Zabezpečení ve WiFi sítích. Šifrování WEP, WPA, WPA2. Typ zabezpečení a šifrování bezdrátové sítě. Které si vybrat

Bezpečnostní problémy bezdrátových sítí, popsané v řadě článků, vyvolaly nedůvěru v bezdrátové technologie. Jak je to oprávněné?

Proč jsou bezdrátové sítě považovány za zranitelnější než kabelové sítě? V drátových sítích lze data zachytit pouze v případě, že je přijme útočník fyzický přístup na přenosové médium. V bezdrátových sítích se signál šíří vzduchem, takže kdokoli v dosahu sítě může signál zachytit.

Útočník se ani nemusí zdržovat na území firmy, stačí se dostat do zóny šíření rádiového signálu.

Hrozby pro bezdrátové sítě

Při přípravě na zabezpečení bezdrátových sítí je prvním krokem identifikace toho, co by je mohlo ohrozit.

Pasivní útok

Zachycování signálů bezdrátové sítě je podobné poslechu rozhlasového vysílání. Stačí mít notebook (nebo PDA) a bezdrátový analyzátor protokolů. Je běžnou mylnou představou, že neoprávněná připojení k bezdrátové síti mimo kancelář lze zastavit řízením síly výstupního signálu. Není tomu tak, protože útočníkovo použití vysoce citlivé bezdrátové karty a směrové antény umožňuje toto opatření snadno obejít.

I když se sníží pravděpodobnost neoprávněného připojení k síti, možnost „naslouchání“ provozu by neměla být ignorována, proto je pro bezpečný provoz v bezdrátových sítích nutné přenášené informace šifrovat.

Aktivní útok

Připojování nezabezpečené bezdrátové sítě ke kabelové síti je nebezpečné. Nezabezpečený přístupový bod připojený k lokální síť, představuje dokořán otevřené dveře pro vetřelce. Pro podniky je to plné skutečnosti, že konkurenti mohou získat přístup k důvěrným dokumentům. Nezabezpečené bezdrátové sítě umožňují hackerům obejít firewally a bezpečnostní nastavení, která chrání síť před útoky přes internet. Na domácí sítě se útočníci mohou dostat volný přístup k internetu na úkor svých sousedů.

Měli byste sledovat a identifikovat neoprávněné přístupové body připojené k síti neoprávněným způsobem. Tyto body jsou zpravidla stanoveny zaměstnanci podniku. (Například manažer prodeje zakoupil bezdrátový přístupový bod a používá jej k neustálému připojení.) Takový přístupový bod může být úmyslně připojen k síti útočníkem, aby získal přístup k firemní síti z místa mimo kancelář. .

Mějte na paměti, že zranitelné jsou jak počítače připojené k bezdrátové síti, tak ty, které mají povolenou bezdrátovou kartu s výchozím nastavením (obvykle neblokuje průnik přes bezdrátovou síť). Například, zatímco uživatel čeká na svůj let, prochází internetové zdroje prostřednictvím rozmístěných na letišti wifi síť Hacker sedící poblíž zkoumá informace uložené v počítači mobilního zaměstnance. Podobným útokům mohou být vystaveni i uživatelé pracující přes bezdrátové sítě v kavárnách, výstavních centrech, hotelových halách atd.

Vyhledejte dostupné bezdrátové sítě

Pro aktivní vyhledávání zranitelné bezdrátové sítě (War driving) obvykle používané auto a kit bezdrátové zařízení: malá anténa, bezdrátová síťová karta, přenosný počítač a případně přijímač GPS. Pomocí široce používaných programů pro skenování, jako je Netstumbler, můžete snadno najít oblasti příjmu bezdrátových sítí.

Fanoušci War Driving mají mnoho způsobů, jak sdílet informace. Jeden z nich (War Chalking) zahrnuje kreslení symbolů na diagramech a mapách označujících detekované bezdrátové sítě. Tato označení obsahují informace o velikosti rádiového signálu, přítomnosti jednoho nebo druhého typu ochrany sítě a možnosti přístupu k internetu. Fanoušci tohoto "sportu" si vyměňují informace prostřednictvím internetových stránek, "vyvěšují" zejména podrobné mapy s polohou objevených sítí. Mimochodem, je užitečné zkontrolovat, zda je tam vaše adresa.

Odmítnutí služby

Volný přístup k internetu nebo firemní síti není vždy cílem narušitelů. Někdy může být úkolem hackerů deaktivovat bezdrátovou síť.

Útok odmítnutí služby lze dosáhnout několika způsoby. Pokud se hackerovi podaří navázat spojení s bezdrátovou sítí, jeho škodlivé činy mohou způsobit řadu takových vážných následků: například odesílání odpovědí na požadavky protokolu ARP (Address Resolution Protocol) na změnu tabulek ARP. síťová zařízení narušit směrování sítě nebo zavést neautorizovaný server DHCP (Dynamic Host Configuration Protocol) za účelem vydávání neplatných adres a síťových masek. Pokud hacker zjistí podrobnosti o nastavení bezdrátové sítě, může znovu připojit uživatele ke svému přístupovému bodu (viz obrázek) a ten bude odříznut od síťových zdrojů, které byly dostupné prostřednictvím „legitimního“ přístupového bodu.

