Draadloze beveiligingsproblemen. Doel van Bluetooth, algemene principes voor het bouwen van Bluetooth-netwerken, gegevensoverdracht naar Bluetooth, protocollen

DRAADLOZE BEVEILIGINGSPROBLEMEN.
METHODEN EN METHODEN VOOR HET BESCHERMEN VAN WI-FI-NETWERKEN.
WERKELIJKHEDEN EN PERSPECTIEVEN.

Andrushka Igor, Design Engineer, Department of Applied System Research of Information Society Development, Centre for Applied System Research of Information Society Development, SE "Registru"

Invoering

In de afgelopen jaren zijn draadloze netwerken wijdverbreid over de hele wereld. En ging het vroeger vooral om het gebruik van draadloze netwerken in kantoren en hotspots, nu worden ze veel gebruikt, zowel thuis als voor het inzetten van mobiele kantoren (op zakenreizen). Draadloze toegangspunten en draadloze routers worden speciaal verkocht voor thuisgebruikers en kleine kantoren, en draadloze zakrouters voor mobiele gebruikers. Bij de beslissing over de overgang naar een draadloos netwerk moet men echter niet vergeten dat ze in het huidige stadium van hun ontwikkeling één kwetsbaarheid hebben. Het gaat over de beveiliging van draadloze netwerken.

Algemene beschrijving van het probleem

De beveiliging van draadloze netwerken omvat twee aspecten: bescherming tegen ongeoorloofde toegang en versleuteling van verzonden informatie. We merken meteen dat het onmogelijk is om ze vandaag op te lossen met een 100% garantie, maar het is mogelijk en noodzakelijk om je te beschermen tegen allerlei "amateurs". Draadloze apparatuur en software bevatten immers standaard bepaalde beschermingsmiddelen, het blijft alleen om ze te gebruiken en correct te configureren. Voordat we echter overgaan tot de beoordeling van deze fondsen, zullen we verschillende feiten aanhalen die de urgentie van het probleem bevestigen.
Als je kijkt naar de resultaten van een onderzoek onder topmanagers van IT-bedrijven, uitgevoerd door Defcom, komt een interessant beeld naar voren. Ongeveer 90% van de respondenten heeft vertrouwen in de toekomst van draadloze netwerken, maar stelt deze voor onbepaalde tijd uit vanwege de zwakke beveiliging van dergelijke netwerken in het huidige stadium. De balans, in termen van veiligheid, tussen bekabelde en draadloze netwerken zal naar hun mening pas over 3-5 jaar komen. En meer dan 60% zegt dat onvoldoende beveiliging de ontwikkeling van deze richting ernstig belemmert - er is geen vertrouwen, daarom lopen velen niet het risico de beproefde bedrade oplossingen in de steek te laten.
Laten we dus direct verder gaan met de methoden en middelen om de beveiliging van draadloze verbindingen te waarborgen.
Elk draadloos netwerk heeft minimaal 2 hoofdcomponenten: een basisstation en een toegangspunt. Draadloze netwerken kunnen in twee modi werken: ad-hoc (per-to-per) en infrastructuur. In het eerste geval communiceren netwerkkaarten rechtstreeks met elkaar, in het tweede geval via access points die als Ethernet-bridges dienen.
De client en het punt moeten een verbinding tot stand brengen voordat gegevens worden verzonden. Het is niet moeilijk te raden dat er slechts drie toestanden kunnen bestaan ​​tussen het punt en de cliënt:

- "authenticatie mislukt en het punt wordt niet herkend";
- "authenticatie geslaagd, maar het punt werd niet herkend";
- "Authenticatie is geaccepteerd en het punt is toegevoegd."

Het is duidelijk dat gegevensuitwisseling alleen in het derde geval kan plaatsvinden. Voordat de verbinding tot stand is gebracht, wisselen de partijen controlepakketten uit, het "toegangspunt" verzendt identificatiesignalen met een vast interval, de "client", die een dergelijk pakket heeft ontvangen, start de authenticatie door een authenticatieframe te verzenden, na autorisatie zal de "client " verzendt een bijlagepakket en het "punt" verzendt een draadloze "client" voor het bevestigen van een bijlage naar het netwerk.

Verdedigingsmechanisme

De fundamentele standaard voor de constructie van dit type netwerk is de 802.1-standaard. Deze standaard voor draadloze netwerken biedt verschillende mechanismen om het netwerk te beveiligen. Onder hen zijn de meest gebruikte de volgende:
- Wired Equivalent Protocol, of WEP, ontwikkeld door de auteur van de 802.1-standaard. De belangrijkste functie van WEP is het coderen van gegevens tijdens verzending via de radio en het voorkomen van ongeautoriseerde toegang tot het draadloze netwerk. WEP is standaard uitgeschakeld, maar het kan eenvoudig worden ingeschakeld. In dat geval begint het met het coderen van elk uitgaand pakket. WEP gebruikt RC4 voor codering.
- WEP 2 - Geïntroduceerd in 2001 na het vinden van veel gaten in de eerste versie, heeft WEP 2 een verbeterd coderingsmechanisme en ondersteuning voor Cerberus V.
- Open systeemverificatie — het standaardverificatiesysteem dat wordt gebruikt in het 802.11-protocol. Er is geen systeem als zodanig - iedereen die erom vraagt, passeert authenticatie. In het geval van OSA helpt zelfs WEP niet. Experimenten hebben aangetoond dat het authenticatiepakket onversleuteld wordt verzonden.
- Toegangscontrolelijst - niet beschreven in het protocol, maar door velen gebruikt als aanvulling op standaardmethoden. De basis van deze methode is de client Ethernet MAC, die voor elke kaart uniek is. Het toegangspunt beperkt de toegang tot het netwerk in overeenstemming met de lijst met MAC-adressen, er staat een client in de lijst en toegang is toegestaan, nee, nee.
- Gesloten netwerktoegangscontrole - het is hier niet veel ingewikkelder: of de beheerder staat elke gebruiker toe om lid te worden van het netwerk, of alleen iemand die de naam weet, SSID kan het invoeren. In dit geval dient de netwerknaam als geheime sleutel.

Soorten aanvallen op wifi-netwerken.

Access Point Spoofing & Mac Sniffing - De toegangslijst is goed bruikbaar in combinatie met de juiste identificatie van de gebruikers op de lijst. In het geval van het MAC-adres van de toegangscontrolelijst is dit heel gemakkelijk te omzeilen, omdat: zo'n adres is zeer eenvoudig te wijzigen (met draadloze netwerkkaarten kunt u het MAC-adres programmatisch wijzigen) en zelfs gemakkelijker te onderscheppen, omdat het zelfs in het geval van WEP in duidelijke tekst wordt verzonden. Het is dus elementair om het netwerk te penetreren dat wordt beschermd door de toegangscontrolelijst en al zijn voordelen en middelen te gebruiken.
Als de indringer zijn eigen toegangspunt in de winkel heeft, is er nog een andere mogelijkheid: het toegangspunt wordt naast het bestaande netwerk geïnstalleerd: als het signaal van de hacker sterker is dan het origineel, dan maakt de client verbinding met de hacker, en niet met het netwerk, waarbij niet alleen het MAC-adres wordt verzonden, maar ook het wachtwoord en andere gegevens.
- WEP-aanvallen - schone gegevens worden gecontroleerd op integriteit en er wordt een checksum (integriteitscontrolewaarde, ICV) uitgegeven. Het 802.11-protocol gebruikt hiervoor CRC-32. ICV wordt aan het einde van de gegevens toegevoegd. Er wordt een 24-bits initialisatievector (IV) gegenereerd waaraan een geheime sleutel wordt "gebonden". De resulterende waarde is de bron voor het genereren van een pseudo-willekeurig getal. De generator voert een toetsenreeks uit. XOR-gegevens met deze toetsenreeks. De initialisatievector wordt aan het einde toegevoegd en het geheel wordt uitgezonden.
- Aanval in platte tekst - bij een dergelijke hack kent de aanvaller het originele bericht en heeft hij een kopie van het versleutelde antwoord. De ontbrekende schakel is de sleutel. Om het te ontvangen, stuurt de aanvaller een klein stukje gegevens naar het "doelwit" en ontvangt een reactie. Nadat hij deze heeft ontvangen, vindt de hacker de 24-bits initialisatievector die is gebruikt om de sleutel te genereren: het vinden van de sleutel is in dit geval slechts een brute-force-taak.
Een andere optie is de reguliere XOR. Als een hacker een verzonden platte tekst en de gecodeerde versie heeft, dan versleutelt hij eenvoudigweg XOR-it en ontvangt aan de uitgang een sleutel die, samen met een vector, het mogelijk maakt om pakketten in het netwerk te "laden" zonder authenticatie op de toegangspunt.
- Cipher hergebruik - de aanvaller haalt de sleutelreeks uit het pakket. Omdat het WEP-coderingsalgoritme nogal wat ruimte per vector in beslag neemt, kan een aanvaller de sleutelstroom onderscheppen met verschillende IV's, waardoor een reeks voor zichzelf ontstaat. Zo kan een hacker berichten decoderen met dezelfde XOR; wanneer versleutelde gegevens door het netwerk gaan met behulp van de eerder gegenereerde sleutelstromen, is het mogelijk om deze te ontsleutelen.
- Fluther-Mantin-Shamir-aanval - een hacker kan kwetsbaarheden misbruiken en met behulp van gespecialiseerde software kunt u zowel een 24-bits WEP-sleutel als een 128-bits WEP 2-sleutel krijgen.
- Laaghangend fruit - dit type aanval is ontworpen om onbeschermde bronnen uit onbeschermde netwerken te halen. De meeste draadloze netwerken zijn volledig onveilig, vereisen geen autorisatie en gebruiken zelfs geen WEP, dus een persoon met een draadloze netwerkkaart en scanner kan gemakkelijk verbinding maken met het toegangspunt en alle beschikbare bronnen gebruiken. Vandaar de naam: laaghangend fruit, makkelijk te plukken.
En hoe netwerken te beschermen. De belangrijkste manieren om netwerken te beschermen zijn:
1. MAC-adressen filteren: in dit geval maakt de beheerder een lijst met MAC-adressen van de netwerkkaarten van de klanten. In het geval van meerdere AP's, is het noodzakelijk om ervoor te zorgen dat het MAC-adres van de client überhaupt bestaat, zodat het vrij tussen de AP's kan bewegen. Deze methode is echter heel gemakkelijk te verslaan, dus het wordt niet aanbevolen om deze alleen te gebruiken.
2. SSID (Netwerk-ID) - gebruik van het systeem van netwerk-ID's. Wanneer de client verbinding probeert te maken met het toegangspunt, wordt een alfanumerieke code van zeven cijfers naar hem verzonden; door het SSID-label te gebruiken, kunt u er zeker van zijn dat alleen clients die het kennen, verbinding kunnen maken met het netwerk.
3. Firewall: het netwerk moet toegankelijk zijn via IPSec, secure shell of VPN, de firewall moet worden geconfigureerd om met deze netwerkverbindingen te werken.
4. AccessPoint - het toegangspunt moet worden geconfigureerd om MAC-adressen te filteren, bovendien moet het apparaat zelf fysiek van anderen worden geïsoleerd. Het wordt ook aanbevolen om het eindpunt alleen via telnet te configureren, waarbij de browser- of SNMP-configuratieoptie wordt uitgeschakeld.

