше.

При таком тренде не может не радовать то, что 80% владельцев сетей не меняют пароли доступа по умолчанию. В их число входят и сети компаний.

Этим циклом статей я хочу собрать воедино описания существующих технологии защит, их проблемы и способы обхода, таким образом, что в конце читатель сам сможет сказать, как сделать свою сеть непробиваемой, и даже наглядно продемонстрировать проблемы на примере незадачливого соседа (do not try this at home, kids). Практическая сторона взлома будет освещена с помощью Kali Linux (бывший Backtrack 5) в следующих частях.

Статья по мере написания выросла с 5 страниц до 40, поэтому я решил разбить её на части. Этот цикл — не просто инструкция, как нужно и не нужно делать, а подробное объяснение причин для этого. Ну, а кто хочет инструкций — они такие:

Используйте WPA2-PSK-CCMP с паролем от 12 символов a-z (2000+ лет перебора на ATI-кластере). Измените имя сети по умолчанию на нечто уникальное (защита от rainbow-таблиц). Отключите WPS (достаточно перебрать 10000 комбинаций PIN). Не полагайтесь на MAC-фильтрацию и скрытие SSID.

Передайте мне сахар

Представьте, что вы — устройство, которое принимает инструкции. К вам может подключиться каждый желающий и отдать любую команду. Всё хорошо, но на каком-то этапе потребовалось фильтровать личностей, которые могут вами управлять. Вот здесь и начинается самое интересное.

Как понять, кто может отдать команду, а кто нет? Первое, что приходит в голову — по паролю. Пусть каждый клиент перед тем, как передать новую команду, передаст некий пароль. Таким образом, вы будете выполнять только команды, которые сопровождались корректным паролем. Остальные — фтопку.

После успешной авторизации браузер просто-напросто будет передавать определённый заголовок при каждом запросе в закрытую зону:

То есть исходное:

Для предотвращения подобного безобразия можно прибегнуть к хитрости: использовать какой-либо двухсторонний алгоритм шифрования, где закрытым ключом будет как раз наш пароль, и явно его никогда не передавать. Однако проблемы это не решит — достаточно один раз узнать пароль и можно будет расшифровать любые данные, переданные в прошлом и будущем, плюс шифровать собственные и успешно маскироваться под клиента. А учитывая то, что пароль предназначен для человека, а люди склонны использовать далеко не весь набор из 256 байт в каждом символе, да и символов этих обычно около 6-8… в общем, комсомол не одобрит.

Итак, для подбора ключа хакеру нужно будет либо найти уязвимость в алгоритме его генерации (как в случае с Dual_EC_DRBG), либо арендовать сотню-другую параллельных вселенных и несколько тысяч ATI-ферм для решения этой задачи при своей жизни. Всё это благодаря тому, что случайный ключ может быть любой длины и содержать любые коды из доступных 256, потому что пользователю-человеку никогда не придётся с ним работать.

Именно такая схема с временным ключом (сеансовый ключ, session key или ticket) в разных вариациях и используется сегодня во многих системах — в том числе SSL/TLS и стандартах защиты беспроводных сетей, о которых будет идти речь.

План атаки

Наша задача при взломе любой передачи так или иначе сводится к перехвату рукопожатия, из которого можно будет либо вытащить временный ключ, либо исходный пароль, либо и то, и другое. В целом, это довольно долгое занятие и требует определённой удачи.

Но это в идеальном мире…

Механизмы защиты Wi-Fi

Технологии создаются людьми и почти во всех из них есть ошибки, иногда достаточно критические, чтобы обойти любую самую хорошую в теории защиту. Ниже мы пробежимся по списку существующих механизмов защиты передачи данных по радиоканалу (то есть не затрагивая SSL, VPN и другие более высокоуровневые способы).

OPEN — это отсутствие всякой защиты. Точка доступа и клиент никак не маскируют передачу данных. Почти любой беспроводной адаптер в любом ноутбуке с Linux может быть установлен в режим прослушки, когда вместо отбрасывания пакетов, предназначенных не ему, он будет их фиксировать и передавать в ОС, где их можно спокойно просматривать. Кто у нас там полез в Твиттер?