Útočník může také blokovat frekvence používané bezdrátovými sítěmi pomocí generátoru signálu (který může být vyroben z dílů mikrovlnná trouba). V důsledku toho selže celá bezdrátová síť nebo její část.

Bezpečnostní opatření ve standardech IEEE 802.11

Původní standard 802.11 zajišťuje zabezpečení bezdrátových sítí pomocí standardu Wired Equivalent Privacy (Wired). Ekvivalentní soukromí, WEP). Bezdrátové sítě využívající WEP vyžadují, aby byl na přístupových bodech a všech stanicích nakonfigurován statický klíč WEP. Tento klíč lze použít pro ověřování a šifrování dat. Pokud dojde k jeho kompromitaci (například při ztrátě notebooku), je nutné změnit klíč na všech zařízeních, což je někdy velmi obtížné. Při použití klíčů WEP pro ověření odesílají bezdrátové stanice přístupovému bodu příslušnou výzvu a jako odpověď obdrží nezašifrovanou zprávu (výzva ve formě čistého textu). Klient ji musí zašifrovat pomocí svého klíče WEP a vrátit ji přístupovému bodu, který zprávu dešifruje pomocí vlastního klíče WEP. Pokud se dešifrovaná zpráva shoduje s originálem, znamená to, že klient zná klíč WEP. Proto je autentizace považována za úspěšnou a klientovi je zasláno odpovídající upozornění.

Po úspěšném dokončení ověřování a přidružení může bezdrátové zařízení používat klíč WEP k šifrování provozu mezi zařízením a přístupovým bodem.

Standard 802.11 také definuje další mechanismy řízení přístupu. Přístupový bod může využívat hardwarové filtrování adres (Media Access Control, MAC), udělování nebo zakazování přístupu na základě MAC adresy klienta. Tato metoda ztěžuje, ale nebrání připojení neautorizovaných zařízení.

Jak bezpečné je WEP?

Jedno z pravidel kryptografie říká: na základě otevřeného textu a jeho zašifrované verze můžete určit použitou metodu šifrování. To platí zejména při použití slabých šifrovacích algoritmů a symetrických klíčů, jako je WEP.

Tento protokol používá pro šifrování algoritmus RC4. Jeho slabinou je, že pokud zašifrujete známý prostý text, výstupem bude klíčový proud, který byl použit k zašifrování dat. Podle standardu 802.11 se tok klíčů skládá z klíče WEP a 24bitového inicializačního vektoru. Pro každý paket je použit následující vektor, který je odeslán s paketem, aby jej přijímací stanice mohla použít ve spojení s klíčem WEP k dešifrování paketu.

Zadaným jedním tokem klíčů lze dešifrovat jakýkoli paket zašifrovaný stejným vektorem. Protože se vektor mění pro každý paket, musí dešifrování počkat na další paket pomocí stejného vektoru. Aby bylo možné dešifrovat WEP, je třeba sestavit kompletní sadu vektorů a toků klíčů. WEP cracking nástroje fungují tímto způsobem.

Během procesu ověřování klienta můžete získat prostý a šifrovaný text. Zachycováním provozu na nějakou dobu můžete shromáždit potřebné množství počátečních dat k provedení útoku. Hackeři také používají mnoho dalších metod ke shromažďování dat, která potřebují pro analýzu, včetně útoků typu „muži uprostřed“.

Při rozhodování o formátu rámce pro bezdrátové sítě navrhla IEEE svůj vlastní formát nazvaný Subnetwork Address Protocol (SNAP).

Dva bajty následující po záhlaví MAC v rámci 802.11 SNAP jsou vždy "AA AA". WEP šifruje všechny bajty za hlavičkou MAC, takže první dva zašifrované bajty vždy znají prostý text ("AA AA"). Tato cesta poskytuje příležitost přijímat fragmenty zašifrované a jasné zprávy.

Nástroje pro krakování WEP jsou na internetu distribuovány zdarma. Nejznámější z nich jsou AirSnort a WEPCrack. K úspěšnému prolomení klíče WEP s jejich pomocí stačí vytočit 100 tisíc až 1 milion paketů. Nové nástroje pro prolomení klíčů WEP Aircrack a Weplab implementují efektivnější algoritmus, který vyžaduje výrazně méně paketů. Z tohoto důvodu je protokol WEP nespolehlivý.

Bezdrátová technologie je stále bezpečnější

Dnes mnoho společností používá pohodlné a bezpečné bezdrátové sítě. Standard 802.11i posunul zabezpečení na zcela novou úroveň Pracovní skupina IEEE 802.11i, jejímž úkolem bylo vytvořit nový bezpečnostní standard bezdrátové sítě, vznikla po prostudování zranitelnosti protokolu WEP. Vývoj zabral nějaký čas, takže většina výrobců zařízení, aniž by čekala na vydání nového standardu, začala nabízet své vlastní metody (viz. ). V roce 2004 se objevil nový standard, ale dodavatelé zařízení nadále ze setrvačnosti používají stará řešení.

