Меню
ГлавнаяФайлы и папки

Безопасность беспроводных сетей. Защитить Wi-Fi, как повысить безопасность беспроводной сети

Вы покупаете дорогой роутер, устанавливаете сложный пароль и никому его не сообщаете, но всё равно замечаете, что скорость порой как-то проседает… Хуже, только если вы обнаружите кражу личных данных, заблокированный компьютер и другие прелести. Несмотря на антивирус и другую защиту.

Оказывается, домашний Wi-Fi далеко не так защищен, как вы думаете. Разбираемся, почему.

Уязвимый WPA2

Современные точки доступа Wi-Fi защищены в основном протоколом WPA2. В нём реализовано CCMP и шифрование AES . CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) – это протокол блочного шифрования с кодом аутентичности сообщения (MAC) и режимом сцепления блоков и счётчика, который был создан для замены более слабого TKIP (использовался в предшественниках, WPA и WEP). Собственно, CCMP использует AES (Advanced Encryption Standard) – симметричный алгоритм блочного шифрования (размер блока 128 бит, ключ 128/192/256 бит).

Объективно говоря, WPA2 – довольно старый протокол

Соответственно, и уязвимостей в протоколе найдено немало. Например, ещё 23 июля 2010 года опубликовали данные о дыре под названием Hole196. Используя её, авторизовавшийся в сети пользователь может применять свой закрытый ключ для расшифровки данных других пользователей и подменять MAC-адреса, а значит, использовать ресурсы взломанной сети для атак на различные веб-ресурсы без риска быть обнаруженным. Без всякого брутфорса и взлома ключей!

Патчи, надо сказать, выпустили не все. А дальше пошло-поехало…

Взлом WPA2

Сегодня Wi-Fi c WPA2 в основном взламывают брутфорсом и атакой по словарю. Хакеры мониторят беспроводную карту, сканируют эфир, отслеживают и записывают нужные пакеты.

После этого выполняется деавторизация клиента. Это нужно для хэндшейка – захвата начального обмена пакетами. Можно, конечно, подождать, пока клиент подключится. Но этого может и не произойти, по крайней мере, в ближайшие несколько минут.

Взлом WPS

Многие современные роутеры поддерживают протокол Wi-Fi Protected Setup, который используется для полуавтоматического подключения к беспроводной сети Wi-Fi. Он был разработал для упрощения подключения к WPS. Упростил, конечно, процесс и для злоумышленников тоже.

В PIN-коде WPS, который позволяет подключиться к сети, восемь знаков. Причём восьмой символ является контрольной суммой.

Уязвимость в WPS-протоколе позволяет проверять PIN-коды блоками: первый блок включает четыре цифры, второй – три (восьмая цифра вычисляется). В итоге имеем 9999 + 999 = 10998 вариантов PIN-кода.

Для взлома WPS подходит утилита Reaver. Она есть, к примеру, в дистрибутиве Kali Linux .

Алгоритм действий прост:

  • -i mon0 – это интерфейс,
  • -b 64:XX:XX:XX:XX:F4 это BSSID атакуемой точки,
  • -vv необязательный ключ, который включает подробный вывод.

Процесс перебора может занять несколько часов. Его результат – подобранный PIN-код и ключ безопасности сети.

Альтернативы – приложения WPS Connect , WIFI WPS WPA TESTER для Android и др. С iPhone сложнее, потому что из официального App Store приложения быстро удаляют или отклоняют на старте, а из неофициальных магазинов вы устанавливаете программы на свой страх и риск.

Чтобы бороться с этой атакой, нужно отключить WPS на роутере или точке доступа. Тогда взламывать будет нечего.

Последствия атак

Самое простое – использовать вашу Wi-Fi-сеть для получения бесплатного интернет-доступа. «Симптомы»: падение скорости, превышение лимитов трафика, увеличение пинга.

Хакеры могут использовать ваш Wi-Fi для совершения противоправных действий. К примеру, взлома сетей и аккаунтов, рассылки спама и т.п. Если правоохранительные органы отследят преступников до вашего IP, придётся объясняться. Вероятность невелика, но неприятно.

Наконец, самое страшное – если хакеры решат перехватить и расшифровать ваш трафик. И получить данные, которые вы бы не хотели кому-то предоставлять: пароли от социальных сетей и банковских аккаунтов, интимные фото, личную переписку.

Наконец, есть возможность осуществления атак «человек посередине». Можно перехватывать сеансы TCP, выполнять вставку информации в сеансы HTTP, воспроизводить адресные или широковещательные пакеты.

Резюме

Главное отличие между проводными и беспроводными сетями

связано с абсолютно неконтролируемой областью между конечными точками сети. В достаточно широком пространстве сетей беспроводная среда никак не контролируется. Современные беспроводные технологии предлагают

ограниченный набор средств управления всей областью развертывания сети. Это позволяет атакующим, находящимся в непосредственной близости от беспроводных структур, производить целый ряд нападений, которые были невозможны в проводном мире. Обсудим характерные только для беспроводного окружения угрозы безопасности, оборудование, которое используется при атаках, проблемы, возникающие при роуминге от одной точки доступа к другой укрытия для беспроводных каналов и криптографическую защиту открытых коммуникаций.

