2. Безопасност и защита на Wi-Fi мрежи 2013
Съдържание
1.1. Какво е wi-fi? .........................................................................................................3
1.2. Как работи Wi-Fi? ................................................................................................3
1.3. Wi-Fi технлогии.....................................................................................................4
1.4. Wi-Fi стандарти .....................................................................................................5
1.5. Технологии за защита.......................................................................................7
1.5.1. WEP ......................................................................................................................7
1.5.2. WPA ....................................................................................................................10
1.5.3. WPA2 .................................................................................................................10
1.5.4. WiMAX ...............................................................................................................11
1.5.5. WiMAX 2 ...........................................................................................................12
1.6 Wi-Fi устройства .....................................................................................................12
2. Анализ на безопасността и защитата на Wi-Fi мрежите ....................14
2.1 Каква е опасността?.............................................................................................14
2.2 Wireless атаки..........................................................................................................14
2.2.1 Пасивна атака ..................................................................................................14
2.2.2 Активни атаки ..................................................................................................16
2.2.3 Man-in-the-Middle атака .............................................................................17
2.2.3.1 Създаване на изкуствени смущения ..............................................18
2.4 Как правилно за защитаваме Wi-Fi мрежи?..........................................19
2.5 Предимствата и недостатъците на Wi-Fi ..................................................26
2
3. Безопасност и защита на Wi-Fi мрежи 2013
1. Теоретична обосновка на Wi-Fi
1.1. Какво е wi-fi?
Wi-Fi – търговска марка на Wi-Fi Alliance за безжични мрежи,
базирани на IEEE 802.11. Съкращението на Wi-Fi идва от ангийската
фраза Wireless Fidelity, които може да бъде преведено буквално като
„данни с висока дочнст, безжична”. В момента се разработват
стандарти за предаване на цифрови потоци от данни по въздуха.
Всяко оборудване, в съответствие с IEEE 802.11, могат да бъдат
тествани в Wi-Fi Alliance и получават сертификат и приложението на
логото Wi-Fi.
Wi-Fi е създаден през 1991 година от NCR Corporation / AT & T
(по-късно Lucent Technologies и Agere Sysyems) в Холандия. Продукт
предназначен първоначално за системи за касови услуги, пуснати на
пазара под името WaveLAN и предоставящи данни стс скорост от 1 до
2 Mbit/сек. Вик Хейс е създателя на wi-fi. Той участва и в
разработването на стандарти като IEEE 802.11b, IEEE 802.11a и IEEE
802.11g. През 2003 Хейс се оттегля от Agere Systems. Те не са в
състояние да са конкуренто способни в трудните пазарни условия,
въпреки факта, че нейните продукти са ниша за евтини Wi-Fi решения.
Стандартът IEEE 802.11n е одобрен на 11 септември 2009 година.
Неговото използване увеличава скоростта за предаване на данни
почти четири пъти, в сравнение със стандартните устреойства.
1.2. Как работи Wi-Fi?
Типичната Wi-Fi среда съдържа една или повече безжични точки
за достъп (ТД) (Wireless acces point, Access Point (APs)) и един или
повече „клиенти”. Една ТД излъчва свеото „име на мрежа” (SSID
Service Set Identifier, “Network name”) чрез пакети, които се наричат
маяци (beacons), които обикновенно се излъчват на всеки 100ms .
3
4. Безопасност и защита на Wi-Fi мрежи 2013
Маяците се излъчват с 1 Mbit/s, относително къси са като
продължителност и за това не оказват значителен ефект върху
производителността. Понеже 1 Mbit/s е най-ниската скорост за Wi-Fi
това означава, че клиентът трябва да може да консумира със скорост
поне 1 Mbit/s.
Основавайки се на настройките, клиентът може да се свърже с
ТД. Ако две ТД имат еднакъв SSID и са в обсега на клиента,
клиентският фърмуеър може да използва силата на сигнала, за да
реши към коя точно ТД да се свърже. Wi-Fi критериите за стандартни
нива на връзка и за роуминг са напълно отворени за клиента. Това е
предимство на Wi-Fi, но означава също, че един безжичен адаптер
може да предава по-добре от друг. Понеже Wi-Fi предава във въздуха,
той има същите настройки, както и несуичнатите интернет мрежи и за
това е възможно да се получат колизии. За разлика от кабелния
интернет и подобно на повечето пакетни радиа, Wi-Fi не може да
разграничава колизиите, а за целта използва пакетна размяна с
разпознаване на носителя.
1.3. Wi-Fi технлогии
Днес Wi-Fi продуктите могат да правят всичко – от изпращане на
имейл до видео стрийминг и свързване на международни конферентни
видео разговори. За посрещане на всички тези нужди има продукти в
много форми, някой от които за няколко долара.
Да стигнем там, където сме днес, тя е предприела голямо
сътрудничество между хиляди компании, изследователи и инжинери
да разработят продукти, които работят заедно безпроблемно. В
средата на 1990-те години, международен консорциум от инжинерни
експерти от много технологичнни компании започват да работят
заедно чрез една организация наречена IEEE (институт на инжинерите
4
5. Безопасност и защита на Wi-Fi мрежи 2013
по електротехника и електроника), за да разработят нови стандарти за
това как тези нови безжични продукти следва да си взаимодействат
един с друг.