802.11i definuje použití standardu Advanced Encryption Standard (AES) namísto WEP. AES je založeno na implementaci Rendelova algoritmu, který většina kryptoanalytiků uznává jako bezpečný. Tento algoritmus je významným vylepšením svého slabého předchůdce RC4, který se používá ve WEP: používá klíče 128, 192 a 256 bitů namísto 64 bitů používaných v původním standardu 802.11. Nový standard 802.11i také definuje použití TKIP, CCMP a 802.1x/EAP.

EAP-MD5 ověří uživatele ověřením hesla. Otázka použití šifrování provozu je na milosti správce sítě. Slabinou EAP-MD5 je nedostatek povinné použitíšifrování, takže EAP-MD5 umožňuje možnost útoku muže uprostřed.

Protokol Lightweight EAP (LEAP), který byl vytvořen společností Cisco, zajišťuje nejen šifrování dat, ale také rotaci klíčů. LEAP nevyžaduje, aby klient měl klíče, protože jsou bezpečně přeneseny poté, co byl uživatel ověřen. To umožňuje uživatelům snadno se připojit k síti pomocí účet a heslo.

Dřívější implementace LEAP poskytovaly pouze jednosměrnou autentizaci uživatele. Cisco později přidalo možnost vzájemné autentizace. Ukázalo se však, že protokol LEAP je zranitelný vůči slovníkovým útokům. Člen Amerického institutu administrace systému, Telecommunications and Security (SANS) Joshua Wright vyvinul nástroj ASLEAP, který provádí podobný útok, po kterém společnost Cisco doporučila použít silná hesla alespoň osm znaků, včetně speciálních znaků, velkých a malých písmen a čísel. LEAP je pouze tak bezpečný, jak silné je heslo proti pokusům o hrubou sílu.

Společnost Microsoft vyvinula silnější implementaci EAP, EAP-TLS, která používá předinstalované digitální certifikáty na klientovi a serveru. Tato metoda zajišťuje vzájemnou autentizaci a spoléhá se nejen na heslo uživatele, ale podporuje také rotaci a dynamickou distribuci klíčů. Nepříjemností EAP-TLS je nutnost instalovat certifikát na každého klienta, což může být poměrně pracné a drahé. Navíc je tato metoda nepraktická pro použití v síti, kde se zaměstnanci často mění.

Výrobci bezdrátových sítí propagují řešení pro zjednodušení postupu pro připojení autorizovaných uživatelů k bezdrátovým sítím. Tento nápad je docela proveditelný, pokud povolíte LEAP a rozdáte uživatelská jména a hesla. Pokud však bude nutné použít digitální certifikát nebo zadat dlouhý klíč WEP, může se tento proces stát únavným.

Společnosti Microsoft, Cisco a RSA společně vyvinuly nový protokol PEAP, který kombinuje snadné použití LEAP se zabezpečením EAP-TLS. Protokol PEAP používá certifikát nainstalovaný na serveru a ověřování pomocí hesla pro klienty. Podobné řešení - EAP-TTLS - vydal Funk Software.

Různí dodavatelé podporují různé typy EAP a také více typů současně. Proces EAP je pro všechny typy podobný.

Typické operace EAP

Co je WPA

Poté, co byly bezdrátové sítě prohlášeny za nezabezpečené, začali výrobci implementovat vlastní bezpečnostní řešení. Společnosti tak mají na výběr: držet se řešení jednoho dodavatele nebo počkat na vydání standardu 802.11i. Datum přijetí standardu bylo neznámé, proto v roce 1999 vznikla Wi-Fi Alliance. Jeho cílem bylo sjednotit interakci produktů bezdrátových sítí.

Wi-Fi Alliance schválila protokol pro zabezpečení bezdrátový přístup(Wireless Protected Access, WPA), což považuje za dočasné řešení do vydání standardu 802.11i. Protokol WPA používá standardy TKIP a 802.1x/EAP. Žádný WiFi zařízení, který je certifikován jako kompatibilní s WPA, musí fungovat ve spojení s dalším certifikovaným zařízením. Prodejci mohou používat vlastní bezpečnostní mechanismy, ale v každém případě musí zahrnovat podporu standardů Wi-Fi.

Po prvotním oznámení parametrů 802.11i vytvořila Wi-Fi Alliance standard WPA2. Jakékoli zařízení s certifikací WPA2 je plně kompatibilní s 802.11i. Pokud vaše podniková bezdrátová síť nepodporuje 802.11i, měli byste co nejdříve upgradovat na 802.11i, abyste zajistili dostatečné zabezpečení.

Co je filtrování MAC adres?

Pokud je WEP nezabezpečené, může filtrování hardwarových adres (Media Access Control, MAC) chránit bezdrátovou síť? Bohužel, filtry MAC adres jsou navrženy tak, aby zabránily neoprávněnému připojení, jsou bezmocné proti zachycování provozu.

