С безопасностью беспроводных сетей дела обстоят не лучшим образом, причем ошибки в реализации играют столь же важную роль, как и недостатки предлагаемых механизмов обеспечения безопасности. Кто хочет сделать все как можно лучше, должен быть в курсе современных методов атак, а также надлежащих контрмер и ожидаемых новшеств в этой области.
Две главнейшие угрозы, связанные с эксплуатацией беспроводных локальных сетей, — это чтение и изменение данных и неавторизованное вторжение хакера с целью проведения атаки на сетевые системы.
Чтение трафика в беспроводных сетях (sniffing) — в отличие от кабельных — не предполагает наличия физического доступа. Распространение пакетов в радиосреде едва ли можно контролировать, поэтому необходимо исходить из того, что злоумышленник способен прочитать все передаваемые по сети пакеты, к примеру при помощи карты, работающей в режиме радиочастотного мониторинга. Поэтому эффективную защиту обеспечивают только шифрование трафика и указание станций, «входящих в состав сети», т. е. имеющих право отправлять пакеты.
Зачастую, однако, доступные технические меры защиты в беспроводных сетях задействуются в неполной мере. Кроме того, некоторые распространенные механизмы несовершенны и не могут противостоять даже тривиальным атакам.
Между тем различают три «поколения» механизмов защиты беспроводных сетей. Их протоколы, представители и проблемы приведены в Таблице 1. Сегодня в случае применения технологий старшего поколения с атакой вряд ли удастся справиться, в то время как эффективность технологий второго поколения определяется конкретной конфигурацией. Новейшую же технологию обеспечения безопасности злоумышленник сможет обойти, только если ему повезет наткнуться на серьезные ошибки в конфигурации.
Наиболее популярными инструментами для атак на беспроводные сети стали специальные сетевые карты, которые поддерживают (по крайней мере) стандарты 802.11b и 802.11g (а для некоторых атакуемых сетей еще и 802.11а) и располагают набором поддерживаемых соответствующим инструментарием микросхем. Наряду с «классическим» набором микросхем Prism2 признание получил Atheros, который даже более совершенен в отношении поддержки инструментов. Важными критериями выбора являются наличие как минимум одного гнезда для подключения внешней антенны и, если злоумышленника не интересуют правовые нормы, мощность излучения антенны. В Германии, например, она ограничена 100 мВт, однако через Internet можно приобрести карты мощностью до 300 мВт. Универсальной с этой точки зрения картой является Proxim 8470-WD. Кроме адаптеров в инструментарий взломщика беспроводных сетей входят обычно несколько антенн для разных целей.Как правило, антенне придается большое значение применительно к пассивной и активной достижимости атакуемой сети, причем заметно большее, чем мощности самой карты. Это тоже должен учитывать специалист, отвечающий за обеспечение безопасности. Никогда не следует думать, что злоумышленник не сможет атаковать ваши беспроводные сети только потому, что вам самим это не удалось при тестировании с парковки компании. «Моя антенна больше твоей!» — таков боевой клич хакеров.
При выборе инструментов и операционной системы для атак на беспроводные сети наиболее неудачным вариантом будет ОС Windows. Многие инструменты, и прежде всего модифицированные драйверы для карт, работают только под управлением BSD или Linux и требуют некоторого времени для инсталляции и конфигурирования. Между тем доступны дистрибутивы Live-CD (сборки ОС), содержащие все необходимые инструменты. Наиболее известен среди них BackТrack CD. Таким образом, необходимое ноу-хау для проведения атаки в худшем случае сводится к загрузке компакт-диска вместе с чтением странички руководства.
Типичная атака состоит из следующих шагов:
- идентификации атакуемой сети;
- чтения трафика (в большинстве случаев используется инструмент airodump);
- инъекции пакетов в случае необходимости (при помощи инструмента aireplay) с целью отмены аутентификации клиентов (к примеру, для перехвата пакета подтверждения WPA) и/или генерации трафика (для определения ключа WEP);
- взлома ключа WEP, защиты WPA-PSK (с помощью инструмента aircrack) или пароля LEAP (с помощью asleap) при наличии достаточного количества пакетов;
- расшифровки, если понадобится, перехваченного трафика (с помощью airdecap);
- участия в работе беспроводной сети и проведения атак против других абонентов или сетевого трафика.
АНАЛИЗ РИСКОВ ДЛЯ МЕХАНИЗМОВ ВТОРОГО ПОКОЛЕНИЯ
Если в какой-либо организации используются защитные механизмы «второго поколения», в первую очередь WPA-PSK и LEAP, необходимо провести анализ рисков, где среди прочего следует принять во внимание возможные типы нападения и потребность в обеспечении сохранности передаваемых данных. К сожалению, при обеспечении безопасности беспроводных сетей нередко не получается следовать «чистой теории», которая в качестве единственного, достаточно надежного решения — по крайней мере со стороны инфраструктуры — рассматривает аутентификацию с сертификатами на базе 802.1х. Причины такого положения вещей следующие:- издержки на реализацию, особенно в случае инфраструктуры с открытым ключом;
- не все беспроводные клиенты поддерживают методы, основанные на применении сертификатов (это касается принтеров, мобильных устройств сбора данных и некоторых станций на базе UNIX);
- производственная необходимость может вступить в противоречие с аргументами техники безопасности — к примеру, когда в небольших удаленных филиалах работа в сети не должна зависеть от стабильности соединений с главным офисом, а административный персонал отсутствует.
