Sigurnost u WiFi mrežama. WEP, WPA, WPA2 enkripcija. Vrsta bežične sigurnosti i enkripcije. Koju odabrati

Problemi bežične sigurnosti, opisani u nizu članaka, izazvali su nepovjerenje u bežične tehnologije. Koliko je to opravdano?

Zašto se bežične mreže smatraju ranjivijima od kabelskih mreža? U žičanim mrežama podaci se mogu presresti samo ako ih napadač primi fizički pristup prijenosnom mediju. U bežičnim mrežama signal putuje zračnim valovima, tako da svatko u dometu mreže može presresti signal.

Napadač čak ne mora biti u prostorijama tvrtke, dovoljno je ući u zonu širenja radio signala.

Prijetnje bežičnim mrežama

Kada se pripremate zaštititi svoje bežične mreže, prvo morate razumjeti što bi ih moglo ugroziti.

Pasivni napad

Presretanje signala bežične mreže slično je slušanju radio prijenosa. Sve što trebate je prijenosno računalo (ili PDA) i analizator bežičnih protokola. Uobičajena je zabluda da se neovlaštena povezivanja na bežičnu mrežu izvan ureda mogu zaustaviti praćenjem izlazne snage signala. To nije istina, budući da korištenje visokoosjetljive bežične kartice i usmjerene antene od strane napadača može lako prevladati ovu sigurnosnu mjeru.

Čak i nakon smanjenja vjerojatnosti neovlaštenog spajanja na mrežu, ne treba zanemariti mogućnost “slušanja” prometa, stoga je za siguran rad u bežičnim mrežama potrebno kriptirati prenesene informacije.

Aktivni napad

Opasno je spajati nezaštićenu bežičnu mrežu na kabelsku mrežu. Nezaštićena pristupna točka povezana s lokalna mreža, predstavlja širom otvorena vrata za uljeze. Za tvrtke, to predstavlja opasnost da konkurenti dobiju pristup povjerljivim dokumentima. Nezaštićene bežične mreže dopuštaju hakerima da zaobiđu vatrozid i sigurnosne postavke koje štite mrežu od internetskih napada. Na kućnim mrežama napadači mogu dobiti slobodan pristup na Internet nauštrb svojih susjeda.

Nekontrolirane pristupne točke spojene na mrežu bez autorizacije treba nadzirati i identificirati. Takve točke, u pravilu, uspostavljaju sami zaposlenici poduzeća. (Na primjer, voditelj prodaje kupio je bežičnu pristupnu točku i koristi je da ostane povezan cijelo vrijeme.) Takvu točku napadač može posebno povezati s mrežom kako bi dobio pristup mreži tvrtke izvan ureda.

Treba imati na umu da su oba računala spojena na bežičnu mrežu ranjiva, kao i ona koja imaju uključenu bežičnu karticu sa zadanim postavkama (ona u pravilu ne blokira prodor kroz bežičnu mrežu). Na primjer, dok korisnik čekajući svoj let pregledava internetske resurse putem poslužitelja postavljenog u zračnoj luci Wi-Fi mreža, haker koji sjedi u blizini proučava informacije pohranjene na računalu mobilnog zaposlenika. Korisnici koji rade putem bežičnih mreža u kafićima, izložbenim centrima, hotelskim predvorjima itd. mogu biti izloženi sličnim napadima.

Potražite dostupne bežične mreže

Za aktivno traženje ranjive bežične mreže (ratna vožnja) obično korištenjem automobila i kompleta bežična oprema: mala antena, bežična mrežna kartica, laptop i eventualno GPS prijemnik. Korištenjem široko korištenih programa za skeniranje kao što je Netstumbler, lako možete pronaći područja prijema bežične mreže.

Ljubitelji War Drivinga imaju mnogo načina za dijeljenje informacija. Jedan od njih (War Chalking) uključuje crtanje simbola na dijagramima i kartama koji označavaju otkrivene bežične mreže. Ove oznake sadrže informacije o snazi ​​radio signala, prisutnosti jedne ili druge vrste mrežne zaštite i mogućnosti pristupa Internetu. Ljubitelji ovog "sporta" razmjenjuju informacije putem internetskih stranica, "objavljujući", posebno, detaljne karte s lokacijom otkrivenih mreža. Usput, korisno je provjeriti je li vaša adresa tamo.

Uskraćivanje usluge

Slobodan pristup internetu ili korporativnoj mreži nije uvijek cilj napadača. Ponekad cilj hakera može biti onemogućiti bežičnu mrežu.

Napad uskraćivanjem usluge može se postići na nekoliko načina. Ako haker uspije uspostaviti vezu s bežičnom mrežom, njegove zlonamjerne radnje mogu izazvati niz ozbiljnih posljedica, poput slanja odgovora na zahtjeve Address Resolution Protocol (ARP) za promjenu ARP tablica mrežni uređaji kako bi se prekinulo mrežno usmjeravanje ili uvođenje neovlaštenog poslužitelja Dynamic Host Configuration Protocol (DHCP) za izdavanje neoperativnih adresa i mrežnih maski. Ako haker sazna pojedinosti o postavkama bežične mreže, može ponovno spojiti korisnike na svoju pristupnu točku (vidi sliku), a potonji će biti odsječeni od mrežnih resursa koji su bili dostupni putem "legitimne" pristupne točke.