1.4. Wi-Fi стандарти
IEEE 802.11 известен също под марката Wi-Fi, дефинира набор от
стандарти за Wireless LAN/WLAN, разработени от работна група 11 на
IEEE LAN/MAN Standards Committee (IEEE 802). Изразът 802.11x се
използва да обозначи набор от стандарти и не бива да се бърка със
нито един от неговите елементи. Не съществува самостоятелен
802.11x стандарт. Изразът IEEE 802.11 също така се отнася към
първичния 802.11. За приложението на тези стандарти вижте Wi-Fi.
Серията 802.11 в момента включва шест техники за модулация
във въздушна среда, всички които използват един и същ протокол.
Най-популярните техники са тези определени от 802.11b, 802.11a, и
802.11g; сигурността е била първоначално включена и по-късно
разширена чрез подобрението 802.11i. 802.11n е друга модулационна
техника, която е наскоро разработена. Другите стандарти от
фамилията (c–f, h, j) са сервизни разширения или поправки на
предишни спецификации. 802.11b бе първият широко приет мрежов
стандарт, последван от 802.11a и 802.11g.
802.11b и 802.11g стандартите използват 2.40 GHz (гигахерц)
честотата, използвана ( в САЩ) под Part 15 на FCC Правила и
регулации. Поради избора на честотния канал 802.11b и 802.11g
оборудването може да получи интерференция от микровълнови фурни,
безжични телефони, Bluetooth устройства и други използващи тази
честота. 802.11a стандартът използва 5 GHz честота и за това не се
влияе от продукти, работещи на честота 2.4 GHz.
5
6. Безопасност и защита на Wi-Fi мрежи 2013
Спектърният сегмент на радио-честотата може да варира в различните
държави.
Обхват
Дата на Оперативна Data Rate Data Rate Обхват
Протокол на
излизане честота (Type) (Max) в сграда
открито
Legacy 1997 2.4 GHz 0.9Mbit/s 2 Mbit/s ~20м ~100м
802.11а 1999 5 GHz 23 Mbit/s 54Mbit/s ~35м ~120м
802.11b 1999 2.4 GHz 4.3Mbit/s 11Mbit/s ~38м ~140м
802.11g 2003 2.4 GHz 19 Mbit/s 54Mbit/s ~38м ~140м
802.11h 2009 2.4/5 GHz 130Mbit/s 300 Mbit/s ~70м ~250м
802.11y 2008 3.7 GHz 23 Mbit/s 54 Mbit/s ~50 ~5000м
802.11а – базиран на основата на 802.11, този вариант използва
метода за пренос на данни OFDM, според който те се предават
паралелно, разбити на малки блокове. При 802.11а скоростта може да
достигне до 54 MBit/s при честоти от 5 GHz. Този стандарт е бил приет
през 1999 г.
802.11b – също приет през 1999 г. 802.11b е може би най-
известният стандарт за безжична връзка, познат в момента. Това е
вариантът, който въведе маркетинговото означение Wi-Fi и все още се
използва с голям успех. Един от недостатъците на 802.11b е ниската
честота, при която оперира – 2,4 GHz, и затова е възможно да се
получи интерференция с Bluetooth устройства или 2,4 GHz безжични
телефони. Стандартът притежава номинална скорост от 11 MBit/s.
802.11g – подобрена версия на 802.11b, 802.11g е сертифициран
да оперира при 54 MBit/s и 2,4 GHz работна честота. Новият стандарт
6
7. Безопасност и защита на Wi-Fi мрежи 2013
притежава възможността да работи в общо четири режима – два
основни и задължителни и два допълнителни. Основните са CCK
(Complementary Code Keying), използван при 802.11b, и OFDM – при
802.11a. Двата допълнителни са разработка на Texas Instruments и
Intersil, съответно PBCC-22 с възможност за работа със скорости до 54
MBit/s и CCK-OFDM с максимални 33 MBit/s. Предимствата са главно в
наличието на съвместимост с 802.11a и 802.11b, но ниската работна
честота е съществен недостатък.
802.11h – вариация на 802.11а, предназначена за Европа,
където в честотния диапазон около 5 GHz могат да се получат
интерференции с определени системи за спътникова връзка.
1.5. Технологии за защита
Ако за проникването на злосторниците в обикновената мрежа е
необходимо физически да се вържеш към нея, то при Wi-Fi всичко е
много по-просто - нужно е единствено да се намираш в зоната на
приемане на мрежата. Но какви вреди може да нанесе хакер, който се
е вързал към вашата мрежа и, което е по важно, как можем да се
предпазим от тях? Освен баналните щети от достъпа до
конфиденциална информация, последиците може да се изразяват в
разпространение на спам от ваше име, кражба на Интернет-трафик,
прослушване на незащитени разговори и т.н. Обаче технологиите
постоянно се усъвършенстват, и ако в зората на своето създаване Wi-
Fi-мрежите бяха практически незащитени против атаки, то сега
ситуацията осезаемо се е променила към по-добро.
1.5.1. WEP
Wired Equivalent Privacy (WEP) е алгоритъм за сигурност IEEE
802.11 безжични мрежи. Въведена като част от оригиналния 802.11
стандарт, стандартизиран през семптември 1999 година, с намерение
7
8. Безопасност и защита на Wi-Fi мрежи 2013
да се осигури конфиденциалността на данните, сравнима с тези на
традиционна кабелна мрежа. WEP, разпознаваем от ключа на 10 или
25 шестнадесетични цифри, е широко употребяван и често е първият
избор сигурност, представен на потребителите от инструментите на
рутер конфигурацията.