Наряду с выбором технологий и протоколов общая безопасность беспроводной сети зависит также от некоторых аспектов ее проектирования и организационных процессов.
К таковым, например, относятся:
- топология сети и ее сегментация;
- роль точек доступа (возможности и управление ими);
- обнаружение вторжений.
СЕГМЕНТАЦИЯ СЕТИ
Сегментация сети с целью повышения безопасности всегда базируется на «уровнях безопасности» в сети. В идеальном случае они ориентируются на потребность в защите передаваемых данных и определенных узлов («Серверы с персональными данными должны располагаться в одном выделенном сегменте») или на возможные угрозы («Клиенты, на которых по какой-либо причине нельзя установить исправления, должны располагаться в собственных сегментах»). Исходя из этих основополагающих соображений, любая организация в рамках некоторого формализованного процесса должна решить, будет ли она реализовывать в сегментированных частях (к примеру, в подсетях IP) беспроводные сети, и определить особенности этих сетей. Если потенциальные угрозы в беспроводных и проводных сетях различны, их не следует объединять в общую подсеть IP.СОВРЕМЕННЫЕ ТОЧКИ ДОСТУПА ПОДДЕРЖИВАЮТ ВИРТУАЛЬНЫЕ СЕТИ
Многие современные точки доступа поддерживают построение виртуальных локальных сетей с собственными идентификаторами SSID и соответст-вующими методами аутентификации и шифрования. Такие возможности должны использоваться как можно шире, в особенности когда ландшафт ассоциированных станций неоднороден в отношении их способности к обеспечению безопасности.
Все большую роль играет безопасность собственно точек доступа. В зависимости от потребностей и структур управления иногда имеет смысл использовать «тонкие» или «немые» точки доступа. Они не обладают собственным интеллектом и управляются при помощи установленных за ними коммутаторов или контроллеров беспроводных сетей.И ТОЧКИ ДОСТУПА НУЖНО ЗАЩИЩАТЬ ОТ КРАЖ
При использовании «автономных» точек доступа с собственным интеллектом их необходимо защищать от хищения. По данным опросов, около 10% предлагаемых на еВay точек доступа краденые. Кроме того, будучи инфраструктурными устройствами, они нуждаются в защите от неавторизованного доступа. Для этого используются стандартные механизмы: выбор надежных методов управления (SSH вместо Telnet, HTTPS вместо HTTP), ограничение разрешенных IP-адресов при доступе и конфигурирование правильных механизмов аутентификации (управление пользователями, пароли). Контрольный список вопросов для точек доступа от Cisco автор поместил по адресу: http://www.ernw.de/publikationen/hard_cisco_aps.pdf.
Само собой разумеется, что безопасность информационных технологий включает в себя не только предотвращение, но и действенные механизмы контроля и обнаружения, поэтому защита беспроводных сетей должна предусматривать и функции обнаружения вторжений, с помощью которых можно распознать неправомочных участников сети (станции или «мошеннические» точки доступа) и определить их местоположение. Это достигается путем сравнения и анализа системных журналов или при помощи специализированных технологий.
К сожалению, в этой области до сих пор отсутствуют обязательные для производителей стандарты — используются только решения собственной разработки, к примеру специализированное устройство Cisco — решение для управления беспроводной инфраструктурой (Wireless LAN Solution Engine, WLSE), которое предназначено в первую очередь для централизованного управления.
ЗАКЛЮЧЕНИЕ: БЕЗ АНАЛИЗА РИСКОВ НЕ ОБОЙТИСЬ
В целом можно сказать, что провести атаку на беспроводную сеть сравнительно просто. Выбор технологии, пригодной для указанной цели, определяется различными факторами и должен стать предметом тщательного анализа рисков. Безопасность беспроводной сети нельзя обеспечить без адаптированного к потребностям предприятия проектирования сети и рассмотрения производственных процессов. Нап-равление атак в перспективе будет смещаться; их целью могут стать интерфейсы Web для точек доступа или протоколы производителей собственной разработки, скажем протокол управления контекстом беспроводной сети Cisco (Wireless LAN Context Control Protocol, WLCCP).
Энно Рей — технический и коммерческий директор компании ERNW, сертифицированный специалист в области безопасности информационных систем (Certified Information Systems Security Professional, CISSP) и сертифицированный аудитор информационных систем (Certified Information Systems Auditor, CISA).
© AWi Verlag
Рабочая группа EICAR по вопросам беспроводных сетей
В независимой исследовательской организации — Европейском институте по исследованиям компьютерных антивирусов (European Institute for Computer Antivirus Research, EICAR) — под председательством Рейка Флетера существует рабочая группа, в которой производители, академики и пользователи совместно вырабатывают наилучшие методы безопасного использования беспроводных сетей и обсуждают присущие им проблемы. Информация о членстве, целях и участниках рабочей группы располагается по адресу: http://www.eicar.org.
Д-р Йоханнес Виле — редактор журнала LANline.