Безопасность в беспроводном доступе

Введение

За последние несколько лет популярность беспроводных сетей значительно возросла. На рост популярности беспроводного доступа в значительной мере оказывают влияние такие факторы, как интеграция в современные ноутбуки карт беспроводного доступа, появления PDA устройств, радио IP телефонов и т.д. По оценке компании IDC, до конца 2004 года планируется, что продажи оборудования беспроводного доступа достигнут 64 млн. устройств (для сравнения в 2002 году было продано 24 млн. устройств). Сейчас беспроводный доступ можно встретить в ресторанах, гостиницах и аэропортах, многие компании используют беспроводные сети для подключения пользователей к своей ИТ инфраструктуре, пользователи домашних сетей используют беспроводный доступ, для подключения к сети Интернет. При этом лишь немногие ставят вопрос безопасности беспроводной сети на первое место.

Проблемы безопасности беспроводного доступа

1. Позиционирование SSID

Параметр SSID является идентификатором беспроводной сети. Он применяется для разделения пользователей беспроводной сети на логические группы. SSID позволяет пользователю подключиться к требуемой беспроводной сети, и при необходимости, может быть сопоставлен с идентификатором виртуальной локальной сети (VLAN). Такое сопоставление необходимо для организации разграничения уровней доступа беспроводных пользователей к ресурсам корпоративной инфраструктуры.

Некоторые сетевые инженеры, при проектировании беспроводной сети, считают, что SSID является одним из средств обеспечения безопасности и отключение широковещательной рассылки значения SSID позволит усилить безопасность сети. На самом деле, отключение широковещательной рассылки этого параметра не только не повысит безопасность беспроводной сети, но и сделает сеть менее гибкой по отношению к клиентам. Некоторые клиенты не смогут корректно работать с точкой радиодоступа, на которой отключено вещание значения SSID. Следует иметь ввиду, что даже при отключении вещания SSID, возможность определения этого идентификатора по-прежнему остается, так как его значение передается во фреймах probe response. Нужно так же понимать, что разделив пользователей на различные логические группы при помощи SSID, вероятность подслушивания трафика остается, даже у пользователей, которые не зарегистрированы на точке беспроводного доступа.

2. Аутентификация с использованием MAC адреса

Аутентификация — это процесс определения личности клиента по предоставленной им информации, например, имя и пароль. Многие производители беспроводного оборудования поддерживают аутентификацию пользовательских устройств по MAC-адресам, однако стандарт IEEE (Institut of Electrical and Electronic Engineers) 802.11 такой тип аутентификации не предусматривает.

Аутентификация по MAC адресу без использования дополнительных методов обеспечения безопасности малоэффективна. Злоумышленнику достаточно просто получить доступ к беспроводной сети в которой настроена только аутентификация по MAC адресу. Для этого необходимо проанализировать радиоканал, на котором точка радиодоступа работает с клиентами, и получить список MAC адресов устройств, которым открыт доступ к сети. Для получения доступа к сетевым ресурсам по беспроводной сети необходимо заменить MAC адрес своей беспроводной карты, на известный MAC адрес клиента.

3. Проблемы с шифрованием при помощи статических ключей WEP

WEP (Wired Equivalent Privacy) - ключ, который предназначен для шифрования трафика между точкой радиодоступа и ее пользователями. Шифрование WEP основано на недостаточно криптоустойчивом алгоритме шифрования RC4. Длина WEP ключа составляет 40 или 104 бита. К ключу добавляется нешифрованная последовательность символов для успешного декодирования сигнала на обратной стороне размером 24 бита. Таким образом, принято говорить о длинах ключей 64 и 128 бит, однако эффективная часть ключа составляет всего лишь 40 и 104 бита. Стоит отметить, что при такой длине статического ключа, говорить о повышенной криптоустойчивости беспроводной сети не приходиться. В сети Интернет можно без особого труда найти программы, которые позволяют получить WEP ключ на основе трафика собранного анализатором. К таким программам относятся, например, WEPCrack и AirSnort. Для повышения криптоустойчивости, статический ключ размером 64 бита необходимо менять ориентировочно раз в 20 минут, а ключ размером 128 бит раз в час. Представьте себе, что вам необходимо каждый час изменять статический WEP ключ на точке доступа и всех ее клиентах. А если количество пользователей 100 или 1000? Такое решение не будет востребовано, из-за неоправданной сложности в эксплуатации.