Въпреки, че името му предполага, че е толкова сигурен, колкото
каблена връзка, за WEP е доказано, че има множество недостатъци и е
била отхвърлена в полза на новите стандарти, као например WPA2.
През 2003 година Wi-Fi Alliance обяви, че WEP е заместен от Wi-Fi
Protected Access (WPA). През 2004 година със стандартизирането на
пълния стандарт 802.11i (WPA2), IEEE заявява, че WEP-40 и WEP-104
“са отхвърлени, тъй като не успяват да изпълнят своите цели за
сигурност”.
Криптиране
WEP използва потока шифър RC4 за поверителност, [5] и CRC-32
контролна за целостта. Стандартен 64-битов WEP използва 40 битов
ключ (известен също така като WEP-40), който се съединява с 24-
битов вектор и формира ключ RC4. По това време първоначалният
стандарт WEP е изготвен. Американското правителство поставя
ограничения върху износа на криптографска технология и размера на
ключа. След като ограниченията са премахнатаи, производителите на
точки за достъп прилагат разширен 128-битов WEP протокол, с
помоща на 104-битов размер на ключа (WEP-104).
8
9. Безопасност и защита на Wi-Fi мрежи 2013
фигура 1 WEP криптиране
Автентикация
Могат да се използват два метода за удостоверяване на
автентичноста с WEP: Open System за идентификация и Shared Key.
При Open System, клиентът на WLAN не е нужно да осигури свеите
идентификационни данни на Access Point при удостоверяване. Всеки
клиент може да се удостовери с точка на достъп и след това да се
асоциират. Впоследствие WEP ключове може да се използва за
криптиране на данни. В този момент, клиентът трябва да има
правилните ключове. При Shared Key автентикацията минава през
четири стъпки.
1. Клиентът изпраща заявка за удостоверяване на Access Point.
2. Точката за достъп връща ясен отговор.
3. Клиентът криптира с помоща на WEP Ключа и го изпраща
обратно в друга заявка за удостоверяване.
4. Access Point декриптира отговора. Ако това отговаря на
„предизвикателството” връща положителен отговор.
След удостоверяване и асоцииране, предварително споделен WEP
ключ се използва за криптиране на данни чрез използване на RC4.
9
10. Безопасност и защита на Wi-Fi мрежи 2013
1.5.2. WPA
WPA, кратко от Wi-Fi Protected Access, е специфично криптиране
на данните за безжична мрежа. Подобрената функция на сигурността
на WEP използващ Extensible Authentication Protocol (EAP) (разширен
протокол за удостоверение) за сигурен достъп през мрежа и метод на
криптиране за сигурен пренос на данни.
WPA е проектиран за употреба с 802.1X сървър за
удостоверяване, който разпределя различни ключове за всеки
потребител. Може също и да се използва в режим с по-ниска сигурност
с "Pre-Shared Key (PSK)" (предварително споделен ключ). PSK е
проектиран за мрежи в дома или малкия офис, където всеки
потребител има една и съща парола. WPA-PSK също се нарича и WPA-
Personal. WPA-PSK дава възможност на Brother безжично устройство да
се свързва с точка на достъп използвайки метод на криптиране TKIP
или AES. WPA2-PSK дава възможност на Brother безжично устройство
да се свързва с точка на достъп използвайки метод на криптиране
AES.
1.5.3. WPA2
WPA2 е построен предимно на основата на предхождащата го
версия - WPA, като използва елементи на IEEE 802.11i. Стандартът
предвижда прилагането на шифроването AES, автентификацията
802.1x, а също и защитна спецификация RSN и CCMP. Както се
предполага, WPA2 трябва съществено да повиши защитеността на Wi-
Fi-мрежа в сравнение с предходните технологии. По аналогия с WPA,
WPA2 също се дели на два типа: WPA2-PSK и WPA2-802.1x.
10
11. Безопасност и защита на Wi-Fi мрежи 2013
1.5.4. WiMAX
WiMAX (Worldwide Interoperability for Microwave Access) е
телекомуникационна технология, разработена да предоставя безжична
свързаност на големи разстояния за различни устройства (от работни
станции и портативни компютри до мобилни телефони). Технологията
е базирана на стандарта за пренос на данни IEEE 802.16. Името
"WiMAX" е въведено от организацията WiMAX Forum, създадена през
юни 2001 специално, за да приведе стандарта в съответствие и
оперативна съвместимост.
Стандартът IEEE 802.16 предвижда обхват на действие до 24 км
(15 мили) при равнинен терен и дава възможност за свързаност на
потребители без пряка видимост от базовата станция. Технологията
също предоставя възможност за споделени скорости на връзка до 70
MBit/s, което е достатъчна ширина на лентата за едновременна
поддръжка на повече от 60 бизнес клиента с Т1 тип свързаност и още
над хиляда домашни потребители при аналогична на 1 MBit/s DSL тип
свързаност.
WiMAX може да бъде използвана в техническо решение за
безжична градска или друга териториална мрежа, за да свързва Wi-Fi
(IEEE 802.11) горещи точки (hotspots) с Интернет или да предоставя
безжична алтернатива на кабел и DSL за широколентов достъп от
"последната миля" (крайни клиенти).