WEP был придуман в конце 90-х, что его оправдывает, а вот тех, кто им до сих пор пользуется — нет. Я до сих пор на 10-20 WPA-сетей стабильно нахожу хотя бы одну WEP-сеть.

На практике существовало несколько алгоритмов шифровки передаваемых данных — Neesus, MD5, Apple — но все они так или иначе небезопасны. Особенно примечателен первый, эффективная длина которого — 21 бит (~5 символов).

Основная проблема WEP — в фундаментальной ошибке проектирования. Как было проиллюстрировано в начале — шифрование потока делается с помощью временного ключа. WEP фактически передаёт несколько байт этого самого ключа вместе с каждым пакетом данных. Таким образом, вне зависимости от сложности ключа раскрыть любую передачу можно просто имея достаточное число перехваченных пакетов (несколько десятков тысяч, что довольно мало для активно использующейся сети).

Про атаки на WEP будет сказано в третьей части. Скорее всего в этом цикле про WEP не будет, так как статьи и так получились очень большие, а распространённость WEP стабильно снижается. Кому надо — легко может найти руководства на других ресурсах.

WPA и WPA2

WPA — второе поколение, пришедшее на смену WEP. Расшифровывается как Wi-Fi Protected Access. Качественно иной уровень защиты благодаря принятию во внимание ошибок WEP. Длина пароля — произвольная, от 8 до 63 байт, что сильно затрудняет его подбор (сравните с 3, 6 и 15 байтами в WEP).

Стандарт поддерживает различные алгоритмы шифрования передаваемых данных после рукопожатия: TKIP и CCMP. Первый — нечто вроде мостика между WEP и WPA, который был придуман на то время, пока IEEE были заняты созданием полноценного алгоритма CCMP. TKIP так же, как и WEP, страдает от некоторых типов атак, и в целом не безопасен. Сейчас используется редко (хотя почему вообще ещё применяется — мне не понятно) и в целом использование WPA с TKIP почти то же, что и использование простого WEP.

WPA отличается от WEP и тем, что шифрует данные каждого клиента по отдельности. После рукопожатия генерируется временный ключ — PTK — который используется для кодирования передачи этого клиента, но никакого другого. Поэтому даже если вы проникли в сеть, то прочитать пакеты других клиентов вы сможете только, когда перехватите их рукопожатия — каждого по отдельности. Демонстрация этого с помощью Wireshark будет в третьей части.

В этом цикле будет подробно разобрана атака на WPA(2)-PSK, так как Enterprise — это совсем другая история, так как используется только в больших компаниях.

WPS/QSS

Учитывая, что это взаимодействие происходит до любых проверок безопасности, в секунду можно отправлять по 10-50 запросов на вход через WPS, и через 3-15 часов (иногда больше, иногда меньше) вы получите ключи от рая.

Когда данная уязвимость была раскрыта производители стали внедрять ограничение на число попыток входа (rate limit), после превышения которого точка доступа автоматически на какое-то время отключает WPS — однако до сих пор таких устройств не больше половины от уже выпущенных без этой защиты. Даже больше — временное отключение кардинально ничего не меняет, так как при одной попытке входа в минуту нам понадобится всего 10000/60/24 = 6,94 дней. А PIN обычно отыскивается раньше, чем проходится весь цикл.

Хочу ещё раз обратить ваше внимание, что при включенном WPS ваш пароль будет неминуемо раскрыт вне зависимости от своей сложности. Поэтому если вам вообще нужен WPS — включайте его только когда производится подключение к сети, а в остальное время держите этот бекдор выключенным.

Читайте также:

  
• Форма государства понятие элементы реферат
  
• Ремонт карданного вала реферат
  
• Сердечно сосудистая система животных реферат
  
• Социальное партнерство в профилактической деятельности в медицине реферат
  
• Заказать реферат в ижевске