Een clientapparaat aanvallen op wifi-netwerken

Ondanks dat er nog steeds beveiligingsmethoden zijn in draadloze netwerken, moeten beheerders van dit soort netwerken preventieve maatregelen nemen. Er moet meteen worden opgemerkt dat het "frontaal" hacken van dergelijke netwerken bijna onmogelijk is, behalve voor het hacken van denial of service (DoS) -aanvallen op de eerste en tweede laag van het OSI-model. Er is echter nog steeds een soort aanval waar draadloze netwerken vatbaar voor kunnen zijn. Het meest bedreigende type van dergelijke "bypass"-aanvallen zijn aanvallen tegen niet-geassocieerde client-hosts.
Het algemene idee is als volgt:
1. Er is een niet-geassocieerd clientapparaat gevonden, of het netwerk wordt overspoeld met disassociatie- of deauthenticatieframes om het te verkrijgen.
2. Het toegangspunt voor het verbinden van deze host is specifiek geëmuleerd.
3. Het IP-adres wordt uitgegeven, evenals de IP-adressen van de nep-gateway en DNS-server via DHCP.
4. Het apparaat wordt aangevallen.
5. Als het nodig is en externe toegang tot het apparaat is verkregen, wordt de host "vrijgegeven" terug naar zijn "native" netwerk en wordt de "Trojan" er eerst op gelanceerd.
Vanaf volgend jaar hebben alle laptops en notebooks die worden uitgebracht ingebouwde Wi-Fi-ondersteuning. En zelfs nu hebben veel clientapparaten ingebouwde ondersteuning voor een ingeschakeld en constant zoekend netwerk naar associaties, vaak zonder medeweten van hun eigenaar. Dit feit wordt door de meeste systeembeheerders genegeerd. Vaak zijn IT-beveiligingsprofessionals op zoek naar ongeautoriseerde toegangspunten en ad-hocnetwerken, waarbij ze niet genoeg aandacht besteden aan Probe Request-frames van "verloren" clients.
Op het eerste gezicht lijkt het "vangen" van dergelijke klanten niet moeilijk. Maar een persoon die zich met dit soort activiteiten bezighoudt, moet over enige informatie beschikken. We zullen proberen bekend te maken wat voor soort informatie dit is.
Ten eerste moet hij weten volgens welk algoritme client-apparaten automatisch naar netwerken zoeken om verbinding te maken. Zullen ze associëren met elk gedetecteerd 802.11-netwerk met voldoende signaalsterkte? En als er meerdere van dergelijke netwerken zijn? Waarop wordt hun keuze gebaseerd? Hoe zit het met netwerken met "private" ESSID's en netwerken die worden beschermd door WEP of WPA? De antwoorden op deze vragen zijn afhankelijk van zowel het besturingssysteem van de client-host als de draadloze hardware die wordt gebruikt, de stuurprogramma's en gebruikersinstellingen. Laten we eens kijken naar een van de meest gebruikte besturingssystemen van de Windows-familie van vandaag.
Om een ​​draadloze verbinding tot stand te brengen in Windows XP en Windows Server 2003, wordt het Wireless Self-Tune Algorithm (ABS) gebruikt. Dit algoritme werkt met twee lijsten met 802.11-netwerken: de lijst met beschikbare netwerken (VTS) en de lijst met voorkeursnetwerken (PCS). VTS is een lijst met netwerken die hebben gereageerd op het uitzenden van Probe Request-frames tijdens de laatste actieve scan. SPS heeft een lijst met netwerken waarmee in het verleden een volwaardige verbinding tot stand is gebracht. De laatste netwerken waarmee het apparaat was gekoppeld, komen als eerste in deze lijst. De netwerkbeschrijving in beide lijsten bevat de ESSID, het kanaal en de coderingsmethode - "platte tekst", WEP of WPA. Deze lijsten worden op de volgende manier gebruikt tijdens de ABS-operatie:
1. Het clientapparaat stelt de VTS samen door uitgezonden Probe Request-frames te verzenden met een leeg ESSID-veld, één voor elk van de gebruikte 802.11-kanalen en parallelle verwerking van reacties op deze frames.
2. Als er netwerken in de MTS worden gevonden, is er een verband met dergelijke netwerken in de volgorde van hun locatie in deze lijst. Dat wil zeggen, het cliëntapparaat wordt geassocieerd met het bovenste MTS-netwerk dat aanwezig is in de VTS.
3. Als dergelijke netwerken niet worden gevonden, of als er geen succesvolle koppeling met ze is vanwege verschillen in 802.11-standaarden of authenticatieproblemen, doet het ABS "een tweede ronde" door Probe Request-frames specifiek te verzenden om naar netwerken te zoeken die in de PCA worden vermeld. In de praktijk betekent dit dat deze frames naar de kanalen van de PCA-netwerken worden gestuurd en hun ESSID bevatten. Tegelijkertijd is het verzenden van deze frames helemaal niet afhankelijk van de inhoud van de VTS. De betekenis van de aanwezigheid van de "tweede cirkel" van het ABS is het zoeken naar netwerken met een "gesloten" ESSID.
4. Als er geen geschikte infrastructuurnetwerken worden gevonden, is de volgende stap in het zoeken het vinden van ad-hoknetwerken. Hiervoor wordt een vergelijking gemaakt tussen de ad-hok netwerken van de SDS en SPS.
5. Als de MTS ten minste één ad-hok-netwerk heeft, maar niet wordt gevonden in de VTS, stelt het ABS het clientapparaat in op de ad-hok-modus en wijst een IP-adres toe aan de draadloze interface die bij de 169.254. 0,0/16 bereik (RFC 3330). De host wordt dus het eerste knooppunt van een potentieel nieuw ad-hok-netwerk en het algoritme beëindigt zijn werk.
6. Als er geen ad-hok-netwerken in de SPS zijn, controleert het ABS de vlag "Verbinden met niet-voorkeursnetwerken". Als deze vlag gelijk is aan één, zal het clientapparaat proberen te associëren met elk VTS-netwerk in de volgorde van hun prioriteit in de lijst. Voor aanvallers is deze vlag standaard nul.
7. Als de bovenstaande vlag niet is ingeschakeld door de gebruiker, wordt de draadloze kaart "geparkeerd" als een client met een pseudo-willekeurige 32-cijferige ESSID-set. In deze toestand werkt het 60 seconden, waarna het netwerkzoekalgoritme opnieuw wordt gestart.
In principe zijn hackeraanvallen altijd gericht op het ABS-algoritme zelf. Laten we eens kijken naar de duidelijke zwakheden van dit algoritme. Allereerst onthult het clientapparaat tijdens de "tweede ronde" van het ABS (clausule 3) daadwerkelijk de inhoud van het CTS. Als je je een situatie voorstelt waarin zo'n host buiten het bereik van zijn "native" netwerk is. Een bedrijfslaptop wordt bijvoorbeeld door een werknemer meegenomen naar zijn huis of op zakenreis (en wordt gebruikt op een luchthaven, vliegtuig, hotel, enzovoort). Voor een aanvaller die zo'n laptop vindt, zal het niet moeilijk zijn om het eerste netwerk in de PCA te bepalen aan de hand van de ESSID van de frames die door het Probe Request-apparaat worden verzonden, en om precies deze ESSID-waarde op zijn toegangspunt in te stellen. Hetzelfde geldt voor het zoeken naar ad-hok SPS-netwerken. Als het eerste SPS-netwerk is beveiligd en een WEP- of WPA-sleutel nodig heeft om verbinding te maken, gaat de aanvaller verder in de lijst en zoekt daarin naar een open netwerk, inclusief ad-hok WLAN's. De kans om zo'n netwerk te vinden is vrij groot. De meeste Wi-Fi-hotspots gebruiken bijvoorbeeld methoden om draadloze gegevensoverdracht op de hogere lagen van het OSI-model te beschermen, meestal op de zevende. Als u verbinding maakt met dergelijke netwerken, blijft er een beschrijving achter van het "onbeschermde" (op het 2e niveau) netwerk in de SPS, waar een aanvaller zonder problemen gebruik van kan maken.
Deze beschrijving leidt tot een tweede zwakte. Bij afwezigheid van een dergelijk ad-hok-netwerk in de buurt (een zeer waarschijnlijk scenario, aangezien ad-hok-verbindingen meestal voor korte tijd worden ingesteld en vaak met elke keer een nieuwe ESSID), wordt de Windows-client in een constante werkingsmodus als een ad-hokknooppunt, wachtend op andere klanten (punt 5). Een aanvaller kan zonder problemen zo'n client worden, een van de RFC 3330-adressen innemen en geen broadcast-ping uitvoeren of ARP-verzoeken verzenden om het IP-adres van het slachtoffer te achterhalen en verdere aanvallen uit te voeren. Bovendien vereist een dergelijke verbinding geen enkele interactie van de gebruiker. Het is volledig automatisch.
Ten slotte, als er geen onbeschermde en ad-hocnetwerken in de PCA zijn en de vlag "Verbinden met onvoorspelbare netwerken" is ingeschakeld, bereikt het algoritme de instelling van de clientkaart in "standby-modus" door het verzenden van Probe Request-frames met een lange pseudo- willekeurige ESSID (clausule 7). Het probleem is dat deze "cryptische" ESSID-waarden behoorlijk "werkend" zijn. Dat wil zeggen, het is voldoende om een ​​toegangspunt met zo'n ESSID in de buurt te installeren, en de "klant" zal er veilig "bijten" om via DHCP een IP-adres te verkrijgen en verdere aanvallen te ondergaan. Het moet gezegd dat dit probleem in Longhorn al is verholpen, maar er is nog een lange weg te gaan voordat er een totale overgang naar dit besturingssysteem is. En nu het belangrijkste: aangezien een netwerk met een lange pseudo-willekeurige ESSID afwezig is in de PCA, vereist het verbinden met een dergelijk netwerk niet alleen geen enkele interactie van de aangevallen gebruiker, maar wordt het zelfs niet getoond als een bestaand netwerk. indicator van de draadloze communicatie van Windows XP. Deze indicator geeft aan dat het apparaat niet is gekoppeld aan een Wi-Fi-netwerk en alleen het configuratiescherm voor het installeren van Windows-netwerkopties toont de verbinding en het toegewezen IP-adres. Opgemerkt moet worden dat de nieuwste versies van de stuurprogramma's voor 802.11a / b / g-kaarten met Atheros-chipset, hoewel ze Probe Request-frames met pseudo-willekeurige ESSID's verzenden, geen automatische verbinding ondersteunen met toegangspunten die zijn geconfigureerd met dergelijke ESSID-waarden.
Wat moet een aanvaller doen als, zoals zojuist werd vermeld, automatische associatie met behulp van pseudo-willekeurige ESSID's onmogelijk is en de PCA geen netwerken bevat die niet op het tweede niveau zijn beveiligd? Als de netwerken waarop het aangevallen apparaat was aangesloten beveiligd zijn met WPA-PSK of WPA-802.1x met EAP-TLS, dan zijn er op dit moment geen vooruitzichten voor succesvolle hacking. Als ten minste één zo'n netwerk is beveiligd met WPA-802.1x met behulp van EAP-TTLS of EAP-PEAP, dan is er een mogelijkheid van aanvallen op deze protocollen volgens de algoritmen beschreven door de Shmoo-hackgroep "The Radical Realm of Radius, 802.1 x en jij ".
Over de verouderde mechanismen voor het beschermen van 802.11-netwerken gesproken, het is onmogelijk om de afgezaagde WEP niet te vergeten. Aanvallen daarop kunnen ook worden toegepast op individuele clientapparaten, waarvan de netwerken in de SPS met behulp van WEP worden "beveiligd". Als alle ad-hok-netwerken in de PCA WEP in hun instellingen hebben, dan zal een willekeurige ad-hok-configuratie met een RFC 3330-adres, zoals beschreven in clausule 5 hierboven, WEP gebruiken. Het probleem is dat zo'n ad-hok-knooppunt niet "stil blijft" - onthoud dat je tenminste elke 2 seconden NetBIOS HELLO-pakketten verzendt. Dienovereenkomstig kan dit soort verkeer met succes worden gebruikt voor het kraken van een WEP-sleutel met behulp van verschillende methoden, van eenvoudige woordenboekopsomming met WepAttack tot het versnellen van het kraken door pakketinjectie met behulp van Christopher Devine's aireplay (een aangepaste valse authenticatie-aanval of interactieve herinjectie van pakketten, waarmee u een enkele ad-hock-client dwingen een versleuteld ARP-pakket te verzenden voor daaropvolgende ARP-herinjectie).
Een nog interessanter voorbeeld zijn clients met een pseudo-willekeurige ESSID (clausule 7) en WEP, die "opstaan" wanneer alle netwerken die in de PCA worden vermeld, veilig zijn. Het feit dat zelfs als WPA-beveiligde netwerken op deze lijst staan, WEP nog steeds wordt gebruikt, is al een kwetsbaarheid. Maar aangezien de instellingen van een dergelijk netwerk nergens gedefinieerd zijn en "zelfconfigurerend" zijn zonder tussenkomst van de gebruiker, kan een aanvallend toegangspunt dergelijke clients een onveilige 802.11-authenticatiemethode opleggen met behulp van een gedistribueerde WEP-sleutel. Door deze methode af te dwingen, kan de cracker een bekende tekststring naar het challenge-clientapparaat sturen en het terug ontvangen, XORed met het RC4-deel van de stream. Dus door wat ontvangen is met de originele tekst te overschrijven, herkent de aanvaller 144 bytes van de RC4-stream voor de gegeven initialisatievector (IV). Deze aanval heeft veel mogelijke toepassingen. Vooral:
- u kunt steeds meer uitdagingsverzoeken verzenden totdat de RC4-coderingsstroom is geopend voor alle initialisatievectoren van de 24-bits WEP IV-ruimte
- u kunt het ontvangen antwoord aanvallen met een woordenboekzoekopdracht met behulp van WepAttack en soortgelijke hulpprogramma's
- het is mogelijk om de bekende 144 bytes van de stream te gebruiken voor herinjectie van pakketten naar het clientapparaat met behulp van Anton Rajger's WepWedgie. Een succesvolle herinjectie zorgt ervoor dat de aangevallen host een versleuteld ARP-pakket verzendt dat gemakkelijk te onderscheppen en te gebruiken is met aireplay.
In elk van de bovenstaande gevallen is een enkel clientapparaat dat een WEP-beveiligde verbinding vereist nauwelijks onkwetsbaar.

Conclusie

Speciale aandacht moet worden besteed aan de beveiliging van draadloze netwerken. Het draadloze netwerk heeft immers een groot bereik. Zo kan een aanvaller op veilige afstand informatie onderscheppen of het netwerk aanvallen. Gelukkig zijn er tegenwoordig veel verschillende manieren om uzelf te beschermen en, indien correct geconfigureerd, kunt u erop vertrouwen dat u het beveiligingsniveau krijgt dat u nodig hebt.
Tot slot zou ik willen opmerken dat de auteur van het artikel de lezers niet oproept om "actieve stappen te ondernemen" en aanvallen op de draadloze bronnen van verschillende bedrijven. In dit geval was het doel van dit artikel anders, namelijk: systeembeheerders van IT-bedrijven helpen om de bedrijfsmiddelen zo betrouwbaar mogelijk te beveiligen tegen elke vorm van ongeoorloofde toegang en inbraak.

Bibliografie

1.http: //www.ferra.ru
2.http: //www.denet.ru
3.http: //www.cnews.ru
4. Andrey Vladimirov "We vallen clientapparaten aan op wifi-netwerken", "Hacking and Protection", 2006

Tegenwoordig is het voldoende om naar een willekeurig café te gaan en te zoeken naar actieve Bluetooth-apparaten - en je zult meteen twee of drie telefoons en PDA's vinden, die zonder wachtwoord toegang hebben tot alle bestanden en diensten. Je kunt ook een telefoonboek stelen, verbinding maken met internet via GPRS en zelfs een Vietnamees callcenter openen vanaf de telefoon van iemand anders.

De verspreiding van draadloze netwerken heeft veel nieuwe uitdagingen op het gebied van informatiebeveiliging gecreëerd. Toegang krijgen tot slecht beveiligde radionetwerken of het onderscheppen van informatie die via radiokanalen wordt verzonden, is soms niet moeilijk. Bovendien, als in het geval van draadloze lokale netwerken Wi-Fi (IEEE 802.11-familie van normen) dit probleem op de een of andere manier wordt opgelost (er zijn speciale apparaten gemaakt om deze netwerken te beschermen, toegang, authenticatie en coderingsmechanismen worden verbeterd), dan in Bluetooth netwerken (IEEE 802.15.1 ) schuilt een ernstige bedreiging voor de beveiliging van informatie.

En hoewel Bluetooth is ontworpen om communicatie tussen apparaten op een afstand van niet meer dan 10-15 m te organiseren, worden tegenwoordig over de hele wereld veel draagbare mobiele apparaten met Bluetooth-ondersteuning gebruikt, waarvan de eigenaren vaak drukke plaatsen bezoeken, dus sommige apparaten per ongeluk belanden in de nabijheid van anderen. Bovendien zijn veel van deze apparaten niet nauwkeurig genoeg geconfigureerd (de meeste mensen laten alle standaardinstellingen achter) en kan informatie ervan gemakkelijk worden onderschept. De zwakste schakel in de Bluetooth-technologie is dus de gebruiker zelf, die zich geen zorgen wil maken over zijn eigen veiligheid. Soms verveelt hij zich bijvoorbeeld door het te vaak intoetsen van de pincode en andere identificatiemechanismen, en dan zet hij gewoon alle beveiligingsfuncties uit.

In de tussentijd zijn er al tools gemaakt om te zoeken naar kwetsbare Bluetooth-apparaten, en beveiligingsexperts denken dat het zoeken naar kwetsbare Bluetooth-verbindingen binnenkort net zo gewoon zal worden als het zoeken naar open Wi-Fi-netwerken. De eerste hacktool Redfang die zich op Bluetooth-apparaten richtte, verscheen in juni 2003. Redfang omzeilt de verdediging en voert een krachtige agressieve aanval uit om de "identiteit" van elk Bluetooth-apparaat binnen het bereik van de aanvaller te bepalen. Daarna werd de kwestie van de beveiliging van deze technologie nog urgenter.

Tegelijkertijd, als draadloze LAN-netwerken Wi-Fi met vertrouwelijke informatie in de meeste gevallen nog steeds betrouwbaar worden beschermd door systeembeheerders enen, dan is de bescherming van apparaten met Bluetooth slecht. Maar de snelle verspreiding van de Bluetooth-interface roept steeds meer veiligheidsproblemen op, en niet alleen gebruikers, maar ook beheerders van bedrijven waarvan de werknemers de Bluetooth-interface gebruiken, moeten goed op dit probleem letten. En hoe intenser de interactie van Bluetooth-apparaten met een computer in het bedrijfsnetwerk, des te dringender de noodzaak van specifieke beveiligingsmaatregelen, aangezien het verlies of de diefstal van een dergelijk apparaat een aanvaller toegang geeft tot geclassificeerde gegevens en diensten van het bedrijf.

Ondertussen geeft Bluetooth-technologie ons een voorbeeld van hoe de hele last van het waarborgen van beveiliging op de schouders van de gebruiker rust, ongeacht zijn wensen en kwalificaties.

Algemene principes van Bluetooth-bediening

In tegenstelling tot wifi is Bluetooth ontworpen om het zogenaamde Wireless Personal Area Network (WPAN) te bouwen. Aanvankelijk was het de bedoeling om een ​​standaard te ontwikkelen waarmee je kleine lokale netwerken kunt maken en draadloze toegang kunt krijgen tot apparaten in huis, op kantoor of bijvoorbeeld in een auto. De groep bedrijven die bijdraagt ​​aan de gratis, open Bluetooth-specificatie heeft momenteel meer dan 1.500 leden. Volgens veel experts is Bluetooth ongeëvenaard in zijn niche. Bovendien is de IEEE 802.15.1-standaard een concurrent geworden van technologieën als Wi-Fi, HomeRF en IrDA (Infrared Direct Access). Tot dan toe was infraroodtoegang (IrDA) de meest gebruikte technologie voor het draadloos verbinden van computers en randapparatuur. Maar in tegenstelling tot IrDA, dat werkt op een point-to-point line-of-sight-basis, is Bluetooth-technologie ontwikkeld om zowel volgens hetzelfde principe te werken als als een multipoint-radiokanaal.

Aanvankelijk hadden Bluetooth-zenders een kort bereik (tot 10 m, dat wil zeggen binnen dezelfde kamer), maar later werd een groter dekkingsgebied bepaald - tot 100 m (dat wil zeggen, binnen een huis). Dergelijke zenders kunnen ofwel in het apparaat worden ingebouwd of afzonderlijk als extra interface worden aangesloten.

Maar het belangrijkste voordeel van Bluetooth, waardoor het geleidelijk IrDA vervangt, is dat de gezichtslijn van apparaten niet nodig is voor communicatie - ze kunnen zelfs worden gescheiden door dergelijke "radiotransparante" obstakels zoals muren en meubels; bovendien kunnen de apparaten die met elkaar interageren in beweging zijn.

Het belangrijkste structurele element van het Bluetooth-netwerk is het zogenaamde piconet - een verzameling van twee tot acht apparaten die op dezelfde sjabloon werken. In elk piconet fungeert één apparaat als de master en de rest zijn slaven. De master bepaalt de sjabloon waarop alle slaves van zijn piconet zullen werken en synchroniseert de werking van het netwerk. De Bluetooth-standaard zorgt voor de aansluiting van onafhankelijke en zelfs niet-gesynchroniseerde piconetten (tot tien) op het zogenaamde scatternet. Om dit te doen, moet elk paar piconetten ten minste één gemeenschappelijk apparaat hebben, dat de master in het ene en de slave in het andere netwerk zal zijn. Binnen een enkel Bluetooth-scatternet kunnen dus maximaal 71 apparaten tegelijkertijd worden aangesloten.

