Проблемы безопасности беспроводных сетей. Назначение Bluetooth, общие принципы построения Bluetooth сетей, Передача данных в Bluetooth, протоколы

ПРОБЛЕМЫ БЕЗОПАСНОСТИ БЕСПРОВОДНЫХ СЕТЕЙ.
МЕТОДЫ И СПОСОБЫ ЗАЩИТЫ WI-FI СЕТЕЙ.
РЕАЛИИ И ПЕРСПЕКТИВЫ.

Андрушка Игорь,Инженер-проектировщик Отдела прикладных системных исследований развития информационного общества Центра прикладных системных исследований развития информационного общества ГП «Registru»

Введение

За последние несколько лет беспроводные сети получили широкое распространение во всём мире. И, если ранее речь шла преимущественно об использовании беспроводных сетей в офисах и хот-спотах, то теперь они широко используются как в домашних условиях, так и для развертывания мобильных офисов (в условиях командировок). Специально для домашних пользователей и небольших офисов продаются точки беспроводного доступа и беспроводные маршрутизаторы, а для мобильных пользователей – карманные беспроводные маршрутизаторы. Однако, принимая решение о переходе к беспроводной сети, не стоит забывать, что на сегодняшнем этапе их развития они имеют одно уязвимое место. Речь идёт о безопасности беспроводных сетей.

Общее описание проблемы

Безопасность беспроводной сети включает в себя два аспекта: это защита от несанкционированного доступа и шифрование передаваемой информации. Отметим сразу, что решить их сегодня со стопроцентной гарантией невозможно, но обезопасить себя от всевозможных «любителей» можно и нужно. Ведь беспроводное оборудование и программное обеспечение по умолчанию содержит в себе определенные средства защиты, остается только их задействовать и правильно настроить. Однако, прежде чем перейти к оценке этих средств, приведем несколько фактов, подтверждающих остроту проблемы.
Если взглянуть на результаты опроса главных менеджеров IT-компаний, проведенного фирмой Defcom, то складывается любопытная картина. Порядка 90% опрошенных уверенно в будущем беспроводных сетей, но отодвигают ее на неопределенные сроки ввиду слабой защищенности таких сетей на современном этапе. Равновесие, с точки зрения безопасности между проводными и беспроводными сетями, наступит, по их мнению, только через 3-5 лет. И более 60% утверждают, что недостаточная безопасность серьезно тормозит развитие этого направления - нет доверия, соответственно, многие не рискуют отказываться от испытанных временем проводных решений.
Итак, перейдем непосредственно к методам и средствам обеспечения безопасности беспроводных соединений.
Каждая беспроводная сеть имеет, как минимум, 2 ключевых компонента: базовую станцию и точку доступа. Беспроводные сети могут функционировать в двух режимах: ad-hoc (per-to-per) и infrastructure. В первом случае сетевые карточки напрямую общаются друг с другом, во втором при помощи точек доступа, которые служат в качестве Ethernet мостов.
Клиент и «точка» перед передачей данных должны установить соединение. Не трудно догадаться, что между точкой и клиентом может существовать всего три состояния:

- «аутентификация не пройдена и точка не опознана»;
- «аутентификация пройдена, но точка не опознана»;
- «аутентификация принята и точка присоединена».

Понятно, что обмен данными может идти только в третьем случае. До установления соединения стороны обмениваются управляющими пакетами, «точка доступа» передает опознавательные сигналы с фиксированным интервалом, «клиент», приняв такой пакет, начинают аутентификацию посылкой опознавательного фрейма, после авторизации «клиент» посылает пакет присоединения, а «точка» – пакет подтверждения присоединения беспроводного «клиента» к сети.

Механизмы защиты

Основополагающим стандартом при построении данного вида сетей является стандарт 802.1. Этот стандарт для беспроводных сетей предусматривает несколько механизмов обеспечения безопасности сети. Среди них наиболее используемые следующие:
- Wired Equivalent Protocol, или WEP, разработанных автором стандарта 802.1. Основная функция WEP – шифрование данных при передаче по радио и предотвращение неавторизованного доступа в беспроводную сеть. По умолчанию WEP отключен, однако его можно легко включить и в таком случае он начнет шифровать каждый исходящий пакет. Для шифрования WEP использует алгоритм RC4.
- WEP 2 – представлен в 2001 году после обнаружения множества дырок в первой версии, WEP 2 имеет улучшенный механизм шифрования и поддержку Cerberus V.
- Open System Authentication – система аутентификации по умолчанию, используемая в протоколе 802.11. Собственно системы как таковой нет – аутентификацию проходит любой, кто запрашивает. В случае OSA не помогает даже WEP, т.к. в ходе экспериментов было выяснено, что пакет аутентификации посылается незашифрованным.
- Access Control List – в протоколе не описывается, но используется многими в качестве дополнения к стандартным методам. Основа такого метода – клиентский Ethernet MAC, уникальный для каждой карточки. Точка доступа ограничивает доступ к сети в соответствии со своим списком MAC адресов, есть клиент в списке и доступ разрешен, нет- значит, нет.
- Closed Network Access Control – тут не намного сложнее: либо администратор разрешает любому пользователю присоединяться к сети, либо в нее может войти только тот, кто знает ее имя, SSID. Сетевое имя в таком случае служит секретным ключом.

Виды атак на Wi-Fi сети.

Access Point Spoofing & Mac Sniffing – список доступа вполне пригоден к использованию совместно с правильной идентификацией пользователей в этом списке. В случае же с MAC адресом Access Control List очень просто побороть, т.к. такой адрес очень просто изменить (беспроводные сетевые карты позволяют программно менять MAC адрес) и еще проще перехватить, так как он даже в случае с WEP передается в открытом виде. Таким образом, элементарно проникнуть в сеть, защищенную Access Control List и использовать все ее преимущества и ресурсы.
В случае наличия у нарушителя в загашнике собственной точки доступа есть другая возможность: устанавливается Access Point рядом с существующей сетью: если сигнал хакера сильнее оригинального, то клиент подключится именно к хакеру, а не к сети, передав при этом не только MAC адрес, но и пароль и прочие данные.
- WEP Attacks – чистые данные проходят проверку целостности и выдается контрольная сумма (integrity check value, ICV). В протоколе 802.11 для этого используется CRC-32. ICV добавляется в конец данных. Генерируется 24-битный вектор инициализации (IV) и к нему «привязывается» секретный ключ. Полученное значение является исходным для генерации псевдослучайного числа. Генератор выдает ключевую последовательность. Данные XOR-ятся с этой ключевой последовательностью. Вектор инициализации добавляется в конец и все это передается в эфир.
- Plaintext атака – в таком взломе атакующий знает исходное послание и имеет копию зашифрованного ответа. Недостающее звено -это ключ. Для его получения атакующий посылает «цели» небольшую часть данных и получает ответ. Получив его, хакер находит 24-битный вектор инициализации, используемый для генерирования ключа: нахождение ключа в таком случае всего лишь задача брутфорса.
Другой вариант – обычный XOR. Если у хакера есть посланный plain text и его зашифрованный вариант, то он просто XOR-ит шифр и на выходе получает ключ, который вместе с вектором дает возможность «грузить» пакеты в сеть без аутентификации на точке доступа.
- Повторное использование шифра – атакующий выцепляет из пакета ключевую последовательность. Так как алгоритм шифрования WEP на вектор отводит довольно мало места, атакующий может перехватить ключевой поток, используя разные IV, создавая для себя их последовательность. Таким образом, хакер может расшифровать сообщения, используя все тот же XOR; когда по сети пойдут зашифрованные данные при помощи сгенерированных ранее ключевых потоков их можно будет расшифровать.
- Атака Fluther-Mantin-Shamir – хакер может использовать уязвимости и при помощи специализированного софта можно получить как 24 битный ключ WEP, так и 128 битный ключ WEP 2.
- Low-Hanging Fruit – этот вид атаки рассчитан на добычу незащищенных ресурсов из незащищенных сетей. Большинство беспроводных сетей абсолютно незащищены, в них не требуется авторизации и даже не используют WEP, так что человек с беспроводной сетевой карточкой и сканером может легко подключиться к Access Point-у и использовать все предоставляемые им ресурсы. Отсюда и название – низко висящие фрукты, которые сорвать не составляет никакого труда.
А как же защитить сети. К числу основных способов защиты сетей можно отнести следующие:
1. Фильтрация MAC адресов: в этом случае администратор составляет список MAC адресов сетевых карт клиентов. В случае нескольких AP необходимо предусмотреть, чтобы MAC адрес клиента существовал на всех, дабы он мог беспрепятственно перемещаться между ними. Однако этот метод очень легко победить, так что в одиночку его использовать не рекомендуется.
2. SSID (Network ID) – использование системы сетевых идентификаторов. При попытке клиента подключиться к АР на него передается семизначный алфавитно-цифровой код; используя метку SSID можно быть уверенным, что к сети смогут подсоединиться только клиенты, знающие его.
3. Firewall: доступ к сети должен осуществляться при помощи IPSec, secure shell или VPN, брандмауэр должен быть настроен на работу именно с этими сетевыми соединениями.
4. AccessPoint – точку доступа надо настраивать на фильтрацию MAC адресов, кроем того, физически сам девайс необходимо изолировать от окружающих. Рекомендуется также конфигурировать точку только по telnet, отключив возможность конфигурации через браузер или SNMP.