Подслушивание

Наиболее распространенная проблема в таких открытых и неуправляемых средах как беспроводные сети, - возможность анонимных атак. Анонимные вредители могут перехватывать радиосигнал и расшифровывать передаваемые данные. Оборудование, используемое для подслушивания в сети, может быть не сложнее того, которое используется для обычного доступа к этой сети. Чтобы перехватить передачу, злоумышленник должен находиться вблизи от передатчика. Перехваты такого типа практически невозможно зарегистрировать, и еще труднее им помешать. Использование антенн и усилителей дает злоумышленнику возможность находиться на значительном удалении от цели в процессе перехвата. Подслушивание ведут для сбора информации в сети, которую впоследствии предполагается атаковать. Первичная цель злоумышленника - понять, кто использует сеть, какая информация в ней доступна, каковы возможности сетевого оборудования, в какие моменты его эксплуатируют наиболее и наименее интенсивно и какова территория развертывания сети.

Все это пригодится для того, чтобы организовать атаку на сеть.

Многие общедоступные сетевые протоколы передают такую важную информацию, как имя пользователя и пароль, открытым текстом. Перехватчик может использовать добытые данные для того, чтобы получить доступ к сетевым ресурсам.

Даже если передаваемая информация зашифрована, в руках злоумышленника оказывается текст, который можно запомнить, а потом уже раскодировать. Другой способ подслушивания - подключиться к беспроводной сети. Активное подслушивание в локальной беспроводной сети обычно основано на неправильном использовании протокола Address Resolution Protocol (ARP).

Изначально эта технология была создана для «прослушивания» сети. В действительности мы имеем дело с атакой типа MITM (man in the middle, «человек посередине») на уровне связи данных. Они могут принимать различные формы и используются для разрушения конфиденциальности и целостности сеанса связи.

Атаки MITM более сложны, чем большинство других атак: для их проведения требуется подробная информация о сети. Злоумышленник обычно подменяет идентификацию одного из сетевых ресурсов.

Когда жертва атаки инициирует соединение, мошенник перехватывает его и затем завершает соединение с требуемым ресурсом, а потом пропускает все соединения с этим ресурсом через свою станцию. При этом, атакующий может посылать информацию, изменять посланную или подслушивать все переговоры и потом расшифровывать их. Атакующий посылает ARP-ответы, на которые не было запроса, к целевой станции локальной сети, которая отправляет ему весь проходящий через нее трафик. Затем злоумышленник будет отсылать пакеты указанным адресатам. Таким образом, беспроводная станция может перехватывать трафик другого беспроводного клиента (или проводного клиента в локальной сети).

Чтобы защитить свою Wi-Fi сеть и установить пароль, необходимо обязательно выбрать тип безопасности беспроводной сети и метод шифрования. И на данном этапе у многих возникает вопрос: а какой выбрать? WEP, WPA, или WPA2? Personal или Enterprise? AES, или TKIP? Какие настройки безопасности лучше всего защитят Wi-Fi сеть? На все эти вопросы я постараюсь ответить в рамках этой статьи. Рассмотрим все возможные методы аутентификации и шифрования. Выясним, какие параметры безопасности Wi-Fi сети лучше установить в настройках маршрутизатора.

Обратите внимание, что тип безопасности, или аутентификации, сетевая аутентификация, защита, метод проверки подлинности – это все одно и то же.

Тип аутентификации и шифрование – это основные настройки защиты беспроводной Wi-Fi сети. Думаю, для начала нужно разобраться, какие они бывают, какие есть версии, их возможности и т. д. После чего уже выясним, какой тип защиты и шифрования выбрать. Покажу на примере нескольких популярных роутеров.

Я настоятельно рекомендую настраивать пароль и защищать свою беспроводную сеть. Устанавливать максимальный уровень защиты. Если вы оставите сеть открытой, без защиты, то к ней смогут подключится все кто угодно. Это в первую очередь небезопасно. А так же лишняя нагрузка на ваш маршрутизатор, падение скорости соединения и всевозможные проблемы с подключением разных устройств.

Защита Wi-Fi сети: WEP, WPA, WPA2

Есть три варианта защиты. Разумеется, не считая "Open" (Нет защиты) .

  • WEP (Wired Equivalent Privacy) – устаревший и небезопасный метод проверки подлинности. Это первый и не очень удачный метод защиты. Злоумышленники без проблем получают доступ к беспроводным сетям, которые защищены с помощью WEP. Не нужно устанавливать этот режим в настройках своего роутера, хоть он там и присутствует (не всегда) .
  • WPA (Wi-Fi Protected Access) – надежный и современный тип безопасности. Максимальная совместимость со всеми устройствами и операционными системами.
  • WPA2 – новая, доработанная и более надежная версия WPA. Есть поддержка шифрования AES CCMP. На данный момент, это лучший способ защиты Wi-Fi сети. Именно его я рекомендую использовать.