Bluetooth-beveiliging is afhankelijk van de instelling

Om de Bluetooth-verbinding te beschermen, wordt voorzien in codering van de verzonden gegevens, evenals de procedure voor het autoriseren van apparaten. Gegevenscodering vindt plaats met een sleutel met een effectieve lengte van 8 tot 128 bits, waarmee u het sterkteniveau van de resulterende codering kunt instellen in overeenstemming met de wetgeving van elk land. Daarom moet meteen worden opgemerkt dat correct geconfigureerde Bluetooth-apparaten niet spontaan verbinding kunnen maken, dus er zijn geen onbedoelde lekken van belangrijke informatie naar onbevoegden. Bovendien is er niets dat toepassingsspecifieke bescherming beperkt.

Afhankelijk van de taken die worden uitgevoerd, biedt de Bluetooth-specificatie drie beveiligingsmodi die afzonderlijk of in verschillende combinaties kunnen worden gebruikt:

1. In de eerste modus - minimaal (wat meestal de standaard is) - worden geen maatregelen genomen om het Bluetooth-apparaat veilig te gebruiken. De gegevens zijn versleuteld met een gedeelde sleutel en kunnen zonder beperkingen door elk apparaat worden ontvangen.
2. De tweede modus biedt beveiliging op apparaatniveau, dat wil zeggen, activeert beveiligingsmaatregelen op basis van de authenticatie / authenticatie en autorisatie / autorisatieprocessen. Deze modus definieert verschillende vertrouwensniveaus voor elke service die door het apparaat wordt aangeboden. Het toegangsniveau kan direct op de chip worden aangegeven en in overeenstemming hiermee ontvangt het apparaat bepaalde gegevens van andere apparaten.
3. De derde modus is bescherming op sessieniveau, waarbij gegevens worden gecodeerd met 128-bits willekeurige getallen die zijn opgeslagen in elk paar apparaten dat deelneemt aan een bepaalde communicatiesessie. Deze modus vereist authenticatie en maakt gebruik van data-encryptie/-encryptie.

De tweede en derde modus worden vaak gelijktijdig gebruikt. De belangrijkste taak van het authenticatieproces is om te controleren of het apparaat dat de communicatie initieert echt het apparaat is dat het beweert te zijn. Het initiërende apparaat verzendt zijn Bluetooth-apparaatadres (BD_ADDR). Het doelapparaat reageert met een willekeurig nummer als een verzoek. Op dit moment berekenen beide apparaten een authenticatiereactie door het identificatieadres te combineren met het ontvangen willekeurige nummer. Als resultaat van de vergelijking vindt ofwel de voortzetting van het tot stand brengen van de verbinding plaats ofwel de verbreking (indien de identificatieantwoorden niet samenvallen).

Als iemand een verbinding via de ether afluistert, moet hij, om de authenticatiesleutel te stelen, het algoritme kennen voor het onthullen van de sleutel uit het verzoek en het antwoord, en het bepalen van een dergelijk omgekeerd algoritme vereist aanzienlijke computerkracht. Daarom zijn de kosten van het extraheren van de sleutel door simpelweg de authenticatieprocedure af te luisteren onredelijk hoog.

Wat autorisatie betreft, is het ontworpen om een ​​geïdentificeerd Bluetooth-apparaat toegang te geven tot bepaalde informatie of diensten. Er zijn drie vertrouwensniveaus tussen Bluetooth-apparaten: vertrouwd, niet-vertrouwd en onbekend. Als het apparaat een vertrouwensrelatie heeft met de initiator, krijgt deze onbeperkte toegang tot bronnen. Als het apparaat niet wordt vertrouwd, is de toegang tot bronnen beperkt tot de zogenaamde laagbeveiligingsservice. De eerste beschermende laag vereist bijvoorbeeld identificatie en toestemming om toegang tot de dienst te openen, de tweede - alleen identificatie, de derde - alleen coderingen. Een onbekend apparaat dat niet is geïdentificeerd, wordt als niet-geverifieerd beschouwd.

Ten slotte helpt 128-bits gegevenscodering om gevoelige informatie te beschermen tegen weergave door ongewenste bezoekers. Alleen de geadresseerde met de persoonlijke decoderingssleutel heeft toegang tot deze gegevens.

De decoderingssleutel van het apparaat is gebaseerd op de communicatiesleutel. Dit vereenvoudigt het proces voor het genereren van de sleutel, aangezien de afzender en de geadresseerde geheime informatie hebben gedeeld die de code zal ontsleutelen.

De Bluetooth-coderingsservice heeft op zijn beurt drie modi:

Geen coderingsmodus;

Een modus waarin alleen het tot stand brengen van communicatie met apparaten is gecodeerd en de verzonden informatie niet is gecodeerd;

Een modus waarin alle soorten communicatie zijn gecodeerd.

De beschermende functies van Bluetooth moeten dus zorgen voor veilige communicatie op alle verbindingsniveaus. Maar in de praktijk vertoont deze technologie, ondanks de veiligheid die de norm biedt, een aantal belangrijke tekortkomingen.

Een zwak punt in de beveiliging van Bluetooth-apparaten is bijvoorbeeld dat fabrikanten gebruikers uitgebreide bevoegdheden en controle willen geven over apparaten en hun configuratie. Tegelijkertijd heeft de moderne Bluetooth-technologie onvoldoende middelen om gebruikers te identificeren (dat wil zeggen, het Bluetooth-beveiligingssysteem houdt geen rekening met de identiteit of bedoelingen van de gebruiker), wat Bluetooth-apparaten bijzonder kwetsbaar maakt voor zogenaamde spoofing-aanvallen (radio desinformatie) en misbruik van identificatiemiddelen.

Bovendien wordt de betrouwbaarheid van apparaatidentificatie als een prioriteit beschouwd, in plaats van het veilige onderhoud ervan. Daarom is servicedetectie een cruciaal onderdeel van het hele Bluetooth-schema.

Een extreem zwak punt van de Bluetooth-interface kan worden beschouwd als het proces van primaire koppeling van apparaten (koppeling), waarbij sleutels worden uitgewisseld in niet-versleutelde kanalen, waardoor ze kwetsbaar zijn voor afluisteren door derden. Als resultaat van de onderschepping van de verzending op het moment van het koppelingsproces, is het mogelijk om de initialisatiesleutel te verkrijgen door deze sleutels te berekenen voor elke mogelijke wachtwoordvariant en vervolgens de resultaten te vergelijken met de onderschepte verzending. De initialisatiesleutel wordt op zijn beurt door de hacker gebruikt om de communicatiesleutel te berekenen en wordt ter verificatie vergeleken met de onderschepte transmissie. Daarom wordt aanbevolen om de paringsprocedure uit te voeren in een vertrouwde en veilige omgeving, waardoor de dreiging van afluisteren aanzienlijk wordt verminderd. Daarnaast kan het risico op onderschepping worden verkleind door het gebruik van lange wachtwoorden, waardoor ze moeilijk te herkennen zijn aan onderschepte berichten.

In het algemeen is de door de standaard toegestane mogelijkheid om korte wachtwoorden te gebruiken een andere reden voor de kwetsbaarheid van de Bluetooth-verbinding, die, zoals in het geval van het gebruik van eenvoudige wachtwoorden door systeembeheerders van computernetwerken, kan leiden tot gissen (voor bijvoorbeeld wanneer deze automatisch wordt vergeleken met een database met veelvoorkomende / veelvoorkomende wachtwoorden) ... Dergelijke wachtwoorden vereenvoudigen de initialisatie aanzienlijk, maar maken het heel gemakkelijk om communicatiesleutels te extraheren uit onderschepte transmissies.

Omwille van de eenvoud gebruiken gebruikers ook vaak gepaarde communicatiesleutels in plaats van veiligere dynamische sleutels. Om dezelfde reden kiezen ze in plaats van combinatorische sleutels voor modulaire sleutels. En een apparaat met een modulaire sleutel gebruikt het om verbinding te maken met alle apparaten die ermee communiceren. Als gevolg hiervan kan elk apparaat met een modulaire sleutel het gebruiken voor het afluisteren van beveiligde verbindingen, waarbij dezelfde communicatiesleutel wordt gebruikt en van geverifieerde apparaten (dat wil zeggen apparaten waarmee ooit communicatie tot stand is gebracht). Bij het gebruik van modulaire sleutels is er geen enkele beveiliging.

Elk Bluetooth-apparaat met een decoderingssleutel is echter volkomen veilig. Dus Bluetooth-beveiligingsmaatregelen kunnen verbindingen alleen beschermen als ze correct zijn geconfigureerd en de services correct worden gebruikt. En dit is de enige manier om te voorkomen dat persoonlijke gegevens en vertrouwelijke informatie in verkeerde handen vallen.

Bluetooth-virusaanvallen

Tegenwoordig wint, in het kader van de algemene trend van het compliceren van telefoons, een relatief nieuw type handheld-apparaat, een smartphone (in het Engels - "smart phone") genaamd, snel aan populariteit, wat in wezen het resultaat is van een synthese van mobiele telefoons en zaktelefoons. computers (PDA's).

Analisten beoordelen de smartphonemarkt als het meest veelbelovende segment van mobiele telefonie. Sommigen beweren zelfs dat smartphones en communicators uiteindelijk traditionele mobiele telefoons en PDA's van de markt zullen verdringen, en dit zou in de zeer nabije toekomst kunnen gebeuren. De redenering voor zo'n voorspelling is ijzersterk: iedereen droomt ervan het meest multifunctionele apparaat in zijn handpalm te zien voor hetzelfde geld. En moderne smartphones worden voor onze ogen goedkoper.

Als gevolg hiervan maken onder druk van de vooruitgang nederige mobiele telefoons die alleen zijn ontworpen om te bellen, geleidelijk plaats voor geavanceerde multifunctionele apparaten met computerfuncties. Bovendien zou volgens analistenbureau Mobile Data Association (MDA) het aantal mobiele telefoons dat nieuwe technologieën ondersteunt tegen het einde van dit jaar moeten verdubbelen.

Weinig gebruikers zijn zich echter bewust van de risico's van de overgang van primitieve "dialers" naar geavanceerde communicatieapparatuur die onder besturingssystemen en software draait. Ondertussen, al midden vorig jaar, werd het eerste virus gedetecteerd voor smartphones met het Symbian-besturingssysteem (het aandeel smartphones met dit besturingssysteem, exclusief PDA's en communicators, is 94%).

Dus het allereerste mobiele virus, of liever een netwerkworm genaamd Cabir, begon zich over mobiele netwerken te verspreiden en Symbian-smartphones te infecteren. Echter, bijna gelijktijdig met Cabir, trof een ander virus genaamd Duts Windows Mobile. Hoewel beide virussen de gebruikers nog niet veel schade hebben berokkend (ze hebben zelfs toestemming gevraagd aan telefoonbezitters om hun mobiele telefoons te infecteren, en nietsvermoedende gebruikers hebben hen toestemming gegeven!), Maar virussen voor smartphones verbeteren veel sneller dan hun oudere broers - computer virussen. Minder dan een jaar nadat de eerste virussen verschenen, demonstreerde nog een andere anonieme maker van kwaadaardige programma's een belangrijke prestatie: hij blokkeerde antivirussoftware.

Deskundigen zijn het er nog niet over eens of het verschijnen van dergelijke wormen kan worden beschouwd als een voorbode van epidemieën van mobiele virussen, maar er is technisch niets moeilijks aan het creëren van dergelijke "boze geesten", dus in de nabije toekomst zullen we zeker pogingen tegenkomen door hackers om iets kwaadaardigs te lanceren. In theorie kan een mobiel virus bijvoorbeeld namen en telefoonnummers wissen van een notebook en andere gegevens die op de handset zijn opgeslagen, evenals sms-berichten verzenden die naar verluidt zijn geschreven door de eigenaar van het geïnfecteerde apparaat. Opgemerkt moet worden dat zowel de verspreiding van dergelijke berichten als de beschikbaarheid van betaalde sms-diensten het budget van de eigenaar van een geïnfecteerde telefoon ernstig kan ondermijnen.

Wat de eerste virussen en hun klonen betreft, hoeven smartphonebezitters alleen de Bluetooth-functionaliteit uit te schakelen wanneer deze niet nodig is, of het apparaat in een ontoegankelijkheidsmodus te zetten voor detectie door andere Bluetooth-gadgets.

Fabrikanten van antivirussoftware zijn de bescherming van mobiele telefoons al serieus gaan nemen, en als u te maken krijgt met manifestaties van virusaanvallen op uw mobiele telefoon, kunt u hulp vragen aan de fabrikanten van antivirussoftware, die tools hebben ontwikkeld om smartphones te beschermen . F-Secure (http://mobile.f-secure.com) is het populairste antivirusprogramma Mobile Anti-Virus voor het opschonen van virussen van mobiele telefoons.

Kaspersky Lab kondigde op zijn beurt aan dat Rusland de negende staat werd waarin de Cabir-worm smartphones binnendrong en bood gebruikers aan om een ​​speciaal programma op hun mobiele telefoons te installeren om het te vinden en te verwijderen. De applicatie is gratis te downloaden op de Wap-site van Kaspersky Lab (http://www.kaspersky.com).

Het Nieuw-Zeelandse bedrijf Symworks (http://www.simworks.biz) produceert ook antivirussoftware voor pda's en mobiele telefoons. Met hun hulp kunt u al een tiental kwaadaardige programma's detecteren die worden verspreid onder het mom van nuttige software voor deze apparaten. Een van de virussen stelt zelfs specifiek dat het het antivirusprogramma Symworks bestrijdt.

Antivirusontwikkelaar Trend Micro heeft ook gratis antivirusbescherming aangeboden aan mobiele gebruikers. Dit nieuwe product vernietigt niet alleen bekende virussen, maar verwijdert ook sms-spam. Trend Micro Mobile Security kan tot juni van dit jaar worden gedownload en gebruikt. Het antiviruspakket is compatibel met alle populaire mobiele apparaten op basis van Windows Mobile voor Smartphone, Windows Mobile 2003 voor Pocket PC en Symian OS v7.0 met UIQ v2.0 / 2.1-interface. U kunt het programma downloaden op: http://www.trendmicro.com/en/products/mobile/tmms/evaluate/overview.htm.

De laatste van de gevonden virussen - Drever-C - werkt in de beste tradities van het genre: het dringt de telefoon binnen onder het mom van een bijgewerkte versie van de antivirus (deze techniek wordt vaak gebruikt door pc-virussen). Tegelijkertijd staan ​​alle gangbare beveiligingssystemen van F-Secure, SimWorks en Kaspersky Lab er machteloos tegen.

Conclusie

Kopers van mobiele telefoons en Bluetooth-gadgets maken zich in de regel meer zorgen over hun eigen gezondheid dan over de toestand van hun apparaten. Daarom zullen we ze onmiddellijk kalmeren - aangezien de IEEE 802.15.1-standaard is ontwikkeld met het oog op een laag stroomverbruik, is de impact op de menselijke gezondheid verwaarloosbaar. De radiozender levert een snelheid van 721 Kbps, wat best veel is in vergelijking met andere standaarden. Dit feit bepaalt het gebruik van Bluetooth in de verbindingen van alleen die componenten waarvan het transmissievolume (verkeer) onbeduidend is.

Na verloop van tijd zullen alle zwakke punten van deze technologie ongetwijfeld aan het licht komen. Het is mogelijk dat een Bluetooth Special Interest Group (SIG) de specificaties van de standaard bijwerkt wanneer er gebreken worden vastgesteld. Fabrikanten van hun kant upgraden producten met inachtneming van alle veiligheidsaanbevelingen.

Merk op dat er vandaag al een aangepaste communicatiestandaard is ontwikkeld, namelijk de volgende generatie Bluetooth - IEEE 802.15.3. Het is ook ontworpen voor kleine netwerken en lokale datatransmissie, maar maakt hogere datasnelheden (tot 55 Mbps) en grotere afstanden (tot 100 m) mogelijk. In zo'n netwerk kunnen tot 245 gebruikers tegelijk werken. Bovendien zullen bij interferentie van andere netwerken of huishoudelijke apparaten de communicatiekanalen automatisch schakelen, wat de 802.15.3-standaard zal voorzien van een hoge betrouwbaarheid en stabiliteit van de verbinding. Misschien zal de nieuwe standaard worden gebruikt in die gebieden waar een hoge snelheid van gegevensuitwisseling vereist is en een grotere transmissieafstand vereist is, en zal de vorige worden gebruikt voor eenvoudige computerrandapparatuur (toetsenborden, muizen, enz.), telefoonheadsets, koptelefoons en muziekspelers. In ieder geval zal de concurrentie tussen deze normen worden bepaald door hun prijs en energie-efficiëntie.