4. Сетевые атаки

Сетевые атаки можно разделить на активные и пассивные.

К пассивным атакам относятся атаки, во время проведения которых не оказывается активных воздействий на работу беспроводной сети. Например, злоумышленник, используя программы WEPCrack или AirSnort, на протяжении 3-4 часов пассивной слежки и анализа вычисляет секретный ключ шифрования WEP длиной 128 бит.

Суть активных атак заключается в воздействии на беспроводную сеть с целью получения данных, после обработки которых, будет получен доступ к ресурсам радиосети. К ним относятся такие атаки как, повторное использование вектора инициализации и атака с манипуляцией битов.

Повторное использование вектора инициализации.

Злоумышленник многократно посылает одну и ту же информацию (заранее известного содержания) пользователю, который работает в атакуемом беспроводном сегменте, через внешнюю сеть. Все время пока злоумышленник посылает информацию пользователю, он так же прослушивает радиоканал (канал между пользователем и атакуемой точкой радиодоступа) и собирает шифрованные данные, в которых содержится посланная им информация. Затем злоумышленник вычисляет ключевую последовательность, используя полученные шифрованные данные и известные нешифрованные.

Манипуляция битами.

Атака основана на уязвимости вектора контроля целостности. Например, злоумышленник манипулирует битами пользовательских данных внутри фрейма с целью искажения информации 3^го уровня. Фрейм не претерпел изменений на канальном уровне, проверка целостности на точке радиодоступа проходит успешно и фрейм передается дальше. Маршрутизатор, получив фрейм от точки радиодоступа, распаковывает его и проверяет контрольную сумму пакета сетевого уровня, контрольная сумма пакета оказывается неверной. Маршрутизатор генерирует сообщение об ошибке и отсылает фрейм обратно на точку радиодоступа. Точка радиодоступа шифрует пакет и отправляет клиенту. Злоумышленник захватывает зашифрованный пакет с заранее известным сообщением об ошибке, после чего вычисляет ключевую последовательность.

5. Атаки DoS

К DoS (Deny of Service) атакам относятся виды атак, результатом которых становиться отказ в обслуживании клиентов беспроводной сети. Суть данных атак заключается в том, чтобы парализовать работу беспроводной сети.

Специалистами Квинслендского технологического университета была опубликована информация об обнаруженной уязвимости, связанной с оценкой доступности радиоканала в технологии с прямой последовательностью распространения спектра (DSSS). На базе этой технологии реализован широко – распространенный стандарт 802.11b.

Злоумышленник, используя уязвимость, имитирует постоянную занятость беспроводной сети. В результате такой атаки, все пользователи, работающие с точкой радиодоступа, по отношению к которой произошла атака, будут отключены.

Так же необходимо заметить, что данная атака может быть применима не только к оборудованию, работающему в стандарте 802.11b, но и к оборудованию стандарта 802.11g, хотя он не использует технологию DSSS. Это возможно тогда, когда точка радиодоступа, работающая в стандарте 802.11g поддерживает обратную совместимость со стандартом 802.11b.

На сегодняшний день защиты от DoS атак для оборудования стандарта 802.11b не существует, но, для избежания такой атаки, целесообразно использовать оборудование стандарта 802.11g (без обратной совместимости с 802.11b).

Как лучше построить безопасную беспроводную сеть?

