Безопасность сетей 802.11

Стандарт IEEE 802.11 являлся первым стандартом для продуктов WLAN от независимой международной организации, разрабатывающей большинство стандартов для проводных сетей.

Стандарт 802.11 определяет два типа оборудования – клиент, который обычно представляет собой компьютер, укомплектованный беспроводной сетевой интерфейсной картой (Network Interface Card, NIC), и точку доступа (Access point, AP), которая выполняет роль моста между беспроводной и проводной сетями.

 

Стандарт IEEE 802.11 определяет два режима работы сети – режим "Ad-hoc" и infrastructure mode - режим инфраструктуры (или клиент/сервер).

У беспроводных сетей очень много общего с проводными, но есть и различия. Для того чтобы проникнуть в проводную сеть, необходимо физически к ней подключиться. В варианте Wi-Fi ему достаточно установить антенну в ближайшей зоне действия сети.

Cегодня в защите Wi-Fi-сетей и применяются сложные алгоритмические математические модели аутентификации, шифрования данных, контроля целостности их передачи, тем не менее, на начальных этапах распространения Wi-Fi нередко появлялись сообщения о том, что даже не используя сложного оборудования и специальных программ можно было подключиться к некоторым корпоративным сетям просто проезжая мимо с ноутбуком.

Уязвимости традиционных сетей и типы атак, которым они могут подвергнуться, широко известны, но в случае беспроводных сетей привычными факторами риска дело не ограничивается.

Таблица 1. Типичные угрозы, которым подвергаются беспроводные сети

Угроза Описание
Раскрытие информации вследствие прослушивания каналов связи Атаки, основанные на прослушивании незащищенных каналов беспроводной связи, иногда позволяют злоумышленникам получить конфиденциальные сведения, узнать учетные данные пользователей и даже присвоить их. Высококвалифицированные хакеры могут использовать полученные таким образом сведения для проведения атак на системы, проникнуть в которые при иных условиях было бы очень сложно.
Перехват и изменение передаваемых данных Хакер, получивший доступ к сетевым ресурсам, может также подключить к сети свои компьютеры для перехвата и изменения данных, которыми обмениваются два законных пользователя.
Подделка пакетов Доступ к внутренней сети позволяет злоумышленнику подделывать данные и выдавать их за нормальный трафик. Примером такой атаки может служить подделка корпоративных электронных писем, которым пользователи доверяют больше, чем информации, полученной из внешних источников. Это облегчает проведение атак, основанных на использовании социотехники и троянских программ.
Отказ в обслуживании

(DoS-атаки: Denial of Service)

Какое бы решение не использовалось для обеспечения безопасности беспроводных сетей, они очень уязвимы перед умышленными или случайными атаками типа «отказ в обслуживании» (Denial of Service, DoS). Причиной нарушения работы беспроводных сетей могут стать всего лишь помехи со стороны микроволновой печи или устройства, переполняющего сеть беспорядочным трафиком.
Паразитирование
(кража ресурсов)
Некоторые хакеры вторгаются в беспроводные сети просто ради бесплатного доступа в Интернет. Сами по себе такие действия не представляют угрозы, однако они отнимают сетевые ресурсы у законных пользователей и делают сеть менее защищенной от вредоносного ПО.
Случайные угрозы и неуправляемые соединения В незащищенных беспроводных сетях любой посетитель может получить доступ к внутренней сети, просто включив устройство, позволяющее подключаться к беспроводным сетям. Эти неуправляемые устройства могут быть уже взломаны или хакер может использовать их как точку проникновения при атаке на сеть.
Нелегальные точки беспроводного доступа Даже если в компании нет беспроводной сети, она может быть уязвима перед угрозами, которые связаны с неуправляемыми беспроводными сетями. Оборудование для беспроводных сетей стоит сравнительно недорого, поэтому любой сотрудник компании может развернуть в корпоративной среде неуправляемую и незащищенную сеть.