Атака клиентского устройства на Wi-Fi сетях

Несмотря на то, что все-таки способы защиты в беспроводных сетях существуют, и администраторы такого рода сетей должны принимать профилактические меры. Нужно отметить сразу, что взлом «в лоб» таких сетей практически невозможен, если не считать взломом атаки по отказу в обслуживании (DoS) на первом и втором уровнях OSI модели. И тем не менее, все таки есть некоторый вид атак, которому беспроводные сети могут быть подвержены. Наиболее угрожающим типом подобных «атак в обход» являются атаки против неассоциированных клиентских хостов.
Общая идея состоит в следующем:
1. Находится неассоциированное клиентское устройство, либо используется «затопление» сети фреймами деассоциации или деаутентификации для его получения.
2. Специфически эмулируется точка доступа для подсоединения этого хоста.
3. Выдается IP адрес, а также IP адреса фальшивых шлюза и DNS сервера через DHCP.
4. Атакуется устройство.
5. Если это необходимо и удаленный доступ к устройству был успешно получен, хост «отпускается» обратно на «родную» сеть, предварительно запускается на нем «троян».
Со следующего года все выпускаемые лаптопы и ноутбуки будут иметь встроенную поддержку Wi-Fi. Да и сейчас уже очень многие клиентские устройства обладают встроенной поддержкой включенной и постоянно ищущей сети для ассоциаций, часто без ведома их владельца. Данный факт игнорируем большинством системных администраторов. Зачастую профессионалы в области IT безопасности ищут исключительно несанкционированные точки доступа и ад-хок сети, не уделяя достаточного внимания Probe Request фреймам от «потерянных» клиентов.
Казалось бы, на первый взгляд, что «отлов» таких клиентов не составляет особого труда. Но лицу, занимающемуся такого рода деятельностью необходимо обладать некоторой информацией. Какого рода данная информация – попытаемся раскрыть.
Для начала ему необходимо знать согласно какому алгоритму клиентские устройства автоматически ищут сети для подсоединения. Будут ли они ассоциироваться с любой обнаруженной 802.11 сетью с достаточно мощным сигналом? А если таких сетей несколько? На чем будет основан их выбор? Kaк насчет сетей с «закрытым» ESSID и сетей, защищенных с помощью WEP или WPA? Ответы на эти вопросы зависят как от операционной системы клиентского хоста, так и от используемой им беспроводной аппаратной части, её драйверов и пользовательских настроек. Рассмотрим одну из наиболее используемых на сегодняшний день операционных систем семейства Windows.
Для установки беспроводного соединения в Windows XP и Windows Server 2003 используется «Алгоритм беспроводной самонастройки» (АБС). Данный алгоритм оперирует с двумя списками 802.11 сетей: списком доступных сетей (СДС) и списком предпочитаемых сетей (СПС). СДС представляет из себя список сетей, ответивших на широковещательные Probe Request фреймы при последнем активном скане. СПС есть список сетей, к которым было установлено полноценное соединение в прошлом. Последние сети, с которыми было ассоциировано устройство, идут в данном списке первыми. Описание сети в обоих списках содержит её ESSID, канал и метод шифрования – «открытый текст», WEP или WPA. Эти списки используются следующим образом в процессе работы АБС:
1. Клиентское устройство составляет СДС путем посылки широковещательных Probe Request фреймов с пустым полем ESSID по одному на каждый из используемых 802.11 каналов и параллельной обработки ответов на эти фреймы.
2. Если обнаруживаются сети, находящиеся в СПС, то происходит ассоциация с такими сетями в порядке их расположения в этом списке. То есть клиентское устройство ассоциируется с самой верхней сетью СПС, которая присутствует в СДС.
3. Если таких сетей не обнаруживается, или же успешной ассоциации с ними не произошло по причине различия в 802.11 стандартах или проблем аутентификации, АБС "заходит на второй круг", посылая Probe Request фреймы специфически для поиска сетей, перечисленных в СПС. На практике это означает, что данные фреймы посылаются на каналы СПС сетей и содержат их ESSID. При этом, отсылка этих фреймов от содержания СДС абсолютно не зависит. Смысл наличия "второго круга" АБС заключается в поиске сетей с "закрытым" ESSID.
4. В случае ненахождения подходящих Infrastructure сетей, следующим этапом поиска является нахождение ад-хок сетей. Для этого проводится сопоставление ад-хок сетей СДС и СПС.
5. Если в СПС имеется хотя бы одна ад-хок сеть, но в СДС она не найдена, АБС устанавливает клиентское устройство в режим ад-хок и присваивает беспроводному интерфейсу IP адрес, принадлежащий к 169.254.0.0/16 диапазону (RFC 3330). Таким образом, хост становится первым узлом потенциальной новой ад-хок сети и алгоритм заканчивает свою работу.
6. Если же ад-хок сетей в СПС нет, то АБС проверяет флаг "Подсоединиться к Непредпочитаемым Сетям" ("Connect To Nonpreferred Networks"). Если этот флаг равен единице, то клиентское устройство будет пытаться ассоциироваться с каждой сетью СДС в порядке их очередности в списке. Для атакующих, по умолчанию данный флаг равен нулю.
7. Если вышеупомянутый флаг не включен пользователем, то беспроводная карточка "запарковывается" как клиент с установленным псевдослучайным 32-х значным ESSID. В таком состоянии она функционирует 60 секунд, после чего алгоритм поиска сетей перезапускается.
В основном атаки хакеров всегда направлены на сам алгоритм АБС. Рассмотрим очевидные слабости данного алгоритма. В первую очередь, во время "второго раунда" АБС (пункт 3), клиентское устройство фактически раскрывает содержание СПС. Если представить себе ситуацию, когда такой хост находится вне досягаемости его "родной" сети. Например, корпоративный лаптоп взят сотрудником на дом или в коммандировку (и используется в аэропорту, самолете, гостинице и так далее). Для обнаружившего такой лаптоп атакующего не составит особого труда определить первую сеть в СПС по ESSID посылаемых устройством Probe Request фреймов, и установить именно это значение ESSID на своей точке доступа. То же самое относится и к поиску ад-хок сетей СПС. Если первая сеть СПС защищена и требует WEP или WPA ключ для подключения, атакующий идет далее по списку и ищет в нем открытую сеть, включая ад-хок WLANы. Вероятность нахождения такой сети достаточно велика. К примеру, большинство Wi-Fi хотспотов используют методы защиты беспроводной передачи данных на более высоких уровнях OSI модели, обычно на седьмом. Подключение к таким сетям оставит описание "незащищенной" (на 2-ом уровне) сети в СПС, которым без проблем может воспользоваться атакующий.
Подобное описание ведет ко второй слабости. При отсутствии такой ад-хок сети поблизости (крайне вероятный сценарий, учитывая то, что ад-хок соединения обычно ставятся на короткие промежутки времени и часто - с новым ESSID каждый раз), Windows клиент установится в постоянном режиме работы как ад-хок узел, ожидающий других клиентов (пункт 5). Злоумышленник без никаких проблем может стать таким клиентом, взять себе один из RFC 3330 адресов, и не проводить широковещательный пинг или послать ARP запросы для обнаружения IP адреса жертвы и проведения дальнейших атак. Причём, для подобного подключения не требуется никакого взаимодействия со стороны пользователя. Оно является полностью автоматическим.
Наконец, при отсутствии незащищенных и ад-хок сетей в СПС и включенного флага "Подсоединиться к Непредпочитаемым Сетям", алгоритм достигнет установки клиентской карточки в "режим ожидания" с посылкой Probe Request фреймов с длинным псевдослучайным ESSID (пункт 7). Проблема в том, что эти "загадочные" ESSID значения являются вполне "рабочими". То есть, достаточно установить по соседству точку доступа с таким ESSID, и «клиент» благополучно на нее "клюнет", чтобы получить IP адрес через DHCP и подвергнуться дальнейшим атакам. Следует сказать, что данная проблема уже устранена в Longhorn, но до тотального перехода на эту операционную систему ещё далеко. А теперь самое главное: так как сеть с длинным псевдослучайным ESSID отсутствует в СПС, подсоединение к такой сети не только не требует никакого взаимодействия со стороны атакуемого пользователя, но даже и не будет показано как существующее индикатором беспроводной связи Windows XP. Данный индикатор будет говорить, что устройство не ассоциировано с какой-либо Wi-Fi сетью, и только контрольная панель установки сетевых опций Windows покажет наличие соединения и присвоенного IP адреса. Следует упомянуть, что последние версии драйверов 802.11a/b/g карточек с Atheros чипсетом хоть и отсылают Probe Request фреймы с псевдослучайными ESSID, но не поддерживают автоматическое соединение с точками доступа, настроенными с такими ESSID значениями.
Что же делать атакующему, если, как было сейчас упомянуто, автоматическая ассоциация, использующая псевдослучайные ESSID невозможна, а СПС не содержит незащищенных на втором уровне сетей? Если сети, к которым подсоединялось атакуемое устройство, защищены с помощью неподбираемого по словарю WPA-PSK либо WPA-802.1х с использованием EAP-TLS, то на данный момент перспектив успешного взлома не видно. Если по крайней мере одна такая сеть была защищена с помощью WPA-802.1х с использованием EAP-TТLS или EAP-PEAP, то существует возможность проведения атак на данные протоколы согласно алгоритмам, описанным хак-группой Shmoo "Тhe Radical Realm of Radius, 802.1x, and You".
Говоря об устаревших механизмах защиты 802.11 сетей, невозможно не упомянуть избитый всеми WEP. Атаки на него могут быть применены и против отдельных клиентских устройств, сети в СПС которых "защищены" с помощью WEPа. Если все ад-хок сети в СПС имеют WEP в своих установках, то и произвольная ад-хок конфигурация с RFC 3330 адресом, как описано в пункте 5 выше, будет использовать WEP. Проблема в том, что такой ад-хок узел не будет "соблюдать тишину" - достаточно вспомнить хотя бы отсылку NetBIOS HELLO пакетов каждые 2 секунды. Соответственно, подобного рода трафик может быть успешно утилизирован для взлома WEP ключа различными методами, от простого перебора по словарю с помощью WepAttack до акселерации взлома путем иньекции пакетов используя Christopher Devine"s aireplay (модифицированная атака ложной аутентификации либо интерактивная реиньекция пакетов, с помощью которых можно заставить одиночный ад-хок клиент послать зашифрованный ARP пакет для последующей ARP реиньекции).
Ещё более интересный пример - клиенты с псевдослучайным ESSID (пункт 7) и WEPом, которые "возникают" в тех случаях, когда все сети, перечисленные в СПС, являются защищенными. Сам факт того, что при наличии в этом списке и WPA-защищенных сетей, всё равно используется WEP - это уже уязвимость. Но, более того, так как установки подобной сети нигде не определены и "самоконфигурируются" без участия пользователя, атакующая точка доступа способна навязать таким клиентам небезопасный метод 802.11 аутентификации с использованием распределенного WEP ключа. Навязывая этот метод, кракер может послать клиентскому устройству challenge строку с известным текстом и получить обратно её же, заXORенную с частью RC4 потока. Таким образом, заXORив полученное с первоначальным текстом, атакующий узнает 144 байта RC4 потока для заданного вектора инициализации (IV). У этой атаки много возможных применений. В частности:
- можно посылать всё новые и новые challenge запросы, пока не откроется поток RC4 шифра для всех векторов инициализации 24-битного WEP IV пространства
- можно атаковать полученный ответ перебором по словарю испольуя WepAttack и сходные утилиты
- можно использовать известные 144 байта потока для реиньекции пакетов к клиентскому устройству с помощью WepWedgie Антона Рэйджера. Удачная реиньекция заставит атакуемый хост послать зашифрованный ARP пакет, который легко перехватить и использовать с aireplay.
В любом из вышеперечисленных случаев, одиночное клиентское устройство, требующее соединение, защищенное WEPом, трудно назвать неуязвимым.

Заключение

Безопасности беспроводных сетей стоит уделять особое внимание. Ведь беспроводная сеть имеет большой радиус действия. Соответственно, злоумышленник может перехватывать информацию или же атаковать сеть, находясь на безопасном расстоянии. К счастью, в настоящее время существуют множество различных способов защиты и, при условии правильной настройки, можно быть уверенным в обеспечении необходимого уровня безопасности.
В заключении хотелось бы отметить, что автор статьи не призывает читателей к «активным действиям» и атакам на беспроводные ресурсы различных компаний. В данном случае цель данной статьи состояла в другом, а именно: помочь системным администраторам ИТ компаний как можно более надежно обезопасить ресурсы компаний от любого типа несанкционированного доступа и вторжений.

Список используемой литературы

1. http://www.ferra.ru
2. http://www.denet.ru
3. http://www.cnews.ru
4. Андрей Владимиров «Атакуем клиентские устройства на Wi-Fi сетях», «Взлом и защита», 2006

Сегодня достаточно зайти в любое кафе и запустить поиск активных Bluetooth-устройств — и сразу найдутся два-три телефона и КПК, у которых открыт доступ ко всем файлам и сервисам безо всякого пароля. Можно также украсть телефонную книжку, подсоединиться к Интернету по GPRS и даже открыть вьетнамский переговорный пункт с чужого аппарата.

аспространение беспроводных сетей привело к возникновению множества новых проблем с обеспечением безопасности информации. Получить доступ к плохо защищенным радиосетям или перехватить информацию, передающуюся по радиоканалам, порой совсем несложно. Причем если в случае беспроводных локальных сетей Wi-Fi (семейства стандартов IEEE 802.11) эта проблема так или иначе решается (созданы специальные устройства для защиты этих сетей, совершенствуются механизмы доступа, аутентификации и шифрования), то в сетях Bluetooth (стандарта IEEE 802.15.1) таится серьезная угроза безопасности информации.

И хотя Bluetooth предназначен для организации связи между устройствами на расстоянии не более 10-15 м, сегодня во всем мире используется много портативных мобильных устройств с поддержкой Bluetooth, владельцы которых часто посещают места с большим скоплением людей, поэтому одни устройства случайно оказываются в непосредственной близости от других. К тому же многие такие аппараты сконфигурированы недостаточно аккуратно (большинство людей оставляют все установки по умолчанию), и информацию с них можно без труда перехватить. Таким образом, наиболее слабым звеном в технологии Bluetooth является сам пользователь, который не хочет заниматься обеспечением собственной безопасности. Подчас ему, например, надоедает слишком часто набирать PIN-код и другие идентификационные механизмы, и тогда все защитные функции он просто отключает.

А между тем уже созданы средства для поиска уязвимых устройств с поддержкой Bluetooth, и эксперты по безопасности считают, что вскоре поиск уязвимых Bluetooth-соединений станет такой же распространенной практикой, как и поиск открытых сетей Wi-Fi. Первый хакерский инструмент Redfang, нацеленный на Bluetooth-устройства, появился еще в июне 2003 года. Redfang обходит защиту, проводя мощную агрессивную атаку для определения «личности» любого Bluetooth-устройства в диапазоне атакующего. После этого вопрос безопасности данной технологии стал еще более актуальным.

При этом если беспроводные локальные сети Wi-Fi, содержащие конфиденциальную информацию, в большинстве случаев все-таки достаточно надежно защищаются системными администраторами и специалистами по информационной безопасности, то защита устройств с Bluetooth обеспечивается плохо. А ведь быстрое распространение интерфейса Bluetooth ставит вопросы безопасности все более остро, и самое пристальное внимание этой проблеме должны уделять не только пользователи, но и администраторы компаний, сотрудники которых используют Bluetooth-интерфейс. И чем интенсивнее взаимодействие Bluetooth-устройств с компьютером в корпоративной сети, тем острее необходимость в конкретных мерах безопасности, поскольку потеря или кража такого устройства откроет нападающему доступ к секретным данным и услугам компании.

А пока технология Bluetooth демонстрирует нам пример того, как вся тяжесть обеспечения безопасности ложится на плечи пользователя независимо от его желания и квалификации.

Общие принципы работы Bluetooth

Отличие от Wi-Fi, Bluetooth предназначен для построения так называемых персональных беспроводных сетей (Wireless Personal Area Network, WPAN). Изначально планировалась разработка стандарта, позволяющего создавать небольшие локальные сети и получать беспроводной доступ к устройствам в пределах дома, офиса или, скажем, автомобиля. В настоящее время группа компаний, принимающих участие в работе над бесплатной открытой спецификацией Bluetooth, насчитывает более 1500 членов. По мнению многих специалистов, Bluetooth не имеет равных в своей нише. Более того, стандарт IEEE 802.15.1 стал конкурентом таких технологий, как Wi-Fi, HomeRF и IrDA (Infrared Direct Access — инфракрасный прямой доступ). До этого самой распространенной технологией беспроводного соединения компьютеров и периферийных устройств являлся инфракрасный доступ (IrDA). Но, в отличие от IrDA, работающего по принципу «точка-точка» в зоне прямой видимости, технология Bluetooth создавалась как для работы по такому же принципу, так и в качестве многоточечного радиоканала.

Первоначально Bluetooth-передатчики имели малый радиус действия (до 10 м, то есть в пределах одной комнаты), но позже была определена и более широкая зона охвата — до 100 м (то есть в пределах дома). Такие передатчики могут либо встраиваться в устройство, либо подключаться отдельно в качестве дополнительного интерфейса.

Но главным преимуществом Bluetooth, благодаря которому он постепенно вытесняет IrDA, является то, что для связи не обязательна прямая видимость устройств — их могут разделять даже такие «радиопрозрачные» препятствия, как стены и мебель; к тому же взаимодействующие между собой приборы могут находиться в движении.

Основным структурным элементом сети Bluetooth является так называемая пикосеть (piconet) — совокупность от двух до восьми устройств, работающих на одном и том же шаблоне. В каждой пикосети одно устройство работает как ведущее (master), а остальные являются ведомыми (slave). Ведущее устройство определяет шаблон, на котором будут работать все ведомые устройства его пикосети, и синхронизирует работу сети. Стандарт Bluetooth предусматривает соединение независимых и даже не синхронизированных между собой пикосетей (числом до десяти) в так называемую scatternet. Для этого каждая пара пикосетей должна иметь как минимум одно общее устройство, которое будет ведущим в одной и ведомым в другой сети. Таким образом, в пределах отдельной scatternet с интерфейсом Bluetooth может быть одновременно связано максимум 71 устройство.