Napadač također može blokirati frekvencije koje koriste bežične mreže pomoću generatora signala (može se napraviti od dijelova mikrovalna pećnica). Kao rezultat toga, cijela bežična mreža ili njezin dio neće uspjeti.

Sigurnosna razmatranja u standardima IEEE 802.11

Izvorni standard 802.11 osiguravao je sigurnost bežičnih mreža korištenjem standarda "privatnosti ekvivalentne žici" (Wired Ekvivalentna privatnost,WEP). Bežične mreže koje koriste WEP zahtijevaju konfiguraciju statičnog WEP ključa na pristupnim točkama i svim stanicama. Ovaj ključ se može koristiti za autentifikaciju i šifriranje podataka. Ako je ugrožen (npr. ako se izgubi laptop), potrebno je promijeniti ključ na svim uređajima, što je ponekad vrlo teško. Kada koriste WEP ključeve za autentifikaciju, bežične stanice šalju odgovarajući zahtjev pristupnoj točki, primajući kao odgovor jasni tekstualni izazov. Klijent je mora šifrirati pomoću vlastitog WEP ključa i vratiti je pristupnoj točki, koja će dekriptirati poruku pomoću vlastitog WEP ključa. Ako dekriptirana poruka odgovara izvorniku, to znači da klijent zna WEP ključ. Stoga se autentifikacija smatra uspješnom i klijentu se šalje odgovarajuća obavijest.

Nakon uspješnog dovršetka autentifikacije i pridruživanja, bežični uređaj može koristiti WEP ključ za šifriranje prometa između uređaja i pristupne točke.

Standard 802.11 definira druge mehanizme kontrole pristupa. Pristupna točka može koristiti hardversko filtriranje adrese (Media Access Control, MAC), odobravajući ili odbijajući pristup na temelju MAC adrese klijenta. Ova metoda otežava, ali ne sprječava spajanje neovlaštenih uređaja.

Koliko je siguran WEP?

Jedno od pravila kriptografije je da se s obzirom na otvoreni tekst i njegovu šifriranu verziju može odrediti korištena metoda šifriranja. To je osobito istinito kada se koriste slabi algoritmi šifriranja i simetrični ključevi, poput onih koje nudi WEP.

Ovaj protokol koristi RC4 algoritam za šifriranje. Njegova slabost je da ako šifrirate poznati otvoreni tekst, izlaz će biti tok ključa koji je korišten za šifriranje podataka. Prema standardu 802.11, tok ključeva sastoji se od WEP ključa i 24-bitnog inicijalizacijskog vektora. Za svaki paket koristi se sljedeći vektor i šalje se u čistom tekstu zajedno s paketom tako da ga prijemna stanica može koristiti zajedno s WEP ključem za dekriptiranje paketa.

Ako primite jedan tok ključa, tada možete dešifrirati bilo koji paket šifriran istim vektorom. Budući da se vektor mijenja za svaki paket, dešifriranje zahtijeva čekanje na sljedeći paket koji koristi isti vektor. Da biste mogli dešifrirati WEP, trebate prikupiti kompletan skup vektora i tokova ključeva. WEP alati za krekiranje rade na ovaj način.

Možete dobiti otvoreni tekst i šifrirani tekst tijekom procesa provjere autentičnosti klijenta. Presretanjem prometa tijekom određenog vremenskog razdoblja možete prikupiti potrebnu količinu početnih podataka za izvođenje napada. Kako bi prikupili podatke potrebne za analizu, hakeri koriste mnoge druge metode, uključujući napade "ljudi u sredini".

Prilikom odlučivanja o formatu okvira za bežične mreže, IEEE je predložio vlastiti format pod nazivom Subnetwork Address Protocol (SNAP).

Dva bajta koja slijede nakon MAC zaglavlja u 802.11 SNAP okviru uvijek su "AA AA". WEP šifrira sve bajtove nakon MAC zaglavlja, tako da prva dva šifrirana bajta uvijek znaju otvoreni tekst ("AA AA"). Ovaj put pruža mogućnost primanja fragmenata šifrirane i jasne poruke.

Pomoćni programi za krekiranje WEP-a distribuiraju se besplatno na Internetu. Najpoznatiji od njih su AirSnort i WEPCrack. Da biste pomoću njih uspješno razbili WEP ključ, dovoljno je prikupiti od 100 tisuća do milijun paketa. Novi uslužni programi Aircrack i Weplab za razbijanje WEP ključeva implementiraju učinkovitiji algoritam koji zahtijeva znatno manje paketa. Zbog toga je WEP nepouzdan.

Bežične tehnologije postaju sigurnije

Danas mnoge tvrtke koriste praktične i sigurne bežične mreže. Standard 802.11i podigao je sigurnost na potpuno novu razinu IEEE 802.11i Radna skupina, čiji je zadatak bio stvoriti novi bežični sigurnosni standard, formirana je nakon proučavanja ranjivosti WEP protokola. Bilo je potrebno neko vrijeme za razvoj, tako da je većina proizvođača opreme, ne čekajući objavu novog standarda, počela nuditi vlastite metode (vidi. ). Godine 2004. pojavio se novi standard, ali dobavljači opreme po inerciji nastavljaju koristiti stara rješenja.