Очакванията са, че WiMAX ще даде възможност за
широколентово предоставяне на услуги като VoIP, видео и достъп до
Интернет едновременно. Интересен е също така и потенциалът за
оперативна съвместимост на WiMAX с клетъчни мрежи. Антените на
11
12. Безопасност и защита на Wi-Fi мрежи 2013
WiMAX могат да споделят трафика на клетка, без да компрометират
клетъчните масиви от данни. Няколко клетъчни компании оценяват
WiMAX като средство, използващо увеличена ширина на лентата за
различни приложения от данни. Имайки предвид такива възможни
приложения, технологията може да служи като BACKHAUL за клетъчен
телефонен трафик и Интернет от базови станции в отдалечени зони
към физически BACKBONE за данни.
1.5.5. WiMAX 2
WiMAX 2 е планираното продължение на WiMAX система за
високоскорестен безжичен достъп до Интернет. Той разполага с
максималната възможна скорост от около 200 пъти повече от тази,
която в момента се предлага през WiMAX.
1.5.6. 802.1х
802.1х е стандарт за автентикация на потребители искащи да се
свържат към жична или безжична мрежа. Автентикацията се извършва
преди потребителят да има достъп до мрежата. Ако потребителят се
свърже към порт на комутатор с настроена 802.1х автентикация и не
се автентикира, няма да получи никакъв достъп до мрежата. 802.1х
дава възможност на база на успешната аутентикация, да се разпознае
потребителят и да се направят автоматични настройки на комутатора
— например потребител да се постави в точно определен VLAN. 802.1х
се поддържа и от безжичните точки за достъп. Това дава възможност
да се изгради корпоративната LAN мрежа, която автоматично да
разпознава потребителите и винаги да им предоставя едни и същи
услуги, независимо от къде и през коя точка за достъп се свърза
потребителя.
1.6 Wi-Fi устройства
12
13. Безопасност и защита на Wi-Fi мрежи 2013
Access Point (точки за достъп) – устройства, които, най-общо
казано, позволяват връзката на LAN системи с Wireless системи.
Wi-Fi рутери – доста полезни “машинки”, които предлагат
възможността да изградите Wi-Fi мрежа на мястото на LAN, без да
положите дори един метър кабел. Wi-Fi рутерите представляват
обединяване на Access Point и интернет рутер, като така лесно ще
можете да разпределите LAN интернет връзка между няколко
безжични системи и да изградите вътрешна мрежа между тях.
Усилвател – позволява да усилите връзката между две или
повече Wi-Fi устройства, като го поставите на стратегически удобно
място, позволявайки косвено устройствата да имат пряка видимост
помежду си.
Wi-Fi PCI, PCMCIA, USB2.0 карти – мрежови карти за инсталиране
или включване към система, която искате да оборудвате с безжични
възможности. В зависимост от вида на компютъра варира и самата
карта. Голям интерес представляват USB2.0-базираните продукти,
които позволяват бързо и лесно преместване от една машина на друга,
както и голяма мобилност при използването им на лаптоп система.
13
14. Безопасност и защита на Wi-Fi мрежи 2013
2. Анализ на безопасността и защитата на Wi-Fi мрежите
2.1 Каква е опасността?
Wireless сигурността е само един от аспектите на компютърната
сигурност, организациите могат да бъдат особено уязвими към
пробиви в сигурността, причинени от лоши точки за достъп. Ако
служителят включи нов безжичен рутер в необезопасен switchport,
цялата мрежа може да бъде изложенa на опасност. По същият начин
ако един служител добави безжичен интерфейс за мрежов компютър
чрез отворен USB порт, ще се създаде пробив в сигурността на
мрежата, която ще позволи достъп до поверителни материали.
Мобилността, като предимство
Безжичните мрежи са много използвани, както от организациите
така и от физическите лица. Много преносими компютри са с
предварително инсталирани безжични карти. Тази възможност дава
големи ползи, но въпреки това безжичната връзка задава някой
въпроси свързани със сигурността. Хакерите са намерели лесни
начини за прекъсване на безжичната мрежа, а и дори за използване
на безжичните технологии за справяне с кабелните мрежи. Като
резултат, компаниите определят ефективни безжични политики за
сигурност и защита срещу не оторизиран достъп до важни ресурси.
2.2 Wireless атаки
2.2.1 Пасивна атака
Пасивната атака има тогава, когато някой "подслушва" мрежовия
трафик. Въоръжен с безжичен мрежов адаптер, който поддържа
различни режими. Подслушвача може да улови мрежовия трафик за
14
15. Безопасност и защита на Wi-Fi мрежи 2013
анализ с помоща на лесно достъпни инструменти, като например
Network Monitor в Microsoft продукти или TCOdump в Linux - базирани
продукти. Пасивните атаки в безжичната мрежа не може да са
зловредни по природа. В действителност, много хора в wardriving
общностите твърдят, че техните дейности са доброкачествени и дори
образователни. Трябва да се отбележи, че wardriving не е незаконно,
макар да се твърди обратното. Безжичната комуникация се
осъществява на нелицензирани честоти, като всеки един може да ги
използва. Това прави защитата от такъв вид атаки по-трудна.