Voor mobiele telefoons bereiden Microsoft en Symbian Limited nieuwe aanvullende beveiligingen voor. Het is immers geen geheim dat mobiele telefoons tegenwoordig niet alleen als communicatiemiddel worden gebruikt, maar ook als actief gebruikte computerrandapparatuur (GPRS-modem en opslagapparaat), wat hogere eisen stelt aan hun bescherming.

Dit artikel gaat over beveiliging bij het gebruik van draadloze wifi-netwerken.

Inleiding - WiFi-kwetsbaarheden

De belangrijkste reden voor de kwetsbaarheid van gebruikersgegevens wanneer deze gegevens via wifi-netwerken worden verzonden, is dat de uitwisseling plaatsvindt via de radiogolf. En dit maakt het mogelijk om berichten te onderscheppen op elk punt waar het wifi-signaal fysiek beschikbaar is. Simpel gezegd, als het signaal van een access point op een afstand van 50 meter kan worden opgevangen, dan is onderschepping van al het netwerkverkeer van dit wifi-netwerk mogelijk binnen een straal van 50 meter van het access point. In een aangrenzende kamer, op een andere verdieping van het gebouw, aan de straat.

Stel je deze foto voor. Op kantoor wordt het lokale netwerk opgebouwd via wifi. Het signaal van het toegangspunt van dit kantoor wordt buiten het gebouw opgevangen, bijvoorbeeld op een parkeerplaats. Een aanvaller buiten het gebouw kan toegang krijgen tot het kantoornetwerk, dat wil zeggen ongemerkt door de eigenaren van dit netwerk. WiFi-netwerken zijn eenvoudig en onzichtbaar toegankelijk. Technisch veel eenvoudiger dan bekabelde netwerken.

Ja. Tot op heden zijn de middelen om wifi-netwerken te beschermen ontwikkeld en geïmplementeerd. Deze beveiliging is gebaseerd op het versleutelen van al het verkeer tussen het toegangspunt en het eindapparaat dat erop is aangesloten. Dat wil zeggen, een aanvaller kan een radiosignaal onderscheppen, maar voor hem zal het gewoon digitaal "vuilnis" zijn.

Hoe werkt wifi-beveiliging?

Het toegangspunt neemt in zijn WiFi-netwerk alleen het apparaat op dat het juiste (opgegeven in de instellingen van het toegangspunt) wachtwoord zal verzenden. In dit geval wordt het wachtwoord ook versleuteld verzonden, in de vorm van een hash. De hash is het resultaat van onomkeerbare codering. Dat wil zeggen dat gegevens die in een hash zijn vertaald, niet kunnen worden ontsleuteld. Als een aanvaller de wachtwoordhash onderschept, kan hij het wachtwoord niet verkrijgen.

Maar hoe weet het toegangspunt of het wachtwoord correct is of niet? Als ze ook een hash ontvangt, maar deze niet kan ontcijferen? Alles is eenvoudig - in de instellingen van het toegangspunt wordt het wachtwoord in zijn pure vorm gespecificeerd. Het autorisatieprogramma neemt een schoon wachtwoord, maakt er een hash van en vergelijkt deze hash met die van de client. Als de hashes overeenkomen, heeft de client het juiste wachtwoord. Het tweede kenmerk van hashes wordt hier gebruikt - ze zijn uniek. Dezelfde hash kan niet worden verkregen uit twee verschillende gegevenssets (wachtwoorden). Als de twee hashes overeenkomen, zijn ze allebei gemaakt op basis van dezelfde dataset.

Trouwens. Vanwege deze functie worden hashes gebruikt om de gegevensintegriteit te controleren. Als twee hashes (gemaakt met een tijdsinterval) overeenkomen, zijn de oorspronkelijke gegevens (gedurende dit tijdsinterval) niet gewijzigd.

Hoewel de modernste methode om een ​​wifi-netwerk (WPA2) te beveiligen betrouwbaar is, kan dit netwerk worden gehackt. Hoe?

Er zijn twee methoden om toegang te krijgen tot een WPA2-beveiligd netwerk:

1. Wachtwoord-brute-force-aanvallen (zogenaamde woordenboek-brute-force-aanvallen).
2. Een kwetsbaarheid in de WPS-functie uitbuiten.

In het eerste geval onderschept de aanvaller de wachtwoordhash voor het toegangspunt. Vervolgens wordt een hashvergelijking uitgevoerd over een database die duizenden of miljoenen woorden bevat. Er wordt een woord uit het woordenboek gehaald, er wordt een hash voor dit woord gegenereerd en deze hash wordt vergeleken met de hash die is onderschept. Als er een primitief wachtwoord wordt gebruikt op het toegangspunt, is het een kwestie van tijd om het wachtwoord, dit toegangspunt, te kraken. Een wachtwoord van 8 cijfers (8 tekens is de minimale wachtwoordlengte voor WPA2) is bijvoorbeeld een miljoen combinaties. Op een moderne computer is het mogelijk om in een paar dagen of zelfs uren een miljoen waarden op te sommen.

In het tweede geval wordt misbruik gemaakt van een kwetsbaarheid in de eerste versies van de WPS-functie. Met deze functie kunt u een apparaat verbinden met het toegangspunt waar u geen wachtwoord kunt invoeren, zoals een printer. Bij gebruik van deze functie wisselen het apparaat en het toegangspunt een digitale code uit, en als het apparaat de juiste code verstuurt, autoriseert het toegangspunt de client. Er was een kwetsbaarheid in deze functie - de code bestond uit 8 cijfers, maar de uniciteit werd slechts bij vier ervan gecontroleerd! Dat wil zeggen, om WPS te hacken, moet u alle waarden opsommen die 4 cijfers opleveren. Als gevolg hiervan kan het hacken van een toegangspunt via WPS letterlijk in een paar uur worden uitgevoerd, op elk, het zwakste apparaat.

Wifi-beveiliging instellen

De beveiliging van het wifi-netwerk wordt bepaald door de instellingen van het access point. Verschillende van deze instellingen zijn rechtstreeks van invloed op de netwerkbeveiliging.

WiFi-netwerktoegangsmodus

Het toegangspunt kan in twee modi werken: open of beveiligd. In het geval van open access kan elk apparaat verbinding maken met het toegangspunt. Bij beveiligde toegang wordt alleen het apparaat aangesloten dat het juiste toegangswachtwoord doorgeeft.

Er zijn drie soorten (standaarden) voor het beveiligen van wifi-netwerken:

• WEP (bedrade equivalente privacy)... De allereerste standaard van bescherming. Tegenwoordig biedt het eigenlijk geen bescherming, omdat het heel gemakkelijk te hacken is vanwege de zwakte van de verdedigingsmechanismen.
• WPA (wifi beveiligde toegang)... Chronologisch de tweede standaard van bescherming. Op het moment van creatie en inbedrijfstelling bood het een effectieve bescherming voor wifi-netwerken. Maar aan het eind van de jaren 2000 werden er mogelijkheden gevonden om de WPA-beveiliging te doorbreken door kwetsbaarheden in beveiligingsmechanismen.
• WPA2 (wifi beveiligde toegang)... De nieuwste beveiligingsstandaard. Biedt betrouwbare bescherming als bepaalde regels worden gevolgd. Tot op heden zijn er slechts twee bekende manieren om WPA2-beveiliging te doorbreken. Zoeken naar een wachtwoord in een woordenboek en een tijdelijke oplossing via de WPS-service.

Om de veiligheid van het WiFi-netwerk te garanderen, moet u daarom het WPA2-beveiligingstype selecteren. Niet alle clientapparaten kunnen dit echter ondersteunen. Windows XP SP2 ondersteunt bijvoorbeeld alleen WPA.

Naast het kiezen van de WPA2-standaard zijn aanvullende voorwaarden vereist:

Gebruik de AES-coderingsmethode.

Het wachtwoord voor toegang tot het wifi-netwerk moet als volgt worden samengesteld:

1. Gebruik maken van letters en cijfers in het wachtwoord. Een willekeurige reeks letters en cijfers. Of een zeer zeldzaam, alleen voor jou betekenisvol woord of zinsdeel.
2. Niet gebruik eenvoudige wachtwoorden zoals naam + geboortedatum, of een woord + een paar cijfers, bijvoorbeeld lena1991 of dom12345.
3. Als het alleen nodig is om alleen een digitaal wachtwoord te gebruiken, moet de lengte ervan minimaal 10 tekens zijn. Omdat een digitaal wachtwoord van acht tekens brute-force is in realtime (van enkele uren tot meerdere dagen, afhankelijk van de kracht van de computer).

Als je volgens deze regels complexe wachtwoorden gebruikt, kan je wifi-netwerk niet worden gehackt door een wachtwoord te raden met behulp van een woordenboek. Bijvoorbeeld voor een wachtwoord als 5Fb9pE2a(willekeurig alfanumeriek), maximaal mogelijk 218340105584896 combinaties. Tegenwoordig is het bijna niet te evenaren. Zelfs als de computer 1.000.000 (miljoen) woorden per seconde vergelijkt, duurt het bijna 7 jaar om alle waarden te herhalen.

WPS (Wi-Fi Protected Setup)

Als uw toegangspunt Wi-Fi Protected Setup (WPS) heeft, moet u dit uitschakelen. Als deze functie vereist is, moet u ervoor zorgen dat de versie is bijgewerkt met de volgende functies:

1. Alle 8 symbolen van de pincode gebruiken in plaats van 4, zoals in het begin.
2. Vertraging inschakelen na meerdere pogingen om de verkeerde pincode van de client te verzenden.

Een extra mogelijkheid om de WPS-beveiliging te verbeteren is het gebruik van een alfanumerieke pincode.

Beveiliging van openbare wifi-netwerken

Tegenwoordig is het in de mode om internet te gebruiken via wifi-netwerken op openbare plaatsen - in cafés, restaurants, winkelcentra, enz. Het is belangrijk om te begrijpen dat het gebruik van dergelijke netwerken kan leiden tot diefstal van uw persoonlijke gegevens. Als u via zo'n netwerk toegang krijgt tot internet en vervolgens autoriseert op een willekeurige site, dan kunnen uw gegevens (login en wachtwoord) worden onderschept door een andere persoon die is aangesloten op hetzelfde WiFi-netwerk. Inderdaad, op elk apparaat dat de autorisatie heeft doorstaan ​​en is verbonden met een toegangspunt, kunt u netwerkverkeer van alle andere apparaten op dit netwerk onderscheppen. En het bijzondere van openbare wifi-netwerken is dat iedereen er verbinding mee kan maken, ook een aanvaller, en niet alleen met een open netwerk, maar ook met een beveiligd netwerk.

Wat kunt u doen om uw gegevens te beschermen wanneer u via een openbaar wifi-netwerk met internet bent verbonden? Er is maar één optie: het HTTPS-protocol gebruiken. Dit protocol brengt een versleutelde verbinding tot stand tussen de client (browser) en de site. Niet alle sites ondersteunen echter het HTTPS-protocol. Adressen op een site die HTTPS ondersteunt, beginnen met het voorvoegsel https: //. Als de adressen op de site het voorvoegsel http: // hebben, betekent dit dat de site geen HTTPS ondersteunt of niet wordt gebruikt.

Sommige sites gebruiken standaard geen HTTPS, maar ze hebben dit protocol en je kunt het gebruiken als je expliciet (handmatig) het https://-voorvoegsel opgeeft.

Voor andere gebruikssituaties, zoals internetchats, skype, enz., kunnen gratis of betaalde VPN-servers worden gebruikt om deze gegevens te beschermen. Dat wil zeggen, eerst verbinding maken met de VPN-server en pas daarna chat of een open site gebruiken.

Wifi-wachtwoordbeveiliging

In het tweede en derde deel van dit artikel schreef ik dat in het geval van het gebruik van de WPA2-beveiligingsstandaard, een van de manieren om een ​​wifi-netwerk te hacken is om een ​​wachtwoord te raden met behulp van een woordenboek. Maar voor een indringer is er een andere manier om het wachtwoord voor je wifi-netwerk te achterhalen. Als je je wachtwoord opslaat op een sticker die op de monitor is geplakt, kan een onbekende dit wachtwoord zien. Ook kan uw wachtwoord worden gestolen van een computer die is verbonden met uw wifi-netwerk. Een buitenstaander kan dit doen als uw computers niet zijn beveiligd tegen onbevoegde toegang. Dit kan met behulp van malware. Bovendien kan het wachtwoord worden gestolen van een apparaat dat buiten het kantoor (thuis, appartement) wordt meegenomen - van een smartphone, tablet.

Dus als u betrouwbare bescherming voor uw wifi-netwerk nodig heeft, moet u stappen ondernemen om uw wachtwoord veilig op te slaan. Bescherm het tegen onbevoegde toegang.

Als je het nuttig vond of dit artikel gewoon leuk vond, aarzel dan niet - ondersteun de auteur financieel. Dit is gemakkelijk te doen door er geld op te gooien Yandex-portemonnee nr. 410011416229354... Of aan de telefoon +7 918-16-26-331 .

Zelfs een klein bedrag kan je helpen nieuwe artikelen te schrijven :)

Stuur uw goede werk in de kennisbank is eenvoudig. Gebruik het onderstaande formulier

Studenten, afstudeerders, jonge wetenschappers die de kennisbasis gebruiken in hun studie en werk zullen je zeer dankbaar zijn.

Geplaatst op http://www.allbest.ru/

Federale staatsbegrotingsinstelling voor hoger beroepsonderwijs

Afdeling: Informatica en Informatietechnologie

Specialiteit: Toegepaste Informatica

CURSUS WERK

DRAADLOZE BEVEILIGING

Ingevuld door een student

Kozlova SK

Werkbegeleider:

VV Mityaev

ADELAAR, 2013

Invoering

Conclusie

Bibliografische lijst

Sollicitatie

Invoering

De meeste moderne computers ondersteunen draadloze netwerktoegang. Met andere woorden, ze kunnen zonder netwerkkabel verbinding maken met internet (en andere draadloze apparaten). Het belangrijkste voordeel van draadloze verbindingen is de mogelijkheid om overal in huis of op kantoor met internet te werken (als de afstand tussen de computer en het draadloze netwerktoegangsapparaat dit toelaat). Als u echter geen stappen onderneemt om de veiligheid van uw draadloze netwerk te waarborgen, kunnen de volgende potentieel gevaarlijke situaties optreden, die tot een aanvaller kunnen leiden:

1. verzonden of ontvangen gegevens onderscheppen;

2. Krijg toegang tot het draadloze netwerk;

3. Leg het internettoegangskanaal vast.

Laten we eens kijken naar de definitie van informatiebeveiliging. Informatiebeveiliging - betekent de bescherming van informatie en informatiesystemen tegen ongeoorloofde toegang, gebruik, detectie, vervorming, vernietiging, wijziging.

Informatiebeveiliging zorgt voor de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Om informatiebeveiliging van draadloze netwerken te implementeren, worden informatiebeveiligingstools en -mechanismen gebruikt.

Daarom kan een aanvaller, als een draadloos netwerk niet is beveiligd, de gegevens die erover worden verzonden onderscheppen, toegang krijgen tot het netwerk en de bestanden op de computer en ook toegang krijgen tot internet via de verbinding. Het datatransmissiekanaal is dus bezet en de internettoegang vertraagt.

Het onderwerp beveiliging van draadloze netwerken is nog steeds relevant, hoewel er al lange tijd betrouwbare methoden zijn om deze netwerken te beschermen, zoals WPA-technologieën (Wi-Fi Protected Access).

Het doel van het werk is een praktische studie van beveiligingsproblemen en beveiligingskenmerken van draadloze netwerken.

Het onderwerp van deze cursus is netwerkbeveiliging.

Het onderwerp is de beveiliging van draadloze netwerken.

De taken die moeten worden opgelost bij het uitvoeren van deze werkzaamheden zijn als volgt:

1. Overweeg het concept van een draadloos netwerk;

3. Bestudeer de belangrijkste bepalingen van het beveiligingsbeleid voor draadloze verbindingen;

4. Analyseer oplossingen om de veiligheid van draadloze netwerken te waarborgen;

5. Beoordeel de noodzaak om het draadloze netwerk te beschermen;

6. Ontwikkel een algoritme om de effectiviteit van draadloze netwerkbeveiliging te beoordelen.

1. Het concept van een draadloos netwerk en een beschrijving van de categorieën van de belangrijkste aanvallen

1.1 Concept en beschrijving van een draadloos netwerk

Een draadloos netwerk is de overdracht van informatie over een afstand zonder het gebruik van elektrische geleiders of "draden".