WPA/WPA2 может быть двух видов:

  • WPA/WPA2 - Personal (PSK) – это обычный способ аутентификации. Когда нужно задать только пароль (ключ) и потом использовать его для подключения к Wi-Fi сети. Используется один пароль для всех устройств. Сам пароль хранится на устройствах. Где его при необходимости можно посмотреть, или сменить. Рекомендуется использовать именно этот вариант.
  • WPA/WPA2 - Enterprise – более сложный метод, который используется в основном для защиты беспроводных сетей в офисах и разных заведениях. Позволяет обеспечить более высокий уровень защиты. Используется только в том случае, когда для авторизации устройств установлен RADIUS-сервер (который выдает пароли) .

Думаю, со способом аутентификации мы разобрались. Лучшие всего использовать WPA2 - Personal (PSK). Для лучшей совместимости, чтобы не было проблем с подключением старых устройств, можно установить смешанный режим WPA/WPA2. На многих маршрутизаторах этот способ установлен по умолчанию. Или помечен как "Рекомендуется".

Шифрование беспроводной сети

Есть два способа TKIP и AES .

Рекомендуется использовать AES. Если у вас в сети есть старые устройства, которые не поддерживают шифрование AES (а только TKIP) и будут проблемы с их подключением к беспроводной сети, то установите "Авто". Тип шифрования TKIP не поддерживается в режиме 802.11n.

В любом случае, если вы устанавливаете строго WPA2 - Personal (рекомендуется) , то будет доступно только шифрование по AES.

Какую защиту ставить на Wi-Fi роутере?

Используйте WPA2 - Personal с шифрованием AES . На сегодняшний день, это лучший и самый безопасный способ. Вот так настройки защиты беспроводной сети выглядит на маршрутизаторах ASUS:

А вот так эти настройки безопасности выглядят на роутерах от TP-Link (со старой прошивкой) .

Более подробную инструкцию для TP-Link можете посмотреть .

Инструкции для других маршрутизаторов:

Если вы не знаете где найти все эти настройки на своем маршрутизаторе, то напишите в комментариях, постараюсь подсказать. Только не забудьте указать модель.

Так как WPA2 - Personal (AES) старые устройства (Wi-Fi адаптеры, телефоны, планшеты и т. д.) могут не поддерживать, то в случае проблем с подключением устанавливайте смешанный режим (Авто).

Не редко замечаю, что после смены пароля, или других параметров защиты, устройства не хотят подключаться к сети. На компьютерах может быть ошибка "Параметры сети, сохраненные на этом компьютере, не соответствуют требованиям этой сети". Попробуйте удалить (забыть) сеть на устройстве и подключится заново. Как это сделать на Windows 7, я писал . А в Windows 10 нужно .

Пароль (ключ) WPA PSK

Какой бы тип безопасности и метод шифрования вы не выбрали, необходимо установить пароль. Он же ключ WPA, Wireless Password, ключ безопасности сети Wi-Fi и т. д.

Длина пароля от 8 до 32 символов. Можно использовать буквы латинского алфавита и цифры. Так же специальные знаки: - @ $ # ! и т. д. Без пробелов! Пароль чувствительный к регистру! Это значит, что "z" и "Z" это разные символы.

Не советую ставить простые пароли. Лучше создать надежный пароль, который точно никто не сможет подобрать, даже если хорошо постарается.

Вряд ли получится запомнить такой сложный пароль. Хорошо бы его где-то записать. Не редко пароль от Wi-Fi просто забывают. Что делать в таких ситуациях, я писал в статье: .

Если вам нужно еще больше защиты, то можно использовать привязку по MAC-адресу. Правда, не вижу в этом необходимости. WPA2 - Personal в паре с AES и сложным паролем – вполне достаточно.

А как вы защищаете свою Wi-Fi сеть? Напишите в комментариях. Ну и вопросы задавайте 🙂

Проблемы безопасности беспроводных сетей, описанные в ряде статей, спровоцировали недоверие к беспроводным технологиям. Насколько оно оправданно?

Почему беспроводные сети считаются более уязвимыми, чем кабельные? В проводных сетях данные могут быть перехвачены только в том случае, если злоумышленник получит физический доступ к среде передачи. В беспроводных сетях сигнал распространяется в эфире, поэтому любой, находящийся в зоне действия сети, может перехватить этот сигнал.

Злоумышленнику даже не обязательно пребывать на территории компании, достаточно попасть в зону распространения радиосигнала.

Угрозы беспроводным сетям

Готовясь к обеспечению безопасности беспроводных сетей, прежде всего необходимо установить, что может им угрожать.

Пассивная атака

Перехват сигналов беспроводной сети аналогичен прослушиванию радиопередачи. Достаточно иметь ноутбук (или КПК) и анализатор беспроводных протоколов. Широко распространено заблуждение, что несанкционированное подключение к беспроводной сети вне офиса можно пресечь, контролируя выходную мощность сигнала. Это не так, поскольку использование злоумышленником беспроводной карты повышенной чувствительности и направленной антенны позволяет легко преодолеть данную меру предосторожности.

Даже уменьшив вероятность несанкционированного подключения к сети, не следует оставлять без внимания возможность «прослушивания» трафика, поэтому для безопасной работы в беспроводных сетях необходимо шифровать передаваемую информацию.