Filtrování MAC adres významně neovlivňuje bezpečnost bezdrátových sítí. Od útočníka to vyžaduje pouze jednu akci navíc: zjistit povolenou MAC adresu. (Mimochodem, většina ovladačů síťových karet to umožňuje změnit.)

Jak snadné je zjistit povolenou MAC adresu? Pro získání funkčních MAC adres stačí nějakou dobu monitorovat bezdrátový provoz pomocí analyzátoru protokolů. MAC adresy mohou být zachyceny i v případě, že je provoz šifrován, protože hlavička paketu, která takovou adresu obsahuje, je přenášena v čisté podobě.

protokol TKIP

Protokol Temporal Key Integrity Protocol (TKIP) je navržen tak, aby řešil slabé stránky WEP. Standard TKIP zlepšuje zabezpečení WEP prostřednictvím rotace klíčů, delších inicializačních vektorů a kontrol integrity dat.

Programy pro prolomení WEP využívají slabosti statických klíčů: po zachycení požadovaného počtu paketů usnadňují dešifrování provozu. Pravidelné překlíčování tomuto typu útoku zabrání. TKIP dynamicky mění klíče každých 10 000 paketů. Pozdější implementace protokolu umožňují změnit interval střídání klíčů a dokonce nastavit algoritmus změny šifrovacího klíče pro každý datový paket (Per-Packet Keying, PPK).

Šifrovací klíč používaný v TKIP se stal bezpečnější než klíče WEP. Skládá se ze 128bitového dynamického klíče, ke kterému je přidána MAC adresa stanice, a 48bitového inicializačního vektoru (dvakrát delšího než původní vektor 802.11). Tato metoda je známá jako „mixování klíčů“ a zajišťuje, že žádné dvě stanice nepoužívají stejný klíč.

Protokol má také vestavěnou metodu pro zaručenou integritu dat (Message Integrity Cheek, MIC, také nazývaná Michael).

Hlavním problémem všech bezdrátových sítí LAN (a v tomto případě všech kabelových sítí LAN) je bezpečnost. Bezpečnost je zde stejně důležitá jako pro každého uživatele internetu. Bezpečnost je komplexní problém a vyžaduje neustálou pozornost. Obrovská škoda může být uživateli způsobena tím, že používá náhodné hot-spoty (hot-spot) popř. otevřené body WI-FI přístup doma nebo v kanceláři a nepoužívá šifrování ani VPN (Virtual Private Network - virtuální privátní síť). To je nebezpečné, protože uživatel zadává svá osobní nebo profesní data a síť není chráněna před vniknutím zvenčí.

WEP

Zpočátku bylo obtížné zajistit odpovídající zabezpečení bezdrátových sítí LAN.

Hackeři usnadnili připojení k téměř jakékoli WiFi síti prolomením raných verzí bezpečnostních systémů, jako je Wired Equivalent Privacy (WEP). Tyto události zanechaly své stopy a na dlouhou dobu některé společnosti se zdráhaly zavést nebo vůbec nezavést bezdrátové sítě, protože se obávaly, že data budou přenášena mezi bezdrátovými sítěmi WiFi zařízení a Wi-Fi hotspoty lze zachytit a dešifrovat. Tento bezpečnostní model tedy zpomalil proces integrace bezdrátových sítí do podniků a znervóznil uživatele, kteří používají WiFi sítě doma. Poté IEEE založila pracovní skupinu 802.11i, která pracovala na vytvoření komplexního bezpečnostního modelu, který by poskytoval 128bitové šifrování AES a ověřování pro ochranu dat. Wi-Fi Alliance představila svou vlastní přechodnou verzi této bezpečnostní specifikace 802.11i: Wi-Fi Protected Access (WPA). Modul WPA kombinuje několik technologií pro řešení zranitelností systému 802.11 WEP. Proto WPA poskytuje silnou autentizaci uživatele pomocí standardu 802.1x (vzájemné ověřování a zapouzdření dat přenášených mezi bezdrátovými klientskými zařízeními, přístupovými body a serverem) a Extensible Authentication Protocol (EAP).

Princip činnosti zabezpečovacích systémů je schematicky znázorněn na obr. 1. Obr

WPA je také vybaven dočasným modulem pro šifrování jádra WEP pomocí 128bitového šifrování klíče a používá protokol Temporal Key Integrity Protocol (TKIP). A s pomocí kontrolní součet zpráv (MIC) zabraňuje úpravám nebo formátování datových paketů. Tato kombinace technologií chrání důvěrnost a integritu datové komunikace a zajišťuje bezpečnost prostřednictvím řízení přístupu, takže přístup k síti získají pouze oprávnění uživatelé.

WPA

Dalším vylepšením zabezpečení a řízení přístupu WPA je vytvoření nového jedinečného hlavního klíče pro komunikaci mezi bezdrátovým zařízením každého uživatele a přístupovými body a poskytování autentizační relace. A také při vytváření generátoru náhodných klíčů a při procesu generování klíče pro každý balíček.