Deze afstand kan zo klein zijn (enkele meters, zoals bij een afstandsbediening van een televisie) en heel lang (duizenden of zelfs miljoenen kilometers voor telecommunicatie).

Draadloze communicatie wordt algemeen gezien als een telecommunicatie-industrie.

Draadloos wordt steeds populairder en opent nieuwe markten voor operators - van online gamen op mobiele telefoons tot hulpdiensten.

Dit komt door de wildgroei van notebooks, paging-systemen en de opkomst van Personal Digital Assistant (PDA)-systemen, en de uitbreiding van de functionaliteit van mobiele telefoons.

Dergelijke systemen moeten zorgen voor bedrijfsplanning, timing, opslag van documenten en het onderhouden van communicatie met externe stations. Altijd en overal is het motto van deze systemen geworden, dat wil zeggen het aanbieden van communicatiediensten, ongeacht plaats en tijd. Daarnaast zijn draadloze kanalen relevant waar het leggen van kabellijnen en lange afstanden onmogelijk of duur is.

Tot voor kort verzonden de meeste draadloze computernetwerken gegevens met snelheden van 1,2 tot 14,0 Kbps, vaak alleen korte berichten, omdat grote bestandsoverdrachten of lange sessies van interactief werken met een database niet beschikbaar waren. Nieuwe draadloze transmissietechnologieën werken met snelheden van enkele tientallen megabits per seconde.

Alan S. Cohen, Senior Director van Mobile Solutions, Cisco Systems, praat veel over de toekomst van de draadloze markt.

Hij zegt dat draadloze technologie hard op weg is een geaccepteerde standaard te worden met een algemene impact op ons leven.

Er zijn twee belangrijke factoren die de markt naar alomtegenwoordige draadloze communicatie sturen. De eerste is de "democratisering" van draadloze technologie, die zichtbaar is geworden in de mobiele markt met de komst van 802.11 of Wi-Fi.

De snelle groei van het aantal mobiele apparaten en mobiele netwerken in woningen, appartementen, bedrijven en steden is zeer merkbaar. Tegenwoordig is het gemakkelijk en eenvoudig om een ​​draadloos netwerk te bouwen en breedbandmobiliteit te bieden ten behoeve van grote bedrijven en individuele gebruikers.

Hij benadrukte ook een ander interessant toepassingsgebied van mobiele technologieën: stedelijke mesh-netwerken, waardoor wifi-technologie echt alomtegenwoordig is.

Toegang verlenen aan alle inwoners van een stad op haar grondgebied is een goed voorbeeld van de democratisering van draadloze technologie. Netwerkarchitectuur en Unified Communications-technologie integreert niet alleen bekabelde en draadloze communicatie, maar brengt ook binnen- en buitennetwerkdiensten samen. Hierdoor kunt u overal verbonden blijven met het netwerk, binnen of buiten het gebouw, wat erg belangrijk is voor stadscommunicatie.

Draadloze communicatie wordt alomtegenwoordig. Hiermee kunt u gebruikersconnectiviteit bieden waar kabelverbinding moeilijk is of volledige mobiliteit vereist is. In dit geval werken draadloze netwerken samen met bekabelde netwerken. Tegenwoordig moet bij het ontwerpen van elk netwerk rekening worden gehouden met draadloze oplossingen - van klein kantoor tot onderneming. Dit bespaart mogelijk zowel geld als arbeid en tijd.

Er zijn veel gevallen en redenen waarom draadloze netwerken de enige of de handigste optie zijn om toegang tot een communicatienetwerk of internet te organiseren:

1) Als u de mogelijkheid van nomadische toegang tot het netwerk en internet wilt organiseren voor informele gebruikers in cafés, luchthavens, treinstations, winkels en andere openbare plaatsen;

2) Als het nodig is om een ​​lokaal netwerk te organiseren in gebouwen die niet over de mogelijkheid beschikken om kabelbedrading te leggen (bijvoorbeeld in historische gebouwen) of in gebouwen waar het leggen van een kabel een zeer moeilijke, tijdrovende en moeilijke taak is ;

3) Bij het organiseren van een tijdelijk lokaal netwerk, waaronder een lokaal netwerk voor algemene toegang, bijvoorbeeld voor het houden van eventuele evenementen, conferenties en dergelijke;

4) Bij het uitbreiden van een lokaal netwerk in het geval dat het nodig is om een ​​afgelegen geïsoleerd segment met een klein aantal werkstations aan te sluiten;

5) Als u mobiele toegang tot netwerkbronnen nodig hebt, bijvoorbeeld wanneer u zich met een laptop door een appartement of organisatie verplaatst, wanneer een arts verschillende patiënten in een ziekenhuis bezoekt om te communiceren met een centrale database, of om mechanica te communiceren en te coördineren in grote gebouwen verzadigd met moderne middelen om hen levensactiviteit te bieden;

6) Om aanvullende communicatiekanalen te organiseren die kunnen worden geleverd door alternatieve communicatie-operators die draadloze lokale netwerken in verschillende gebieden creëren.

Afhankelijk van de gebruikte technologieën en transmissiemedia kunnen de volgende klassen van draadloze netwerken worden gedefinieerd:

Netwerken op radiomodems;

Mobiele modemnetwerken;

Infrarood systemen;

VSAT-systemen;

Systemen die LEO-satellieten gebruiken;

Systemen met SST-technologie;

Radiorelaissystemen;

Lasercommunicatiesystemen.

WI-FI is een moderne draadloze technologie voor het verzenden van gegevens via een radiokanaal (draadloos, wlan wifi).

Alle apparatuur die voldoet aan de IEEE 802.11-standaard kan worden getest door de Wi-Fi Alliance en krijgt de certificering en het recht om het Wi-Fi-logo toe te passen.

Wireless Fidelity, wat in het Engels draadloze nauwkeurigheid betekent. Er is ook een langere naam voor de term: EEE 802.11b. Wi-Fi werd geboren in 1985, in de VS, nadat het frequentiegedeelte van het radiokanaal was geopend voor gebruik zonder speciale toestemming.

De allereerste standaard die het meest werd verspreid, was de IEEE 802.11b-standaard.

802.11b-apparatuur werd in 2001 geïntroduceerd en tot nu toe werken de meeste draadloze netwerken nog steeds met deze standaard, en er zijn veel 802.11b draadloze Wi-Fi-apparaten beschikbaar.

De radiogolven die worden gebruikt voor Wi-Fi-communicatie lijken sterk op de radiogolven die worden gebruikt in portofoons, ontvangers, mobiele telefoons en andere apparaten. Maar wifi heeft een paar opvallende verschillen met andere radio's.

Communicatie vindt plaats op frequenties van 2,4-5 GHz. Deze frequentie is veel hoger dan frequenties die geschikt zijn voor mobiele telefoons, draagbare radio's en televisies.

Hoe hoger de signaalfrequentie, hoe meer informatie wordt verzonden. Het draadloze netwerk maakt gebruik van radiogolven, net als radio's, mobiele telefoons en televisies. In feite lijkt draadloze Wi-Fi-communicatie meer op tweerichtingsradiocommunicatie.

In Rusland is het gebruik van wifi zonder toestemming om frequenties van de Staatscommissie voor radiofrequenties (SCRF) te gebruiken mogelijk voor het organiseren van een netwerk in gebouwen, gesloten magazijnen en industriële gebieden.

Voor legaal gebruik buiten het draadloze wifi-netwerk op kantoor, bijvoorbeeld een radiokanaal tussen twee aangrenzende huizen, is toestemming nodig om frequenties te gebruiken. Er is een vereenvoudigde procedure voor het verlenen van vergunningen voor het gebruik van radiofrequenties in de 2400-2483,5 MHz-band (standaarden 802.11b en 802.11g, kanalen 1-13); voor het verkrijgen van een dergelijke vergunning is geen eigen besluit van de SCRF vereist . Om radiofrequenties in andere banden te gebruiken, in het bijzonder 5 GHz (802.11a-standaard), moet u eerst een privéoplossing van de SCRF verkrijgen. In 2007 veranderde de situatie met de release van het document: "Decreet van 25 juli 2007, nr. 476" Over wijzigingen van het besluit van de regering van de Russische Federatie "van 12 oktober 2004 nr.

Het zestiende lid van het besluit uitgesloten van de lijst van registratieplichtige apparatuur - gebruikersapparatuur voor draadloze toegang in de radiofrequentieband 2400-2483,5 MHz met een stralingsvermogen van zendapparatuur tot 100 mW inclusief.

Op grond van de protocolaanmelding bij het besluit van het Staatscomité voor radiofrequenties van 19 augustus 2009, nr. 09-04-09, heeft het Staatscomité voor radiofrequenties ook besloten: om radiofrequentiebanden 5150-5350 MHz toe te wijzen en 5650-6425 MHz voor gebruik op het grondgebied van de Russische Federatie, met uitzondering van de steden gespecificeerd in bijlage nr. 2, vaste draadloze toegang door burgers van de Russische Federatie en Russische rechtspersonen zonder afzonderlijke besluiten van het Staatscomité voor Radiofrequenties voor elke persoon of rechtspersoon.

De opgegeven frequentiebanden komen overeen met de 802.11a/b/g/n-normen en kanalen met nummers uit de reeksen 36-64 en 132-165. Bijlage 2 geeft echter een overzicht van de 164 grootste steden in Rusland waar de gespecificeerde frequenties niet kunnen worden gebruikt om draadloze netwerken te creëren.

Voor overtreding van de procedure voor het gebruik van radio-elektronische middelen is de aansprakelijkheid voorzien in de artikelen 13.3 en 13.4 van het Wetboek van Administratieve Overtredingen van de Russische Federatie.

Bij besluit van 15 juli 2010 heeft de SCRF van Rusland de uitgifte van verplichte privébesluiten door de SCRF voor het gebruik van vaste draadloze toegangssystemen in de 5150-5350 MHz- en 5650-6425 MHz-banden geannuleerd. De beperking op deze frequentiebereiken is opgeheven voor het hele grondgebied van Rusland.

De volgende typen en varianten van verbindingen worden onderscheiden:

1. Ad-Hoc (point-to-point) verbinding. Alle computers zijn uitgerust met draadloze kaarten (clients) en zijn rechtstreeks met elkaar verbonden via een radiokanaal dat werkt volgens de 802.11b-standaard en een wisselkoers biedt van 11 Mbit / s, wat ruim voldoende is voor normaal gebruik;

2. Infrastructuurverbinding. Dit model wordt gebruikt wanneer er meer dan twee computers moeten worden aangesloten. Een server met een toegangspunt kan als router fungeren en het internetkanaal zelfstandig distribueren;

3. Toegangspunt met behulp van een router en modem. Het toegangspunt is verbonden met de router, de router - met de modem (deze apparaten kunnen in twee of zelfs in één worden gecombineerd). Nu, op elke computer in het wifi-dekkingsgebied, die een wifi-adapter heeft, werkt internet;

4. Klantpunt. In deze modus fungeert het toegangspunt als een client en kan het verbinding maken met een toegangspunt dat in de infrastructuurmodus werkt. Maar er kan maar één MAC-adres op worden aangesloten. De uitdaging hier is om slechts twee computers aan te sluiten. Twee wifi-adapters kunnen direct met elkaar samenwerken zonder centrale antennes;

5. Brugverbinding. Computers zijn aangesloten op een bekabeld netwerk. Access points zijn verbonden met elke groep netwerken, die via een radiokanaal met elkaar zijn verbonden. Deze modus is voor het verbinden van twee of meer bekabelde netwerken. Draadloze clients kunnen geen verbinding maken met een overbrugd toegangspunt.

Dus het concept en de klassen van draadloze netwerken werden overwogen, de redenen voor het doelmatige gebruik van een draadloze verbinding werden geïdentificeerd. Het regelgevend en wettelijk kader voor wifi-netwerken is geanalyseerd. Het draadloze netwerk is beschreven door typologie en verscheidenheid aan verbindingen.

Tijdens de werking van draadloze netwerken doen zich vaak verschillende problemen voor. Sommige zijn per ongeluk, en sommige zijn het resultaat van kwaadwillende handelingen. Schade is in ieder geval aangericht. Deze gebeurtenissen zijn aanvallen, ongeacht de reden voor hun optreden.

Er zijn vier hoofdcategorieën van aanvallen:

1. Toegang krijgen tot aanvallen;

2. Modificatie-aanvallen;

3. Aanvallen op denial of service;

4. Disclaimer-aanvallen.

Een toegangsaanval is een poging van een aanvaller om informatie te bemachtigen waar hij geen inzage in heeft en die gericht is op het schenden van de vertrouwelijkheid van de informatie.

Om deze aanval uit te voeren, heb je informatie nodig en de middelen om deze te verzenden.

Een toegangsaanval is mogelijk overal waar informatie en de middelen om deze te verzenden bestaan.

Toegangsaanvallen kunnen ook afluisteren, afluisteren en onderscheppen omvatten.

Peeping is het scannen van bestanden of documenten om informatie te vinden die van belang is voor de aanvaller.

Afluisteren is wanneer iemand naar een gesprek luistert waar hij geen partij bij is (vaak met behulp van elektronische apparaten).

Onderschepping - het vastleggen van informatie tijdens het verzenden naar de bestemming.

Informatie wordt elektronisch opgeslagen:

Werkstations;

Servers;

Op laptopcomputers;

cd's.

Bij cd's is de situatie duidelijk, aangezien een aanvaller ze eenvoudig kan stelen. Bij de eerste twee is de situatie anders. Met legale toegang tot het systeem zal een aanvaller bestanden analyseren door ze eenvoudig een voor een te openen. In geval van ongeautoriseerde toegang zal de cracker proberen het controlesysteem te omzeilen en toegang te krijgen tot de benodigde informatie. Dit is niet moeilijk om te doen. U moet een netwerkpakketsniffer (sniffer) op uw computersysteem installeren. Om dit te doen, moet de aanvaller zijn autoriteit in het systeem vergroten of verbinding maken met het netwerk. De analysator is geconfigureerd om alle informatie die over het netwerk gaat vast te leggen, maar vooral gebruikers-ID's en wachtwoorden.

Afluisteren vindt ook plaats in wereldwijde computernetwerken zoals huurlijnen en telefoonverbindingen. Dit soort onderschepping vereist echter geschikte apparatuur en speciale kennis. In dit geval is de beste plaats om het luisterapparaat te plaatsen in de bedradingskast.

En met behulp van speciale apparatuur kan een gekwalificeerde inbreker glasvezelcommunicatiesystemen onderscheppen. Om succesvol te zijn, moet hij zijn systeem echter op de transmissielijn tussen de afzender en de ontvanger van de informatie plaatsen. Op internet wordt dit gedaan door de resolutie van de naam te wijzigen, waardoor de computernaam wordt omgezet in een ongeldig adres. Verkeer wordt omgeleid naar het systeem van de aanvaller in plaats van naar de daadwerkelijke bestemming. Met de juiste configuratie van een dergelijk systeem zal de afzender nooit weten dat zijn informatie de ontvanger niet heeft bereikt.

Een wijzigingsaanval is een poging om informatie op ongepaste wijze te wijzigen. Het is gericht op het schenden van de integriteit van informatie en is mogelijk overal waar informatie bestaat of wordt verzonden.

Er zijn drie soorten modificatieaanvallen:

1. Vervanging;

2. Toevoeging;

3. Verwijdering.

Vervanging - Het vervangen van bestaande informatie is gericht tegen zowel geclassificeerde als openbare informatie.

Aanval toevoegen - nieuwe gegevens toevoegen.

Een verwijderaanval betekent het verplaatsen van bestaande gegevens.

Alle drie de typen modificatieaanvallen maken gebruik van kwetsbaarheden in systemen, bijvoorbeeld 'gaten' in de beveiliging van de server, waardoor u de startpagina kunt vervangen. Toch is het noodzakelijk om grondig door het hele systeem te werken om detectie te voorkomen. Doordat transacties opeenvolgend worden genummerd, zal het verwijderen of toevoegen van onjuiste transactienummers worden opgemerkt.

Als een wijzigingsaanval wordt uitgevoerd tijdens het verzenden van informatie, moet u eerst het betreffende verkeer onderscheppen en vervolgens wijzigingen aanbrengen in de informatie voordat u deze naar de bestemming verzendt.

Denial-of-service (DoS)-aanvallen zijn aanvallen die een legitieme gebruiker verbieden een systeem, informatie of computermogelijkheden te gebruiken. Met andere woorden, deze aanval is "vandalisme", omdat de aanvaller dat is.