Пасивните атаки сами по себе си са трудни за откриване. Ако
администраторът използва DHCP за безжична мрежа, той може да
забележи, че разрешеният MAC адрес е придобил чужд IP адрес.
Пасивните атаки на безжични мрежи са изключително чести.
Откриването и докладването на безжични мрежи се превръща в
популярно хоби за много хора. В действителност, тази дейност е
толкова популярна, че се появява термин "война на пропуските", за да
опише поведението на хора, които действително желаят д рекламират
наличието на AP и предлаганите от тях услуги, чрез конфигуриране на
техните SSIDs с текст като "Get_food_here!". Повечето от тези
wardriving ентусиасти използват популярна безплатна програма,
наречена NetStumbler, която е на разположение от
www.netstumbler.com. Програмата работи предимно с безжични
мрежови адаптери, които използват Hermes чипсет, поради
способността му да се отрият няколко точки, които са в обхват и WEP,
наред с други функции. Най-обикновена карта, която използва чипсет
Hermes за използване с NetStumbler e ORiNOCO gold card. Друго
предимство на ORiNOCO gold card е че той поддържа добавянето на
външна антена, която може значително да разшири обхвата на
безжичната мрежа, в зависимост от антената. Един от недостатъците
15
16. Безопасност и защита на Wi-Fi мрежи 2013
на чипсета Хермес е, че не поддържа безразборни режими, така че не
може да се използва за подслушване на мрежовия трафик. За тази
цел, трябва да имаме безжичен мрежов адапер, че подкрепя PRISM2
чипсет. По-голямата част на безжични мрежови адаптери, насочени за
потребителския пазар, използват този чипсет, например, на WPC
мрежови адаптери на Linksys. Сложните wardrivers разполагат с два
вида карти, една за откриване на безжични мрежи и други, за улавяне
на обхвата.
2.2.2 Активни атаки
След като един хакер е натрупал достатъчно информация от
пасивната атака, може да започне активна такава срещу мрежата. Има
потенциално голям брой активни атаки, които един хакер може да
започне срещу безжичната мрежа. В по-голямата част, тези атаки са
идентични с активните атаки, които се срещат при кабелните мрежи.
Те включват, но не се ограничават до, неоторизиран достъп,
подправяне, и отказ на услуга, както и въвеждането на злонамерен
софтуер и кражба на устройства. С нарастването на популярността на
безжичните мрежи, нови варианти за традиционните атаки,
специфични за безжични мрежи са се появили заедно с конкретни
термини, за да ги описват, като “drive-by spamming”, в която всеки
спамър изпраща десетки или стотици хиляди спам съобщения
използване на една компрометирана безжична мрежа. Поради
естеството на безжичните мрежи и слабостите на WEP, неоторизиран
достъп и подправяне са най-честите заплахи към безжична мрежа.
Измама е налице, когато един хакер може да използва неразрешена
станция, за да се представя за оторизирана станция в безжична
мрежа. Един общ начин за защита на безжичната мрежа от
неоторизиран достъп е да се използва MAC филтриране, за да се
позволи само на клиенти, които притежават MAC адреси достъп до
16
17. Безопасност и защита на Wi-Fi мрежи 2013
безжичната мрежа. Списъкът с допустимите MAC адреси могат да
бъдат конфигурирани за AP, или може да бъде конфигуриран по
RADIUS сървър, който е свързан с точка за достъп. Въпреки това,
независимо от използваната техника за изпълнение MAC филтриране,
тя е относително лесно да се променят MAC адрес на безжично
устройство чрез софтуер да се представи валиден такъв. В Windows,
това се постига с прости редактирания на регистъра, в UNIX чрез root
shell команда. MAC адресите да се изпращат в ясно на безжични
мрежи, така че това също е относително лесно да се отрият разрешени
адреси.
WEP може да се прилага, за да се осигури по-голяма защита
срещу атака, чрез използване на общ ключ за удостоверяване.
Въпреки това, както споменахме по-рано, Shared Key
удостоверяването създава допълнителна уязвимост, защото прави
видима информацията в затворената мрежа.
След като нападателят провери за истинност и е свързан с
безжичната мрежа, той може пусне сканиране на портове, чрез
използване на специални инструменти, за да се станат видими
списъците на потребителите и техните пароли, да се свърже с акции, и
като цяло, да създаде хаос в мрежата чрез DoS и Flooding атаки. Тези
атаки могат да бъдат традиционни, като Ping flood, SYN, фрагменти,
или Distributed DoS атаки (DDoS), или специфични за безжичните
мрежи чрез използване на Rogue Access Points.
2.2.3 Man-in-the-Middle атака
Поставянето на измамна точка за достъп в обхвата на
безжичната мрежа е типичен пример за man-in-the-middle. Ако
нападателят има достатъчно познания за SSID (както стана ясно по-
рано, той е тоста лесен за откриване) и AP е достатъчно силен,
потребителите нямат никакъв шанс да разберат че са се свързали към
17
18. Безопасност и защита на Wi-Fi мрежи 2013
измамна точка за достъп. При използването на такъв вид атака,
атакуващият може да получи ценна информация за безжичната мрежа,
както за удостоверяване на истинския ключ, който може да използва,
и така нататък. Често нападателят използва лаптоп с два безжични
адаптери, от които единия използва измамната AP, а другия се
използва, за да предаде истинския чрез безжичен мост на законната
AP. С достатъчно силна антена, не е нужно flood AP да се намира в
непосредствена близост до реалната AP. Поради трудно разкриване на
този вид атаки, единствената защита срещу измамник APS е
бдителност чрез чести проучвания на сайта и използване на
инструменти като NetStumbler и AiroPeek, както и физическа
сигурност.