Безопасность Bluetooth зависит от настройки

ля защиты Bluetooth-соединения предусмотрено шифрование передаваемых данных, а также выполнение процедуры авторизации устройств. Шифрование данных происходит с ключом, эффективная длина которого — от 8 до 128 бит, что позволяет устанавливать уровень стойкости результирующего шифрования в соответствии с законодательством каждой страны. Поэтому стоит сразу отметить, что правильно сконфигурированные Bluetooth-устройства спонтанно соединяться не могут, поэтому случайных утечек важной информации к посторонним лицам не бывает. К тому же ничто не ограничивает защиту на уровне конкретных приложений.

В зависимости от выполняемых задач спецификация Bluetooth предусматривает три режима защиты, которые могут использоваться как по отдельности, так и в различных комбинациях:

1. В первом режиме — минимальном (который обычно применяется по умолчанию) — никаких мер для безопасного использования Bluetooth-устройства не предпринимается. Данные кодируются общим ключом и могут приниматься любыми устройствами без ограничений.
2. Во втором режиме осуществляется защита на уровне устройств, то есть активируются меры безопасности, основанные на процессах опознания/аутентификации (authentication) и разрешения/авторизации (authorization). В этом режиме определяются различные уровни доверия (trust) для каждой услуги, предложенной устройством. Уровень доступа может указываться непосредственно в чипе, и в соответствии с этим устройство будет получать определенные данные от других устройств.
3. Третий режим — защита на уровне сеанса связи, где данные кодируются 128-битными случайными числами, хранящимися в каждой паре устройств, участвующих в конкретном сеансе связи. Этот режим требует опознания и использует кодировку/шифрование данных (encryption).

Второй и третий режимы часто применяются одновременно. Главная задача процесса аутентификации состоит в том, чтобы проверить, действительно ли устройство, инициирующее сеанс связи, является именно тем, за которое себя выдает. Устройство, инициирующее связь, посылает свой адрес-идентификатор (Bluetooth Device Address, BD_ADDR). Инициируемое устройство посылает в ответ случайное число в качестве запроса. В это время оба устройства рассчитывают опознавательный ответ, комбинируя адрес-идентификатор с полученным случайным числом. В результате сравнения происходит либо продолжение установления связи, либо разъединение (если опознавательные ответы не совпадут).

Если кто-то подслушивает соединение по эфиру, то для того, чтобы украсть аутентификационный ключ, ему необходимо знать алгоритм для выявления ключа из запроса и ответа, а определение такого обратного алгоритма потребует значительной компьютерной мощности. Поэтому стоимость извлечения ключа простым подслушиванием процедуры аутентификации неоправданно высока.

Что касается авторизации, то она предназначена для того, чтобы опознанное Bluetooth-устройство разрешило доступ к определенной информации или к услугам. Существуют три уровня доверия между Bluetooth-устройствами: проверенное (trusted), не вызывающее доверия (non-trusted) и неизвестное (unknown). Если устройство имеет доверительные отношения с инициирующим, то последнему разрешается неограниченный доступ к ресурсам. Если же устройству не доверяют, то доступ к ресурсам ограничивается так называемыми защитными слоями обслуживания (layer security service). Например, первый защитный слой требует опознания и разрешения для открытия доступа к сервису, второй — только опознания, третий — только кодировки. Неизвестное устройство, которое не было опознано, считается непроверенным.

И наконец, 128-битное шифрование данных помогает защитить секретную информацию от просмотра нежелательными посетителями. Только адресат с личным расшифровывающим ключом (decryption key) имеет доступ к этим данным.

Расшифровывающий ключ устройства основан на ключе связи. Это упрощает процесс генерации ключа, так как отправитель и адресат обладают общей секретной информацией, которая расшифрует код.

Служба Bluetooth-шифрования имеет, в свою очередь, три режима:

Режим без кодирования;

Режим, где кодируется только установление связи с устройствами, а передаваемая информация не кодируется;

Режим, при котором кодируются все виды связи.

Итак, защитные функции Bluetooth должны обеспечивать безопасную коммуникацию на всех связующих уровнях. Но на практике, несмотря на предусмотренную стандартом безопасность, в этой технологии имеется целый ряд существенных изъянов.

Например, слабым местом защиты Bluetooth-устройств является то, что производители стремятся предоставить пользователям широкие полномочия и контроль над устройствами и их конфигурацией. В то же время современная Bluetooth-технология обладает недостаточными средствами для опознания пользователей (то есть система безопасности Bluetooth не принимает во внимание личность или намерения пользователя), что делает Bluetooth-устройства особенно уязвимыми к так называемым spoofing-нападениям (радиодезинформации) и неправильному применению опознавательных устройств.

Кроме того, приоритетным считается надежность опознавания устройств, а не их безопасное обслуживание. Поэтому обнаружение услуг (service discovery) является критической частью всей схемы Bluetooth.

Крайне слабым местом интерфейса Bluetooth можно считать и процесс первичного спаривания устройств (pairing), при котором происходит обмен ключами в незакодированных каналах, что делает их уязвимыми для стороннего прослушивания. В результате перехвата передачи в момент процесса спаривания можно получить ключ инициализации путем вычисления этих ключей для любого возможного варианта пароля и последующего сравнения результатов с перехваченной передачей. Ключ инициализации, в свою очередь, используется хакером для расчета ключа связи и сравнивается с перехваченной передачей для проверки. В связи с этим рекомендуется производить процедуру спаривания в знакомой и безопасной среде, что значительно уменьшает угрозу подслушивания. Кроме того, риск перехвата можно уменьшить, если пользоваться длинными паролями, которые усложняют их определение из перехваченных сообщений.

Вообще, допускаемая стандартом возможность использования коротких паролей является еще одной причиной уязвимости Bluetooth-соединения, что, как и в случае с использованием простых паролей системными администраторами компьютерных сетей, может привести к их угадыванию (например, при автоматическом сравнении с базой заурядных/распространенных паролей). Такие пароли значительно упрощают инициализацию, но делают ключи связи очень простыми в плане извлечения из перехваченных передач.

Кроме того, ради простоты пользователи склонны применять спаренные ключи связи, а не более защищенные динамичные. По этой же причине вместо комбинаторных ключей они выбирают модульные. А устройство с модульным ключом использует его для соединения со всеми устройствами, которые устанавливают с ним связь. В результате любое устройство с модульным ключом может использовать его для подслушивания на безопасных соединениях, где применяется такой же ключ связи и от проверенных устройств (то есть тех, с которыми связь уже была когда-то установлена). При использовании же модульных ключей никакой защиты не существует.

Однако любое Bluetooth-устройство с личным ключом связи (decryption key) вполне безопасно. Так что меры безопасности по технологии Bluetooth могут защитить соединения только при условии правильной настройки и при правильном пользовании сервисами. И это единственный способ уберечь персональные данные и конфиденциальную информацию от попадания в чужие руки.

Вирусные атаки по Bluetooth

егодня в рамках общей тенденции усложнения телефонных аппаратов стремительно набирает популярность относительно новый тип карманных устройств под названием смартфон (в переводе с английского — «умный телефон»), который по сути является результатом синтеза сотовых телефонов и карманных компьютеров (КПК).

Аналитики оценивают рынок смартфонов как наиболее перспективный сегмент мобильной телефонии. Некоторые даже утверждают, что смартфоны и коммуникаторы в конце концов вытеснят с рынка и традиционные сотовые телефоны, и КПК, причем произойти это может в самое ближайшее время. Аргументация для такого предсказания железная: каждый человек мечтает увидеть у себя на ладони максимально многофункциональное устройство за те же деньги. А современные смартфоны дешевеют прямо на глазах.

В результате скромные мобильники, предназначенные только для того, чтобы звонить, под давлением прогресса постепенно уступают место сложным многофункциональным устройствам с компьютерными функциями. К тому же, согласно данным аналитической компании Mobile Data Association (MDA), количество мобильных телефонов, поддерживающих новые технологии, к концу текущего года должно удвоиться.

Однако немногие пользователи отдают себе отчет в том, чем им грозит переход от примитивных «звонилок» к сложным коммуникационным устройствам, которые работают под управлением операционных систем и программного обеспечения. А между тем уже в середине прошлого года был обнаружен первый вирус для смартфонов под управлением операционной системы Symbian (доля смартфонов с этой ОС, если исключить КПК и коммуникаторы, составляет 94%).

Итак, первый в истории мобильный вирус, а точнее сетевой червь под названием Cabir, начал распространяться по сотовым сетям и заражать смартфоны под управлением Symbian. Впрочем, практически одновременно с Cabir другой вирус под именем Duts поразил Windows Mobile. Хотя оба этих вируса особого вреда пользователям еще не причинили (они даже спрашивали разрешение у владельцев телефонов на то, чтобы заразить их мобильники, и такое разрешение ничего не подозревающие пользователи им давали!), однако вирусы для смартфонов совершенствуются гораздо быстрее, чем их старшие братья — компьютерные вирусы. Не прошло и года с момента появления первых вирусов, как очередной анонимный творец вредоносных программ продемонстрировал важное достижение — блокировал антивирусное ПО.

У специалистов пока нет единого мнения о том, можно ли считать появление подобных червей предвестием эпидемий мобильных вирусов, однако ничего технически сложного в создании подобной «нечисти» нет, так что в ближайшее время мы обязательно столкнемся с попытками хакеров запустить что-нибудь более вредоносное. Теоретически мобильный вирус может, к примеру, стереть имена и телефоны из записной книжки и другие данные, хранящиеся в трубке, а также разослать SMS-сообщения, написанные якобы владельцем зараженного аппарата. Заметим при этом, что как сама по себе рассылка подобных сообщений, так и наличие платных SMS-сервисов может сильно подорвать бюджет обладателя инфицированного телефона.

Что касается первых вирусов и их клонов, то владельцам смартфонов достаточно отключать функциональность Bluetooth, когда она не нужна, или ставить устройство в режим недоступности для обнаружения другими Bluetooth-гаджетами.

Производители антивирусного ПО уже начали серьезно относиться к защите мобильных телефонов, и если вы столкнулись с проявлениями вирусных атак на свой мобильник, то можете обратиться за помощью к производителям антивирусных программ, которые разработали средства и для защиты смартфонов. Самую популярную в настоящее время антивирусную программу Mobile Anti-Virus для очищения мобильных телефонов от вирусов выпускает компания F-Secure (http://mobile.f-secure.com).

«Лаборатория Касперского», в свою очередь, сообщила, что Россия стала девятым государством, на территории которого в смарфоны проник сетевой червь Cabir, и предложила пользователям установить на мобильные телефоны специальную программу для его поиска и удаления. Программа доступна для бесплатной загрузки на Wap-сайте «Лаборатории Касперского» (http://www.kaspersky.ru).

Новозеландская компания Symworks (http://www.simworks.biz) также выпускает антивирусные программы для КПК и мобильных телефонов. С их помощью можно обнаружить уже с десяток вредоносных программ, которые распространяются под видом полезного программного обеспечения для этих устройств. Один из вирусов даже специально констатирует, что борется с антивирусной программой от Symworks.

Разработчик антивирусов компания Trend Micro тоже предложила пользователям мобильных устройств бесплатную антивирусную защиту. Этот новый продукт не только уничтожает известные вирусы, но и убирает SMS-спам. Trend Micro Mobile Security можно скачать и использовать до июня этого года. Антивирусный пакет совместим со всеми популярными мобильными устройствами на базе Windows Mobile for Smartphone, Windows Mobile 2003 for Pocket PC и Symian OS v7.0 с интерфейсом UIQ v2.0/2.1. Скачать программу можно по адресу: http://www.trendmicro.com/en/products/mobile/tmms/evaluate/overview.htm .

Последний из найденных вирусов — Drever-C — действует в лучших традициях жанра: он проникает в телефон под видом обновленной версии антивируса (этим приемом часто пользуются и вирусы для ПК). При этом все распространенные системы защиты от F-Secure, SimWorks и Лаборатории «Касперского» оказываются бессильными против него.

Заключение

ак правило, покупатели мобильных телефонов и Bluetooth-гаджетов больше беспокоятся о собственном здоровье, нежели о состоянии своих аппаратов. Поэтому сразу их успокоим — поскольку стандарт IEEE 802.15.1 разрабатывался с расчетом на малую мощность, то влияние его на здоровье человека ничтожно. Радиоканал обеспечивает скорость 721 Кбит/с, что совсем немного по сравнению с другими стандартами. Этот факт обусловливает применение Bluetooth в соединениях лишь тех компонентов, объем передачи (трафик) которых незначителен.

Со временем все слабые стороны данной технологии, несомненно, будут вскрыты. Вполне возможно, что специальная рабочая группа по Bluetooth (Special Interest Group, SIG) обновит спецификации стандарта, когда изъяны будут выявлены. Производители, со своей стороны, модернизируют продукты, учитывая все рекомендации по безопасности.

Отметим, что сегодня уже разработан модифицированный стандарт связи, который является следующим поколением Bluetooth, — IEEE 802.15.3. Он также предназначен для небольших сетей и локальной передачи данных, но предусматривает более высокую скорость передачи данных (до 55 Мбит/с) и на большее расстояние (до 100 м). В такой сети одновременно могут работать до 245 пользователей. Причем при возникновении помех со стороны других сетей или бытовых приборов каналы связи будут автоматически переключаться, что обеспечит стандарту 802.15.3 высокую надежность и устойчивость соединения. Возможно, новый стандарт будет применяться в тех областях, где требуется высокая скорость обмена данными и необходимо большее расстояние для передачи, а предыдущий будет использоваться для несложной компьютерной периферии (клавиатур, мышей и пр.), телефонных гарнитур, наушников и музыкальных плееров. В любом случае конкуренция этих стандартов будет определяться их ценой и энергетической эффективностью.