802.11i navodi korištenje naprednog standarda šifriranja (AES) umjesto WEP-a. AES se temelji na implementaciji Rendell algoritma, koji većina kriptoanalitičara prepoznaje kao jak. Ovaj je algoritam značajno poboljšanje u odnosu na svog slabog prethodnika RC4, koji se koristi u WEP-u: koristi ključeve od 128, 192 i 256 bita, umjesto 64 bita korištenih u izvornom standardu 802.11. Novi standard 802.11i također definira korištenje TKIP-a, CCMP-a i 802.1x/EAP-a.

EAP-MD5 provjerava identitet korisnika provjerom lozinke. Pitanje korištenja enkripcije prometa prepušteno je administratoru mreže. Slabost EAP-MD5 je nedostatak obavezna uporabašifriranje, tako da EAP-MD5 dopušta mogućnost napada "ljudi u sredini".

Lagani EAP (LEAP) protokol, koji je stvorio Cisco, ne pruža samo enkripciju podataka, već i rotaciju ključa. LEAP ne zahtijeva da klijent ima ključeve jer se oni šalju na siguran način nakon što je korisnik autentificiran. Korisnicima omogućuje jednostavno povezivanje s mrežom pomoću račun i lozinku.

Rane implementacije LEAP-a pružale su samo jednosmjernu autentifikaciju korisnika. Cisco je kasnije dodao mogućnost međusobne provjere autentičnosti. Međutim, utvrđeno je da je LEAP protokol ranjiv na napade rječnikom. Suradnik Američkog instituta administracija sustava, Telekomunikacije i sigurnost (SANS) Joshua Wright razvio je uslužni program ASLEAP koji izvodi sličan napad, nakon čega je Cisco preporučio korištenje jake lozinke najmanje osam znakova, uključujući posebne znakove, velika i mala slova i brojeve. LEAP je siguran u onoj mjeri u kojoj je lozinka otporna na pokušaje pogađanja.

Jaču implementaciju EAP-a, EAP-TLS, koja koristi unaprijed instalirane digitalne certifikate na klijentu i poslužitelju, razvio je Microsoft. Ova metoda omogućuje uzajamnu autentifikaciju i ne oslanja se samo na korisničku lozinku, već također podržava rotaciju i dinamičku distribuciju ključeva. Nedostatak EAP-TLS-a je što zahtijeva instaliranje certifikata na svakom klijentu, što može biti dosta dugotrajno i skupo. Osim toga, ovu je metodu nepraktično koristiti u mreži u kojoj se zaposlenici često mijenjaju.

Proizvođači bežičnih mreža promiču rješenja za pojednostavljenje postupka povezivanja ovlaštenih korisnika na bežične mreže. Ova ideja je posve izvediva ako omogućite LEAP i distribuirate korisnička imena i lozinke. Ali ako trebate koristiti digitalni certifikat ili unijeti dugačak WEP ključ, postupak može postati zamoran.

Microsoft, Cisco i RSA surađivali su na razvoju novog protokola, PEAP, koji kombinira jednostavnost korištenja LEAP-a sa sigurnošću EAP-TLS-a. PEAP koristi certifikat instaliran na poslužitelju i autentifikaciju lozinkom za klijente. Slično rješenje - EAP-TTLS - izdao je Funk Software.

Različiti proizvođači podržavaju različite vrste EAP-a, kao i više vrsta u isto vrijeme. EAP postupak je sličan za sve vrste.

Tipične EAP operacije

Što je WPA

Nakon što su bežične mreže proglašene nesigurnima, proizvođači su počeli implementirati vlastita sigurnosna rješenja. To je tvrtkama ostavilo izbor: koristiti rješenje jednog dobavljača ili čekati da se objavi standard 802.11i. Datum usvajanja standarda bio je nepoznat, pa je Wi-Fi Alliance osnovan 1999. godine. Njegov je cilj bio objediniti interakciju bežičnih mrežnih proizvoda.

Wi-Fi Alliance odobrio je sigurni protokol bežični pristup(Wireless Protected Access, WPA), smatrajući ga privremenim rješenjem do izlaska standarda 802.11i. WPA protokol koristi TKIP i 802.1x/EAP standarde. Bilo koje Wi-Fi oprema, certificiran za WPA kompatibilnost, mora raditi zajedno s drugom certificiranom opremom. Dobavljači mogu koristiti vlastite sigurnosne mehanizme, ali uvijek moraju uključiti podršku za Wi-Fi standarde.

Nakon početne najave parametara 802.11i, Wi-Fi Alliance stvorio je standard WPA2. Svaka oprema koja ima WPA2 certifikat u potpunosti je kompatibilna s 802.11i. Ako bežična mreža vašeg poduzeća ne podržava 802.11i, trebali biste migrirati na 802.11i što je prije moguće kako biste osigurali odgovarajuću sigurnost.

Što je filtriranje MAC adresa?

Ako WEP nije siguran, može li hardversko filtriranje adresa (Kontrola pristupa medijima (MAC)) zaštititi bežičnu mrežu? Nažalost, filtri MAC adresa dizajnirani su za sprječavanje neovlaštenih veza; oni su nemoćni protiv presretanja prometa.

Filtriranje MAC adresa nema značajan utjecaj na sigurnost bežičnih mreža. Od napadača je potrebna samo jedna dodatna radnja: saznati dopuštenu MAC adresu. (Usput, većina upravljačkih programa mrežne kartice omogućuje vam da to promijenite.)