Активная атака

Опасно подключать незащищенную беспроводную сеть к кабельной сети. Незащищенная точка доступа, подсоединенная к локальной сети, представляет собой широко открытую дверь для злоумышленников. Для предприятий это чревато тем, что конкуренты могут получить доступ к конфиденциальным документам. Незащищенные беспроводные сети позволяют хакерам обойти межсетевые экраны и настройки безопасности, которые защищают сеть от атак через Internet. В домашних сетях злоумышленники могут получить бесплатный доступ к Internet за счет своих соседей.

Следует отслеживать и выявлять неконтролируемые точки доступа, подключенные к сети несанкционированно. Подобные точки, как правило, устанавливают сами сотрудники предприятия. (Например, менеджер отдела продаж приобрел беспроводную точку доступа и использует ее, чтобы все время оставаться на связи.) Такая точка может быть специально подключена к сети злоумышленником с целью получения доступа к сети компании вне офиса.

Следует помнить о том, что уязвимыми являются как подключенные к беспроводной сети компьютеры, так и те, в которых есть включенная беспроводная карта с настройками по умолчанию (она, как правило, не блокирует проникновение через беспроводную сеть). Например, пока пользователь, ожидающий своего рейса, просматривает ресурсы Internet через развернутую в аэропорту сеть Wi-Fi, хакер, сидящий неподалеку, изучает информацию, хранящуюся на компьютере мобильного сотрудника. Аналогичным атакам могут подвергнуться пользователи, работающие посредством беспроводных сетей в помещениях кафе, выставочных центров, холлах гостиниц и пр.

Поиск доступных беспроводных сетей

Для активного поиска уязвимых беспроводных сетей (War driving) обычно используется автомобиль и комплект беспроводного оборудования: небольшая антенна, беспроводная сетевая карта, переносной компьютер и, возможно, GPS-приемник. Используя широко распространенные программы-сканеры, такие как Netstumbler, можно легко найти зоны приема беспроводных сетей.

Поклонники War Driving имеют много способов обмениваться информацией. Один из них (War Chalking) подразумевает нанесение на схемах и картах символов, указывающих на обнаруженные беспроводные сети. Эти обозначения содержат сведения о величине радиосигнала, наличии той или иной разновидности защиты сети и о возможности доступа в Internet. Любители такого «спорта» обмениваются информацией через Internet-сайты, «вывешивая», в частности, подробные карты с месторасположением обнаруженных сетей. Кстати, полезно проверить, нет ли там вашего адреса.

Отказ в обслуживании

Бесплатный доступ в Internet или корпоративную сеть не всегда является целью злоумышленников. Иногда задачей хакеров может быть вывод из строя беспроводной сети.

Атака «отказ в обслуживании» может быть достигнута несколькими способами. Если хакеру удается установить соединение с беспроводной сетью, его злонамеренные действия могут вызвать ряд таких серьезных последствий: например, рассылку ответов на запросы протокола разрешения адресов (Address Resolution Protocol, ARP) для изменения ARP-таблиц сетевых устройств с целью нарушения маршрутизации в сети или внедрение несанкционированного сервера протокола динамической конфигурации хостов (Dynamic Host Configuration Protocol, DHCP) для выдачи неработоспособных адресов и масок сетей. Если хакер выяснит подробности настроек беспроводной сети, то сможет переподключить пользователей на свою точку доступа (см. рисунок), а последние окажутся отрезанными от сетевых ресурсов, которые были доступны через «законную» точку доступа.

Внедрение несанкционированной точки доступа.

Злоумышленник может также заблокировать частоты, используемые беспроводными сетями, применяя для этого генератор сигналов (его можно изготовить из деталей микроволновой печи). В результате вся беспроводная сеть или ее часть выйдут из строя.

Меры безопасности в стандартах IEEE 802.11

Оригинальный стандарт 802.11 предусматривает для обеспечения безопасности беспроводных сетей использование стандарта «конфиденциальности, эквивалентной проводной» (Wired Equivalent Privacy, WEP). Беспроводные сети, использующие WEP, требуют настройки статического WEP-ключа на точках доступа и всех станциях. Этот ключ может использоваться для аутентификации и шифрования данных. При его компрометации (например, в случае утери переносного компьютера) необходимо сменить ключ на всех устройствах, что подчас весьма затруднительно. При использовании ключей WEP для аутентификации беспроводные станции посылают точке доступа соответствующий запрос, получая в ответ незашифрованное сообщение (clear text challenge). Клиент должен его зашифровать, используя свой WEP-ключ, и вернуть точке доступа, которая расшифрует сообщение с помощью собственного WEP-ключа. Если расшифрованное сообщение совпадает с оригинальным, то это обозначает, что клиент знает WEP-ключ. Следовательно, аутентификация считается успешной, и клиенту отправляется соответствующее уведомление.

Успешно завершив аутентификацию и ассоциацию, беспроводное устройство может использовать WEP-ключ для шифрования трафика, передаваемого между устройством и точкой доступа.