Что касается мобильных телефонов, то компании Microsoft и Symbian Limited готовят новые дополнительные средства защиты. Ведь не секрет, что мобильные телефоны применяются сегодня не только как средство коммуникации, но и как активно используемая компьютерная периферия (GPRS-модем и запоминающее устройство), что предъявляет повышенные требования к их защите.

Эта статья посвящена вопросу безопасности при использовании беспроводных сетей WiFi.

Введение - уязвимости WiFi

Главная причина уязвимости пользовательских данных, когда эти данные передаются через сети WiFi, заключается в том, что обмен происходит по радиоволне. А это дает возможность перехвата сообщений в любой точке, где физически доступен сигнал WiFi. Упрощенно говоря, если сигнал точки доступа можно уловить на дистанции 50 метров, то перехват всего сетевого трафика этой WiFi сети возможен в радиусе 50 метров от точки доступа. В соседнем помещении, на другом этаже здания, на улице.

Представьте такую картину. В офисе локальная сеть построена через WiFi. Сигнал точки доступа этого офиса ловится за пределами здания, например на автостоянке. Злоумышленник, за пределами здания, может получить доступ к офисной сети, то есть незаметно для владельцев этой сети. К сетям WiFi можно получить доступ легко и незаметно. Технически значительно легче, чем к проводным сетям.

Да. На сегодняшний день разработаны и внедрены средства защиты WiFi сетей. Такая защита основана на шифровании всего трафика между точкой доступа и конечным устройством, которое подключено к ней. То есть радиосигнал перехватить злоумышленник может, но для него это будет просто цифровой "мусор".

Как работает защита WiFi?

Точка доступа, включает в свою WiFi сеть только то устройство, которое пришлет правильный (указанный в настройках точки доступа) пароль. При этом пароль тоже пересылается зашифрованным, в виде хэша. Хэш это результат необратимого шифрования. То есть данные, которые переведены в хэш, расшифровать нельзя. Если злоумышленник перехватит хеш пароля он не сможет получить пароль.

Но каким образом точка доступа узнает правильный указан пароль или нет? Если она тоже получает хеш, а расшифровать его не может? Все просто - в настройках точки доступа пароль указан в чистом виде. Программа авторизации берет чистый пароль, создает из него хеш и затем сравнивает этот хеш с полученным от клиента. Если хеши совпадают значит у клиента пароль верный. Здесь используется вторая особенность хешей - они уникальны. Одинаковый хеш нельзя получить из двух разных наборов данных (паролей). Если два хеша совпадают, значит они оба созданы из одинакового набора данных.

Кстати. Благодаря этой особенности хеши используются для контроля целостности данных. Если два хеша (созданные с промежутком времени) совпадают, значит исходные данные (за этот промежуток времени) не были изменены.

Тем, не менее, не смотря на то, что наиболее современный метод защиты WiFi сети (WPA2) надежен, эта сеть может быть взломана. Каким образом?

Есть две методики доступа к сети под защитой WPA2:

1. Подбор пароля по базе паролей (так называемый перебор по словарю).
2. Использование уязвимости в функции WPS.

В первом случае злоумышленник перехватывает хеш пароля к точке доступа. Затем по базе данных, в которой записаны тысячи, или миллионы слов, выполняется сравнение хешей. Из словаря берется слово, генерируется хеш для этого слова и затем этот хеш сравнивается с тем хешем который был перехвачен. Если на точке доступа используется примитивный пароль, тогда взлом пароля, этой точки доступа, вопрос времени. Например пароль из 8 цифр (длина 8 символов это минимальная длина пароля для WPA2) это один миллион комбинаций. На современном компьютере сделать перебор одного миллиона значений можно за несколько дней или даже часов.

Во втором случае используется уязвимость в первых версиях функции WPS. Эта функция позволяет подключить к точке доступа устройство, на котором нельзя ввести пароль, например принтер. При использовании этой функции, устройство и точка доступа обмениваются цифровым кодом и если устройство пришлет правильный код, точка доступа авторизует клиента. В этой функции была уязвимость - код был из 8 цифр, но уникальность проверялась только четырьмя из них! То есть для взлома WPS нужно сделать перебор всех значений которые дают 4 цифры. В результате взлом точки доступа через WPS может быть выполнен буквально за несколько часов, на любом, самом слабом устройстве.

Настройка защиты сети WiFi

Безопасность сети WiFi определяется настройками точки доступа. Несколько этих настроек прямо влияют на безопасность сети.

Режим доступа к сети WiFi

Точка доступа может работать в одном из двух режимов - открытом или защищенном. В случае открытого доступа, подключиться к точке досутпа может любое устройство. В случае защищенного доступа подключается только то устройство, которое передаст правильный пароль доступа.

Существует три типа (стандарта) защиты WiFi сетей:

• WEP (Wired Equivalent Privacy) . Самый первый стандарт защиты. Сегодня фактически не обеспечивает защиту, поскольку взламывается очень легко благодаря слабости механизмов защиты.
• WPA (Wi-Fi Protected Access) . Хронологически второй стандарт защиты. На момент создания и ввода в эксплуатацию обеспечивал эффективную защиту WiFi сетей. Но в конце нулевых годов были найдены возможности для взлома защиты WPA через уязвимости в механизмах защиты.
• WPA2 (Wi-Fi Protected Access) . Последний стандарт защиты. Обеспечивает надежную защиту при соблюдении определенных правил. На сегодняшний день известны только два способа взлома защиты WPA2. Перебор пароля по словарю и обходной путь, через службу WPS.

Таким образом, для обеспечения безопасности сети WiFi необходимо выбирать тип защиты WPA2. Однако не все клиентские устройства могут его поддерживать. Например Windows XP SP2 поддерживает только WPA.

Помимо выбора стандарта WPA2 необходимы дополнительные условия:

Использовать метод шифрования AES.

Пароль для доступа к сети WiFi необходимо составлять следующим образом:

1. Используйте буквы и цифры в пароле. Произвольный набор букв и цифр. Либо очень редкое, значимое только для вас, слово или фразу.
2. Не используйте простые пароли вроде имя + дата рождения, или какое-то слово + несколько цифр, например lena1991 или dom12345 .
3. Если необходимо использовать только цифровой пароль, тогда его длина должна быть не менее 10 символов. Потому что восьмисимвольный цифровой пароль подбирается методом перебора за реальное время (от нескольких часов до нескольких дней, в зависимости от мощности компьютера).

Если вы будете использовать сложные пароли, в соответствии с этими правилами, то вашу WiFi сеть нельзя будет взломать методом подбора пароля по словарю. Например, для пароля вида 5Fb9pE2a (произвольный буквенно-цифровой), максимально возможно 218340105584896 комбинаций. Сегодня это практически невозможно для подбора. Даже если компьютер будет сравнивать 1 000 000 (миллион) слов в секунду, ему потребуется почти 7 лет для перебора всех значений.

WPS (Wi-Fi Protected Setup)

Если точка доступа имеет функцию WPS (Wi-Fi Protected Setup), нужно отключить ее. Если эта функция необходима, нужно убедиться что ее версия обновлена до следующих возможностей:

1. Использование всех 8 символов пинкода вместо 4-х, как это было вначале.
2. Включение задержки после нескольких попыток передачи неправильного пинкода со стороны клиента.

Дополнительная возможность улучшить защиту WPS это использование цифробуквенного пинкода.

Безопасность общественных сетей WiFi

Сегодня модно пользоваться Интернет через WiFi сети в общественных местах - в кафе, ресторанах, торговых центрах и т.п. Важно понимать, что использование таких сетей может привести к краже ваших персональных данных. Если вы входите в Интернет через такую сеть и затем выполняете авторизацию на каком-либо сайта, то ваши данные (логин и пароль) могут быть перехвачены другим человеком, который подключен к этой же сети WiFi. Ведь на любом устройстве которое прошло авторизацию и подключено к точке доступа, можно перехватывать сетевой трафик со всех остальных устройств этой сети. А особенность общественных сетей WiFi в том, что к ней может подключиться любой желающий, в том числе злоумышленник, причем не только к открытой сети, но и к защищенной.

Что можно сделать для защиты своих данных, при подключении к Интерне через общественную WiFi сеть? Есть только одна возможность - использовать протокол HTTPS. В рамках этого протокола устанавливается зашифрованное соединение между клиентом (браузером) и сайтом. Но не все сайты поддерживают протокол HTTPS. Адреса на сайте, который поддерживает протокол HTTPS, начинаются с префикса https://. Если адреса на сайте имеют префикс http:// это означает что на сайте нет поддержки HTTPS или она не используется.

Некоторые сайты по умолчанию не используют HTTPS, но имеют этот протокол и его можно использовать если явным образом (вручную) указать префикс https://.

Что касается других случаев использования Интернет - чаты, скайп и т.д, то для защиты этих данных можно использовать бесплатные или платные серверы VPN. То есть сначала подключаться к серверу VPN, а уже затем использовать чат или открытый сайт.

Защита пароля WiFi

Во второй и третьей частях этой статьи я писал, о том, что в случае использования стандарта защиты WPA2, один из путей взлома WiFi сети заключается в подборе пароля по словарю. Но для злоумышленника есть еще одна возможность получить пароль к вашей WiFi сети. Если вы храните ваш пароль на стикере приклеенном к монитору, это дает возможность увидеть этот пароль постороннему человеку. А еще ваш пароль может быть украден с компьютера который подключен к вашей WiFi сети. Это может сделать посторонний человек, в том случае если ваши компьютеры не защищены от доступа посторонних. Это можно сделать при помощи вредоносной программы. Кроме того пароль можно украсть и с устройства которое выносится за пределы офиса (дома, квартиры) - со смартфона, планшета.

Таким образом, если вам нужна надежная защита вашей WiFi сети, необходимо принимать меры и для надежного хранения пароля. Защищать его от доступа посторонних лиц.

Если вам оказалась полезна или просто понравилась эта статья, тогда не стесняйтесь - поддержите материально автора. Это легко сделать закинув денежек на Яндекс Кошелек № 410011416229354 . Или на телефон +7 918-16-26-331 .

Даже небольшая сумма может помочь написанию новых статей:)

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования

Кафедра: Информатики и информационных технологий

Специальность: Прикладная информатика

КУРСОВАЯ РАБОТА

БЕЗОПАСНОСТЬ БЕСПРОВОДНЫХ СЕТЕЙ

Выполнила студентка

Козлова С.К.

Руководитель работы:

Митяев В.В.

ОРЕЛ, 2013 ГОД

Введение

Заключение

Библиографический список

Приложение

Введение

Большинство современных компьютеров поддерживают беспроводной доступ в сеть. Другими словами, они могут подключаться к интернету (и к другим устройствам, поддерживающим беспроводную связь) без сетевого кабеля. Главное преимущество беспроводных соединений - возможность работать с интернетом в любой точке дома или офиса (если позволяет расстояние между компьютером и устройством беспроводного доступа в сеть). Однако если не принять мер к обеспечению безопасности беспроводной сети, возможны следующие потенциально опасные ситуации, в результате которых злоумышленник может:

1. Перехватить передаваемые или получаемые данные;

2. Получить доступ к беспроводной сети;

3. Захватить канал доступа в интернет.

Обратимся к определению информационной безопасности. Информационная безопасность - обозначает защиту информации и информационных систем от неавторизированного доступа, использования, обнаружения, искажения, уничтожения, модификации.

Информационная безопасность обеспечивает доступность, целостность и конфиденциальность информации. Для реализации информационной безопасности беспроводных сетей используются средства и механизмы защиты информации.

Следовательно, если беспроводная сеть не защищена, злоумышленник может перехватить передаваемые по ней данные, получить доступ к сети и файлам на компьютере, а также выходить в интернет, используя подключение. Таким образом, занимается канал передачи данных и замедляется доступ в интернет.

Тема безопасности беспроводных сетей по-прежнему остается актуальной, хотя уже достаточно давно существуют надежные методы защиты этих сетей, такие как технологии WPA (Wi-Fi Protected Access).

Цель работы - практическое изучение вопросов безопасности и особенностей защиты беспроводных сетей.

Объектом данной курсовой работы является сетевая безопасность.

Предметом - безопасность беспроводных сетей.

Задачи, которые предстоит решить при выполнении данной работы следующие:

1. Рассмотреть понятие беспроводной сети;

3. Изучить основные положения политики безопасности беспроводных соединений;

4. Проанализировать решения для обеспечения безопасности беспроводных сетей;

5. Провести оценку необходимости защиты беспроводной сети;

6. Разработать алгоритм проведения работ по оценке эффективности защиты беспроводной сети.

1. Понятие беспроводной сети и описание категорий основных атак

1.1 Понятие и описание беспроводной сети

Беспроводная сеть - это передача информации на расстояние без использования электрических проводников или «проводов».

Это расстояние может быть как малым (несколько метров, как в телевизионном дистанционном управлении), так и очень большим (тысячи или даже миллионы километров для телекоммуникаций).

Беспроводная связь обычно рассматривается как отрасль телекоммуникаций.

Популярность беспроводной связи растет взрывообразными темпами, открывая для операторов новые рынки - от сетевых игр на экранах сотовых телефонов до служб экстренной помощи.

