2020-10-11
52
Лекция 4. Защита информации и беспроводные сети
План:
X - восприимчивость к угрозам извне
Уязвимость старых методов защиты
WEP-атаки
Современные требования к защите
Невероятно быстрые темпы внедрения в современных сетях беспроводных решений заставляют задуматься о надежности защиты данных. В настоящее время устройства беспроводной связи на базе стандартов 802.11х продвигаются на рынка сетевого оборудования очень агрессивно. Количество всевозможного работающего оборудования стандартов 802.11х в мире впечатляет: по данным компании J`son & Partners, число хот-спотов в конце 2003 года превысило 43 тыс., а к концу 2004-го увеличилось Более чем на 200%. Доля России в этих цифрах невелика, при том что количество сетей беспроводной связи неуклонно растет. Впечатляют не столько цифры, сколько те заблуждения, которые касаются обеспечения безопасной передачи данных в таких сетях.
X - восприимчивость к угрозам извне
Сам принцип беспроводной передачи данных заключает в себе возможность несанкционированных подключений к точкам доступа. Взять хотя бы "непротокольные" угрозы, которые составляют основу проблемы. При разработке корпоративной сети администраторы в первую очередь заботятся о качественном покрытии территории офисов, забывая, что хакеры могут подключиться к сети прямо из автомобиля, припаркованного на улице. Бывают ситуации, когда просто нереально заблокировать саму возможность "слышать" передаваемый трафик.
|
|
|
Не менее опасная угроза - вероятность хищения оборудования. Если политика безопасности беспроводной сети построена на МАС-адресах, то сетевая карта или точка доступа, украденная злоумышленником, может открыть доступ к вашей сети.
Часто несанкционированное подключение точек доступа к ЛВС выполняется самими работниками предприятия. Защиту информации при подключении к сети таких устройств сотрудники обеспечивают тоже самостоятельно, не всегда задумываясь о последствиях.
Решением подобных проблем нужно заниматься комплексно. Организационные мероприятия в рамках данной статьи не рассматриваются - они чаще всего выбираются исходя из условий работы каждой конкретной сети. Что касается мероприятий технического характера, то весьма хорошей результат достигается при использовании обязательной взаимной аутентификации устройств и внедрении активных (Obrserver 8.3, Airopeek NX 2.01, Wireless Sniffer 4.75) и пассивных (APTools 0.1.0, xprobe 0.0.2) средств контроля.
Уязвимость старых методов защиты
Защитой данных в беспроводных сетях комитет IEEE 802.11 занимался всегда. К сожалению, методы обеспечения безопасности сетей 803.11х на этапе их начального развития (1997-98 годы) использовались, мягко говоря, неудачные.
|
|
|
Классический протокол шифраци WEP, разработанный компанией RSA Data Security, использует 40-битный ключ, который складывается со сгенерированным вектором инициализации (IV, 24 бит). С помощью полученного ключа по алгоритму RC4 шифруются пользовательские данные и контрольная сумма. Вектор IV передается в открытом виде.
Первым минусом, безусловно, является 40-битный ключ, поскольку даже DES с его 56-битным ключом давно считается ненадежным. Вторым минусом можно считать неизменяемость ключа - применение статичного ключа упрощает проблему взлома. И наконец, сам подход к шифрованию кажется весьма сомнительным, Размер IV-24 бит, а значит, он повторится не позднее чем через 5 часов (длина пакета- 1500 байт, скорость - 11 Мбит/с), и это в самом крайнем случае.
В 2001 году появились первые реализации драйверов и программ, позволяющих справиться с шифрованием WEP. Документ, описывающий эту уязвимость, опубликован по адресу: http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html.
Способы аутентификации тоже не внушают особого доверия. Например, ничего не стоит подслушать всю процедуру аутентификации по MAC-адресу, ведь МАС-адреса в кадре передаются незашифрованными. Самый удачный из перечисленных способов - PreShared Key. Но и он хорош только при надежной шифрации и регулярной замене качественных паролей.
Существует распространенное заблуждение, что применение уникального Service Set ID (SSID) позволяет избежать несанкционированных подключений. Увы, SSID пригоден лишь для логического разбиения сетевых устройств на группы. Единственное, что вы можете сделать с помощью SSID, - это смутить взломщиков использованием "непечатных" символов.
Алгоритм анализа зашифрованных данных
WEP-атаки
Недостаточность длины ключа, отсутствие его ротаций и сам принцип шифрации RC4 - все это позволяет злоумышленнику организовать весьма эффективную пассивную атаку. Причем для этого ему не придется совершать никакие действий, которые помогли бы его обнаружить, - он будет просто слушать канал. Не требуется при этом и специального оборудования -хватит обычной WLAN-карточки, купленной долларов за 20-25, а также программы, которая будет накапливать пакеты на жестком диске до совпадения значений вектора IV. Когда количество пакетов станет достаточным (чаще всего от 1 до 4 млн. пакетов), WEP-ключ легко вычисляется.
Неплохих результатов может достичь хакер, прибегающий к активным способам атаки. Например, посылая в локальную сеть известные данные (скажем, из Интернета) и одновременно анализируя, как их зашифровала точка доступа. Такой метод позволяет вычислить ключ и манипулировать данными.
Еще один метод активной атаки - Bit-Flip attack. Алгоритм действия здесь следующий. В перехваченном фрейме, зашифрованном WEP, произвольно меняется несколько битов в поле "Данные", пересчитывается контрольная сумма CRC-32 и посылается обратно на точку доступа. Точка доступа принимает фрейм на канальном уровне, поскольку контрольная сумма верна, пытается дешифровать данное и отвечает заранее известным текстом, например: "Ваш ключ шифрования неверен". Последующее сравнение текста в зашифрованном и незашифрованном виде может позволить вычислить ключ.
Атакам DOS, использующим способ широкополосной модуляции DSSS, могут быть подвержены устройства стандарта 802.11b и 802.11g, работающие на низких скоростях.
Все вышесказанное позволяет говорить о ненадежности старых методов обеспечения безопасности в беспроводных сетях, поэтому в тех случаях, когда имеющееся оборудование не позволяет реализовать современные решения по защите информации, необходимо либо использовать строжайшую административную политику, либо применять технологию IPSec-ESP, которая даст возможность надежно защитить данные, однако заметно снизит производительность ЛС.