Koliko je lako saznati dopuštenu MAC adresu? Da biste dobili ispravne MAC adrese, dovoljno je neko vrijeme pratiti bežični promet pomoću analizatora protokola. MAC adrese mogu se presresti čak i ako je promet šifriran jer se zaglavlje paketa koje uključuje adresu šalje čisto.

TKIP protokol

Temporal Key Integrity Protocol (TKIP) osmišljen je kako bi prevladao nedostatke WEP protokola. TKIP standard poboljšava WEP sigurnost kroz rotaciju ključeva, duže vektore inicijalizacije i provjere integriteta podataka.

Programi za krekiranje WEP-a iskorištavaju slabost statičkih ključeva: nakon presretanja potrebnog broja paketa, mogu lako dešifrirati promet. Redovito mijenjanje ključeva sprječava ovu vrstu napada. TKIP dinamički mijenja ključeve svakih 10 tisuća paketa. Kasnije implementacije protokola omogućuju promjenu intervala rotacije ključa i čak postavljanje algoritma za promjenu ključa šifriranja za svaki paket podataka (Per-Packet Keying, PPK).

Ključ za šifriranje koji se koristi u TKIP-u postao je sigurniji od WEP ključeva. Sastoji se od 128-bitnog dinamičkog ključa, kojemu je dodana MAC adresa stanice i 48-bitnog inicijalizacijskog vektora (duplo dužine od originalnog 802.11 vektora). Ova metoda je poznata kao "miješanje ključeva" i osigurava da bilo koje dvije postaje ne koriste isti ključ.

Protokol također ima ugrađenu metodu za osiguranje integriteta podataka (Message Integrity Cheek, MIC, također nazvan Michael).

Glavna briga za sve bežične LAN-ove (i sve ožičene LAN-ove, što se toga tiče) je sigurnost. Sigurnost je ovdje jednako važna kao i svakom korisniku interneta. Sigurnost je složeno pitanje i zahtijeva stalnu pozornost. Ogromna šteta može biti prouzročena korisniku zbog činjenice da koristi nasumične vruće točke ili otvorene točke WI-FI pristup kod kuće ili u uredu i ne koristi enkripciju ili VPN (Virtual Private Network) privatne mreže). To je opasno jer korisnik unosi svoje osobne ili profesionalne podatke, a mreža nije zaštićena od upada izvana.

WEP

U početku je bilo teško osigurati odgovarajuću sigurnost za bežične LAN-ove.

Hakeri su se lako povezali s gotovo svakom WiFi mrežom provalom u rane verzije sigurnosnih sustava kao što je Wired Equivalent Privacy (WEP). Ti su događaji ostavili traga, i dugo vremena Neke tvrtke nisu bile voljne ili uopće nisu implementirale bežične mreže, bojeći se da se podaci prenose između bežičnih mreža WiFi uređaji i Wi-Fi pristupne točke mogu se presresti i dešifrirati. Stoga je ovaj sigurnosni model usporio integraciju bežičnih mreža u poslovanje i učinio ljude koji koriste WiFi mreže kod kuće nervoznima. IEEE je potom stvorio radnu skupinu 802.11i koja je radila na stvaranju sveobuhvatnog sigurnosnog modela za pružanje 128-bitne AES enkripcije i autentifikacije za zaštitu podataka. Wi-Fi Alliance predstavio je vlastitu srednju verziju ove sigurnosne specifikacije 802.11i: Wi-Fi zaštićeni pristup (WPA). WPA modul kombinira nekoliko tehnologija za rješavanje ranjivosti 802.11 WEP sustava. Stoga WPA pruža pouzdanu autentifikaciju korisnika koristeći 802.1x standard (međusobna autentifikacija i enkapsulacija podataka koji se prenose između bežičnih klijentskih uređaja, pristupnih točaka i poslužitelja) i Extensible Authentication Protocol (EAP).

Princip rada sigurnosnih sustava shematski je prikazan na slici 1

Također, WPA je opremljen privremenim modulom za šifriranje WEP mehanizma putem 128-bitne enkripcije ključa i koristi Temporal Key Integrity Protocol (TKIP). I uz pomoć kontrolni zbroj poruka (MIC) sprječava modificiranje ili formatiranje paketa podataka. Ova kombinacija tehnologija štiti povjerljivost i integritet prijenosa podataka i osigurava sigurnost kontroliranjem pristupa tako da samo ovlašteni korisnici imaju pristup mreži.

WPA

Daljnje poboljšanje WPA sigurnosti i kontrole pristupa je stvaranje novog, jedinstvenog glavnog ključa za komunikaciju između bežične opreme svakog korisnika i pristupnih točaka i pružanje sesije provjere autentičnosti. Također, u stvaranju generatora slučajnih ključeva iu procesu generiranja ključa za svaki paket.