Standard IEEE 802.11i byl ratifikován v červnu 2004 a díky technologii WPA značně rozšířil mnohé z jeho schopností. Wi-Fi Alliance posílila svůj bezpečnostní modul v programu WPA2. Úroveň zabezpečení přenosu dat WiFi standardu 802.11 tak dosáhla požadované úrovně pro implementaci bezdrátová řešení a technologie v podnicích. Jednou z významných změn oproti 802.11i (WPA2) oproti WPA je použití 128bitového standardu Advanced Encryption Standard (AES). WPA2 AES využívá režim CBC-MAC (režim provozu pro šifrovací blok, který umožňuje použití stejného klíče pro šifrování i autentizaci) k zajištění důvěrnosti dat, ověřování, integrity a ochrany přehrávání. 802.11i také nabízí ukládání klíčů a předběžného ověření do mezipaměti pro organizaci uživatelů podle přístupového bodu.

WPA2

Se standardem 802.11i se celý řetězec bezpečnostních modulů (přihlášení, výměna oprávnění, autentizace a šifrování dat) stává spolehlivější a účinnější ochranou proti necíleným a cíleným útokům. Systém WPA2 umožňuje správci Wi-Fi sítě přejít od bezpečnostních problémů k provozu a správě zařízení.

Standard 802.11r je modifikací standardu 802.11i. Tento standard byla ratifikována v červenci 2008. Standardní technologie rychleji a spolehlivěji přenáší klíčové hierarchie založené na technologii Handoff (přenos kontroly) během pohybu uživatele mezi přístupovými body. Standard 802.11r je plně kompatibilní s WiFi standardy 802.11a/b/g/n.

Existuje také standard 802.11w, který je navržen tak, aby zlepšil bezpečnostní mechanismus založený na standardu 802.11i. Tato norma je navržena pro ochranu řídicích paketů.

802.11i a 802.11w jsou bezpečnostní mechanismy pro sítě WiFi 802.11n.

Šifrování souborů a složek v systému Windows 7

Funkce šifrování umožňuje zašifrovat soubory a složky, které budou později na jiném zařízení nečitelné bez speciálního klíče. Tato funkce je přítomna ve verzích Windows 7 jako Professional, Enterprise nebo Ultimate. Níže budou popsány způsoby, jak povolit šifrování souborů a složek.

Povolit šifrování souborů:

Start -> Počítač (vyberte soubor, který chcete zašifrovat)-> klikněte pravým tlačítkem na soubor->Vlastnosti->Upřesnit (karta Obecné)->Další atributy->Umístěte značku do Šifrovat obsah pro ochranu dat->OK->Použít- > Ok (Zvolte použít pouze pro soubor)->

Povolit šifrování složek:

Start -> Počítač (vyberte složku, kterou chcete zašifrovat)-> klikněte pravým tlačítkem na složku-> Vlastnosti->Upřesnit (karta Obecné)->Další atributy->Umístit značku do Šifrovat obsah pro ochranu dat->OK->Použít- > Ok (Vyberte použít pouze pro soubor)->Zavřít dialogové okno Vlastnosti (Klikněte na Ok nebo Zavřít).

Ústav finančního a ekonomického zabezpečení

ABSTRAKTNÍ

Bezdrátové zabezpečení

Dokončeno:

Skupina studentů U05-201

Michajlov M.A.

Kontrolovány:

docent katedry

Burtsev V.L.

Moskva

2010

Úvod

Bezpečnostní standard WEP

Bezpečnostní standard WPA

Bezpečnostní standard WPA2

Závěr

Úvod

Příběh bezdrátových technologií přenos informací začal na konci 19. století přenosem prvního rádiového signálu a ve 20. letech 20. století se objevily první rádiové přijímače s amplitudové modulace. Rozhlas se objevil ve 30. letech 20. století frekvenční modulace a televize. V 70. letech 20. století první bezdrát telefonní systémy jako přirozený výsledek uspokojování potřeby mobilní přenos hlasování. Nejprve to byly analogové sítě a na počátku 80. let byly vyvinuty GSM standard, označující začátek přechodu na digitální standardy jako poskytování lepší distribuce spektra, lepší kvality signálu a lepší bezpečnosti. Od 90. let dvacátého století se pozice bezdrátových sítí posiluje. Bezdrátové technologie jsou pevně zakořeněné v našich životech. Vyvíjejí se obrovskou rychlostí a vytvářejí nová zařízení a služby.

Množství nových bezdrátových technologií, jako je CDMA (Code Division Multiple Access, technologie kódového dělení), GSM (Global for Mobile Communications, globální systém pro mobilní komunikace), TDMA (Time Division Multiple Access), 802.11, WAP (Wireless Application Protocol), 3G (třetí generace), GPRS (General Packet Radio Service), Bluetooth (modrý zub, pojmenovaný po Haraldu Modrém zubu, vůdci Vikingů, který žil v 10. století), EDGE (Enhanced Data Rates for GSM Evolution, zvýšené datové rychlosti pro GSM), i-mode atd. naznačuje, že v této oblasti začíná revoluce.