Честото проучване на обекта също имат предимството на
разкриване на неразрешени точки за персонала на компанията. Те
могат да бъдат създадени и работните места, като по този начин се
компрометира цялата мрежа и напълно се обезсмисля работата, която
влиза в осигуряване на мрежата. Дори ако фирмата не използва или
планира да използва безжична мрежа, може да се предвидят редовни
проучвания на безжичната мрежа на място, за да се види дали някой
от служителите не е нарушил политиката на компанията за сигурност
чрез използване на неразрешен AP в мрежата, независимо от тяхното
намерени.
2.2.3.1 Създаване на изкуствени смущения
Заглушаването е специален вид DoS атака, специфични за
безжичната мрежа. То се случва, когато паразитни честоти RF пречат
на работата на безжичната мрежа. В някой случаи, заглушаването не е
опасно и е причинен от присъствието на други устройства, като
безжични телефон, които работят на една и съща честота с
безжичната мрежа. В случай като този, администраторите трябва да
18
19. Безопасност и защита на Wi-Fi мрежи 2013
работят и да прилагат политики по отношение на използването на
такива устройства, като например използването на Bluetooth
устройства, или избиране на безжичен хардуер, който използва
различна от честотата на безжичната мрежа. Умишлено и злонамерено
заглушаването се случва, когато един нападател анализира спектъра
на безжичната мрежа, и след това изпраща силен сигнал, намесва се в
съобщенията изпратени по откритите честоти. Този вид атака не се
използва толкова често, защото за да започне атакуващият трябва да
разполага с хардуер. Плюс това, заглушаването на мрежата са
необходими много време и усилия и деактивиране на съобщенията за
известно време.
2.4 Как правилно за защитаваме Wi-Fi мрежи?
Много корпоративни купувачи все още се опасяват да използват
елементи от безжичната инфраструктура в локалните мрежи. Отчасти
тези опасения са обосновани, но ако се следват най-простите
препоръки, може да се изгради WLAN мрежа, чиято защитеност не
оставя на зложелателите никакви шансове за достъп до критично
важна информация. Мрежите Wi-Fi по същество са уязвими към взлом
и подслушване, но на безжичните мрежи може да се разчита напълно,
ако се прилагат необходимите мерки за безопасност. За съжаление в
Интернет е пълно с остарели съвети и митове по този повод. Ще ви
предложим правила за обезпечаване на безопасност на Wi-Fi,
развенчаващи някои от тези митове.
Не ползвайте WEP
Алгоритъмът WEP (Wired Equivalent Privacy) е безнадеждно
остарял. Реализираният в него шифър може лесно и бързо да бъде
разбит дори от неопитни хакери, затова WEP е добре да не се ползва
изобщо. На онези, които все още го правят, се препоръчва незабавно
19
20. Безопасност и защита на Wi-Fi мрежи 2013
да преминат на WPA2 (Wi-Fi Protected Access) с автентификация
802.1X — стандартът 801.11i. Потребителите със стари клиентски
устройства или точки за достъп, неподдържащи WPA2, могат да
обновят системния им софтуер или просто да си купят ново
оборудване.
Не ползвайте WPA/WPA2-PSK
Режимът с общ ключ (pre-shared key, PSK) с протоколи WPA и
WPA2 е недостатъчно надежден за корпоративни или всякакви
организационни среди. При използване на дадения режим на всяко
клиентско устройство трябва да се въведе предварително зададен
условен ключ. Този ключ трябва да се променя всеки път, когато
организацията бъде напусната от поредния служител или когато
клиентско устройство бъде загубено или откраднато. За повечето
среди това е непрактично.
Внедрете 802.11i
Режимът Extensible Authentication Protocol (EAP) с протоколи WPA
и WPA2 се базира на автентификация по стандарта 802.1X, а не на
общи ключове, благодарение на което за всеки потребител или
клиентско устройство може да заведе собствен набор поверителни
данни - име и парола и/или цифров сертификат.
Самите ключове за шифроване редовно се променят автоматично
във фонов режим. Така че за изменение на параметрите за достъпа на
потребителите или да бъде лишен от права е достатъчно да се
променят поверителните данни на централния сървър, а не е нужно за
всеки клиент да се променя общият ключ. Уникални еднократни
ключове, действащи само в течение на сеанса, също не дават на
потребителите възможности да прихващат трафик един от друг, което
20
21. Безопасност и защита на Wi-Fi мрежи 2013
днес става лесно с помощта на Firesheep, допълнение за Firefox или
DroidSheep, приложения за Android.
Следва да се има предвид, че за максимална безопасност е
нужно да се ползва WPA2 с 802.1X — съчетание, известно и като
802.11i.
За поддръжка на автентификация 802.1X е нужен сървър
RADIUS/AAA. Ако се ползва Windows Server 2008 или по-нова версия
може да се пробва Network Policy Server (NPS) или Internet
Authenticate Server (IAS) от предишните версии на тази операционна
система. Тези, които нямат Windows Server, могат да пробват сървър с
отворен код FreeRADIUS.