IEEE je ratificirao standard 802.11i u lipnju 2004., čime su značajno proširene mnoge mogućnosti zahvaljujući WPA tehnologiji. Wi-Fi Alliance je ojačao svoj sigurnosni modul u WPA2 programu. Time je razina sigurnosti WiFi prijenosa podataka standarda 802.11 dosegla potrebnu razinu za implementaciju bežična rješenja i tehnologije u poduzećima. Jedna od značajnih promjena s 802.11i (WPA2) na WPA je korištenje 128-bitnog naprednog standarda šifriranja (AES). WPA2 AES koristi anti-CBC-MAC način rada (način rada za šifrirani blok koji omogućuje korištenje jednog ključa i za enkripciju i za provjeru autentičnosti) kako bi se osigurala povjerljivost podataka, provjera autentičnosti, integritet i zaštita od ponovne reprodukcije. Standard 802.11i također nudi predmemoriju ključeva i prethodnu provjeru autentičnosti za organiziranje korisnika po pristupnim točkama.

WPA2

Uz 802.11i, cijeli lanac sigurnosnog modula (prijava, vjerodajnice, autentifikacija i enkripcija podataka) postaje robusniji i učinkovitiji u zaštiti od neciljanih i ciljanih napada. Sustav WPA2 omogućuje administratoru Wi-Fi mreže prebacivanje sa sigurnosnih pitanja na upravljanje operacijama i uređajima.

Standard 802.11r je modifikacija standarda 802.11i. Ovaj standard ratificiran je u srpnju 2008. Tehnologija standarda brže i pouzdanije prenosi ključne hijerarhije temeljene na Handoff tehnologiji dok se korisnik kreće između pristupnih točaka. Standard 802.11r potpuno je kompatibilan s WiFi standardima 802.11a/b/g/n.

Tu je i standard 802.11w, koji je namijenjen poboljšanju sigurnosnog mehanizma temeljenog na standardu 802.11i. Ovaj standard je dizajniran za zaštitu kontrolnih paketa.

Standardi 802.11i i 802.11w su sigurnosni mehanizmi za 802.11n WiFi mreže.

Šifriranje datoteka i mapa u sustavu Windows 7

Značajka šifriranja omogućuje šifriranje datoteka i mapa koje će kasnije biti nemoguće čitati na drugom uređaju bez posebnog ključa. Ova je značajka prisutna u verzijama sustava Windows 7 kao što su Professional, Enterprise ili Ultimate. Sljedeće će pokriti načine za omogućavanje enkripcije datoteka i mapa.

Omogućavanje enkripcije datoteke:

Start -> Računalo (odaberite datoteku za šifriranje) -> desna tipka miša na datoteku -> Svojstva -> Napredno (kartica Općenito) -> Dodatni atributi -> Označite opciju Šifriraj sadržaj radi zaštite podataka -> Ok -> Primijeni -> U redu (Odaberite primijeni samo na datoteku) ->

Omogućavanje enkripcije mape:

Start -> Računalo (odaberite mapu za šifriranje) -> desna tipka miša na mapu -> Svojstva -> Napredno (kartica Općenito) -> Dodatni atributi -> Označite kućicu Encrypt contents to protect data -> Ok -> Apply - > U redu (Odaberi primijeni samo na datoteku) -> Zatvori dijaloški okvir Svojstva (klikni U redu ili Zatvori).

Institut za financijsku i ekonomsku sigurnost

SAŽETAK

Bežična sigurnost

Završeno:

Student grupe U05-201

Mikhailov M.A.

Provjereno:

Izvanredni profesor Zavoda

Burtsev V.L.

Moskva

2010

Uvod

WEP sigurnosni standard

WPA sigurnosni standard

WPA2 sigurnosni standard

Zaključak

Uvod

Priča bežične tehnologije Prijenos informacija započeo je krajem 19. stoljeća odašiljanjem prvog radijskog signala i pojavom 20-ih godina 20. stoljeća prvih radijskih prijamnika s amplitudna modulacija. U 30-ima se pojavio radio sa frekvencijska modulacija i televizija. U 70-ima prvi bežični telefonski sustavi kao prirodni rezultat zadovoljenja potrebe za mobilni prijenos glasanje. Isprva su to bile analogne mreže, a ranih 80-ih se razvilo GSM standard, što je označilo početak prijelaza na digitalni standardi, jer pruža bolju distribuciju spektra, bolju kvalitetu signala, bolju sigurnost. Od 90-ih godina dvadesetog stoljeća pozicija bežičnih mreža jača. Bežične tehnologije čvrsto su ukorijenjene u naše živote. Razvijajući se ogromnom brzinom, stvaraju nove uređaje i usluge.

Obilje novih bežičnih tehnologija kao što su CDMA (Code Division Multiple Access, tehnologija dijeljenja koda), GSM (Global for Mobile Communications, globalni sustav za mobilne komunikacije), TDMA (Višestruki pristup s vremenskim dijeljenjem), 802.11, WAP (Protokol bežičnih aplikacija), 3G (treća generacija), GPRS (Opća paketna radio usluga, usluga paketnih podataka), Bluetooth (plavi zub, nazvan po Haraldu Plavom Zubu, Vikingu vođa koji je živio u 10. stoljeću), EDGE (Enhanced Data Rates for GSM Evolution, povećane brzine prijenosa dane su za GSM), i-mode, itd. ukazuje da na ovim prostorima počinje revolucija.