Velmi slibný je také rozvoj bezdrátových lokálních sítí (WLAN), Bluetooth (sítě na střední a krátké vzdálenosti). Bezdrátové sítě jsou rozmístěny na letištích, univerzitách, hotelech, restauracích, podnicích. Historie vývoje standardů bezdrátových sítí začala v roce 1990, kdy byl výbor 802.11 vytvořen celosvětovou organizací IEEE (Institute of Electrical and Electronics Engineers). Významný impuls pro rozvoj bezdrátových technologií dal World Wide Web a myšlenka pracovat na webu pomocí bezdrátových zařízení. Na konci 90. let byla uživatelům nabídnuta služba WAP, která zpočátku nevzbuzovala mezi obyvateli příliš velký zájem. To byly hlavní informační služby – zprávy, počasí, různé jízdní řády atp. Také Bluetooth a WLAN byly zpočátku velmi málo žádané, hlavně kvůli vysokým nákladům na tyto komunikace. S poklesem cen však klesal i zájem obyvatel. Do poloviny první dekády 21. století šel účet uživatelů služby bezdrátového internetu do desítek milionů. S příchodem bezdrátové internetové komunikace se do popředí dostaly bezpečnostní problémy. Hlavními problémy při používání bezdrátových sítí jsou odposlech zpráv od speciálních služeb, komerčních podniků a jednotlivců, odposlech čísel kreditních karet, krádež placeného času připojení, rušení práce komunikačních center.

Jako každý počítačová síť, Wi-Fi je zdrojem zvýšené riziko neautorizovaný přístup. Navíc je mnohem snazší proniknout do bezdrátové sítě než do běžné - nemusíte se připojovat k drátům, stačí být v oblasti příjmu signálu.

Bezdrátové sítě se od kabelových sítí liší pouze v prvních dvou – fyzické (Phy) a částečně kanálové (MAC) – úrovni sedmiúrovňového modelu interakce. otevřené systémy. Více vysoké úrovně jsou implementovány jako v drátových sítích a skutečné zabezpečení sítí je zajištěno právě na těchto úrovních. Proto se rozdíl v zabezpečení obou sítí redukuje na rozdíl v zabezpečení fyzické a MAC vrstvy.

I když se dnes při ochraně Wi-Fi sítí používají složité algoritmické matematické modely autentizace, šifrování dat a kontroly integrity jejich přenosu, přesto je pravděpodobnost přístupu k informacím neoprávněnými osobami velmi významná. A pokud není nastavení sítě věnována náležitá pozornost, útočník může:

Získejte přístup ke zdrojům a diskům uživatelů sítě Wi-Fi a jejím prostřednictvím ke zdrojům sítě LAN;

odposlouchávat provoz, extrahovat z něj důvěrná informace;

zkreslují informace procházející sítí;

Zavést falešné přístupové body;

rozesílání spamu a další protiprávní jednání jménem vaší sítě.

Než se ale pustíte do zabezpečení bezdrátové sítě, musíte pochopit základní principy její organizace. Bezdrátové sítě se zpravidla skládají z přístupových uzlů a klientů s bezdrátovými adaptéry. Přístupové uzly a bezdrátové adaptéry jsou vybaveny transceivery pro vzájemnou komunikaci. Každému přístupovému bodu a bezdrátovému adaptéru je přiřazen 48bitový MAC adresa, která je funkčně ekvivalentní ethernetové adrese. Přístupové body propojují bezdrátové a kabelové sítě a umožňují bezdrátovým klientům přístup ke kabelovým sítím. Komunikace mezi bezdrátovými klienty v sítích peer-to-peer je možná bez AP, ale tato metoda se v institucích používá jen zřídka. Každá bezdrátová síť je identifikována administrátorem přiděleným SSID (Service Set Identifier). Bezdrátoví klienti mohou komunikovat s AP, pokud rozpoznají SSID přístupového bodu. Pokud má bezdrátová síť několik přístupových bodů se stejným SSID (a stejným nastavením ověřování a šifrování), mohou mezi nimi mobilní bezdrátoví klienti přepínat.

Nejběžnější bezdrátové standardy jsou 802.11 a jeho vylepšení. Specifikace 802.11 definuje vlastnosti sítě pracující rychlostí až 2 Mbps. Vylepšené verze poskytují více vysoké rychlosti. První, 802.11b, je nejrozšířenější, ale je rychle nahrazován 802.11g. Bezdrátové sítě 802.11b pracují v pásmu 2,4 GHz a poskytují přenosovou rychlost až 11 Mbps. Vylepšení, 802.11a, bylo ratifikováno dříve než 802.11b, ale přišlo na trh později. Zařízení tohoto standardu pracují v pásmu 5,8 GHz s typickou rychlostí 54 Mbps, ale někteří prodejci nabízejí vyšší rychlosti, až 108 Mbps, v turbo režimu. Třetí, vylepšená verze, 802.11g, pracuje v pásmu 2,4 GHz, stejně jako 802.11b, se standardní rychlostí 54 Mbps a vyšší (až 108 Mbps) v turbo režimu. Většina bezdrátových sítí 802.11g je schopna pracovat s klienty 802.11b díky zpětné kompatibilitě zabudované ve standardu 802.11g, ale praktická kompatibilita závisí na konkrétní implementaci dodavatele. Většina moderních bezdrátových zařízení podporuje dvě nebo více variant 802.11. Nový bezdrátový standard, 802.16, nazvaný WiMAX, je navrhován se specifickým cílem poskytovat bezdrátový přístup podnikům a domácnostem prostřednictvím stanic podobných stanicím. mobilní komunikace. Tato technologie není zahrnuta v tomto článku.