При използване на Windows Server 2008 R2 или по-нов можете
да разпратите настройките 802.1X към присъединените към домейна
клиентски устройства посредством модификация на груповата
политика. В други случаи за настройка на клиентски устройства може
да се ползват външни решения.
Защитете параметри за автентификация 802.1X на
клиентски устройства
Режимът EAP в WPA/WPA2 е уязвим за посреднически атаки. Те
могат да бъдат предотвратени чрез защита на настройките EAP в
клиентското устройство. Например в настройките EAP в Windows може
да се включи проверка на действителността на сертификата на
сървъра. Това се прави чрез избор на сертификата на
удостоверяващия център (CA), указване на адреса на сървъра и
изключване на възможността потребителите да се доверяват на нови
сървъри или нови сертификати от удостоверяващия център (CA).
21
22. Безопасност и защита на Wi-Fi мрежи 2013
Настройките 802.1X могат да се разпратят и към присъединените
към домейна клиентски устройства посредством групова политика или
да се ползва решение на трети страни, например Quick1X на
компанията Avenda.
Задължително ползвайте система за блокиране на
прониквания (IPS) в безжични мрежи
Осигуряването на безопасност в Wi-Fi не се ограничава до
непосредствената борба с опитите да получат несанкциониран достъп
до мрежите. Хакерите могат да създават фиктивни точки за достъп до
мрежите или провеждат атаки тип „отказ от обслужване“. За да бъдат
разпознати такива прониквания и да се борим с тях, трябва да бъдат
внедрени безжична система за предотвратяване на прониквания.
Конструктивно такива системи на различните доставчици могат да се
отличават, но по правило всички те прослушват ефира в търсене на
фиктивни точки за достъп и зложелателна активност, като се стараят
да я блокират и да предупредят сисадмина.
Съществуват доста компании, предлагащи решения от такъв тип,
например AirMagnet и AirTight Networks. Има и варианти с отворен код,
например Snort.
Ползвайте NAP или NAC
В допълнение към 802.11i и безжичната система за
предотвратяване на прониквания е препоръчително да се ползва
технологията Microsoft Network Access Protection (NAP) или системата
за контрол на достъпа до мрежата (Network Access Control, NAC). Те
могат да обезпечат допълнителен контрол над достъпа до мрежите по
принципа на идентификация на клиентското устройство и определяне
на неговото съответствие със зададената политика. Те могат да
22
23. Безопасност и защита на Wi-Fi мрежи 2013
изолират проблемните клиенти и принудително да осигуряват тяхното
съответствие с политиката.
В някои NAC решения може да има и механизми за разпознаване
и предотвратяване на прониквания, но трябва да се убедите, че те са
предназначени именно за безжични мрежи. Сисадмините на среди на
базата на Windows Server 2008 или по-нови версии с клиентски
устройства, работещи с Windows Vista или по-нова ОС, могат да се
възползват от технологията Microsoft NAP. В други случаи се прилагат
решения на трети страни, например системата PacketFence с отворен
код.
Не разчитайте на скрити SSID
Един от митовете при безжичната безопасност е, че
изключването на бродкаст изпращането на идентификатори за
безжични мрежи (SSID) ще скрие вашата мрежа или поне самия SSID
идентификатор от хакерите. Такава опция обаче само отделя SSID от
сигналните кадри на точките за достъп. Идентификаторите на мрежите
продължават да присъстват в заявките на асоциацията 802.11, а в
някои случаи и в пакетите за проверка и отговорите на тези пакети.
Затова „подслушвачът“ може да намери „скрита“ SSID доста бързо,
особено в мрежи с голяма активност с помощта на легален анализатор
на безжични мрежи.
Битува и мнение, че изключването на публикуването на SSID
създава допълнително ниво на сигурност, но не трябва да се забравя,
че това може да окаже негативно влияние върху бързодействието на
мрежите и да увеличи сложността на конфигурирането. Ще се наложи
ръчно въвеждане на SSID в клиентите, което допълнително усложнява
тяхната настройка. Освен това се увеличава броят на сондиращите и
23
24. Безопасност и защита на Wi-Fi мрежи 2013
ответни пакети, като по този начин се намалява достъпната
пропусквателна способност.
Не се доверявайте на филтриране по MAC адрес
Още един мит за защитата на безжични мрежи: включването на
филтриране по MAC адрес позволява да се създаде допълнително ниво
на сигурност, предотвратявайки допускането на външни клиенти до
мрежата. Това е вярно в известна степен, но трябва да помним, че при
подслушване на трафика атакуващите лесно могат да разберат
разрешените MAC адреси и да ги подправят на своите устройства.
Затова не си струва да се разчита на надеждността на MAC
филтрирането, макар че тази функция може да се ползва за
ограничаване на възможностите на потребителите да свързват към
мрежите несанкционирани устройства и компютри. Трябва да се има
предвид и сложното управление и своевременно обновяване на
списъка от MAC адреси.
Ограничете набора от SSID, към който могат да се
свързват потребителите
Много системни администратори пропускат наглед простия, но
потенциално сериозен риск: потребители, специално или
непреднамерено свързали се към съседна или несанкционирана
безжична мрежа, отварят своите компютри за възможно вражеско
проникване. Един от способите да се предотврати тази опасност е
филтрирането на SSID. В Windows Vista и по-новите версии например
може да се създадат филтри на допустимите SSID с помощта на
командата nethsh wlan. На настолните PC-та могат да се забранят
всички SSID, освен вашата собствена безжична мрежа, а на лаптопите
могат просто да се забранят SSID на съседни мрежи, но да се запази
24
25. Безопасност и защита на Wi-Fi мрежи 2013
възможността за свързване към обществени зони за достъп или
домашни безжични мрежи.