Als gevolg van DoS-aanvallen krijgt het meestal geen toegang tot het computersysteem en kan het niet met informatie werken.

DoS-aanval gericht tegen informatie - vernietigt, vervormt of verplaatst deze naar een ontoegankelijke plaats.

Een DoS-aanval gericht op applicaties die informatie verwerken of weergeven, of op het computersysteem waarin deze applicaties worden uitgevoerd, maakt het onmogelijk om de taken die met een dergelijke applicatie worden uitgevoerd, op te lossen.

Het algemene type DoS-aanvallen (weigering van toegang tot het systeem) heeft tot doel computersystemen uit te schakelen, waardoor het systeem zelf, de daarop geïnstalleerde applicaties en alle opgeslagen informatie ontoegankelijk wordt.

Weigering van toegang tot communicatie betekent het uitschakelen van communicatiefaciliteiten die de toegang tot computersystemen en informatie ontnemen.

DoS-aanvallen die direct op een computersysteem zijn gericht, worden uitgevoerd door middel van exploits die misbruik maken van kwetsbaarheden in besturingssystemen of internetprotocollen.

Deze "gaten" stellen de aanvaller in staat een specifieke reeks opdrachten naar de toepassing te sturen die deze niet correct kan verwerken, waardoor de toepassing vastloopt. Een herstart herstelt de functionaliteit, maar het wordt onmogelijk om met de toepassing te werken tijdens het opnieuw opstarten.

Een disclaimer-aanval is gericht tegen het vermogen om informatie te identificeren of valse informatie te geven over een echte gebeurtenis of transactie.

Dit type aanval omvat:

Maskerade is het uitvoeren van acties onder het mom van een andere gebruiker of een ander systeem.

Ontkenning van een gebeurtenis is een afwijzing van het feit van een operatie.

Internet DoS-aanvallen zijn aanvallen op de internet-rootnaamservers.

Om de veiligheid van het apparaat voor draadloze toegang te garanderen en bijgevolg het risico van dit type toegang tot een minimum te beperken, kunt u de volgende eenvoudige stappen volgen:

1. Wijzig het beheerderswachtwoord op uw draadloze apparaat. Het is gemakkelijk voor een hacker om erachter te komen wat het standaardwachtwoord is van de fabrikant van het apparaat en dat wachtwoord te gebruiken om toegang te krijgen tot het draadloze netwerk. Vermijd wachtwoorden die gemakkelijk te raden of te raden zijn;

2. Schakel het uitzenden van de netwerk-ID (SSID-uitzending, SSID - Service Set Identifier, netwerk-ID) uit, zodat het draadloze apparaat geen informatie uitzendt dat het is ingeschakeld;

3. Schakel verkeerscodering in: het is het beste om het WPA-protocol te gebruiken als het apparaat dit ondersteunt (zo niet, gebruik dan WEP-codering);

4. Wijzig de netwerk-ID (SSID) van het apparaat. Als je de standaard identifier van de fabrikant van het apparaat laat staan, kan een aanvaller het draadloze netwerk gemakkelijk identificeren met deze identifier. Gebruik geen namen die gemakkelijk te raden zijn.

Als resultaat van het oplossen van dit probleem werden vier hoofdcategorieën van aanvallen en drie soorten modificatieaanvallen geïdentificeerd en bestudeerd. Ook denial-of-service en disclaimer-aanvallen kwamen aan de orde. Op basis van deze analyse zijn stappen ontwikkeld om de beveiliging van draadloze toegangsapparaten te waarborgen.

Om samen te vatten, kunnen we dus vol vertrouwen zeggen dat draadloze verbindingen nu wijdverbreid zijn, voornamelijk vanwege hun vermogen om overal in huis of op kantoor met internet te werken.

Als u echter geen maatregelen neemt om de veiligheid van het draadloze netwerk te waarborgen, kan een aanvaller de gegevens die erover worden verzonden onderscheppen, toegang krijgen tot het netwerk en bestanden op de computer en ook online gaan via de verbinding.

2. Beoordeling van middelen en methoden om de informatiebeveiliging van draadloze netwerken te waarborgen

2.1 Draadloos beveiligingsbeleid

De specificiteit van draadloze netwerken betekent dat gegevens op elk moment kunnen worden onderschept en gewijzigd. Sommige technologieën vereisen een standaard draadloze adapter, terwijl andere gespecialiseerde hardware vereisen. Maar hoe dan ook, deze bedreigingen zijn eenvoudig genoeg om te implementeren en er zijn effectieve mechanismen voor cryptografische gegevensbescherming nodig om ze tegen te gaan.

Bij het bouwen van een beveiligingssysteem is het belangrijk om het dreigingsmodel te bepalen, dat wil zeggen om te beslissen wat de daadwerkelijke bescherming zal weerstaan. In feite zijn er twee bedreigingen in draadloze netwerken: ongeautoriseerde verbinding en afluisteren, maar de lijst kan worden uitgebreid door de volgende belangrijkste bedreigingen te markeren en samen te vatten die verband houden met draadloze apparaten die in het eerste hoofdstuk worden genoemd:

Ongecontroleerd gebruik en overtreding van de perimeter;

Ongeautoriseerde verbinding met apparaten en netwerken;

Interceptie en wijziging van verkeer;

Toegankelijkheidsschending;

Het apparaat positioneren.

De wijdverbreide beschikbaarheid van draadloze apparaten en hun lage kosten zorgen voor hiaten in de netwerkbeveiligingsperimeter. We hebben het hier niet alleen over cybercriminelen die een voor wifi geschikte PDA hebben aangesloten op het bedrade netwerk van het bedrijf, maar ook over meer triviale situaties. Een actieve draadloze adapter op een laptop die is aangesloten op het bedrijfsnetwerk, een toegangspunt dat van thuis wordt meegebracht om te testen - dit kunnen allemaal handige kanalen worden om het interne netwerk binnen te dringen.

Onvoldoende authenticatie, fouten in het toegangscontrolesysteem laten onbevoegde verbindingen toe.

Door hun aard kunnen draadloze netwerken geen hoge beschikbaarheid bieden. Verschillende natuurlijke, door de mens veroorzaakte en antropogene factoren kunnen de normale werking van het radiokanaal effectief verstoren. Hiermee moet rekening worden gehouden bij het ontwerpen van een netwerk, en draadloze netwerken mogen niet worden gebruikt voor channeling met hoge beschikbaarheidseisen.

Wi-Fi-stations kunnen eenvoudig worden gedetecteerd door passieve methoden, waardoor de locatie van een draadloos apparaat met voldoende nauwkeurigheid kan worden bepaald. Het Navizon-systeem kan bijvoorbeeld GPS, GSM-basisstations en draadloze toegangspunten gebruiken om een ​​mobiel apparaat te lokaliseren.

Een beveiligingsbeleid voor draadloze netwerken kan worden gepresenteerd als een afzonderlijk document of als onderdeel van andere componenten van wettelijke beveiliging. In de meeste gevallen is een afzonderlijk document niet vereist omdat de bepalingen van het draadloze beleid in veel opzichten overlappen met de traditionele inhoud van dergelijke documenten. Zo worden de vereisten voor de fysieke beveiliging van toegangspunten bijvoorbeeld volledig overlapt door de fysieke beveiliging van actieve netwerkapparatuur. In dit opzicht wordt het draadloze beveiligingsbeleid gepresenteerd als een afzonderlijk document tijdens de implementatie van WLAN, waarna het bij de volgende revisie van de documenten harmonieus in andere opgaat.

Als er geen gebruik wordt gemaakt van draadloze netwerken, moet het beveiligingsbeleid een beschrijving bevatten van beschermingsmechanismen die zijn gericht op het verminderen van de risico's die gepaard gaan met ongeoorloofd gebruik van radionetwerken.

's Werelds best practices op het gebied van zijn beschreven in de internationale norm voor informatISO/IEC 27001 (ISO 27001). ISO 27001 specificeert vereisten voor een infom het vermogen van een organisatie om haar informatiebronnen te beschermen aan te tonen.

De standaard is authentiek GOST RISO / IEC 27001-2006. Het stelt eisen aan de ontwikkeling, implementatie, werking, monitoring, analyse, ondersteuning en verbetering van een gedocumenteerd managementsysteem voor informatiebeveiliging, voor de implementatie van management- en controlemaatregelen voor informatiebeveiliging.

De belangrijkste voordelen van de ISO/IEC 27001 norm:

Met certificering kunt u zakelijke partners, investeerders en klanten laten zien dat de organisatie een effectief informatiebeveiligingsbeheer heeft opgezet;

De norm is compatibel met ISO 9001: 2000 en ISO 14001: 2007;

De standaard legt geen beperkingen op aan de keuze van software en hardware, stelt geen technische eisen aan IT-tools of informatiebeveiligingstools en laat organisaties volledige vrijheid om technische oplossingen voor informatiebeveiliging te kiezen.

Het concept van informatiebescherming wordt door de internationale norm geïnterpreteerd als het waarborgen van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie.

Op basis van deze norm kunnen aanbevelingen worden geformuleerd om de kans op overtreding van het beveiligingsbeleid voor draadloze netwerken in een organisatie te verkleinen:

1. Training van gebruikers en beheerders. ISO IEC 27001 A.8.2.2. Als resultaat van training moeten gebruikers op de hoogte zijn van de beleidsbeperkingen en deze begrijpen, en beheerders moeten gekwalificeerd zijn om beleidsschendingen te voorkomen en op te sporen;

2. Beheer van verbindingen met het netwerk. ISO IEC 27001 A.11.4.3. Het risico dat gepaard gaat met het aansluiten van een frauduleus toegangspunt of draadloze client kan worden beperkt door ongebruikte switchpoorten, MAC-filtering (poortbeveiliging), 802.1X-authenticatie, inbraakdetectiesystemen en beveiligingsscanners uit te schakelen die de opkomst van nieuwe netwerkobjecten bewaken;

3. Fysieke beveiliging. ISO IEC 27001 A.9.1. Door de apparaten te besturen die naar het territorium worden gebracht, kunt u de kans verkleinen dat draadloze apparaten op het netwerk worden aangesloten. Door de toegang van gebruikers en bezoekers tot de netwerkpoorten en uitbreidingsslots van de computer te beperken, wordt de kans kleiner dat een draadloos apparaat wordt aangesloten;

4. Minimalisatie van gebruikersrechten. ISO IEC 27001 A.11.2.2. Als de gebruiker op een computer werkt met de minimaal benodigde rechten, wordt de kans op ongeoorloofde wijzigingen in de instellingen van de draadloze interfaces verkleind;

5. Beheersing van het beveiligingsbeleid. ISO IEC 27001 6, A.6.1.8. Hulpmiddelen voor beveiligingsanalyse, zoals kwetsbaarheidsscanners, kunnen het verschijnen van nieuwe apparaten op het netwerk detecteren en hun type bepalen (functies voor het bepalen van de versies van het besturingssysteem en netwerkapplicaties), evenals afwijkingen van clientinstellingen van een bepaald profiel volgen. De taakomschrijving voor audits door externe adviseurs moet rekening houden met de vereisten van het draadloze beleid;

6. Inventarisatie van middelen. ISO IEC 27001 A.7.1.1. Het hebben van een up-to-date, bijgewerkte lijst met netwerkbronnen maakt het gemakkelijker om nieuwe netwerkobjecten te ontdekken;

7. Detectie van aanvallen. ISO IEC 27001 A.10.10.2. Het gebruik van zowel traditionele als draadloze inbraakdetectiesystemen maakt het mogelijk om ongeautoriseerde toegangspogingen tijdig te detecteren;

8. Onderzoek naar incidenten. ISO IEC 27001 A.13.2. Draadloze incidenten verschillen niet veel van andere vergelijkbare situaties, maar de procedures voor hun onderzoek moeten worden gedefinieerd. Voor netwerken waar draadloze netwerken worden geïmplementeerd of gebruikt, kunnen aanvullende beleidssecties vereist zijn;

9. Ondersteuning door regelgeving. ISO IEC 27001 A.15.1.1. Het gebruik van draadloze netwerken kan onderhevig zijn aan zowel Russische als internationale regelgeving. Dus in Rusland wordt het gebruik van het 2,4 GHz-frequentiebereik gereguleerd door de beslissing van het Staatscomité voor radiofrequenties van 6 november 2004 (04-03-04-003). Bovendien, aangezien encryptie intensief wordt gebruikt in draadloze netwerken en het gebruik van cryptografische beschermingsmiddelen in sommige gevallen onder vrij strikte wettelijke beperkingen valt, is het noodzakelijk om ook dit probleem uit te werken;

10. Interne en externe audit. ISO IEC 27001 6, A.6.1.8. Bij de bevemoet rekening worden gehouden met de vereisten van het beleid voor draadloze netwerken. De mogelijke reikwijdte van het werk voor het beoordelen van de beveiliging van WLAN wordt in meer detail beschreven in het laatste hoofdstuk van dit boek;

11. Scheiding van netwerken. ISO IEC 27001 A.11.4.5. Vanwege de specifieke kenmerken van draadloze netwerken is het wenselijk om draadloze toegangspunten toe te wijzen aan een apart netwerksegment met behulp van een firewall, vooral als het gaat om gasttoegang;

12. Gebruik van cryptografische beschermingsmiddelen. ISO IEC 27001 A.12.3. De protocollen en algoritmen die worden gebruikt om het verkeer in het draadloze netwerk (WPA of 802.11i) te versleutelen, moeten worden gedefinieerd. Bij gebruik van 802.1X-technologie worden de vereisten voor EDS-protocollen en de lengte van de sleutel voor het ondertekenen van certificaten die voor het doel worden gebruikt, bepaald;

13. Authenticatie. ISO IEC 27001 A.11.4.2. Vereisten voor de opslag van authenticatiegegevens, hun verandering, complexiteit, beveiliging tijdens verzending via het netwerk moeten worden bepaald. De gebruikte EAP-methoden, de RADIUS-serverbeveiligingsmethoden voor openbare sleutels, kunnen expliciet worden gespecificeerd;

14. Beheersing van wijzigingen in het informatiesysteem. ISO IEC 27001 A.12.5.1. In het IP moet rekening worden gehouden met draadloze technologieën;

15. Aanvaardbaarheid van software- en hardwaregebruik. ISO IEC 27001 A.12.4.1 Deze clausule behandelt de vereisten voor toegangspunten, draadloze schakelaars en draadloze clients;

16. Detectie van aanvallen. ISO IEC 27001 A.10.10.2. Er moeten eisen worden gesteld aan systemen voor het detecteren van draadloze aanvallen, en de verantwoordelijkheid voor het analyseren van gebeurtenissen moet worden toegewezen;

17. Logging en analyse van beveiligingsgebeurtenissen. ISO IEC 27001 A.10.10.1. Deze sectie kan worden uitgebreid door toevoeging aan de lijst met bewaakte gebeurtenissen die specifiek zijn voor draadloze netwerken. Kan de vorige sectie bevatten;

18. Toegang op afstand tot het netwerk. ISO IEC 27001 A.11.7.2. In de meeste gevallen worden gebruikers van een draadloos netwerk logischerwijs gebruikers van systemen voor toegang op afstand genoemd. Dit komt door soortgelijke bedreigingen en als gevolg daarvan tegenmaatregelen die kenmerkend zijn voor deze IS-componenten. Bovendien moeten na het voltooien van alle fasen in een of andere vorm de volgende documenten worden gevormd:

Instructies voor gebruikers rekening houdend met het gebruik van een draadloos netwerk;

Basisinstellingen voor access points, draadloze switches, werkstations;

Procedures voor het bewaken van de beveiliging van draadloze netwerken;

Aanvaldetectiesysteemprofielen;

Draadloze incidentresponsprocedures.

Zo werd de norm ISO/IEC 27001 geanalyseerd.Op basis van deze norm zijn aanbevelingen geformuleerd om de kans op het schenden van het draadloze netwerkbeveiligingsbeleid in de organisatie te verkleinen. Er is ook een lijst met documenten die moeten worden opgesteld nadat alle fasen van het beveiligingsbeleid voor draadloze netwerken zijn voltooid.

Een goed ontworpen en gehandhaafd beveiligingsbeleid is een solide basis voor een veilig draadloos netwerk. Dientengevolge is het de moeite waard om er voldoende aandacht aan te besteden, zowel in de fase van de netwerkimplementatie als tijdens de werking ervan, en in de regelgevingsdocumenten de veranderingen die in het netwerk plaatsvinden weer te geven.