Skutečný dosah přístupového bodu závisí na mnoha faktorech, včetně varianty 802.11 a provozní frekvence zařízení, výrobce, napájení, antény, vnějších a vnitřních stěn a funkcí topologie sítě. Bezdrátový adaptér s úzkou anténou s vysokým ziskem však může komunikovat s AP a bezdrátovou sítí na značnou vzdálenost, až asi jeden a půl kilometru, v závislosti na podmínkách.

Vzhledem k veřejné povaze rádiového spektra existují jedinečné bezpečnostní problémy, které se v drátových sítích nevyskytují. Chcete-li například odposlouchávat zprávy v kabelové síti, potřebujete k nim fyzický přístup síťová součást, jako je připojovací bod zařízení LAN, přepínač, směrovač, brána firewall nebo hostitelský počítač. Bezdrátová síť potřebuje pouze přijímač, jako je konvenční frekvenční skener. Vzhledem k otevřenosti bezdrátových sítí vývojáři standardu připravili specifikaci Wired Equivalent Privacy (WEP), její použití však bylo volitelné. WEP používá sdílený klíč, který je známý bezdrátovým klientům a přístupovým bodům, se kterými komunikují. Klíč lze použít jak pro autentizaci, tak pro šifrování. WEP používá šifrovací algoritmus RC4. 64bitový klíč se skládá ze 40 uživatelsky definovaných bitů a 24bitového inicializačního vektoru. Ve snaze zvýšit bezpečnost bezdrátových sítí vyvinuli někteří výrobci zařízení pokročilé algoritmy se 128bitovými nebo delšími klíči WEP, které se skládají ze 104bitové nebo delší uživatelské části a inicializačního vektoru. WEP se používá se zařízeními kompatibilními s 802.11a, 802.11b a 802.11g. Navzdory zvýšené délce klíče jsou však nedostatky WEP (zejména slabé autentizační mechanismy a šifrovací klíče, které lze odhalit metodami kryptoanalýzy) dobře zdokumentovány a dnes se WEP nepovažuje za spolehlivý algoritmus.

V reakci na nedostatky WEP se Wi-Fi Alliance rozhodla vyvinout standard Wi-Fi Protected Access (WPA). WPA překonává WEP přidáním TKIP (Temporal Key Integrity Protocol) a silného autentizačního mechanismu založeného na 802.1xa EAP (Extensible Authentication Protocol). WPA měl být pracovní standard, který by mohl být předložen výboru IEEE ke schválení jako rozšíření standardů 802.11. Rozšíření 802.11i bylo ratifikováno v roce 2004 a WPA upgradováno na WPA2, aby bylo kompatibilní s Advanced Encryption Standard (AES) namísto WEP a TKIP. WPA2 je zpětně kompatibilní a lze jej použít ve spojení s WPA. WPA bylo určeno pro podnikové sítě s autentizační infrastrukturou RADIUS (Remote Authentication Dial-In User Service), ale verze WPA s názvem WPA Pre-Shared Key (WPAPSK) získala podporu od některých výrobců a je na cestě. v malých podnicích . Stejně jako WEP pracuje WPAPSK se sdíleným klíčem, ale WPAPSK je bezpečnější než WEP.

Při budování bezdrátových sítí je také problém zajistit jejich bezpečnost. Zatímco v konvenčních sítích jsou informace přenášeny po drátech, rádiové vlny používané pro bezdrátová řešení lze snadno zachytit správným zařízením. Princip fungování bezdrátové sítě vede ke vzniku velkého množství možných zranitelností pro útoky a průniky.

Zařízení bezdrátové sítě LAN sítě WLAN(Wireless Local Oblastní síť) zahrnuje bezdrátové přístupové body a pracovní stanice pro každého předplatitele.

přístupové body AP(Access Point) fungují jako koncentrátory, které zajišťují komunikaci mezi účastníky a mezi sebou navzájem, stejně jako funkci mostů, které komunikují s kabelovou místní sítí a s Internetem. Každý přístupový bod může obsluhovat několik účastníků. Několik blízkých přístupových bodů tvoří přístupovou oblast WiFi, v rámci kterého získají přístup k síti všichni předplatitelé vybavení bezdrátovými adaptéry. Takové přístupové zóny se vytvářejí na přeplněných místech: na letištích, kampusech, knihovnách, obchodech, obchodních centrech atd.

Přístupový bod má SSID (Service Set Identifier). SSID je 32bitový řetězec používaný jako název bezdrátové sítě, se kterou jsou spojeny všechny uzly. SSID je vyžadováno pro připojení pracovní stanice k síti. Chcete-li přidružit pracovní stanici k přístupovému bodu, musí mít oba systémy stejné SSID. Li pracovní stanice nemá správné SSID, nebude schopen komunikovat s přístupovým bodem a připojit se k síti.