Это связано с распространением блокнотных компьютеров, систем поискового вызова и появлением систем класса «персональный секретарь» (Personal Digital Assistant (PDA)), расширением функциональных возможностей сотовых телефонов.

Такие системы должны обеспечить деловое планирование, расчет времени, хранение документов и поддержание связи с удаленными станциями. Девизом этих систем стало anytime, anywhere, т. е., предоставление услуг связи вне зависимости от места и времени. Кроме того, беспроводные каналы актуальны там, где невозможна или дорога прокладка кабельных линий и значительные расстояния.

До недавнего времени большинство беспроводных компьютерных сетей передавала данные со скоростью от 1.2 до 14.0 Кбит / с, зачастую только короткие сообщения, т. к., передача файлов больших размеров или длинные сеансы интерактивной работы с базой данных были недоступны. Новые технологии беспроводной передачи оперируют со скоростями в несколько десятков мегабит в секунду.

О перспективах рынка беспроводной связи очень много рассуждает Алан Коэн (Alan S. Cohen), старший директор компании Cisco Systems, отвечающий за мобильные решения.

Он говорит, что беспроводные технологии быстро становятся общепринятым стандартом, который оказывает всестороннее влияние на нашу жизнь.

На рынке действуют два важных фактора, стимулирующих переход к повсеместной беспроводной связи. Первый фактор - это "демократизация" беспроводной технологии, которая стала заметна на мобильном рынке с появлением стандарта 802.11 или Wi-Fi.

Очень заметен быстрый рост количества мобильных устройств и мобильных сетей в домах, квартирах, на предприятиях и в городах. Сегодня можно легко и просто построить беспроводную сеть и обеспечить широкополосную мобильность в интересах крупных корпораций и индивидуальных пользователей.

Так же он выделил еще одну интересную область применения мобильных технологий - городские mesh-сети, которые делают технологию Wi-Fi действительно повсеместной.

Предоставление доступа всем жителям города на всей его территории - замечательный пример демократизации беспроводных технологий. Сетевая архитектура и технология унифицированных коммуникаций не только объединяет проводную и беспроводную связь, но и сводит воедино сетевые услуги, предоставляемые в помещениях и на открытой местности. В результате можно оставаться подключенным к сети, где бы ни находились, в здании или за его пределами, что очень важно для городской связи.

Беспроводная связь становится повсеместной. Она позволяет предоставить подключение пользователей там, где затруднено кабельное подключение или необходима полная мобильность. При этом беспроводные сети взаимодействуют с проводными сетями. В настоящее время необходимо принимать во внимание беспроводные решения при проектировании любых сетей - от малого офиса до предприятия. Это, возможно, сэкономит и средства и трудозатраты и время.

Существует много случаев и причин, по которым беспроводные сети являются единственным или же самым удобным вариантом организации доступа к сети связи или интернету:

1) Если требуется организовать возможность кочевого доступа к сети и Интернету случайным пользователям в кафе, аэропортах, вокзалах, магазинах и других общественных местах;

2) Если необходимо организовать локальную сеть в зданиях, не имеющих возможностей прокладывания кабельной проводки (например, в исторических зданиях) или в зданиях, в которых прокладывания кабеля является весьма сложной, трудоёмкой и затруднительной задачей;

3) При организации временной локальной сети, в том числе и локальной сети для общего доступа, например, для проведения каких-либо событий, конференций и тому подобного;

4) При расширении локальной вычислительной сети в том случае, если необходимо подключить какой-либо удалённый изолированный сегмент, содержащий небольшое количество рабочих станций;

5) Если необходим мобильный доступ к сетевым ресурсам, например, при перемещении по квартире или организации с ноутбуком, при посещении различных больных врачом в больнице для связи с центральной базой данных или же для связи и координации механиков в больших зданиях, насыщенных современными средствами обеспечения их жизнедеятельности;

6) Для организации дополнительных каналов связи, которые могут предоставлять альтернативные операторы связи, создающие беспроводные локальные сети в различных районах.

В зависимости от технологий и передающих сред, которые используют, можно определить следующие классы беспроводных сетей:

Сети на радиомодемах;

Сети на сотовых модемах;

Инфракрасные системы;

Системы VSAT;

Системы с использованием низкоорбитальных спутников;

Системы с технологией SST;

Радиорелейные системы;

Системы лазерной связи.

WI-FI - это современная беспроводная технология передачи данных по радиоканалу (wireless, wlan wifi).

Любое оборудование, соответствующее стандарту IEEE 802.11, может быть протестировано в Wi-Fi Alliance и получить соответствующий сертификат и право нанесения логотипа Wi-Fi.

Wireless Fidelity, что в переводе с английского - беспроводная точность. Так же есть и более длинное название термина: EEE 802.11b. Зародился Wi-Fi в 1985 году, в США, после того как была открыта частотная часть радиоканала для использования без специального разрешения.

Самым первым стандартом, получившим наибольшее распространение, стал стандарт IEEE 802.11b.

Оборудование, соответствующее стандарту 802.11b, появилось ещё в 2001 году, и до сих пор большинство беспроводных сетей по-прежнему работает с использованием этого стандарта, а также выпускается множество беспроводных Wi-Fi устройств с поддержкой 802.11b.

Радиоволны, которые используются для Wi-Fi связи очень похожи на радиоволны используемые в рациях, приемниках, сотовых телефонах и других устройствах. Но Wi-Fi имеет несколько заметных отличий от других радиоприборов.

Связь ведется на частотах 2,4-5 Ггц. Эта частота намного выше, чем частоты, пригодные для мобильных телефонов, портативных радиостанций и телевидения.

Чем выше частота сигнала, тем большее количество информации передается. Беспроводная сеть использует радиоволны точно так же как радиоприемники, мобильные телефоны, телевизоры. На самом деле беспроводная связь Wi-Fi более похожа на двустороннюю радиосвязь.

В России использование Wi-Fi без разрешения на использование частот от Государственной комиссии по радиочастотам (ГКРЧ) возможно для организации сети внутри зданий, закрытых складских помещений и производственных территорий.

Для легального использования вне офисной беспроводной сети Wi-Fi, например, радиоканала между двумя соседними домами, необходимо получение разрешения на использование частот. Действует упрощённый порядок выдачи разрешений на использование радиочастот в полосе 2400-2483,5 МГц (стандарты 802.11b и 802.11g, каналы 1-13), для получения такого разрешения не требуется частное решение ГКРЧ. Для использования радиочастот в других диапазонах, в частности 5 ГГц (стандарт 802.11a), необходимо предварительно получить частное решение ГКРЧ. В 2007 году ситуация изменилась с выходом документа: «Постановление от 25 июля 2007 г., №476 «О внесении изменений в постановление Правительства Российской Федерации» от 12 октября 2004 г.

Шестнадцатым пунктом постановления из списка оборудования, подлежащего регистрации было исключено - пользовательское оборудование беспроводного доступа в полосе радиочастот 2400-2483,5 МГц с мощностью излучения передающих устройств до 100 мВт включительно.

Также во исполнение протокольной записи к решению ГКРЧ от 19 августа 2009 г., №09-04-09, ГКРЧ решила: выделить полосы радиочастот 5150-5350 МГц и 5650-6425 МГц для применения на территории Российской Федерации за исключением городов, указанных в приложении №2, фиксированного беспроводного доступа гражданами Российской Федерации и российскими юридическими лицами без оформления отдельных решений ГКРЧ для каждого физического или юридического лица.

Указанным полосам частот соответствуют стандарты 802.11a/b/g/n и каналы с номерами из диапазонов 36-64 и 132-165. Однако, в приложении 2 перечислено 164 крупнейших города России, в которых указанные частоты для создания беспроводных сетей использовать нельзя.

За нарушение порядка использования радиоэлектронных средств предусматривается ответственность по статьям 13.3 и 13.4 Кодекса Российской Федерации об административных правонарушениях.

Решением от 15 июля 2010 года, ГКРЧ России отменила выдачу обязательных частных решений ГКРЧ для использования систем фиксированного беспроводного доступа в диапазонах 5150-5350 МГц и 5650-6425 МГц. Ограничение на данные диапазоны частот снято для всей территории России.

Выделяют следующие типы и разновидности соединений:

1. Соединение Ad-Hoc (точка-точка). Все компьютеры оснащены беспроводными картами (клиентами) и соединяются напрямую друг с другом по радиоканалу работающему по стандарту 802.11b и обеспечивающих скорость обмена 11 Mбит/с, чего вполне достаточно для нормальной работы;

2. Инфраструктурное соединение. Данная модель используется, когда необходимо соединить больше двух компьютеров. Сервер с точкой доступа может выполнять роль роутера и самостоятельно распределять интернет-канал;

3. Точка доступа, с использованием роутера и модема. Точка доступа включается в роутер, роутер - в модем (эти устройства могут быть объединены в два или даже в одно). Теперь на каждом компьютере в зоне действия Wi-Fi, в котором есть адаптер Wi-Fi, будет работать интернет;

4. Клиентская точка. В этом режиме точка доступа работает как клиент и может соединятся с точкой доступа работающей в инфраструктурном режиме. Но к ней можно подключить только один МАС-адрес. Здесь задача состоит в том, чтобы объединить только два компьютера. Два Wi-Fi-адаптера могут работать друг с другом напрямую без центральных антенн;

5. Соединение мост. Компьютеры объединены в проводную сеть. К каждой группе сетей подключены точки доступа, которые соединяются друг с другом по радио каналу. Этот режим предназначен для объединения двух и более проводных сетей. Подключение беспроводных клиентов к точке доступа, работающей в режиме моста невозможно.

Таким образом, было рассмотрено понятие и классы беспроводных сетей, выявлены причины целесообразного использования беспроводного соединения. Проанализирована нормативно-правовая база в отношении сетей Wi-Fi. Беспроводная сеть была описана посредством приведения типологии и разновидности соединений.

Во время работы беспроводных сетей часто возникают различные проблемы. Некоторые - по чьей-то оплошности, а некоторые являются результатом злоумышленных действий. В любом случае при этом наносится ущерб. Данные события являются атаками, независимо от причин их возникновения.

Существуют четыре основных категории атак:

1. Атаки доступа;

2. Атаки модификации;

3. Атаки на отказ в обслуживании;

4. Атаки на отказ от обязательств.

Атака доступа - это попытка получения информации злоумышленником, для просмотра которой у него нет разрешений, и которая направлена на нарушение конфиденциальности информации.

Для осуществления данной атаки необходима информация и средства для ее передачи.

Атака доступа возможна везде, где существуют информация и средства для ее передачи.

К атакам доступа можно так же отнести подсматривание, подслушивание и перехват.

Подсматривание - это просмотр файлов или документов для поиска интересующей злоумышленника информации.

Подслушивание - когда кто-то слушает разговор, участником которого он не является (часто при этом он использует электронные устройства).

Перехват - захват информации в процессе ее передачи к месту назначения.

Информация в электронном виде хранится она:

Рабочих станциях;

Серверах;

В портативных компьютерах;

Компакт-дисках.

С компакт-дисками ситуация ясна, т. к., злоумышленник может их просто украсть. С первыми двумя дело обстоит иначе. При легальном доступе к системе злоумышленник будет анализировать файлы, просто открывая один за другим. При несанкционированном доступе, взломщик постарается обойти систему контроля и получить доступ к нужной информации. Сделать это не сложно. Необходимо установить в компьютерной системе сетевой анализатор пакетов (sniffer). Для этого взломщик должен повысить свои полномочия в системе или подключиться к сети. Анализатор настроен на захват любой информации, проходящей по сети, но особенно - на пользовательские идентификаторы и пароли.

Подслушивание выполняется и в глобальных компьютерных сетях типа выделенных линий и телефонных соединений. Однако такой тип перехвата требует наличия соответствующей аппаратуры и специальных знаний. В этом случае наиболее удачным местом для размещения подслушивающего устройства является шкаф с электропроводкой.

А с помощью специального оборудования квалифицированный взломщик может осуществить перехват в системах оптико-волоконной связи. Однако, что бы добиться успеха, он должен поместить свою систему в линии передачи между отправителем и получателем информации. В интернете это выполняется посредством изменения разрешения имени, в результате чего имя компьютера преобразуется в неправильный адрес. Трафик перенаправляется к системе атакующего вместо реального узла назначения. При соответствующей настройке такой системы отправитель так и не узнает, что его информация не дошла до получателя.

Атака модификации - это попытка неправомерного изменения информации. Она направлена на нарушение целостности информации и возможна везде, где существует или передается информация.

Существует три вида атаки модификации:

1. Замена;

2. Добавление;

3. Удаление.

Замена - замена существующей информации направлена как против секретной, так и общедоступной информации.

Атака добавления - добавление новых данных.

Атака удаления означает перемещение существующих данных.

Все три вида атаки модификации используют уязвимые места систем, например, «бреши» в безопасности сервера, позволяющие заменить домашнюю страницу. И даже в этом случае необходимо основательно поработать во всей системе, чтобы воспрепятствовать обнаружению. Т. к., транзакции нумеруются последовательно, и удаление или добавление неправильных операционных номеров будет замечено.

В случае, если атака модификации производится при передаче информации, то необходимо сначала выполнить перехват интересующего трафика, а затем внести изменения в информацию перед ее отправкой к пункту назначения.

Атаки на отказ в обслуживании (Denial-of-service, DoS) - это атаки, запрещающие легальному пользователю использование системы, информации или возможностей компьютеров. Другими словами, эта атака «Вандализм», т. к., злоумышленник.

В результате DoS-атаки обычно не получает доступа к компьютерной системе и не может оперировать с информацией.

DoS-атака, направленная против информации - уничтожает, искажает или переносит в недоступное место последнюю.