Wireless Encryption Protocol: протокол шифрования в беспроводной связи, другое название - Wired Equivalent Privacy — секретность на уровне проводной связи. Основа протокола - поточный шифр RC4, разработанный Рональдом Райвестом в 1987 году. Этот алгоритм является симметричным и получил широкое распространение благодаря своему высокому быстродействию.

Расчет контрольной суммы и шифрование трафика по протоколу WEP.

Для шифрования используется не один секретный ключ, а целых четыре ключа, последовательно назначаемые пользователем при конфигурации беспроводного оборудования. Смена ключей происходит произвольным образом (номер ключа передается вместе с зашифрованным пакетом).

Клиент (Client или Station), желающий подключится к Точке Доступа (Access Point), посылает запрос на аутентификацию (Authentication Request). Точка доступа генерирует 128 байтовый псевдослучайный "испытательный текст" (Challenge Text) и оправляет его Клиенту. Получив "испытательный текст", клиент шифрует его 64-битным ключом, полученным на основе секретного WEP-ключа и произвольного вектора инициализации. Зашифрованный испытательный текст (Encrypted Challenge Text) вместе с вектором инициализации передается на Точку Доступа, где происходит обратный процесс: используя имеющейся в ее распоряжении секретный WEP-ключ и открытый вектор инициализации, Точка Доступа расшифровывает пакет и сравнивает полученный текст с оригинальным испытательным текстом. Если они совпадают, аутентификация считается успешной и Клиенту отправляется подтверждение доступа (Confirm Success).

Технология виртуальных частных сетей Virtual Private Network (VPN) была предложена компанией Intel для обеспечения безопасного соединения клиентских систем с серверами по общедоступным интернет-каналам. VPN очень хорошо себя зарекомендовали с точки зрения шифрования и надёжности аутентификации.

Технологий шифрования в VPN применяется несколько, наиболее популярные из них описаны протоколами PPTP, L2TP и IPSec с алгоритмами шифрования DES, Triple DES, AES и MD5. IP Security (IPSec) используется примерно в 65—70% случаев. С его помощью обеспечивается практически максимальная безопасность линии связи.

Использовать протокол IPsec(IP Security) для защиты беспроводных сетей стали по той же причине, что и технологию VPN: для обхода недостатков стандарта WEP. Протокол IPsec обеспечивает надежную защиту многих специфических видов сетевого трафика и имеет ряд достоинств, оправдывающих его использование в беспроводной сети. В их число входят прозрачность, независимость от аппаратных ограничений беспроводных сетей и небольшие накладные расходы, связанные с отсутствием потребности в дополнительных серверах и программном обеспечении.

с использованием протокола IPsec для защиты беспроводных сетей связаны некоторые проблемы:

- протокол IPsec не позволяет защищать трафик при широковещательной или многоадресной передаче, потому что его действие может распространяться только на взаимодействие двух сторон, обменявшихся ключами и выполнивших взаимную проверку их подлинности;
- протокол IPsec защищает только сетевые пакеты, но не саму беспроводную сеть;
- несмотря на прозрачность протокола IPsec для пользователей, для сетевых устройств он прозрачен не полностью, потому что работает на сетевом уровне, а не на MAC-уровне. Это предъявляет дополнительные требования к правилам для брандмауэров;
- все устройства, не поддерживающие IPsec, уязвимы перед зондированием или атаками со стороны любых пользователей, способных осуществлять мониторинг трафика в беспроводной сети;
- если протокол IPsec используется в крупной системе не только для защиты трафика беспроводной сети, но и для комплексной защиты трафика других приложений, управлять политиками IPSec будет сложно.

Протокол WPA (Wi-Fi Protected Access – Защищенный Wi-Fi Доступ), утвержденный консорциумом Wi-Fi в 2002 году, направлен на устранение слабых мест беспроводных сетей на основе WEP. С другой стороны, WPA не является чем-то абсолютно новым по сравнению с WEP и использует, фактически, тот же RC4, но в иной реализации.

Вложения:
Скачать этот файл (Безопасность в беспроводных локальных сетях стандарта IEEE 802.ppt)Безопасность IEEE 802[Презентация]864 kB