Hlavním rozdílem mezi drátovými a bezdrátovými sítěmi je přítomnost nekontrolované oblasti mezi koncovými body bezdrátové sítě. To umožňuje útočníkům v těsné blízkosti bezdrátových struktur provádět řadu útoků, které nejsou v drátovém světě možné.

Při použití bezdrátového přístupu do lokální sítě výrazně narůstají bezpečnostní hrozby (obr. 2.5).

Rýže. 2.5.

Uveďme si hlavní zranitelnosti a hrozby bezdrátových sítí.

Beacon vysílání. Přístupový bod zapne vysílací maják na určité frekvenci, aby informoval blízké bezdrátové uzly o své přítomnosti. Tato vysílání obsahují základní informace o bezdrátovém přístupovém bodu, obvykle včetně SSID, a vyzývají bezdrátové uzly k registraci v dané oblasti. Jakákoli pracovní stanice v pohotovostním režimu může získat SSID a přidat se do příslušné sítě. Beacon broadcasting je „vrozená patologie“ bezdrátových sítí. Mnoho modelů umožňuje vypnout část SSID tohoto vysílání, aby bylo bezdrátové odposlouchávání poněkud obtížnější, ale SSID je stále odesíláno při připojení, takže stále existuje malé okno zranitelnosti.

Zjištění WLAN. K detekci bezdrátových sítí WLAN se například používá nástroj NetStumber ve spojení se satelitním navigátorem globální systém GPS určování polohy. Tento nástroj identifikuje SSID sítě WLAN a také určuje, zda používá systém šifrování WEP. Použití externí antény na notebooku umožňuje detekovat sítě WLAN při procházce po požadované oblasti nebo při jízdě po městě. Spolehlivou metodou pro detekci WLAN je průzkum kancelářské budovy pomocí notebook v ruce.

Odposlechy. Odposlech se provádí za účelem shromažďování informací o síti, která má být později napadena. Interceptor může využít vytěžená data k získání přístupu k síťovým zdrojům. Zařízení používané k odposlouchávání sítě nesmí být o nic sofistikovanější než zařízení používané pro normální přístup k této síti. Bezdrátové sítě ze své podstaty umožňují připojení k fyzická síť počítače umístěné v určité vzdálenosti od něj, jako by tyto počítače byly přímo v síti. Například osoba sedící v autě na nedalekém parkovišti se může připojit k bezdrátové síti umístěné v budově. Útok pasivního naslouchání je téměř nemožné odhalit.

Falešné síťové přístupové body. Zkušený útočník dokáže nastavit falešný přístupový bod s imitací síťových prostředků. Předplatitelé, aniž by cokoli tušili, se obrátí na tento falešný přístupový bod a sdělí mu své důležité údaje, jako jsou ověřovací informace. Tento typ útoku se někdy používá ve spojení s přímým rušením skutečného síťového přístupového bodu.

Odmítnutí služby. Úplnou paralýzu sítě může způsobit útok DoS (Denial of Service) – odmítnutí služby. Jeho účelem je zasahovat do přístupu uživatele k síťovým zdrojům. Bezdrátové systémy jsou k takovým útokům obzvláště náchylné. Fyzická vrstva v bezdrátové síti je abstraktní prostor kolem přístupového bodu. Útočník může zapnout zařízení, které zaplňuje celé spektrum na provozní frekvenci rušením a nelegálním provozem - takový úkol nezpůsobuje žádné zvláštní potíže. Samotný fakt provedení útoku DoS na fyzické úrovni v bezdrátové síti je obtížné prokázat.

Útoky typu Man-in-the-middle. Útoky tohoto typu je mnohem snazší provádět v bezdrátových sítích než v drátových sítích, protože v případě drátové sítě je nutné implementovat nějaký druh přístupu k ní. Typicky se útoky typu man-in-the-middle používají ke zničení důvěrnosti a integrity komunikační relace. Útoky MITM jsou složitější než většina ostatních útoků: vyžadují detailní informace o síti. Útočník obvykle podvrhne identitu jednoho ze síťových prostředků. Využívá schopnost odposlouchávat a nelegálně unášet datový tok za účelem změny jeho obsahu za účelem splnění některých jeho účelů, jako je falšování IP adres, změna MAC adresy pro napodobení jiného hostitele atd.

Anonymní přístup k internetu. Nezabezpečené sítě WLAN poskytují hackerům nejlepší anonymní přístup k útokům přes internet. Hackeři mohou využít nezabezpečenou bezdrátovou LAN organizace pro přístup k internetu, kde mohou provádět nelegální aktivity, aniž by zanechali své stopy. Organizace s nechráněnou sítí LAN se formálně stává zdrojem útočného provozu zaměřeného na jinou počítačový systém, což je spojeno s potenciálním rizikem právní odpovědnosti za škodu způsobenou oběti hackerského útoku.

Výše popsané útoky nejsou jedinými útoky, které hackeři používají k pronikání do bezdrátových sítí.

Spojení

Co dělat?