DoS-атака, направленная на приложения, обрабатывающие или отображающие информацию, или на компьютерную систему, в которой эти приложения выполняются - делают невозможным решение задач, выполняемых с помощью такого приложения.

Общий тип DoS-атак (отказ в доступе к системе) ставит своей целью вывести из строя компьютерные системы, в результате чего сама система, установленные на ней приложения и вся сохраненная информация становится недоступной.

Отказ в доступе к средствам связи заключается в выведении из строя средств связи, которые лишают доступ к компьютерным системам и информации.

DoS-атаки, нацеленные непосредственно на компьютерную систему, реализуются через эксплойты, использующие уязвимые места операционных систем или межсетевых протоколов.

С помощью этих «брешей» атакующий посылает в приложение определенный набор команд, который оно не в состоянии правильно обработать, в результате чего приложение выходит из строя. Перезагрузка восстанавливает его работоспособность, но на время перезагрузки работать с приложением становится невозможно.

Атака на отказ от обязательств направлена против возможности идентификации информации, или дать неверную информацию о реальном событии либо транзакции.

К данному виду атаки относятся:

Маскарад - это выполнение действий под видом другого пользователя или другой системы.

Отрицание события - это отказ от факта совершения операции.

DoS-атаки против интернета - это атака на серверы корневых имен интернета.

Обеспечить безопасность устройства беспроводного доступа и, соответственно, свести к минимуму связанный с этим видом доступа риск можно с помощью следующих несложных шагов:

1. Изменить пароль администратора в своем беспроводном устройстве. Хакеру легко выяснить, какой пароль устанавливается по умолчанию производителем устройства, и использовать этот пароль для доступа в беспроводную сеть. Избегать паролей, которые легко подобрать или угадать;

2. Отключить трансляцию идентификатора сети (SSID broadcasting, SSID - Service Set Identifier, идентификатор сети), чтобы беспроводное устройство не транслировало в эфир информацию о том, что оно включено;

3. Включить шифрование трафика: лучше всего использовать протокол WPA, если устройство его поддерживает (если нет, то использовать WEP-шифр);

4. Сменить идентификатор сети (SSID) устройства. Если оставить идентификатор, установленный по умолчанию производителем устройства, злоумышленник, узнав этот идентификатор, сможет легко идентифицировать беспроводную сеть. Не использовать имена, которые легко угадать.

В результате решения данной задачи были определены и изучены четыре основных категории атак и три вида атаки модификации. Так же подлежали рассмотрению атаки на отказ в обслуживании и отказ от обязательств. На основе данного анализа были разработаны шаги по обеспечению безопасности устройств беспроводного доступа.

Таким образом, подведя итог, можно с уверенность сказать, что беспроводные соединения сейчас получили широчайшее распространение, в основном, благодаря их способности работать с интернетом в любой точке дома или офиса.

Однако если не принять мер к обеспечению безопасности беспроводной сети, то злоумышленник может перехватить передаваемые по ней данные, получить доступ к сети и файлам на компьютере, а также выходить в интернет, используя подключение.

2. Обзор средств и методов обеспечения информационной безопасности беспроводных сетей

2.1 Политика безопасности беспроводных соединений

Специфика беспроводных сетей подразумевает, что данные могут быть перехвачены и изменены в любой момент. Для одних технологий достаточно стандартного беспроводного адаптера, для других требуется специализированное оборудование. Но в любом случае, эти угроза реализуются достаточно просто, и для противостояния им требуются эффективные криптографические механизмы защиты данных.

При построении системы обеспечения безопасности важно определить модель угроз, т. е., решить, чему собственно защита будет противостоять. По сути, в беспроводных сетях угрозы две: несанкционированное подключение и прослушивание, но их список можно расширить, выделив и обобщив к перечисленным в первой главе следующие основные угрозы, связанные с беспроводными устройствами:

Неконтролируемое использование и нарушение периметра;

Несанкционированное подключение к устройствам и сетям;

Перехват и модификация трафика;

Нарушение доступности;

Позиционирование устройства.

Широкое распространение беспроводных устройств и их небольшая стоимость приводят к тому, что в периметре сетевой безопасности возникают бреши. Здесь речь идет не только о злоумышленниках, подключивших КПК с поддержкой Wi-Fi к проводной сети компании, но и о более тривиальных ситуациях. Активный беспроводной адаптер на подключенном к корпоративной сети ноутбуке, принесенная из дома для тестирования точка доступа - все это может стать удобными каналами для проникновения во внутреннюю сеть.

Недостаточная аутентификация, ошибки в системе разграничения доступа позволяют осуществлять несанкционированное подключение.

По своей природе беспроводные сети не могут обеспечивать высокую доступность. Различные природные, техногенные и антропогенные факторы могут эффективно нарушать нормальное функционирование радиоканала. Этот факт должен учитываться при проектировании сети, и беспроводные сети не должны использоваться для организации каналов при высоких требованиях по доступности.

Станции Wi-Fi могут быть легко обнаружены пассивными методами, что позволяет с достаточно большой точностью определять местоположение беспроводного устройства. Например, система Navizon может использовать для определения местоположения мобильного устройства систему GPS, базовые станции GSM и точки беспроводного доступа.

Политика безопасности в отношении беспроводных сетей может быть представлена как в виде отдельного документа, так и в составе других составляющих нормативного обеспечения безопасности. В большинстве случаев наличие отдельного документа не требуется, поскольку положения политики в отношении беспроводных сетей во многом пересекаются с традиционным содержанием подобных документов. Так, например, требования по физической защите точек доступа вполне перекрываются вопросами физической безопасности активного сетевого оборудования. В связи с этим в виде отдельного документа политика беспроводной безопасности представлена в период внедрения WLAN, после чего, при очередном пересмотре документов гармонично вливается в другие.

Если беспроводные сети не используются, то политика безопасности должна включать в себя описание защитных механизмов, направленных на снижение рисков, связанных с несанкционированным использованием радиосетей.

Лучшие мировые практики в области управления информационной безопасностью описаны в международном стандарте на системы менеджмента информационной безопасности ISO/IEC 27001 (ISO 27001). ISO 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы.

Стандарт аутентичен ГОСТ РИСО/МЭК 27001-2006. Он устанавливает требования по разработке, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению документированной системы менеджмента информационной безопасности, по внедрению мер управления информационной безопасностью и ее контроля.

Основными преимущества стандарта ISO/IEC 27001:

Сертификация позволяет показать деловым партнерам, инвесторам и клиентам, что в организации налажено эффективное управление информационной безопасностью;

Стандарт совместим с ISO 9001:2000 и ISO 14001:2007;

Стандарт не ставит ограничений на выбор программно-аппаратных средств, не накладывает технических требований на IT-средства или средства защиты информации и оставляет организации полную свободу выбора технических решений по защите информации.

Понятие защиты информации трактуется международным стандартом как обеспечение конфиденциальности, целостности и доступности информации.

На основе данного стандарта могут быть сформулированы рекомендации для снижения вероятности нарушения политики безопасности беспроводной сети в организации:

1. Обучение пользователей и администраторов. ISO|IEC 27001 A.8.2.2. В результате обучения пользователи должны знать и понимать изложенные в политике ограничения, а администраторы должны иметь необходимую квалификацию для предотвращения и обнаружения нарушений политики;

2. Контроль подключений к сети. ISO|IEC 27001 A.11.4.3. Уровень риска, связанного с подключением несанкционированной точки доступа или клиента беспроводной сети, можно снизить путем отключения неиспользуемых портов коммутаторов, фильтрации по MAC-адресам (port-security), аутентификации 802.1X, систем обнаружения атак и сканеров безопасности, контролирующих появление новых сетевых объектов;

3. Физическая безопасность. ISO|IEC 27001 A.9.1. Контроль приносимых на территорию устройств позволяет ограничить вероятность подключения к сети беспроводных устройств. Ограничение доступа пользователей и посетителей к сетевым портам и слотам расширения компьютера снижает вероятность подключения беспроводного устройства;

4. Минимизация привилегий пользователя. ISO|IEC 27001 A.11.2.2. Если пользователь работает на компьютере с минимально необходимыми правами, то снижается вероятность самовольного изменения настроек беспроводных интерфейсов;

5. Контроль политики безопасности. ISO|IEC 27001 6, A.6.1.8. Средства анализа защищенности, такие как сканеры уязвимостей, позволяют обнаруживать появление в сети новых устройств и определить их тип (функции определения версий ОС и сетевых приложений), а также отслеживать отклонения настроек клиентов от заданного профиля. Техническое задание на проведение работ по аудиту внешними консультантами должно учитывать требования политики в отношении беспроводных сетей;

6. Инвентаризация ресурсов. ISO|IEC 27001 A.7.1.1. Наличие актуального обновляемого списка сетевых ресурсов облегчает обнаружение новых сетевых объектов;

7. Обнаружение атак. ISO|IEC 27001 A.10.10.2. Применение систем обнаружения атак как традиционных, так и беспроводных дает возможность своевременно определять попытки несанкционированного доступа;

8. Расследование инцидентов. ISO|IEC 27001 A.13.2. Инциденты, связанные с беспроводными сетями мало отличаются от других подобных ситуаций, однако процедуры их расследования должны быть определены. Для сетей, где беспроводные сети внедряются или используются, может потребоваться внесение дополнений в разделы политики;

9. Нормативно-правовое обеспечение. ISO|IEC 27001 A.15.1.1. Использование беспроводных сетей может попадать под действие как российских, так и международных нормативных актов. Так, в России использование частотного диапазона 2,4 ГГц регулируется решением ГКРЧ от 6.11.2004 (04-03-04-003). Кроме того, поскольку в беспроводных сетях интенсивно используется шифрование, а применение криптографических средств защиты в ряде случаев попадает под довольно жесткие законодательные ограничения, необходимо проработать и этот вопрос;

10. Внутренний и внешний аудит. ISO|IEC 27001 6, A.6.1.8. При проведении работ по оценке защищенности должны учитываться требования политики в отношении беспроводных сетей. Более подробно возможный состав работ по оценке защищенности WLAN описан в последней глава данной книги;

11. Разделение сетей. ISO|IEC 27001 A.11.4.5. В связи со спецификой беспроводных сетей желательно выделять точки беспроводного доступа в отдельный сетевой сегмент с помощью межсетевого экрана, особенно когда речь касается гостевого доступа;

12. Использование криптографических средств защиты. ISO|IEC 27001 A.12.3. Должны быть определены используемые протоколы и алгоритмы шифрования трафика в беспроводной сети (WPA или 802.11i). При использовании технологии 802.1X определяются требования к протоколам ЭЦП и длине ключа подписи сертификатов, используемых для целей;

13. Аутентификация. ISO|IEC 27001 A.11.4.2. Должны быть определены требования к хранению данных аутентификации, их смене, сложности, безопасности при передаче по сети. Могут быть явно определены используемые методы EAP, методы защиты общего ключа сервера RADIUS;

14. Контроль изменений в информационной системе. ISO|IEC 27001 A.12.5.1. Должны учитываться в ИС беспроводные технологии;

15. Допустимость использования программного и аппаратного обеспечения. ISO|IEC 27001 A.12.4.1 В этом разделе рассматриваются требования к точкам доступа, беспроводным коммутаторам и клиентам беспроводной сети;

16. Обнаружение атак. ISO|IEC 27001 A.10.10.2. Должны быть определены требования к системам обнаружения беспроводных атак, закреплена ответственность за анализ событий;

17. Протоколирование и анализ событий безопасности. ISO|IEC 27001 A.10.10.1. Данный раздел может быть расширен путем добавления в список контролируемых событий, специфичных для беспроводных сетей. Может включать в себя предыдущий раздел;

18. Удаленный доступ к сети. ISO|IEC 27001 A.11.7.2. В большинстве случаев пользователей беспроводной сети логично относить к пользователям систем удаленного доступа. Это обусловлено аналогичными угрозами и как следствие - контрмерами, характерными для данных компонентов ИС. Кроме того, после выполнения всех этапов в том или ином виде должны быть сформированы следующие документы:

Инструкция для пользователей с учетом использования беспроводной сети;

Базовые настройки точек доступа, беспроводных коммутаторов, рабочих станций;

Процедуры контроля защищенности беспроводных сетей;

Профили систем обнаружения атак;

Процедуры по реагированию на инциденты в беспроводной сети.

Таким образом, был проанализирован стандарт ISO/IEC 27001. На основе данного стандарта были сформулированы рекомендации для снижения вероятности нарушения политики безопасности беспроводной сети в организации. Так же приведен перечень документов, которые должны быть сформированы после выполнения всех этапов политики безопасности беспроводной сети.

Правильно построенная и соблюдаемая политика безопасности является надежным фундаментом защищенной беспроводной сети. Вследствие этого стоит уделять ей достаточное внимание, как на этапе внедрения сети, так и в ходе ее эксплуатации, отражая в нормативных документах изменения, происходящие в сети.

2.2 Решения для обеспечения безопасности беспроводных сетей

Важным элементом безопасности любой сети, не только беспроводной, является управление доступом и конфиденциальностью. Одним из надежных способов управления доступом к WLAN является аутентификация, позволяющая предотвратить доступ несанкционированных пользователей к передаче данных через точки доступа. Действенные меры управления доступом к WLAN помогают определить круг разрешенных клиентских станций и связать их только с доверенными точками доступа, исключая несанкционированные или опасные точки доступа.

Конфиденциальность сетей WLAN подразумевает, что передаваемые данные будут правильно расшифрованы только той стороной, для которой они были предназначены. Статус конфиденциальности передаваемых по WLAN данных считается защищенным, если данные зашифрованы ключом, которым может воспользоваться только тот получатель данных, для которого они предназначались. Шифрование подразумевает, что целостность данных не нарушается в течение всего процесса передачи - отправки и получения.