При проектировании и построении беспроводной сети необходимо уделить основное внимание безопасности, надежности, а так же максимально упростить эксплуатационный процесс.

В качестве примера возьмем следующую задачу, в которой необходимо обеспечить доступ пользователей Конференц зала к корпоративным ресурсам. В этом примере мы рассмотрим построение такой сети на базе оборудования, предлагаемого различными компаниями.

Рис.1

Перед построением сети беспроводного доступа, необходимо произвести изучение местности, т.е. вооружившись точкой радиодоступа и портативным компьютером выехать на объект предполагаемой инсталляции. Это позволит определить места наиболее удачного расположения точек радиодоступа, позволяя добиться максимальной зоны покрытия местности. При построении системы безопасности беспроводного доступа необходимо помнить о трех составляющих:

архитектура аутентификации,

механизм аутентификации,

механизм обеспечения конфиденциальности и целостности данных.

В качестве архитектуры аутентификации используется стандарт IEEE 802.1X. Он описывает единую архитектуру контроля доступа к портам устройств с использованием различных методов аутентификации абонентов.

В качестве механизма аутентификации мы будем использовать протокол EAP (Extensible Authentication Protocol). Протокол EAP позволяет осуществлять аутентификацию на основе имени пользователя и пароля, а так же поддерживает возможность динамической смены ключа шифрования. Имена пользователей и пароли необходимо хранить на сервере RADIUS.

В качестве механизма обеспечивающего конфиденциальность и целостность данных мы будет использоваться протоколы WEP и TKIP (Temporal Key Integrity Protocol). Протокол TKIP позволяет усилить защиту WEP шифрования, за счет таких механизмов как MIC и PPK. Рассмотрим более подробно их предназначение.

MIC (Message Integrity Check) повышает эффективность функции контроля целостности в стандарте IEEE 802.11, за счет добавления во фрейм следующих полей, SEC (sequence number) и MIC, что позволяет предотвращать атаки, связанные с повторным использованием вектора инициализации и манипуляции битами.

PPK (Per-Packet Keying) попакетная смена ключа шифрования. Она позволяет снизить вероятность успешных атак, целью которых является определение WEP ключа, но не гарантирует полную защиту.

Чтобы избежать атак типа “отказ в обслуживании”, основанных на уязвимости технологии DSSS, беспроводная сеть будет построена на базе оборудования нового стандарта 802.11g (при этом стандарт 802.11g не должен быть обратно совместимым со стандартом 802.11b). Стандарт 802.11g основан на использовании технологии OFDM (Orthogonal Frequency Division Multiplexing), данная технология позволяет добиться скорости до 54Mbps.

В целях повышения уровня безопасности беспроводной сети целесообразно рассмотреть вопрос об использовании сервера Cisco WLSE (Wireless LAN Solution Engine). Применение этого устройства позволит выявлять несанкционированно установленные точки радиодоступа, а также осуществлять централизованное управление радиосетью.

Для обеспечения отказоустойчивости работы точек беспроводного доступа целесообразно использовать режим standby. Таким образом, получается, что на одном радиоканале будут работать 2-е точки, одна в роли активной, другая в роли резервной.

Если требуется обеспечить отказоустойчивость в аутентифицированном доступе, то необходимо установить два сервера аутентификации ACS. При этом, один будет использоваться в качестве основного, а второй в качестве резервного.

Таким образом, при построении беспроводной сети с учетом требований к безопасности и отказоустойчивости мы задействовали широкий спектр компонентов, которые позволят защитить нас от посягательств злоумышленников и предотвратить возможные атаки.

Конечно, описанное решение, не является минимальным по ценовым характеристикам, однако, уделив первостепенное внимание вопросам безопасности в беспроводной сети риски минимизировали риски, связанные с возможной утечкой внутренней корпоративной информацией.

Поршаков Евгений, Системный инженер

INLINE TECHNOLOGIES

www.in-line.ru