Стандарт 802.11 определяет и другие механизмы контроля доступа. Точка доступа может использовать фильтрацию по аппаратным адресам (Media Access Control, MAC), предоставляя или запрещая доступ на основе MAC-адреса клиента. Данный метод затрудняет, но не предотвращает подключение несанкционированных устройств.

Насколько безопасен WEP?

Одно из правил криптографии гласит: имея открытый текст и его зашифрованную версию, можно установить использованный метод шифрования. Это особенно актуально при использовании слабых алгоритмов шифрования и симметричных ключей, такие, например, предусматривает WEP.

Этот протокол использует для шифрования алгоритм RC4. Слабость его состоит в том, что если зашифровать известный открытый текст, то на выходе получится ключевой поток, который использовался для шифрования данных. Согласно стандарту 802.11, ключевой поток состоит из WEP-ключа и 24-разрядного вектора инициализации. Для каждого пакета используется следующий вектор, который отправляется в открытом виде вместе с пакетом, так что принимающая станция может использовать его совместно с WEP-ключом, чтобы расшифровать пакет.

Если получить один ключевой поток, то можно расшифровать любой пакет, зашифрованный тем же самым вектором. Так как вектор меняется для каждого пакета, то для расшифровки нужно дождаться следующего пакета, использующего тот же самый вектор. Чтобы иметь возможность расшифровывать WEP, необходимо собрать полный комплект векторов и ключевых потоков. Утилиты по взлому WEP работают именно таким образом.

Добыть открытый и зашифрованный текст можно в процессе аутентификации клиента. Перехватывая трафик на протяжении некоторого времени, можно набрать необходимое количество исходных данных для проведения атаки. Чтобы скопить необходимые для анализа данные, хакеры используют и множество других методов, включая атаки типа «men in the middle».

Когда принималось решение о формате фрейма для беспроводных сетей, IEEE предложила свой собственный формат под названием Subnetwork Address Protocol (SNAP).

Два байта, следующие за MAC-заголовком во фрейме SNAP стандарта 802.11, всегда имеют значение «AA AA». Протокол WEP шифрует все байты, следующие за MAC-заголовком, поэтому для первых двух зашифрованных байт всегда известен открытый текст («АА АА»). Этот путь предоставляет возможность получить фрагменты зашифрованного и открытого сообщения.

В Internet бесплатно распространяются утилиты для взлома WEP. Самые известные из них - AirSnort и WEPCrack. Для успешного взлома WEP-ключа с их помощью достаточно набрать от 100 тыс. до 1 млн. пакетов. Новые утилиты Aircrack и Weplab для взлома WEP-ключей реализуют более эффективный алгоритм, при котором требуется существенно меньше пакетов. По этой причине протокол WEP является ненадежным.

Беспроводные технологии становятся безопаснее

Сегодня многие компании используют удобные и безопасные беспроводные сети. Стандарт 802.11i поднял безопасность на качественно новый уровень.Рабочая группа IEEE 802.11i, в задачу которой входило создание нового стандарта безопасности беспроводных сетей, была сформирована после изучения сведений об уязвимости протокола WEP. На разработку потребовалось некоторое время, поэтому большинство производителей оборудования, не дождавшись выхода нового стандарта, стали предлагать свои методы (см. ). В 2004 году появился новый стандарт, тем не менее, поставщики оборудования по инерции продолжают использовать старые решения.

802.11i определяет использование стандарта расширенного шифрования (Advanced Encryption Standard, AES) вместо WEP. В основе AES лежит реализация алгоритма Рендела, который большинство криптоаналитиков признает стойким. Этот алгоритм существенно лучше своего слабого предшественника RC4, который используется в WEP: он предусматривает использование ключей длиной 128, 192 и 256 разрядов, вместо 64 бит, используемых в оригинальном стандарте 802.11. Новый стандарт 802.11i также определяет использование TKIP, CCMP и 802.1x/EAP.

EAP-MD5 подтверждает подлинность пользователя путем проверки пароля. Вопрос использования шифрования трафика отдан на откуп администратору сети. Слабость EAP-MD5 заключается в отсутствии обязательного использования шифрования, поэтому EAP-MD5 допускает возможность атаки типа «men in the middle».

Протокол «легковесный EAP» (Lightweight EAP, LEAP), который создала компания Cisco, предусматривает не только шифрование данных, но и ротацию ключей. LEAP не требует наличия ключей у клиента, поскольку они безопасно пересылаются после того, как пользователь прошел аутентификацию. Это позволяет пользователям легко подключаться к сети, используя учетную запись и пароль.

Ранние реализации LEAP обеспечивали только одностороннюю аутентификацию пользователей. Позднее Cisco добавила возможность взаимной аутентификации. Однако выяснилось, что протокол LEAP уязвим к атакам по словарю. Сотрудник американского Института системного администрирования, телекоммуникаций и безопасности (SANS) Джошуа Райт разработал утилиту ASLEAP, которая осуществляет подобную атаку, после чего компания Cisco рекомендовала использовать сильные пароли длиной не менее восьми знаков, включая спецсимволы, символы верхнего, нижнего регистра и цифры. LEAP безопасен в той мере, насколько стоек пароль к попыткам подбора.