На сегодняшний день компании, использующие сети WLAN, внедряют четыре отдельных решения для безопасности WLAN и управления доступом и конфиденциальностью:

Открытый доступ;

Базовая безопасность;

Повышенная безопасность;

Безопасность удаленного доступа.

Как в случае с любым развертыванием системы безопасности, целесообразно провести оценку сетевых рисков перед выбором и внедрением любого из решений для безопасности WLAN:

1. Открытый доступ. Все продукты для беспроводных локальных сетей, сертифицированные на соответствие спецификациям Wi-Fi, поставляются для работы в режиме открытого доступа с выключенными функциями безопасности. Открытый доступ или отсутствие безопасности могут устраивать и удовлетворять требования общественных хот-спотов, таких как кофейни, университетские городки, аэропорты или другие общественные места, однако для предприятий этот вариант не подходит. Функции безопасности должны быть включены на беспроводных устройствах в процессе их установки. Однако, некоторые компании не включают функции безопасности сетей WLAN, таким образом, серьезно повышая уровень риска для своих сетей;

2. Базовая безопасность: идентификаторы SSID, WEP и аутентификация по MAC-адресу. Базовая безопасность заключается в использовании идентификаторов сети SSID (Service Set Identifier), открытой аутентификации или аутентификации с использованием общего ключа, статических WEP-ключей и, как вариант, аутентификации по MAC-адресу. С помощью этой комбинации можно настроить элементарные средства управления доступом и конфиденциальностью, однако каждый отдельный элемент такой защиты может быть взломан. Идентификатор SSID - это общее имя сети для устройств в подсистеме WLAN служит для логического обособления данной подсистемы. SSID предотвращает доступ любого клиентского устройства, не имеющего SSID. Однако, по умолчанию точка доступа передает в эфир среди своих сигналов и свой SSID. Даже если отключить передачу в эфир SSID, взломщик или хакер может обнаружить нужный SSID с помощью так называемого "сниффинга", или "вынюхивания" - незаметного мониторинга сети. Стандарт 802.11, группа спецификаций для сетей WLAN, выработанная IEEE, поддерживает два средства аутентификации клиента: открытую аутентификацию и аутентификация с использованием общих ключей. Открытая аутентификация лишь ненамного отличается от предоставления правильного идентификатора SSID. При аутентификации с использованием общих ключей точка доступа посылает на клиентское устройство тестовый текстовый пакет, который клиент должен зашифровать правильным WEP-ключом и вернуть на точку доступа. Без правильного ключа аутентификация будет прервана и клиент не будет допущен в группу пользователей точки доступа. Аутентификация с использованием общих ключей не считается надежной, поскольку взломщик, получивший в свое распоряжение начальное тестовое текстовое сообщение и это же сообщение, зашифрованное WEP-ключом, может расшифровать сам WEP-ключ. При открытой аутентификации, даже если клиент проходит аутентификацию и получает доступ в группу пользователей точки доступа, использование WEP-защиты не позволяет клиенту передавать данные с этой точки доступа без правильного WEP-ключа. WEP-ключи могут состоять из 40 или 128 бит и обычно статически определяются сетевым администратором на точке доступа и каждом клиенте, передающем данные через эту точку доступа. При использовании статических WEP-ключей сетевой администратор должен потратить много времени на ввод одинаковых ключей в каждое устройство сети WLAN. Если устройство, использующее статические WEP-ключи, потеряно или украдено, обладатель пропавшего устройства может получить доступ к сети WLAN. Администратор не сможет определить, что в сеть проник несанкционированный пользователь, до тех пор, пока не будет доложено о пропаже. После этого администратор должен сменить WEP-ключ на каждом устройстве, использующем тот же статический WEP-ключ, что и пропавшее устройство. В условиях сети крупного предприятия, включающей сотни или даже тысячи пользователей, это может оказаться затруднительно. Что еще хуже, если статический WEP-ключ был расшифрован с помощью такого инструмента, как AirSnort, администратор никак не узнает о том, что ключ был взломан несанкционированным пользователем. Некоторые поставщики решений WLAN поддерживают аутентификацию на базе физического адреса или MAC-адреса, клиентской сетевой карты (NIC). Точка доступа позволит клиенту ассоциироваться с точкой доступа только в случае, если MAC-адрес клиента соответствует одному из адресов в таблице аутентификации, используемой точкой доступа. Однако аутентификация по MAC-адресу не является адекватной мерой безопасности, поскольку MAC-адрес можно подделать, а сетевую карту - потерять или украсть;

3. Базовая безопасность с использованием общих ключей WPA или WPA2.Другая форма доступной на сегодняшний день базовой безопасности - это WPA или WPA2 с использованием общих ключей (Pre-Shared Key, PSK). Общий ключ проверяет пользователей с помощью пароля или кода идентификации (также называемого "фраза-пароль") как на клиентской станции, так и на точке доступа. Клиент может получить доступ к сети только в том случае, если пароль клиента соответствует паролю точки доступа. Общий ключ также предоставляет данные для генерации ключа шифрования, который используется алгоритмами TKIP или AES для каждого пакета передаваемых данных. Являясь более защищенным, чем статический WEP-ключ, общий ключ аналогичен статическому WEP-ключу в том, что хранится на клиентской станции и может быть взломан, если клиентская станция потеряна или украдена. Рекомендуется использовать сильную общую фразу-пароль, включающую разнообразные буквы, цифры и не алфавитно-цифровые символы;

4. Резюме по базовой безопасности. Базовая безопасность сетей WLAN, основанная на комбинации SSID, открытой аутентификации, статических WEP-ключей, MAC-аутентификации и общих ключей WPA/WPA2, является достаточной только для очень небольших компаний или тех, которые не доверяют жизненно важные данные своим сетям WLAN. Всем прочим организациям рекомендуется вкладывать средства в надежные решения безопасности сетей WLAN класса предприятия;

5. Повышенная безопасность. Повышенный уровень безопасности рекомендуется для тех заказчиков, которым требуется безопасность и защищенность класса предприятия. Для этого необходимо средство безопасности повышенного уровня, полностью поддерживающее WPA и WPA2 со строительными блоками двусторонней аутентификации 802.1X и шифрования алгоритмами TKIP и AESВ, включающее следующие возможности:

802.1X для мощной двусторонней аутентификации и динамических ключей шифрования для каждого пользователя и каждой сессии;

TKIP для расширения шифрования на базе RC4, например, кэширования ключей (для каждого пакета), проверки целостности сообщения (MIC), изменений вектора инициализации (IV) и ротации широковещательных ключей;

AES для шифрования данных государственного уровня, максимальной защищенности;

Возможности системы предотвращения сетевых вторжений (Intrusion Prevention System, IPS) и слежения за перемещением абонента - прозрачное представление сети в реальном времени.

6. Безопасность беспроводных локальных сетей и удаленный доступ. В некоторых случаях может потребоваться всеобъемлющая безопасность для защиты приложений. Воспользовавшись защищенным удаленным доступом, администраторы могут настроить виртуальную частную сеть (VPN) и позволить мобильным пользователям обмениваться данными с корпоративной сетью из общественных хот-спотов, например, аэропортов, отелей и конференц-залов. При развертывании на предприятии решение повышенной безопасности покрывает все требования к безопасности беспроводных локальных сетей WLAN, в связи с чем использовать виртуальные частные сети в корпоративной сети WLAN становится необязательно. Использование VPN во внутренней сети WLAN может повлиять на производительность сети WLAN, ограничить возможности роуминга и сделать процедуру входа в сеть более сложной для пользователей. Таким образом, дополнительные накладные расходы и ограничения, связанные с наложением VPN-сети на внутреннюю сеть WLAN, не представляются необходимыми.

В итоге, можно придти к выводу, что для обеспечения информационной безопасности любой сети, не только беспроводной, важно качественное управление доступом и конфиденциальностью. Для этого на сегодняшний день активно внедряют четыре отдельных решения: открытый доступ, базовая безопасность, повышенная безопасность, безопасность удаленного доступа.

При грамотном построении защиты сети и соблюдении всех предписаний, защищенность сети будет на высоком уровне, что достаточно существенно осложнит злоумышленникам доступ к беспроводной сети.

3. Оценка необходимости и эффективности решения для защиты беспроводной сети

3.1 Оценка необходимости защиты беспроводной сети

Несмотря на то, что в большинстве компаний уже развернуты те или иные беспроводные сети у специалистов обычно возникает много вопросов по поводу безопасности выбранных решений, а руководители компаний, избегающие внедрения беспроводных технологий, беспокоятся об упущенных возможностях повышения производительности труда и сокращения инфраструктурных расходов.

Руководители многих организаций понимают, что беспроводные технологии позволяют повысить продуктивность работы и сотрудничества, но не решаются приступить к их внедрению, опасаясь уязвимостей, которые могут появиться в корпоративной сети вследствие использования беспроводных сетей. Разнообразие предлагаемых методов защиты беспроводных коммуникаций и разногласия по поводу их эффективности только усиливают эти сомнения.

С внедрением беспроводных технологий в компании среднего размера связано множество проблем, которые заставляют задуматься не только о защите беспроводной сети, но и о том, нужна ли она вообще.

Распространенные проблемы, с которыми поможет справиться, грамотно проводя политику безопасности, о которой говорилось в главе 2:

Принятие решения по поводу того, следует ли развертывать беспроводную сеть;

Осознание и уменьшение риска, связанного с внедрением беспроводных технологий;

Определение подхода к защите беспроводной сети;

Выбор оптимальных технологий защиты беспроводной сети;

Проверка уровня защищенности развернутой беспроводной сети;

Интеграция имеющихся активов в решение для обеспечения безопасности беспроводной сети;

Обнаружение и предотвращение несанкционированных подключений к беспроводной сети.

Преимущества, обеспечиваемые беспроводными сетевыми технологиями, можно разделить на две категории: функциональные и экономические.

Функциональные преимущества включают сокращение расходов на управление и уменьшение объема капитальных затрат, а экономические - увеличение производительности труда, повышение эффективности бизнес-процессов и появление дополнительных возможностей для создания новых бизнес-функций.

Большинство серьезных экономических преимуществ, связанных с использованием беспроводных сетей, являются результатом повышения гибкости и мобильности сотрудников. Беспроводные технологии устраняют ограничения, вынуждающие сотрудников находиться за своими рабочими столами, позволяя сравнительно свободно перемещаться по офису или офисному зданию.

Но, несмотря на все преимущества, есть и недостатки, в основном технологические, которые выражаются в уязвимости беспроводной сети через различные атаки со стороны злоумышленников (этому был посвящен п. 1.2 данной работы).

Как только были обнаружены такие технологические недостатки беспроводных сетей первого поколения, началась активная работа по их устранению. Пока одни компании работали над совершенствованием стандартов беспроводной связи, многие аналитические фирмы, производители средств обеспечения сетевой безопасности и т. д., пытались обойти недостатки, присущие прежним стандартам.

В результате было разработано несколько подходов к обеспечению безопасности беспроводных сетей.

Есть много факторов, которые нужно проанализировать при оценке возможных способов защиты беспроводной сети. При выполнении этой оценки нужно учесть самые разные показатели: от расходов на реализацию и администрирование решения до его общей защищенности. Все указанные выше подходы имеют свои преимущества и недостатки, поэтому, чтобы можно было принять обоснованное решение, нужно лучше ознакомиться с каждым из них.

Новейшие стандарты защиты беспроводных сетей, а именно WPA и WPA2, устранили серьезные недостатки стандарта WEP и сделали, таким образом, ненужными способы обхода этих недостатков, такие как использование протокола IPsec или технологии VPN. Использовать статический или динамический алгоритм WEP теперь не рекомендуется ни в какой форме, а отказ от обеспечения безопасности выгоден лишь в немногих ситуациях. Таким образом, при разработке комплексного эффективного решения для защиты беспроводной сети достаточно рассмотреть всего лишь два подхода.

Протоколы Wi-Fi Protected Access (WPA) и Wi-Fi Protected Access 2 (WPA2) специально разработаны для блокирования угроз, которым подвергаются беспроводные сети, основанные на стандарте IEEE 802.11. Однако между ними есть некоторые различия.

Протокол WPA был разработан в 2003 году для устранения недостатков стандарта WEP. Разработчики WPA хорошо справились с задачей, реализовав в этом протоколе поддержку взаимной проверки подлинности, шифрование данных с использованием протокола TKIP и проверку целостности подписанных сообщений, которая обеспечивает защиту от атак, основанных на подмене или повторении пакетов.

Протокол WPA2 обеспечивает еще более высокий уровень безопасности, потому что в нем для защиты сетевого трафика используется стандарт AES, а не протокол TKIP. Поэтому ему всегда следует отдавать предпочтение перед WPA.

Протоколы WPA и WPA2 значительно превосходят WEP по степени защиты, и при правильной настройке системы безопасности ни в первом, ни во втором нет никаких известных уязвимостей. Тем не менее, протокол WPA2 считается более защищенным, чем WPA, и, если инфраструктура его поддерживает, а дополнительные накладные расходы, связанные с администрированием решения WPA2, приемлемы, выбор следует делать в его пользу.

Большинство производимых сегодня точек доступа и новейшие версии ОС сертифицированы в соответствии с требованиями протокола WPA2. Если в имеющейся среде какие-то точки доступа или клиентские компьютеры не поддерживают WPA2, беспроводные устройства и клиентские системы, поддерживающие WPA2, могут использовать более старый стандарт WPA.