2.2 Oplossingen voor het beveiligen van draadloze netwerken

Toegangs- en privacycontrole is een essentieel element van beveiliging voor elk netwerk, niet alleen draadloos. Een van de sterkste manieren om de toegang tot een WLAN te controleren, is authenticatie, waarmee wordt voorkomen dat onbevoegde gebruikers toegang krijgen tot gegevensoverdracht via toegangspunten. Krachtige WLAN-toegangscontroles helpen u te bepalen welke clientstations zijn toegestaan ​​en deze alleen te koppelen aan vertrouwde toegangspunten, met uitzondering van ongeautoriseerde of gevaarlijke toegangspunten.

De vertrouwelijkheid van WLAN's betekent dat de verzonden gegevens alleen correct worden gedecodeerd door de partij waarvoor ze zijn bedoeld. De vertrouwelijkheidsstatus van gegevens die via WLAN worden verzonden, wordt als beschermd beschouwd als de gegevens zijn versleuteld met een sleutel die alleen kan worden gebruikt door de ontvanger van de gegevens voor wie ze zijn bedoeld. Versleuteling betekent dat de integriteit van de gegevens niet in gevaar komt tijdens het hele proces van verzending - verzenden en ontvangen.

Tegenwoordig implementeren bedrijven die WLAN's gebruiken vier afzonderlijke oplossingen voor WLAN-beveiliging en toegang en privacycontrole:

Vrije toegang;

Basisbeveiliging;

Verhoogde veiligheid;

Beveiliging op afstand.

Zoals bij elke beveiligingsimplementatie, is het raadzaam om een ​​netwerkrisicobeoordeling uit te voeren voordat u een van de WLAN-beveiligingsoplossingen selecteert en implementeert:

1. Open toegang. Alle Wi-Fi-gecertificeerde draadloze LAN-producten worden geleverd voor open access-werking met uitgeschakelde beveiligingsfuncties. Open toegang of gebrek aan beveiliging kan voldoen aan en voldoen aan de vereisten van openbare hotspots zoals coffeeshops, universiteitscampussen, luchthavens of andere openbare plaatsen, maar deze optie is niet geschikt voor bedrijven. Beveiligingsfuncties moeten tijdens de installatie op draadloze apparaten zijn ingeschakeld. Sommige bedrijven bieden echter geen beveiligingsfuncties voor WLAN's, waardoor het risico voor hun netwerken ernstig toeneemt;

2. Basisbeveiliging: SSID's, WEP- en MAC-authenticatie. Basisbeveiliging is SSID (Service Set Identifier), open of gedeelde sleutelverificatie, statische WEP-sleutels en optioneel MAC-verificatie. Deze combinatie kan worden gebruikt om rudimentaire toegangs- en privacycontroles in te stellen, maar elk stukje beveiliging kan worden aangetast. SSID is een algemene netwerknaam voor apparaten in een WLAN-subsysteem en dient om dit subsysteem logisch te isoleren. De SSID voorkomt toegang door elk clientapparaat dat geen SSID heeft. Het toegangspunt zendt echter standaard zijn SSID uit onder zijn signalen. Zelfs als u de uitzending van de SSID uitschakelt, kan een aanvaller of hacker de gewenste SSID vinden met behulp van zogenaamde "sniffing" of "sniffing" - onopgemerkte monitoring van het netwerk. De 802.11-standaard, een groep specificaties voor WLAN's ontwikkeld door de IEEE, ondersteunt twee manieren van client-authenticatie: open authenticatie en shared key-authenticatie. Open authenticatie is slechts iets anders dan het verstrekken van de juiste SSID. Bij authenticatie met gedeelde sleutels stuurt het toegangspunt een testtekstpakket naar het clientapparaat, dat de client moet versleutelen met de juiste WEP-sleutel en terug moet sturen naar het toegangspunt. Zonder de juiste sleutel wordt de authenticatie afgebroken en wordt de client niet toegelaten tot de gebruikersgroep van het toegangspunt. Authenticatie met gedeelde sleutels wordt niet als veilig beschouwd omdat een aanvaller die in het bezit is van het eerste testbericht en hetzelfde bericht dat is versleuteld met de WEP-sleutel, de WEP-sleutel zelf kan ontsleutelen. Met open authenticatie, zelfs als de client verifieert en toegang krijgt tot de gebruikersgroep van het toegangspunt, voorkomt het gebruik van WEP-beveiliging dat de client gegevens vanaf dat toegangspunt verzendt zonder de juiste WEP-sleutel. WEP-sleutels kunnen 40 of 128 bits zijn en worden gewoonlijk statisch bepaald door de netwerkbeheerder bij het toegangspunt en elke client die gegevens via dat toegangspunt verzendt. Met statische WEP-sleutels moet de netwerkbeheerder veel tijd besteden aan het invoeren van dezelfde sleutels in elk apparaat op het WLAN. Als een apparaat dat statische WEP-sleutels gebruikt, wordt verloren of gestolen, heeft de eigenaar van het ontbrekende apparaat toegang tot het WLAN. De beheerder kan pas vaststellen dat een onbevoegde gebruiker het netwerk is binnengekomen als het verlies is gemeld. De beheerder moet dan de WEP-sleutel wijzigen op elk apparaat dat dezelfde statische WEP-sleutel gebruikt als het ontbrekende apparaat. In een groot bedrijfsnetwerk met honderden of zelfs duizenden gebruikers kan dit lastig zijn. Erger nog, als de statische WEP-sleutel gedecodeerd zou zijn met een tool als AirSnort, zou de beheerder nooit weten dat de sleutel gecompromitteerd was door een onbevoegde gebruiker. Sommige aanbieders van WLAN-oplossingen ondersteunen authenticatie op basis van fysiek adres of MAC-adres, client-netwerkinterfacekaart (NIC). Het toegangspunt staat de client alleen toe om met het toegangspunt te associëren als het MAC-adres van de client overeenkomt met een van de adressen in de authenticatietabel die door het toegangspunt wordt gebruikt. MAC-adresauthenticatie is echter geen adequate beveiligingsmaatregel, aangezien het MAC-adres kan worden vervalst en de netwerkkaart kan worden verloren of gestolen;

3. Basisbeveiliging met behulp van vooraf gedeelde WPA- of WPA2-sleutels Een andere vorm van basisbeveiliging die momenteel beschikbaar is, is WPA of WPA2 met behulp van Pre-Shared Key (PSK). De gedeelde sleutel verifieert gebruikers met een wachtwoord of identificatiecode (ook wel een wachtwoordzin genoemd) op zowel het clientstation als het toegangspunt. De client heeft alleen toegang tot het netwerk als het clientwachtwoord overeenkomt met het toegangspuntwachtwoord. De gedeelde sleutel levert ook gegevens om een ​​coderingssleutel te genereren die door TKIP of AES wordt gebruikt voor elk verzonden gegevenspakket. Hoewel veiliger dan een statische WEP-sleutel, is een gedeelde sleutel vergelijkbaar met een statische WEP-sleutel omdat deze is opgeslagen op het clientstation en kan worden gecompromitteerd als het clientstation zoekraakt of wordt gestolen. Het wordt aanbevolen dat u een sterk algemeen wachtwoord gebruikt dat een verscheidenheid aan letters, cijfers en niet-alfanumerieke tekens bevat;

4. Samenvatting van basisbeveiliging. Basis WLAN-beveiliging, gebaseerd op een combinatie van SSID, open authenticatie, statische WEP-sleutels, MAC-authenticatie en vooraf gedeelde WPA/WPA2-sleutels, is alleen voldoende voor zeer kleine bedrijven of bedrijven die vitale gegevens niet aan hun WLAN's toevertrouwen. Alle andere organisaties worden aangemoedigd om te investeren in robuuste WLAN-beveiligingsoplossingen van ondernemingsklasse;

5. Verhoogde veiligheid. Het verbeterde beveiligingsniveau wordt aanbevolen voor klanten die beveiliging en bescherming op ondernemingsniveau nodig hebben. Dit vereist een geavanceerde beveiligingstool die WPA en WPA2 volledig ondersteunt met de bouwstenen 802.1X tweerichtingsverificatie en TKIP- en AESB-codering, die de volgende functies omvat:

802.1X voor sterke tweerichtingsauthenticatie en dynamische coderingssleutels voor elke gebruiker en elke sessie;

TKIP voor RC4-gebaseerde encryptie-uitbreidingen zoals sleutelcaching (per pakket), berichtintegriteitscontrole (MIC), initialisatievector (IV) wijzigingen en broadcast-sleutelrotatie;

AES voor gegevenscodering op overheidsniveau, maximale beveiliging;

Intrusion Prevention System (IPS) en mogelijkheden voor het volgen van abonnees bieden een transparant, realtime netwerkoverzicht.

6. Beveiliging van draadloze lokale netwerken en toegang op afstand. In sommige gevallen kan een overkoepelende beveiliging nodig zijn om applicaties te beschermen. Met behulp van beveiligde externe toegang kunnen beheerders een virtueel particulier netwerk (VPN) opzetten en mobiele gebruikers toestaan ​​te communiceren met het bedrijfsnetwerk vanaf openbare hotspots zoals luchthavens, hotels en vergaderruimten. Bij implementatie in een onderneming dekt de verbeterde beveiligingsoplossing alle beveiligingsvereisten van WLAN's, waardoor het niet nodig is om VPN's op het zakelijke WLAN te gebruiken. Het gebruik van een VPN op een intern WLAN kan de prestaties van het WLAN beïnvloeden, roamingopties beperken en het voor gebruikers moeilijker maken om op het netwerk in te loggen. De extra overhead en beperkingen die verband houden met de VPN-overlay op het interne WLAN worden dus niet nodig geacht.

Als gevolg hiervan kunnen we concluderen dat hoogwaardig toegangs- en privacybeheer belangrijk is om de informatiebeveiliging van elk netwerk te waarborgen, niet alleen draadloos. Daartoe worden momenteel vier afzonderlijke oplossingen actief geïmplementeerd: open toegang, basisbeveiliging, verbeterde beveiliging en beveiliging op afstand.

Met de juiste constructie van netwerkbeveiliging en naleving van alle regelgeving, zal de beveiliging van het netwerk op een hoog niveau zijn, wat de toegang tot het draadloze netwerk voor aanvallers aanzienlijk zal bemoeilijken.

3. Evaluatie van de behoefte en effectiviteit van een draadloze beveiligingsoplossing

3.1 De noodzaak van draadloze beveiliging beoordelen

Hoewel de meeste bedrijven al een soort draadloos netwerk hebben geïmplementeerd, hebben ze meestal veel vragen over de beveiliging van de door hen gekozen oplossingen, en CEO's die draadloze technologie schuwen, maken zich zorgen over gemiste kansen om de productiviteit te verhogen en de infrastructuurkosten te verlagen.

Leiders in veel organisaties erkennen dat draadloze technologieën de productiviteit en samenwerking kunnen verbeteren, maar ze aarzelen om aan de implementatie ervan te beginnen uit angst voor kwetsbaarheden die op het bedrijfsnetwerk kunnen optreden als gevolg van het gebruik van draadloze netwerken. De verscheidenheid aan voorgestelde methoden voor het beveiligen van draadloze communicatie en meningsverschillen over de effectiviteit ervan verergeren deze twijfels alleen maar.

De introductie van draadloze technologieën in een middelgroot bedrijf brengt veel uitdagingen met zich mee, waardoor u zich niet alleen afvraagt ​​of u uw draadloze netwerk moet beveiligen, maar ook of u het überhaupt nodig hebt.

Veelvoorkomende problemen die kunnen worden opgelost door een goede implementatie van het beveiligingsbeleid dat in hoofdstuk 2 is besproken:

Beslis of u een draadloos netwerk wilt implementeren;

Bewustwording en vermindering van het risico verbonden aan de introductie van draadloze technologieën;

Het bepalen van een aanpak voor het beschermen van een draadloos netwerk;

Selectie van de optimale technologieën voor de bescherming van het draadloze netwerk;

Controle van het beveiligingsniveau van het ingezette draadloze netwerk;

Integratie van bestaande assets in een draadloze beveiligingsoplossing;

Detecteer en voorkom ongeautoriseerde verbindingen met het draadloze netwerk.

De voordelen van draadloze netwerktechnologieën kunnen worden onderverdeeld in twee categorieën: functioneel en economisch.

Functionele voordelen zijn onder meer lagere beheerkosten en lagere kapitaaluitgaven, terwijl economische voordelen een hogere arbeidsproductiviteit, verbeterde efficiëntie van bedrijfsprocessen en extra mogelijkheden voor het creëren van nieuwe zakelijke functies omvatten.

De meeste van de belangrijkste economische voordelen van draadloze netwerken zijn het resultaat van een grotere flexibiliteit en mobiliteit van werknemers. Draadloze technologie neemt de beperkingen weg die werknemers dwingen om aan hun bureau te zitten, waardoor relatief vrije beweging rond een kantoor of kantoorgebouw mogelijk is.

Maar ondanks alle voordelen zijn er ook nadelen, voornamelijk technologische, die tot uiting komen in de kwetsbaarheid van het draadloze netwerk door verschillende aanvallen van kwaadwillenden (paragraaf 1.2 van dit werk was hieraan gewijd).

Zodra dergelijke technologische tekortkomingen van draadloze netwerken van de eerste generatie werden ontdekt, begon actief werk om ze te elimineren. Terwijl sommige bedrijven hebben gewerkt aan het verbeteren van draadloze standaarden, hebben veel analistenbureaus, leveranciers van netwerkbeveiliging, enzovoort, geprobeerd de tekortkomingen te omzeilen die inherent waren aan de vorige standaarden.

Als resultaat zijn er verschillende benaderingen ontwikkeld om draadloze netwerken te beveiligen.

Er zijn veel factoren die moeten worden geanalyseerd bij het evalueren hoe u uw draadloze netwerk kunt beschermen. Bij deze beoordeling moet rekening worden gehouden met verschillende meetwaarden, van de kosten voor het implementeren en beheren van de oplossing tot de algehele beveiliging. Alle bovenstaande benaderingen hebben voor- en nadelen, dus u moet ze beter leren kennen om een ​​weloverwogen beslissing te kunnen nemen.

De nieuwste draadloze beveiligingsstandaarden, WPA en WPA2, hebben de ernstige fouten in WEP weggenomen en tijdelijke oplossingen zoals IPsec- of VPN-technologie overbodig gemaakt. Het gebruik van statische of dynamische WEP wordt niet langer aanbevolen, in welke vorm dan ook, en afmelden voor beveiliging is slechts in enkele situaties gunstig. Er zijn dus slechts twee benaderingen waarmee u rekening moet houden bij het ontwikkelen van een uitgebreide en effectieve draadloze beveiligingsoplossing.

Wi-Fi Protected Access (WPA) en Wi-Fi Protected Access 2 (WPA2) zijn speciaal ontworpen om de bedreigingen voor draadloze netwerken te blokkeren op basis van de IEEE 802.11-standaard. Er zijn echter enkele verschillen tussen hen.

WPA is in 2003 ontwikkeld om de tekortkomingen van de WEP-standaard aan te pakken. De WPA-ontwikkelaars hebben goed werk geleverd door ondersteuning van wederzijdse authenticatie, gegevenscodering met TKIP en integriteitscontrole van ondertekende berichten te implementeren, die bescherming biedt tegen spoofing of herhalingsaanvallen.

WPA2 is nog veiliger omdat het AES gebruikt in plaats van TKIP om netwerkverkeer te beveiligen. Daarom moet het altijd de voorkeur hebben boven WPA.

WPA en WPA2 zijn enorm superieur aan WEP op het gebied van beveiliging, en met de juiste beveiligingsinstellingen zijn er geen bekende kwetsbaarheden in de eerste of de laatste. WPA2 wordt echter als veiliger beschouwd dan WPA, en als de infrastructuur dit ondersteunt en de extra overhead van het beheer van een WPA2-oplossing acceptabel is, moet deze worden gekozen.

De meeste AP's die tegenwoordig worden geproduceerd en de nieuwste versies van het besturingssysteem zijn WPA2-gecertificeerd. Als uw omgeving geen toegangspunten of clientcomputers heeft die WPA2 ondersteunen, kunnen draadloze apparaten en clientsystemen die WPA2 ondersteunen de oudere WPA-standaard gebruiken.

Ook mag men een dergelijke ontwikkelingsoptie voor het bedrijf niet vergeten als de weigering om een ​​draadloos netwerk in te zetten. Er is een gezegde onder beveiligingsprofessionals dat zegt: "Het best beveiligde systeem is dat niemand het ooit aanzet." De meest betrouwbare manier om te beschermen tegen kwetsbaarheden die inherent zijn aan draadloze netwerken of andere technologie, is ze dus niet te implementeren. Het nadeel van deze benadering is duidelijk: een bedrijf dat weigert technologie te implementeren, kan in de huidige economische omstandigheden niet concurrerend blijken te zijn, terwijl elk voordeel, inclusief technologische, een beslissende factor voor succes kan zijn.