Vrlo je perspektivan i razvoj bežičnih lokalnih mreža (WLAN), Bluetooth (mreže na srednjim i kratkim udaljenostima). Bežične mreže postavljene su u zračnim lukama, sveučilištima, hotelima, restoranima i tvrtkama. Povijest razvoja bežičnih mrežnih standarda započela je 1990. godine, kada je 802.11 odbor formiran od strane globalne organizacije IEEE (Institute of Electrical and Electronics Engineers). Značajan poticaj razvoju bežičnih tehnologija dala je svjetska mreža i ideja o radu na internetu pomoću bežični uređaji. Krajem 90-ih godina prošlog stoljeća korisnicima je ponuđena WAP usluga, koja isprva nije izazvala veći interes stanovništva. To su bili osnovni informativni servisi - vijesti, vremenska prognoza, sve vrste rasporeda itd. Također, i Bluetooth i WLAN su u početku bili vrlo malo traženi, uglavnom zbog visoke cijene ovih sredstava komunikacije. Međutim, kako su cijene padale, tako je rastao i interes javnosti. Do sredine prvog desetljeća 21. stoljeća broj korisnika bežičnih internetskih usluga dosegao je desetke milijuna. Pojavom bežičnih internetskih komunikacija sigurnosni problemi izbili su u prvi plan. Glavni problemi pri korištenju bežičnih mreža su presretanje poruka obavještajnih službi, komercijalnih poduzeća i pojedinaca, presretanje brojeva kreditnih kartica, krađa plaćenog vremena veze te ometanje rada komunikacijskih centara.

Kao bilo koja računalna mreža, Wi-Fi je izvor povećan rizik neovlašteni pristup. Osim toga, puno je lakše prodrijeti u bežičnu mrežu nego u običnu - ne morate se spajati na žice, samo trebate biti u području prijema signala.

Bežične mreže razlikuju se od kabelskih mreža samo na prve dvije - fizičkoj (Phy) i djelomično kanalnoj (MAC) - razini modela interakcije od sedam razina. otvoreni sustavi. Više visoke razine implementiraju se kao u žičanim mrežama, a stvarna sigurnost mreže osigurana je upravo na tim razinama. Stoga se razlika u sigurnosti ovih i drugih mreža svodi na razliku u sigurnosti fizičkog i MAC sloja.

Iako se danas zaštita Wi-Fi mreža koristi složenim algoritamskim matematičkim modelima autentifikacije, enkripcije podataka i kontrole cjelovitosti njihovog prijenosa, ipak je vjerojatnost pristupa informacijama od strane neovlaštenih osoba vrlo značajna. A ako se konfiguraciji mreže ne posveti dužna pažnja, napadač može:

· dobiti pristup resursima i diskovima korisnika Wi-Fi mreže, a preko nje i LAN resursima;

· prisluškivati ​​promet, izvoditi iz njega povjerljive informacije;

· iskrivljuju informacije koje prolaze kroz mrežu;

· uvesti lažne pristupne točke;

· slati neželjenu poštu i učiniti nešto drugo nezakonite radnje u ime vaše mreže.

Ali prije nego počnete štititi svoju bežičnu mrežu, morate razumjeti osnovne principe njezine organizacije. Obično se bežične mreže sastoje od pristupnih čvorova i klijenata s bežičnim adapterima. Pristupni čvorovi i bežični adapteri opremljeni su primopredajnicima za međusobnu razmjenu podataka. Svakom AP-u i bežičnom adapteru dodijeljen je 48-bitni MAC adresa, što je funkcionalno ekvivalentno Ethernet adresi. Pristupni čvorovi povezuju bežične i žičane mreže, omogućujući bežičnim klijentima pristup žičanim mrežama. Komunikacija između bežičnih klijenata u ad hoc mrežama moguća je i bez AP-a, ali se ova metoda rijetko koristi u ustanovama. Svaka bežična mreža identificirana je SSID-om (Service Set Identifier) ​​koji je dodijelio administrator. Bežični klijenti mogu komunicirati s AP-om ako prepoznaju SSID pristupnog čvora. Ako u bežičnoj mreži postoji nekoliko pristupnih čvorova s ​​istim SSID-om (i istim parametrima provjere autentičnosti i enkripcije), tada je moguće prebacivati ​​mobilne bežične klijente između njih.

Najčešći bežični standardi su 802.11 i njegove napredne varijante. Specifikacija 802.11 definira karakteristike mreže koja radi pri brzinama do 2 Mbit/s. Poboljšane verzije pružaju više velike brzine. Prvi, 802.11b, najčešće se koristi, ali ga brzo zamjenjuje standard 802.11g. 802.11b bežične mreže rade u pojasu od 2,4 GHz i pružaju brzine prijenosa podataka do 11 Mbps. Poboljšana verzija, 802.11a, ratificirana je ranije od 802.11b, ali je kasnije izašla na tržište. Uređaji ovog standarda rade u pojasu od 5,8 GHz s uobičajenim brzinama od 54 Mbps, ali neki dobavljači nude veće brzine do 108 Mbps u turbo načinu rada. Treća, poboljšana verzija, 802.11g, radi u pojasu od 2,4 GHz, kao i 802.11b, sa standardnom brzinom od 54 Mbit/s i većom brzinom (do 108 Mbit/s) u turbo modu. Većina 802.11g bežičnih mreža sposobna je rukovati 802.11b klijentima zbog povratne kompatibilnosti ugrađene u 802.11g standard, ali praktična kompatibilnost ovisi o specifičnoj implementaciji dobavljača. Većina moderne bežične opreme podržava dvije ili više varijanti 802.11. Novi bežični standard, 802.16, nazvan WiMAX, dizajniran je sa specifičnim ciljem pružanja bežičnog pristupa tvrtkama i domovima putem stanica sličnih mobilna komunikacija. Ova se tehnologija ne raspravlja u ovom članku.