Так же не следует забывать и о таком варианте развития компании, как отказ от развертывания беспроводной сети. В среде специалистов по обеспечению безопасности бытует высказывание, которое гласит: «Лучше всего защищена та система, которую никто никогда не включает». Таким образом, самым надежным способом защиты от уязвимостей, присущих беспроводным сетям или любым другим технологиям, является отказ от их внедрения. Недостаток этого подхода очевиден: компания, отказывающаяся от внедрения любой технологий, может оказаться неконкурентоспособной в современных экономических условиях, когда любое преимущество, в том числе технологическое, может оказаться решающим фактором успеха.

Как уже говорилось, перед внедрением любой новой технологии в конкретной компании нужно оценить потребности компании, ее устойчивость к риску и фактический риск. Беспроводные технологии - не исключение. Беспроводные сети имеют целый ряд преимуществ, но для конкретной организации эти преимущества могут быть не так важны или вообще не иметь значения.

При выборе защищенного беспроводного решения нужно принять во внимание все возможные варианты, в том числе отказ от беспроводных технологий. Если будет сделан вывод, что организация не готова к развертыванию беспроводной сети, это решение следует отразить в действующей корпоративной политике, чтобы предотвратить ослабление защиты корпоративной сетевой среды из-за самовольного создания беспроводных сетей конечными пользователями.

3.2 Разработка алгоритма проведения работ по оценке эффективности защиты беспроводной сети

Для того чтобы определить преимущество того или иного метода защиты беспроводной сети целесообразно провести оценку её защищенности.

Это особенно важно в связи с тем, что зачастую, беспроводные сети разворачиваются для руководства компании. Соответственно, злоумышленник, получивший доступ к беспроводному сегменту, имеет возможность не только использовать ресурсы компании в своих целях, но и получить доступ к конфиденциальной информации и заблокировать работу высокоприоритетных пользователей.

Подобные документы

Беспроводная технология передачи информации. Развитие беспроводных локальных сетей. Стандарт безопасности WEP. Процедура WEP-шифрования. Взлом беспроводной сети. Режим скрытого идентификатора сети. Типы и протоколы аутентификации. Взлом беспроводной сети.

реферат , добавлен 17.12.2010


Разработка технологии защиты информации беспроводных сетей, которая может применяться для повышения защиты компьютера пользователя, корпоративных сетей, малых офисов. Анализ угроз и обеспечения безопасности беспроводной сети. Настройка программы WPA.

дипломная работа , добавлен 19.06.2014


Характеристика стандарта IEEE 802.11. Основные направления применения беспроводных компьютерных сетей. Методы построения современных беспроводных сетей. Базовые зоны обслуживания BSS. Типы и разновидности соединений. Обзор механизмов доступа к среде.

реферат , добавлен 01.12.2011


Эволюция систем безопасности сетей. Межсетевые экраны как один из основных способов защиты сетей, реализация механизмов контроля доступа из внешней сети к внутренней путем фильтрации всего входящего и исходящего трафика. Управление безопасностью сетей.

курсовая работа , добавлен 07.12.2012


Классификация сетевых атак по уровню модели OSI, по типу, по местоположению злоумышленника и атакуемого объекта. Проблема безопасности IP-сетей. Угрозы и уязвимости беспроводных сетей. Классификация систем обнаружения атак IDS. Концепция XSpider.

курсовая работа , добавлен 04.11.2014


Определение в процессе исследования эффективного способа защиты информации, передающейся по Wi-Fi сети. Принципы работы Wi-Fi сети. Способы несанкционированного доступа к сети. Алгоритмы безопасности беспроводных сетей. Нефиксированная природа связи.

курсовая работа , добавлен 18.04.2014


Периоды развития и основные стандарты современных беспроводных сетей. История появления и области применения технологии Bluetooth. Технология и принцип работы технологии беспроводной передачи данных Wi-Fi. WiMAX - стандарт городской беспроводной сети.

презентация , добавлен 22.01.2014


Выбор и обоснование технологий построения локальных вычислительных сетей. Анализ среды передачи данных. Расчет производительности сети, планировка помещений. Выбор программного обеспечения сети. Виды стандартов беспроводного доступа в сеть Интернет.

курсовая работа , добавлен 22.12.2010


Использование компьютерных сетей для передачи данных. Основные преимущества использования корпоративных сетей, защищенных от доступа извне физически или при помощи аппаратно программных средств сетевой защиты. Сетевой экран и алгоритмы шифрования.

дипломная работа , добавлен 25.09.2014


Необходимость разработки политики безопасности использования сетевых ресурсов для предприятия. Анализ ее базовых элементов. Аппаратные и программные средства безопасности компьютерных сетей. Пути повышения уровня безопасности, советы пользователям.

Безопасность беспроводных сетей

Доступность оборудования и простота организации делают беспроводные локальные сети всё более популярными. Использование беспроводных сетей не ограничивается небольшими офисами и домашними системами. Крупные фирмы применяют Wi-Fi для подключения к корпоративным сетевым ресурсам в тех местах, где технически невозможна прокладка кабелей.

Однако решение об устройстве беспроводной сети далеко не всегда оправданно, тем более что во многих случаях безопасности таких сетей уделяется слишком мало внимания. По оценкам специалистов, почти 70 процентов удачных хакерских атак через беспроводные сети связаны с неправильной настройкой точек доступа и клиентского программного обеспечения.

По каким-то необъяснимым причинам организаторы беспроводных сетей нередко считают, что при их включении автоматически обеспечивается надлежащий уровень безопасности. Производители оборудования, в свою очередь, устанавливают низкие настройки безопасности "по умолчанию", либо вовсе отключают их, чтобы при развёртывании сети клиенты случайно не столкнулись с невозможностью доступа. При минимальных настройках безопасность оборудование лучше всего совместимо с самым широким спектром других устройств и практически с любым современным программным обеспечением. Поэтому после настройки и проверки сети на совместимость с существующей инфраструктурой системный администратор должен изменить настройки безопасности, для того чтобы предотвратить несанкционированное проникновение в корпоративную сеть.

В отличие от проводных сетей, беспроводные требуют повышенного внимания к безопасности, поскольку проникнуть в них гораздо проще, поскольку для этого не нужен физический доступ к каналу. Радиоволны можно принимать на любое совместимое устройство, а если данные не защищены, то их сможет перехватить любой желающий. Разумеется, не стоит отказываться от паролей, прочих традиционных средств авторизации, однако их явно недостаточно для защиты от несанкционированного доступа. Рассмотрим вкратце несколько способов повышения защищённости беспроводных сетей.

Последовательность цифр и букв, называемая SSID (Service Set Identifier) - это уникальный идентификатор вашей беспроводной сети. Передача идентификатора сети является встроенным средством защиты, по умолчанию включённым в большей части продающегося сегодня оборудования, и оно позволяет с лёгкостью обнаружить имеющиеся точки доступа в процессе развёртывания сети. Передача SSID требуется именно для того, чтобы ваше оборудование смогло подключиться к сети.

Точки доступа, которые являются базовыми станциями для подключаемых к сети компьютеров, являются потенциальным слабым местом, через которое злоумышленник может проникнуть в сеть. На уровне точек доступа отсутствует система авторизации по умолчанию, что делает внутренние сети незащищёнными, поэтому системные администраторы должны реализовать существующую корпоративную систему в беспроводных базовых станциях.

Для обеспечения повышенной безопасности можно запретить трансляцию точками доступа идентификатора сети. При этом возможность подключения к сети остаётся только у тех, кто знает правильный SSID, то есть, у сотрудников вашей компании, а случайные пользователи, обнаружившие вашу сеть при помощи сканирования, просто не смогут получить к ней доступ. Отключение передачи SSID возможно в подавляющем большинстве устройств ведущих производителей, что позволяет фактически скрыть вашу сеть от чужих. Если ваша сеть не передаёт идентификаторов, и если вы не афишируете использование беспроводной технологии, то этим вы осложните задачу злоумышленников. Подробные инструкции по отключению SSID обычно приводятся в руководствах по эксплуатации беспроводных точек доступа или маршрутизаторов.

Уже давно используемое при пересылке важной электронной корреспонденции шифрование данных нашло применение и в беспроводных сетях. Для защиты данных в аппаратуре для беспроводной связи реализованы различные криптографические алгоритмы. При покупке оборудования важно убедиться в том, что оно поддерживает не только низкоуровневое 40-разрядное шифрование, но и 128-битный шифр повышенной стойкости.

Чтобы включить криптографическую защиту можно задействовать системы: "эквивалент проводной безопасности" WEP (Wired Equivalent Privacy) или "защищенный доступ к Wi-Fi" WPA (Wi-Fi Protected Access). Первая система менее стойкая, поскольку в ней используются статические (постоянные) ключи. Защищенные по этому протоколу сети взламываются хакерами без особого труда - соответствующие утилиты нетрудно найти в Интернете. Тем не менее, по оценкам специалистов, даже этот протокол не задействован в более половины работающих корпоративных беспроводных сетей. Одним из средств повышения действенности WEP является регулярная автоматическая смена ключей, но даже в этом случае сеть не получает стопроцентной защиты. Попытки проникнуть в такую сеть оставят лишь случайные люди, обнаружившие её, но злонамеренных специалистов WEP не остановит, поэтому для полноценной защиты корпоративных сетей данный протокол использоваться не может.

В недалёком прошлом у организаторов беспроводных сетей не было иного выбора, как использовать протокол WEP, поддержка которого сохраняется в современных устройствах как в целях обеспечения совместимости оборудования, так и для обеспечения хотя бы минимального уровня безопасности в случае невозможности использования более современных протоколов. Сегодня WEP реализуется в двух модификациях: с 64- и 128-разрядным шифрованием. Однако корректнее было бы говорить о ключах длиной 40 и 104 бит, поскольку 24 бит из каждого ключа содержат служебную информацию и никак не влияют на стойкость кода. Однако это не столь важно, поскольку главным недостатком WEP являются статические ключи, для подбора которых злоумышленникам необходимо лишь в течение определённого времени сканировать сеть, перехватывая передаваемую информацию.

Получить более-менее приемлемый уровень безопасность можно лишь при помощи регулярной смены ключей и при использовании 128-битного шифрования. Частота смены ключей зависит от частоты и длительности соединений, при этом необходимо обеспечить отработанную защищенную процедуру передачи новых ключей тем сотрудникам, которые пользуются доступом в беспроводную сеть.

Более эффективное шифрование обеспечивает протокол WPA, в котором реализовано динамическое создание ключей, что исключает возможность перехвата или подбора ключа, а также система идентификации (логин-пароль) при подключении к сети на основе протокола EAC (Extensible Authentication Protocol - "расширяемый протокол аутентификации"). В протоколе WPA 128-разрядные ключи генерируются автоматически при передаче каждых десяти килобайт данных, причём число этих ключей достигает сотен миллиардов, что делает практически невозможным подбор при помощи сканирования даже при отработанной методике перехвата информации. Кроме того, в этом протоколе реализован алгоритм проверки целостности данных MIC (Message Integrity Check), предотвращающий возможность злонамеренного изменения передаваемых данных. А вот выбору паролей следует уделять особое внимание: по мнению экспертов, для обеспечения высокого уровня безопасности длина пароля должна составлять не менее 20 знаков, причём он не должен представлять собой набор слов или какую-то фразу, поскольку такие пароли легко вскрываются методом словарного подбора.

Проблема с WPA заключается в том, что официально он был внесён в спецификации IEEE 802.11 лишь в середине 2004 года, поэтому далеко не всё беспроводное оборудование способно поддерживать этот стандарт. Более того, если в сети есть хотя бы одно устройство, не поддерживающее WPA, будет применяться простое шифрование WEP, даже если WPA учтен в настройках всего прочего оборудования.

Тем не менее, оборудование постоянно совершенствуется и в современных устройствах поддерживается новая, ещё более защищенная версия WPA2, работающая с динамическими ключами длиной 128, 192 и 256 бит. Технология беспроводной связи сама по себе по своей природе меньше защищена от постороннего вмешательства, поэтому при организации таких сетей особенно важно максимально затруднить несанкционированное проникновение в них. Среди чисто технических способов самым эффективным является снижение мощности транслируемого сигнала, ведь радиоволны с лёгкостью преодолевают стены зданий, а в сельской равнинной местности могут преодолевать весьма большие расстояния. Злоумышленники могут поставить свой автомобиль рядом со зданием, в котором расположен ваш офис, и в комфортной обстановке неторопливо подбирать ключ к вашей сети. Поэтому важно отрегулировать мощность сигнала, чтобы он не проникал за границы вашей территории.

Безопасность беспроводных сетей стандарта 802.11i содержит указания в отношении аутентификация, авторизация пользователя для получения доступа к сети и конфиденциальности данных с помощью шифрования.

В заключение приведем основные преимущества и недостатки беспроводных сетей в сравнении со своим проводным конкурентом. Преимущества беспроводной сети:

Беспроводные сети позволяют сэкономить при прокладке кабельной сети, при невозможности организации проводного доступа они являются практически безальтернативными.

Беспроводные сети обеспечивают высокую степень мобильности пользователей, возможно свободное перемещение в рамках одного домена. Так же преимуществом является возможность быстрого развертывания и перемещения сети. Скорость подключения достаточно высока и сравнима с проводными решениями, при правильном проектировании возможно предоставление необходимой пропускной способности для передачи данных, видео, телефонии.

Недостатки беспроводной сети:

Безопасность беспроводной сети существенно ниже проводной, современные стандарты, такие как WEP, 802.11i и т.п. хоть и повышают ее, но физическая природа беспроводной сети такова, что использование данной технологии для ответственных приложений не рекомендуется.

Функционирование беспроводной сети зависит от окружающей среды. Любые объекты, находящиеся на пути радиосигнала уменьшают его мощность, возможны помехи в рабочем диапазоне от бытовых приборов, наиболее характерным из которых являются микроволновые печи.