Более сильный вариант реализации EAP - EAP-TLS, который использует предустановленные цифровые сертификаты на клиенте и сервере, был разработан в Microsoft. Этот метод обеспечивает взаимную аутентификацию и полагается не только на пароль пользователя, но также поддерживает ротацию и динамическое распределение ключей. Неудобство EAP-TLS заключается в необходимости установки сертификата на каждом клиенте, что может оказаться достаточно трудоемкой и дорогостоящей операцией. К тому же этот метод непрактично использовать в сети, где часто меняются сотрудники.

Производители беспроводных сетей продвигают решения упрощения процедуры подключения к беспроводным сетям авторизированных пользователей. Эта идея вполне осуществима, если включить LEAP и раздать имена пользователей и пароли. Но если возникает необходимость использования цифрового сертификата или ввода длинного WEP-ключа, процесс может стать утомительным.

Компании Microsoft, Cisco и RSA совместными усилиями разработали новый протокол - PEAP, объединивший простоту использования LEAP и безопасность EAP-TLS. PEAP использует сертификат, установленный на сервере, и аутентификацию по паролю для клиентов. Аналогичное решение - EAP-TTLS - выпустила компания Funk Software.

Разные производители поддерживают различные типы EAP, а также несколько типов одновременно. Процесс EAP аналогичен для всех типов.

Типовые операции EAP

Что такое WPA

После того, как беспроводные сети были объявлены небезопасными, производители приступили к реализации собственных решений по обеспечению безопасности. Это поставило компании перед выбором: использовать решение одного производителя или дожидаться выхода стандарта 802.11i. Дата принятия стандарта была неизвестна, поэтому в 1999 году был сформирован альянс Wi-Fi. Его целью являлась унификация взаимодействия беспроводных сетевых продуктов.

Альянс Wi-Fi утвердил протокол защищенного беспроводного доступа (Wireless Protected Access, WPA), рассматривая его как временное решение до выхода стандарта 802.11i. Протокол WPA предусматривает использование стандартов TKIP и 802.1x/EAP. Любое оборудование Wi-Fi, сертифицированное на совместимость с WPA, обязано работать совместно с другим сертифицированным оборудованием. Поставщики могут использовать и свои собственные механизмы обеспечения безопасности, но должны в любом случае включать поддержку стандартов Wi-Fi.

После первоначального объявления параметров 802.11i альянс Wi-Fi создал стандарт WPA2. Любое оборудование, которое имеет сертификат WPA2, полностью совместимо с 802.11i. Если беспроводная сеть предприятия не поддерживает стандарт 802.11i, то для обеспечения адекватной безопасности следует как можно быстрее перейти на 802.11i.

Что такое фильтрация MAC-адресов?

Если WEP небезопасен, то сможет ли защитить беспроводную сеть фильтрация аппаратных адресов (Media Access Control, MAC)? Увы, фильтры МАС-адресов предназначены для предотвращения несанкционированных подключений, против перехвата трафика они бессильны.

Фильтрация МАС-адресов не оказывает заметного влияния на безопасность беспроводных сетей. Она требует от злоумышленника лишь одного дополнительного действия: узнать разрешенный MAC-адрес. (Кстати, большинство драйверов сетевых карт позволяют его поменять.)

Насколько легко узнать разрешенный MAC-адрес? Чтобы получить работающие МАС-адреса, достаточно в течение некоторого времени следить за беспроводным трафиком с помощью анализатора протоколов. МАС-адреса можно перехватить, даже если трафик шифруется, поскольку заголовок пакета, который включает такой адрес, передается в открытом виде.

Протокол TKIP

Временный протокол обеспечения целостности ключа (Temporal Key Integrity Protocol, TKIP) разработан для устранения недостатков, присущих протоколу WEP. Стандарт TKIP улучшает безопасность WEP благодаря ротации ключей, использованию более длинных векторов инициализации и проверки целостности данных.

Программы для взлома WEP используют слабость статических ключей: после перехвата необходимого числа пакетов они позволяют легко расшифровать трафик. Регулярная смена ключей предотвращает этот тип атак. TKIP динамически меняет ключи через каждые 10 тыс. пакетов. Поздние реализации протокола позволяют менять интервал ротации ключей и даже установить алгоритм смены ключа шифрования для каждого пакета данных (Per-Packet Keying, PPK).

Ключ шифрования, применяемый в TKIP, стал более надежным по сравнению с WEP-ключами. Он состоит из 128-разрядного динамического ключа, к которому добавляется MAC-адрес станции и 48-разрядный вектор инициализации (в два раза длиннее оригинального вектора стандарта 802.11). Этот метод известен как «ключевое смешивание» и дает уверенность в том, что любые две станции не используют один и тот же ключ.

В протокол также встроен метод гарантированного обеспечения целостности данных (Message Integrity Cheek, MIC, называемый также Michael).

Институт финансовой и экономической безопасности

РЕФЕРАТ

Безопасность беспроводных сетей

Выполнил:

Студент группы У05-201

Михайлов М.А.