Stvarni domet AP-a ovisi o mnogim čimbenicima, uključujući varijantu 802.11 i radnu frekvenciju opreme, proizvođača, snagu, antenu, vanjske i unutarnje zidove i značajke topologije mreže. Međutim, bežični adapter s antenom uskog snopa s velikim pojačanjem može omogućiti komunikaciju s AP-om i bežičnom mrežom na znatnoj udaljenosti, do otprilike jedan i pol kilometar, ovisno o uvjetima.

Zbog javne prirode radijskog spektra, postoje jedinstveni sigurnosni problemi koji nisu prisutni u žičanim mrežama. Na primjer, da biste prisluškivali poruke na žičnoj mreži, potreban vam je fizički pristup istoj mrežna komponenta, kao što je točka povezivanja uređaja s lokalnom mrežom, preklopnikom, usmjerivačem, vatrozidom ili glavnim računalom. Bežična mreža zahtijeva samo prijemnik, kao što je obični skener frekvencije. Zbog otvorenosti bežičnih mreža, programeri standarda pripremili su Wired Equivalent Privacy (WEP) specifikaciju, ali su njezino korištenje učinili opcionalnim. WEP koristi zajednički ključ koji je poznat bežičnim klijentima i pristupnim čvorovima s kojima oni komuniciraju. Ključ se može koristiti i za provjeru autentičnosti i za šifriranje. WEP koristi RC4 algoritam šifriranja. 64-bitni ključ sastoji se od 40 korisnički definiranih bitova i 24-bitnog inicijalizacijskog vektora. U pokušaju poboljšanja sigurnosti bežičnih mreža, neki proizvođači opreme razvili su napredne algoritme sa 128-bitnim ili dužim WEP ključevima, koji se sastoje od 104-bitnog ili dužeg korisničkog dijela i inicijalizacijskog vektora. WEP se koristi s opremom kompatibilnom sa 802.11a, 802.11b i 802.11g. Međutim, unatoč povećanoj duljini ključa, nedostaci WEP-a (osobito slabi mehanizmi provjere autentičnosti i ključevi šifriranja koji se mogu otkriti kriptoanalizom) dobro su dokumentirani, a WEP se danas ne smatra pouzdanim algoritmom.

Kao odgovor na nedostatke WEP-a, Wi-Fi Alliance odlučio je razviti standard Wi-Fi Protected Access (WPA). WPA je superiorniji od WEP-a dodavanjem TKIP-a (Protokol integriteta vremenskog ključa) i snažnog mehanizma provjere autentičnosti koji se temelji na 802.1x i EAP-u (Proširivi protokol provjere autentičnosti). WPA je trebao postati radni standard koji bi se mogao podnijeti IEEE-u na odobrenje kao proširenje standarda 802.11. Proširenje, 802.11i, ratificirano je 2004., a WPA je ažuriran na WPA2 kako bi bio kompatibilan s naprednim standardom šifriranja (AES) umjesto WEP-a i TKIP-a. WPA2 je unazad kompatibilan i može se koristiti zajedno s WPA. WPA je bio namijenjen mrežama poduzeća s RADIUS (Remote Authentication Dial-In User Service) infrastrukturom za provjeru autentičnosti, ali verzija WPA pod nazivom WPA Pre-Shared Key (WPAPSK) dobila je podršku od nekih proizvođača i priprema se za upotrebu poduzeća. Kao i WEP, WPAPSK radi s dijeljenim ključem, ali WPAPSK je sigurniji od WEP-a.

Kod izgradnje bežičnih mreža javlja se i problem osiguranja njihove sigurnosti. Ako se u konvencionalnim mrežama informacije prenose preko žica, tada je radio valove koji se koriste za bežična rješenja prilično lako presresti ako imate odgovarajuću opremu. Način na koji bežična mreža radi stvara veliki broj mogućih ranjivosti za napade i upade.

Bežična lokalna oprema WLAN mreže(Bežično lokalno Područna mreža) uključuje bežične pristupne točke i radne stanice za svakog pretplatnika.

AP pristupne točke(Access Point) djeluju kao koncentratori koji omogućuju komunikaciju između pretplatnika i međusobno, kao i funkciju mostova koji komuniciraju s kabelskom lokalnom mrežom i Internetom. Svaka pristupna točka može poslužiti nekoliko pretplatnika. Nekoliko obližnjih pristupnih točaka čine pristupnu zonu WiFi, unutar koje svi pretplatnici opremljeni bežičnim adapterima dobivaju pristup mreži. Takve pristupne zone stvaraju se na prepunim mjestima: zračne luke, sveučilišni kampusi, knjižnice, trgovine, poslovni centri itd.

Pristupna točka ima identifikator skupa usluga (SSID). SSID je 32-bitni niz koji se koristi kao naziv bežične mreže s kojom su povezani svi čvorovi. SSID je potreban za povezivanje radne stanice s mrežom. Za pridruživanje radne stanice pristupnoj točki, oba sustava moraju imati isti SSID. Ako radna stanica nema potreban SSID, neće moći kontaktirati pristupnu točku i spojiti se na mrežu.