Zoals reeds vermeld, is het vóór de introductie van nieuwe technologie in een specifiek bedrijf noodzakelijk om de behoeften van het bedrijf, de weerstand tegen risico's en het werkelijke risico te beoordelen. Draadloze technologie is geen uitzondering. Draadloze netwerken hebben een aantal voordelen, maar voor een bepaalde organisatie zijn deze voordelen misschien niet zo belangrijk of zelfs niet relevant.

Bij het kiezen van een veilige draadloze oplossing moet u alle opties overwegen, inclusief het afwijzen van draadloze technologie. Als wordt vastgesteld dat de organisatie niet klaar is om een ​​draadloos netwerk in te zetten, moet deze beslissing worden weerspiegeld in het huidige bedrijfsbeleid om te voorkomen dat de bescherming van de bedrijfsnetwerkomgeving wordt verzwakt als gevolg van het willekeurig creëren van draadloze netwerken door eindgebruikers.

3.2 Ontwikkeling van een algoritme voor het beoordelen van de effectiviteit van draadloze netwerkbeveiliging

Om het voordeel van een bepaalde methode voor het beveiligen van een draadloos netwerk te bepalen, is het raadzaam om de beveiliging ervan te beoordelen.

Dit is vooral belangrijk omdat er vaak draadloze netwerken worden ingezet voor het beheer van het bedrijf. Dienovereenkomstig heeft een aanvaller die toegang krijgt tot het draadloze segment niet alleen de mogelijkheid om de middelen van het bedrijf voor zijn eigen doeleinden te gebruiken, maar ook om toegang te krijgen tot vertrouwelijke informatie en het werk van gebruikers met hoge prioriteit te blokkeren.

Vergelijkbare documenten

Draadloze technologie voor het verzenden van informatie. Ontwikkeling van draadloze lokale netwerken. WEP-beveiligingsstandaard. WEP-coderingsprocedure. Een draadloos netwerk hacken. Modus voor verborgen netwerkidentificatie. Verificatietypes en protocollen. Een draadloos netwerk hacken.

samenvatting, toegevoegd 17-12-2010


Ontwikkeling van ivoor draadloze netwerken, die kan worden gebruikt om de bescherming van de computer van een gebruiker, bedrijfsnetwerken en kleine kantoren te verbeteren. Dreigingsanalyse en draadloze beveiliging. Het WPA-programma instellen.

proefschrift, toegevoegd 19/06/2014


Kenmerken van de IEEE 802.11-standaard. De belangrijkste toepassingsgebieden van draadloze computernetwerken. Methoden voor het bouwen van moderne draadloze netwerken. Basisservicegebieden van de BSS. Soorten en variëteiten van verbindingen. Overzicht van mechanismen voor toegang tot de omgeving.

samenvatting, toegevoegd op 12/01/2011


Evolutie van netwerkbeveiligingssystemen. Firewalls als een van de belangrijkste manieren om netwerken te beschermen, de implementatie van toegangscontrolemechanismen van het externe netwerk naar het interne door al het inkomende en uitgaande verkeer te filteren. Beheer van netwerkbeveiliging.

scriptie toegevoegd op 12/07/2012


Classificatie van netwerkaanvallen op OSI-modelniveau, op type, op locatie van de aanvaller en het aangevallen object. Het probleem van de beveiliging van IP-netwerken. Bedreigingen en kwetsbaarheden van draadloze netwerken. Classificatie van systemen voor detectie van aanvallen IDS. XSpider-concept.

scriptie toegevoegd 11/04/2014


Vastberadenheid tijdens het onderzoek naar een effectieve manier om informatie die via een Wi-Fi-netwerk wordt verzonden, te beschermen. Principes van de werking van het Wi-Fi-netwerk. Methoden voor ongeautoriseerde toegang tot het netwerk. Beveiligingsalgoritmen voor draadloze netwerken. Het niet-vaste karakter van de verbinding.

scriptie, toegevoegd 18-04-2014


Ontwikkelingsperioden en basisstandaarden van moderne draadloze netwerken. De geschiedenis van de opkomst en reikwijdte van Bluetooth-technologie. Technologie en werkingsprincipe van Wi-Fi draadloze datatransmissietechnologie. WiMAX is een grootstedelijke draadloze netwerkstandaard.

presentatie toegevoegd 02/01/2014


Selectie en rechtvaardiging van technologieën voor het bouwen van lokale netwerken. Analyse van het datatransmissiemedium. Berekening van netwerkprestaties, indeling van gebouwen. Keuze van netwerksoftware. Soorten standaarden voor draadloze internettoegang.

scriptie, toegevoegd 22-12-2010


Het gebruik van computernetwerken voor gegevensoverdracht. De belangrijkste voordelen van het gebruik van bedrijfsnetwerken die zijn beschermd tegen toegang van buitenaf, fysiek of met behulp van hardware- en softwarefirewalls. Firewall en encryptie-algoritmen.

proefschrift, toegevoegd 25-09-2014


De noodzaak om een ​​beveiligingsbeleid te ontwikkelen voor het gebruik van netwerkbronnen voor de onderneming. Analyse van de basiselementen. Hardware en software voor de beveiliging van computernetwerken. Manieren om het beveiligingsniveau te verhogen, advies aan gebruikers.

draadloze beveiliging

De beschikbaarheid van apparatuur en het gemak van organisatie maken draadloze LAN's steeds populairder. Draadloos netwerken is niet beperkt tot kleine kantoren en thuissystemen. Grote bedrijven gebruiken wifi om verbinding te maken met bedrijfsnetwerkbronnen op plaatsen waar bekabeling technisch onmogelijk is.

De beslissing over het apparaat van een draadloos netwerk is echter lang niet altijd gerechtvaardigd, vooral omdat in veel gevallen te weinig aandacht wordt besteed aan de beveiliging van dergelijke netwerken. Geschat wordt dat bijna 70 procent van de succesvolle hackeraanvallen via draadloze netwerken te maken hebben met verkeerd geconfigureerde toegangspunten en clientsoftware.

Om de een of andere onverklaarbare reden gaan organisatoren van draadloze netwerken er vaak van uit dat wanneer ze worden ingeschakeld, ze automatisch het juiste beveiligingsniveau bieden. Fabrikanten van apparatuur stellen op hun beurt "standaard" lage beveiligingsinstellingen in of schakelen ze volledig uit, zodat klanten bij het implementeren van een netwerk niet per ongeluk onvermogen tot toegang tegenkomen. Met minimale instellingen is beveiligingshardware het best compatibel met de meest uiteenlopende andere apparaten en vrijwel alle moderne software. Daarom moet de systeembeheerder, na het configureren en controleren van het netwerk op compatibiliteit met de bestaande infrastructuur, de beveiligingsinstellingen wijzigen om onbevoegde toegang tot het bedrijfsnetwerk te voorkomen.

In tegenstelling tot bekabelde netwerken, vereisen draadloze netwerken meer aandacht voor beveiliging, omdat ze veel gemakkelijker te penetreren zijn, omdat ze geen fysieke toegang tot het kanaal nodig hebben. Radiogolven kunnen op elk compatibel apparaat worden ontvangen en als de gegevens niet zijn beveiligd, kan iedereen ze onderscheppen. Natuurlijk moet u wachtwoorden en andere traditionele autorisatiemiddelen niet opgeven, maar ze zijn duidelijk niet voldoende om te beschermen tegen ongeoorloofde toegang. Laten we een paar manieren bekijken om de beveiliging van draadloze netwerken te verbeteren.

Een reeks cijfers en letters die een SSID (Service Set Identifier) ​​wordt genoemd, is een unieke identificatie voor uw draadloze netwerk. Het uitzenden van de netwerk-ID is een ingebouwde beveiliging, die standaard is opgenomen in de meeste apparatuur die tegenwoordig wordt verkocht, en het maakt het gemakkelijk om bestaande toegangspunten te vinden tijdens netwerkimplementatie. Het uitzenden van de SSID is juist nodig om uw apparatuur verbinding te laten maken met het netwerk.

Toegangspunten, de basisstations voor computers die op het netwerk zijn aangesloten, zijn een potentieel zwak punt waardoor een aanvaller het netwerk kan binnendringen. Er is geen standaard autorisatiesysteem op toegangspuntniveau, wat interne netwerken onveilig maakt, dus systeembeheerders moeten het bestaande bedrijfssysteem implementeren in draadloze basisstations.

Voor een betere beveiliging kunt u voorkomen dat toegangspunten de netwerk-ID uitzenden. Tegelijkertijd blijft de mogelijkheid om verbinding te maken met het netwerk alleen beschikbaar voor degenen die de juiste SSID kennen, dat wil zeggen voor de werknemers van uw bedrijf, en willekeurige gebruikers die uw netwerk vinden met behulp van een scan, zullen er eenvoudigweg geen toegang toe hebben. Het uitschakelen van SSID-overdracht is mogelijk op de overgrote meerderheid van apparaten van toonaangevende fabrikanten, waardoor u uw netwerk daadwerkelijk voor vreemden kunt verbergen. Als uw netwerk geen identificatiegegevens verzendt en als u geen reclame maakt voor het gebruik van draadloze technologie, zal dit de taak van aanvallers bemoeilijken. Gedetailleerde instructies over het uitschakelen van de SSID vindt u meestal in de handleidingen van uw draadloze toegangspunt of router.

Gegevenscodering, die al lang wordt gebruikt bij het verzenden van belangrijke e-mail, heeft ook zijn weg gevonden naar draadloze netwerken. Verschillende cryptografische algoritmen zijn geïmplementeerd in draadloze communicatieapparatuur om gegevens te beschermen. Bij de aanschaf van apparatuur is het belangrijk om ervoor te zorgen dat deze niet alleen low-level 40-bit encryptie ondersteunt, maar ook zeer sterke 128-bit codering.

Om cryptografische beveiliging in te schakelen, kunt u de volgende systemen gebruiken: Wired Equivalent Privacy (WEP) of Wi-Fi Protected Access (WPA). Het eerste systeem is minder robuust omdat het gebruik maakt van statische (persistente) sleutels. Netwerken die door dit protocol worden beschermd, kunnen zonder veel moeite door hackers worden gehackt - de bijbehorende hulpprogramma's zijn niet moeilijk te vinden op internet. Desalniettemin wordt zelfs dit protocol volgens experts niet in meer dan de helft van de werkende draadloze bedrijfsnetwerken gebruikt. Een manier om WEP effectiever te maken, is door regelmatig automatisch sleutels te wijzigen, maar zelfs dan is het netwerk niet 100% veilig. Pogingen om een ​​dergelijk netwerk binnen te dringen, zullen alleen worden overgelaten aan willekeurige mensen die het ontdekken, maar kwaadwillende WEP-specialisten zullen niet stoppen, daarom kan dit protocol niet worden gebruikt om bedrijfsnetwerken volledig te beschermen.

In het recente verleden hadden de organisatoren van draadloze netwerken geen andere keuze dan het WEP-protocol te gebruiken, dat nog steeds wordt ondersteund in moderne apparaten, zowel om compatibiliteit van apparatuur te garanderen als om ten minste een minimumniveau van beveiliging te garanderen als modernere protocollen niet kunnen worden gebruikt. gebruikt. Tegenwoordig is WEP in twee smaken verkrijgbaar: 64-bits en 128-bits codering. Het zou echter correcter zijn om te spreken over sleutels met een lengte van 40 en 104 bits, aangezien 24 bits van elke sleutel service-informatie bevatten en op geen enkele manier de sterkte van de code beïnvloeden. Dit is echter niet zo belangrijk, aangezien het belangrijkste nadeel van WEP statische sleutels zijn, voor de selectie waarvan aanvallers slechts een bepaalde tijd het netwerk hoeven te scannen en de verzonden informatie onderscheppen.

Een min of meer acceptabel beveiligingsniveau kan alleen worden bereikt met behulp van regelmatige sleutelwijzigingen en het gebruik van 128-bits codering. De frequentie van sleutelwijzigingen hangt af van de frequentie en duur van verbindingen, terwijl het noodzakelijk is om te zorgen voor een beproefde veilige procedure voor het overdragen van nieuwe sleutels aan die medewerkers die toegang tot het draadloze netwerk gebruiken.

Effectievere codering wordt geleverd door het WPA-protocol, dat dynamische sleutelgeneratie implementeert, wat de mogelijkheid van onderschepping of gissen van een sleutel uitsluit, evenals een identificatiesysteem (login-wachtwoord) bij verbinding met een netwerk op basis van de EAC (Extensible Authentication protocol) ... In het WPA-protocol worden automatisch 128-bits sleutels gegenereerd bij elke tien kilobytes aan gegevensoverdracht, en het aantal van deze sleutels loopt op tot honderden miljarden, wat het bijna onmogelijk maakt om brute-force te gebruiken met behulp van scannen, zelfs met een gevestigde methode van het onderscheppen van informatie. Bovendien implementeert dit protocol het MIC (Message Integrity Check) data-integriteitscontrolealgoritme, dat de mogelijkheid van kwaadaardige veranderingen in de verzonden gegevens voorkomt. Maar de keuze van wachtwoorden moet speciale aandacht krijgen: volgens experts moet een wachtwoord, om een ​​hoog beveiligingsniveau te garanderen, ten minste 20 tekens lang zijn en mag het geen reeks woorden of een soort zin zijn, aangezien dergelijke wachtwoorden kunnen gemakkelijk worden gekraakt met behulp van woordenboekselectie.

Het probleem met WPA is dat het pas medio 2004 officieel werd opgenomen in de IEEE 802.11-specificatie, dus niet alle draadloze apparatuur kan deze standaard ondersteunen. Bovendien, als er tenminste één apparaat op het netwerk is dat geen WPA ondersteunt, wordt er gebruik gemaakt van eenvoudige WEP-encryptie, zelfs als WPA in de instellingen van alle andere apparatuur wordt meegenomen.

Desalniettemin wordt de apparatuur voortdurend verbeterd en ondersteunen moderne apparaten een nieuwe, nog veiligere versie van WPA2, die werkt met dynamische sleutels met een lengte van 128, 192 en 256 bits. Draadloze technologie zelf is inherent minder immuun voor manipulatie, dus bij het opzetten van dergelijke netwerken is het vooral belangrijk om het ongeoorloofde toegang tot deze netwerken zo moeilijk mogelijk te maken. Een van de puur technische methoden is het verminderen van het vermogen van het uitgezonden signaal, omdat radiogolven gemakkelijk de muren van gebouwen kunnen overwinnen en in landelijke vlakke gebieden zeer lange afstanden kunnen overbruggen. Aanvallers kunnen hun auto parkeren naast het gebouw waar uw kantoor is gevestigd en langzaam de sleutel van uw netwerk ophalen in een comfortabele omgeving. Daarom is het belangrijk om de signaalsterkte zo aan te passen dat deze niet door de grenzen van je territorium heen gaat.

802.11i Wireless Security biedt richtlijnen voor authenticatie, gebruikersautorisatie voor netwerktoegang en gegevensprivacy met behulp van codering.

Tot slot presenteren we de belangrijkste voor- en nadelen van draadloze netwerken in vergelijking met hun bedrade concurrent. Voordelen van een draadloos netwerk:

Met draadloze netwerken kunt u geld besparen bij het leggen van een kabelnetwerk; als het onmogelijk is om bekabelde toegang te organiseren, zijn ze praktisch onbetwist.

Draadloze netwerken zorgen voor een hoge mate van gebruikersmobiliteit, vrij verkeer binnen hetzelfde domein is mogelijk. Hetzelfde voordeel is de mogelijkheid om het netwerk snel te implementeren en te verplaatsen. De verbindingssnelheid is vrij hoog en vergelijkbaar met bekabelde oplossingen; met een goed ontwerp is het mogelijk om de nodige bandbreedte te bieden voor datatransmissie, video, telefonie.

Nadelen van een draadloos netwerk:

De beveiliging van een draadloos netwerk is aanzienlijk lager dan bekabelde, moderne standaarden zoals WEP, 802.11i, enz. hoewel ze het vergroten, is de fysieke aard van het draadloze netwerk zodanig dat het gebruik van deze technologie voor bedrijfskritieke toepassingen niet wordt aanbevolen.

Draadloze prestaties zijn afhankelijk van de omgeving. Alle objecten in het pad van het radiosignaal verminderen het vermogen; interferentie in het werkbereik van huishoudelijke apparaten is mogelijk, waarvan de meest typische magnetrons zijn.