Проверил:

Доцент кафедры

Бурцев В.Л.

Москва

2010

Введение

Стандарт безопасности WEP

Стандарт безопасности WPA

Стандарт безопасности WPA2

Заключение

Введение

История беспроводных технологий передачи информации началась в конце XIX века с передачей первого радиосигнала и появлением в 20-х годах ХХ века первых радиоприемников с амплитудной модуляцией. В 30-е годы появилось радио с частотной модуляцией и телевидение. В 70-е годы созданы первые беспроводные телефонные системы как естественный итог удовлетворения потребности в мобильной передаче голоса. Сначала это были аналоговые сети, а начале 80-х был разработан стандарт GSM, ознаменовавший начало перехода на цифровые стандарты, как обеспечивающие лучшее распределение спектра, лучшее качество сигнала, лучшую безопасность. С 90-x годов ХХ века происходит укрепление позиций беспроводных сетей. Беспроводные технологии прочно входят в нашу жизнь. Развиваясь с огромной скоростью, они создают новые устройства и услуги.

Обилие новых беспроводных технологий таких, как CDMA (Code Division Multiple Access, технология с кодовым разделением каналов), GSM (Global for Mobile Communications, глобальная система для мобильных коммуникаций), TDMA (Time Division Multiple Access, множественный доступ с разделением во времени), 802.11, WAP (Wireless Application Protocol, протокол беспроводных технологий), 3G (третье поколение), GPRS (General Packet Radio Service, услуга пакетной передачи данных), Bluetooth (голубой зуб, по имени Харальда Голубого Зуба – предводителя викингов, жившего в Х веке), EDGE (Enhanced Data Rates for GSM Evolution, увеличенная скорость передачи даны для GSM), i-mode и т.д. говорит о том, что начинается революция в этой области.

Весьма перспективно и развитие беспроводных локальных сетей (WLAN), Bluetooth (сети средних и коротких расстояний). Беспроводные сети развертываются в аэропортах, университетах, отелях, ресторанах, предприятиях. История разработки стандартов беспроводных сетей началась в 1990 году, когда был образован комитет 802.11 всемирной организацией IEEE (Институт инженеров по электричеству и электронике). Значительный импульс развитию беспроводных технологий дала Всемирная паутина и идея работы в Сети при помощи беспроводных устройств. В конце 90-х годов пользователям была предложена WAP-услуга, сначала не вызвавшая у населения большого интереса. Это были основные информационные услуги – новости, погода, всевозможные расписания и т.п. Также весьма низким спросом пользовались вначале и Bluetooth, и WLAN в основном из-за высокой стоимости этих средств связи. Однако по мере снижения цен рос и интерес населения. К середине первого десятилетия XXI века счет пользователей беспроводного Интернет – сервиса пошел на десятки миллионов. С появлением беспроводной Интернет - связи на первый план вышли вопросы обеспечения безопасности. Основные проблемы при использовании беспроводных сетей это перехват сообщений спецслужб, коммерческих предприятий и частных лиц, перехват номеров кредитных карточек, кража оплаченного времени соединения, вмешательство в работу коммуникационных центров.

Как и любая компьютерная сеть, Wi-Fi – является источником повышенного риска несанкционированного доступа. Кроме того, проникнуть в беспроводную сеть значительно проще, чем в обычную, - не нужно подключаться к проводам, достаточно оказаться в зоне приема сигнала.

Беспроводные сети отличаются от кабельных только на первых двух - физическом (Phy) и отчасти канальном (MAC) - уровнях семиуровневой модели взаимодействия открытых систем. Более высокие уровни реализуются как в проводных сетях, а реальная безопасность сетей обеспечивается именно на этих уровнях. Поэтому разница в безопасности тех и других сетей сводится к разнице в безопасности физического и MAC-уровней.

Хотя сегодня в защите Wi-Fi-сетей применяются сложные алгоритмические математические модели аутентификации, шифрования данных и контроля целостности их передачи, тем не менее, вероятность доступа к информации посторонних лиц является весьма существенной. И если настройке сети не уделить должного внимания злоумышленник может:

· заполучить доступ к ресурсам и дискам пользователей Wi-Fi-сети, а через неё и к ресурсам LAN;

· подслушивать трафик, извлекать из него конфиденциальную информацию;

· искажать проходящую в сети информацию;

· внедрять поддельные точки доступа;

· рассылать спам, и совершать другие противоправные действия от имени вашей сети.

Но прежде чем приступать к защите беспроводной сети, необходимо понять основные принципы ее организации. Как правило, беспроводные сети состоят из узлов доступа и клиентов с беспроводными адаптерами. Узлы доступа и беспроводные адаптеры оснащаются приемопередатчиками для обмена данными друг с другом. Каждому AP и беспроводному адаптеру назначается 48-разрядный адрес MAC, который функционально эквивалентен адресу Ethernet. Узлы доступа связывают беспроводные и проводные сети, обеспечивая беспроводным клиентам доступ к проводным сетям. Связь между беспроводными клиентами в одноранговых сетях возможна без AP, но этот метод редко применяется в учреждениях. Каждая беспроводная сеть идентифицируется назначаемым администратором идентификатором SSID (Service Set Identifier). Связь беспроводных клиентов с AP возможна, если они распознают SSID узла доступа. Если в беспроводной сети имеется несколько узлов доступа с одним SSID (и одинаковыми параметрами аутентификации и шифрования), то возможно переключение между ними мобильных беспроводных клиентов.