Glavna razlika između žičnih i bežičnih mreža je prisutnost nekontroliranog područja između krajnjih točaka bežične mreže. To napadačima u neposrednoj blizini bežičnih struktura omogućuje izvođenje niza napada koji ne bi bili mogući u svijetu žica.

Kada se koristi bežični pristup lokalnoj mreži, sigurnosne prijetnje se značajno povećavaju (Sl. 2.5).

Riža. 2.5.

Navodimo glavne ranjivosti i prijetnje bežičnih mreža.

Emitiranje radijskih farova. Pristupna točka uključuje emitirani beacon na određenoj frekvenciji kako bi obavijestila okolne bežične čvorove o svojoj prisutnosti. Ovi emitirani signali sadrže osnovne informacije o bežičnoj pristupnoj točki, obično uključujući SSID, i pozivaju bežične čvorove da se registriraju u tom području. Svaka radna stanica u stanju pripravnosti može dobiti SSID i dodati se odgovarajućoj mreži. Beacon emitiranje je "urođena patologija" bežičnih mreža. Mnogi modeli omogućuju vam da isključite SSID dio ovog emitiranja kako bi bežično prisluškivanje bilo teže, ali SSID se i dalje šalje nakon povezivanja, tako da još uvijek postoji mali prozor ranjivosti.

WLAN otkrivanje. Za otkrivanje bežičnih WLAN mreža, na primjer, uslužni program NetStumber koristi se zajedno sa satelitskim navigatorom globalni sustav GPS pozicioniranje. Ovaj uslužni program identificira SSID mreže WLAN i također određuje koristi li WEP enkripciju. Korištenje vanjske antene na prijenosnom računalu omogućuje otkrivanje WLAN mreža tijekom šetnje željenim područjem ili vožnje gradom. Pouzdana metoda za otkrivanje WLAN-a je istraživanje uredske zgrade prijenosno računalo u rukama.

Prisluškivanje. Prisluškivanje se provodi kako bi se prikupile informacije o mreži koja bi kasnije trebala biti napadnuta. Prisluškivač može koristiti ekstrahirane podatke za pristup mrežnim resursima. Oprema koja se koristi za prisluškivanje mreže možda nije ništa sofisticiranija od one koja se koristi za rutinski pristup toj mreži. Bežične mreže po svojoj prirodi omogućuju povezivanje sa fizička mreža računala koja se nalaze na određenoj udaljenosti od njega, kao da su ta računala izravno na mreži. Na primjer, osoba koja sjedi u automobilu parkiranom u blizini može se spojiti na bežičnu mrežu koja se nalazi u zgradi. Napad putem pasivnog prisluškivanja gotovo je nemoguće otkriti.

Lažne mrežne pristupne točke. Iskusni napadač može stvoriti lažnu pristupnu točku koja simulira mrežne resurse. Pretplatnici, ništa ne sluteći, kontaktiraju ovu lažnu pristupnu točku i daju joj svoje važne pojedinosti, kao što su informacije o autentifikaciji. Ova vrsta napada ponekad se koristi u kombinaciji s izravnim ometanjem stvarne mrežne pristupne točke.

Uskraćivanje usluge. Potpunu paralizu mreže može izazvati DoS (Denial of Service) napad – uskraćivanje usluge. Njegova je svrha ometati korisnički pristup mrežnim resursima. Bežični sustavi posebno su osjetljivi na takve napade. Fizički sloj u bežičnoj mreži je apstraktni prostor oko pristupne točke. Napadač može uključiti uređaj koji ispunjava cijeli spektar na radnoj frekvenciji smetnjama i ilegalnim prometom - ovaj zadatak ne predstavlja posebne poteškoće. Sama činjenica izvođenja DoS napada na fizička razina u bežičnoj mreži teško je dokazati.

Čovjek u sredini napada. Napadi ove vrste puno se lakše provode na bežičnim mrežama nego na žičanim, budući da je u slučaju žične mreže potrebno implementirati određenu vrstu pristupa istoj. Obično se napadi čovjek u sredini koriste za uništavanje povjerljivosti i integriteta komunikacijske sesije. MITM napadi su složeniji od većine drugih napada: zahtijevaju detaljne informacije o mreži. Napadač obično lažira identitet jednog od mrežnih resursa. Koristi mogućnost prisluškivanja i ilegalnog hvatanja toka podataka kako bi promijenio njegov sadržaj kako bi služio nekim svojim svrhama, kao što je lažiranje IP adresa, mijenjanje MAC adrese da imitira drugo računalo itd.

Anonimni pristup internetu. Neosigurani bežični LAN hakerima pružaju najbolji anonimni pristup za napade preko Interneta. Hakeri mogu koristiti nezaštićeni bežični LAN organizacije za povezivanje s internetom, gdje mogu obavljati ilegalne aktivnosti bez ostavljanja traga. Organizacija s nezaštićenim LAN-om formalno postaje izvor napadačkog prometa usmjerenog na drugu računalni sustav, što je povezano s potencijalnim rizikom pravne odgovornosti za štetu nanesenu žrtvi hakerskog napada.

Gore opisani napadi nisu jedini napadi koje hakeri koriste za ugrožavanje bežičnih mreža.

Veza

Što učiniti?