Не забравяйте за защитата на мобилните клиенти
Грижите за безопасността на Wi-Fi не трябва да се ограничават
до собствената мрежа на организацията. Потребители със смартфони и
таблети може да са защитени, когато се намират в офиса, но какво ще
стане, когато те се свързват към обществени зони за безжичен достъп
или към домашните си мрежи? Струва си да се помисли за защита и на
тези връзки от прониквания и подслушвания.
За съжаление външните връзки през Wi-Fi се защитават по-
трудно. За целта на потребителите трябва да се предоставят и
препоръчат определени решения, а също така те да бъдат
„просветени“ относно рисковете за безопасността и мерките за тяхното
неутрализиране.
Първо, на всички лаптопи трябва да работят персонални защитни
стени (например WIndows Firewall) за предотвратяване на
прониквания. При използване на Windows Server това може да стане
чрез съответната групова политика или с помощта на решения за
управление на невлизащи в домейна компютри, например Windows
Intune.
Второ, трябва да се обезпечи шифроване на целия интернет
трафик на потребителите за защита от прихващане от външни мрежи.
За целта достъпът на потребителите до мрежата на неговата
организация трябва да става само през виртуална частна мрежа. Ако
системният администратор не желае да предостави за такива цели
собствената VPN на организацията, могат да се ползват и външни
услуги от типа на Hotsopt Shield или Witopia. В iOS (на iPhone, iPad и
iPod Touch) и Android устройствата могат да се инсталират вградени
25
26. Безопасност и защита на Wi-Fi мрежи 2013
VPN клиенти. За ползване на VPN клиентите обаче устройствата на
базата на платформата BlackBerry и Windows Phone 7 трябва да се
снабдите със сървър за обмен на съобщения.
Трябва да се проследи и дали всички услуги на организацията,
„гледащи“ в Интернет, са защитени — просто в случай, че
потребителят няма да ползва VPN, ако се намира в публична или
недоверена мрежа. Например ако организацията предоставя външен
достъп до електронна поща (чрез пощенски клиент или Web), е
необходимо да се ползва SSL криптиране, така че да не се позволи на
локален подслушвач в недоверената мрежа да проследи
доверителните данни или съобщения на потребителя.
2.5 Предимствата и недостатъците на Wi-Fi
Предимствата:
Изграждането на мрежа без нужда от десетки (дори стотици)
метри положен кабел. Всичко става бързо и лесно и добавянето или
премахването на точка е въпрос на секунди. Наред с това може да се
движите из сградата или помещението, без да се притеснявате дали
ще ви стигне кабелът и дали няма да спънете някой колега с
“опашката” си.
Достъпност. За разлика отпреди 6–7 години, в момента Wi-Fi
устройствата са много по-достъпни и на прилични цени.
Възможностите стават все повече поради нарастването на
предлаганите модели от най-различни производители.
Роуминг. За разлика от клетъчните телефони, при Wi-Fi единният
стандарт позволява да използвате безжичните възможности на
системата си по цял свят, без да променяте нещо по хардуера.
26
27. Безопасност и защита на Wi-Fi мрежи 2013
Сигурност. WPA и WPA2 позволяват високо ниво на защита на
създадената мрежа, особено при използване на дълъг и труден за
декодиране ключ.
Недостатъците:
Интерференция. Използването на 2,4 GHz като работна честота
“позволява” на някои видове безжични телефони, микровълнови
фурни или други устройства, работещи на тази честота, да влошават
или дори блокират Wi-Fi мрежата.
Наличие на канали. Ограниченият брой канали за връзка в някои
случаи може да бъде голяма пречка за създаване на Wi-Fi мрежа. В
Европа са позволени два канала повече (общо 14), отколкото в САЩ.
Повишена консумация. Това засяга повече притежателите на
мобилни системи, но е факт, че Wi-Fi устройствата използват повече
мощност за поддържане на висока сила на сигнала и работната
скорост.
Ограниченост. Каквото и да говорим, Wi-Fi (според стандарта) си
има определен обхват и прехвърлянето му води до сериозно
влошаване на връзката. Освен това наличието на прегради
допълнително намалява силата на сигнала и оттам честотната лента.
По-ниска сигурност. За разлика от LAN, при Wi-Fi възможността
за пробив в сигурността е много по-голяма поради липсата на
физически прегради, да не говорим че някои потребители дори не се
сещат да защитят мрежата си, понеже нямат опит при работа с Wi-Fi.
Както обаче споменах по-горе в предимствата, използването на
сериозни ключове и WPA/WPA2 криптиране може да занижи
чувствително тази възможност.
27
28. Безопасност и защита на Wi-Fi мрежи 2013
Източници
(http://bg.wikipedia.org/wiki/Wi-Fi)
(http://www.wi-fi.org/)
(http://www.windowsecurity.com/articles-
tutorials/Wireless_Security/Wireless_Attacks_Primer.html)
(http://en.wikipedia.org/wiki/Wireless)
28