Наиболее распространенные беспроводные стандарты - 802.11 и его усовершенствованные варианты. В спецификации 802.11 определены характеристики сети, работающей со скоростями до 2 Мбит/с. В усовершенствованных вариантах предусмотрены более высокие скорости. Первый, 802.11b, распространен наиболее широко, но быстро замещается стандартом 802.11g. Беспроводные сети 802.11b работают в 2,4-ГГц диапазоне и обеспечивают скорость передачи данных до 11 Мбит/с. Усовершенствованный вариант, 802.11a, был ратифицирован раньше, чем 802.11b, но появился на рынке позднее. Устройства этого стандарта работают в диапазоне 5,8 ГГц с типовой скоростью 54 Мбит/с, но некоторые поставщики предлагают более высокие скорости, до 108 Мбит/с, в турборежиме. Третий, усовершенствованный вариант, 802.11g, работает в диапазоне 2,4 ГГц, как и 802.11b, со стандартной скоростью 54 Мбит/с и с более высокой (до 108 Мбит/с) в турборежиме. Большинство беспроводных сетей 802.11g способно работать с клиентами 802.11b благодаря обратной совместимости, заложенной в стандарте 802.11g, но практическая совместимость зависит от конкретной реализации поставщика. Основная часть современного беспроводного оборудования поддерживает два или более вариантов 802.11. Новый беспроводной стандарт, 802.16, именуемый WiMAX, проектируется с конкретной целью обеспечить беспроводной доступ для предприятий и жилых домов через станции, аналогичные станциям сотовой связи. Эта технология в данной статье не рассматривается.

Реальная дальность связи AP зависит от многих факторов, в том числе варианта 802.11 и рабочей частоты оборудования, изготовителя, мощности, антенны, внешних и внутренних стен и особенностей топологии сети. Однако беспроводной адаптер с узконаправленной антенной с большим коэффициентом усиления может обеспечить связь с AP и беспроводной сетью на значительном расстоянии, примерно до полутора километров в зависимости от условий.

Из-за общедоступного характера радиоспектра возникают уникальные проблемы с безопасностью, отсутствующие в проводных сетях. Например, чтобы подслушивать сообщения в проводной сети, необходим физический доступ к такому сетевому компоненту, как точка подсоединения устройства к локальной сети, коммутатор, маршрутизатор, брандмауэр или хост-компьютер. Для беспроводной сети нужен только приемник, такой как обычный сканер частот. Из-за открытости беспроводных сетей разработчики стандарта подготовили спецификацию Wired Equivalent Privacy (WEP), но сделали ее использование необязательным. В WEP применяется общий ключ, известный беспроводным клиентам и узлам доступа, с которыми они обмениваются информацией. Ключ можно использовать как для аутентификации, так и для шифрования. В WEP применяется алгоритм шифрования RC4. 64-разрядный ключ состоит из 40 разрядов, определяемых пользователем, и 24-разрядного вектора инициализации. Пытаясь повысить безопасность беспроводных сетей, некоторые изготовители оборудования разработали расширенные алгоритмы со 128-разрядными и более длинными ключами WEP, состоящими из 104-разрядной и более длинной пользовательской части и вектора инициализации. WEP применяется с 802.11a, 802.11b- и 802.11g-совместимым оборудованием. Однако, несмотря на увеличенную длину ключа, изъяны WEP (в частности, слабые механизмы аутентификации и ключи шифрования, которые можно раскрыть методами криптоанализа) хорошо документированы, и сегодня WEP не считается надежным алгоритмом.

В ответ на недостатки WEP отраслевая ассоциация Wi-Fi Alliance приняла решение разработать стандарт Wi-Fi Protected Access (WPA). WPA превосходит WEP благодаря добавлению протокола TKIP (Temporal Key Integrity Protocol) и надежному механизму аутентификации на базе 802.1x и протокола EAP (Extensible Authentication Protocol). Предполагалось, что WPA станет рабочим стандартом, который можно будет представить для одобрения комитету IEEE в качестве расширения для стандартов 802.11. Расширение, 802.11i, было ратифицировано в 2004 г., а WPA обновлен до WPA2 в целях совместимости с Advanced Encryption Standard (AES) вместо WEP и TKIP. WPA2 обратно совместим и может применяться совместно с WPA. WPA был предназначен для сетей предприятий с инфраструктурой аутентификации RADIUS (Remote Authentication Dial-In User Service - служба дистанционной аутентификации пользователей по коммутируемым линиям), но версия WPA, именуемая WPA Pre-Shared Key (WPAPSK), получила поддержку некоторых изготовителей и готовится к применению на небольших предприятиях. Как и WEP, WPAPSK работает с общим ключом, но WPAPSK надежнее WEP.