Сага о безопасности в сетях Wi-Fi

Вы наверняка хотя бы краем уха слышали легенды о загадочных вор-драйверах (war drivers). Эти таинственные личности ведут охоту на беспризорные сети Wi-Fi. Ходят слухи, что у них есть своя условная система знаков, которые они рисуют на тротуарах, указывая незащищенные точки доступа. «Как страшно жить!» — воскликнете вы и пойдете доставать из чулана старые добрые провода. Ведь к проводной сети хакеру нужно для начала подключиться физически, а вот в Wi-Fi варианте достаточно установить антенну в зоне действия сети — к примеру, в соседней квартире либо в ближайшей подворотне — и беспрепятственно пользоваться «халявным» интернетом. Но особо бояться все же не стоит — беспроводное соединение вполне можно сделать безопасным.

Где будем делать талию?

Для обеспечения безопасности сети обычно используется стандарт 802.1. Чаще всего применяются четыре механизма защиты, о которых мы вам и расскажем.

Wired Equivalent Protocol

Основная функция WEP — шифрование данных при передаче по радио и предотвращение неавторизованного доступа в беспроводную сеть. По умолчанию WEP отключен, но его можно активировать, и он начнет шифровать все исходящие пакеты информации. На смену «дырявой» первой версии пришла модификация под названием WEP 2 с улучшенным механизмом шифрования.

Open System Authentication

Эта функция в протоколе 802.11 используется по умолчанию. Есть возможность выбора аутентификации из Open System, Shared Key или Closed System. Меньше всего ограничений накладывает Open System, но при желании значение всегда можно поменять для усиления безопасности.

Access Control List

Используется как дополнение к стандартным методам защиты. Клиентский Ethernet MAC (от англ. Media Access Control — «управление доступом к носителю») — это уникальный идентификатор, сопоставляемый с различными типами оборудования для компьютерных сетей. Точка доступа ограничивает доступ к сети в соответствии со своим списком МАС-адресов. Если клиент в списке — доступ будет разрешен.

Closed Network Access Control

Этот механизм позволяет администратору контролировать присоединение к сети. В нее может войти любой пользователь, который знает SSID — сетевое имя, которое в свою очередь служит ключом.

О жабах

Чтобы поймать жабу, нужно думать как жаба и выглядеть как жаба, потому теперь нам важно понять, как действует хакер при взломе сети. Врага надо знать в лицо, а предупрежден — значит вооружен. Методики проникновения в сеть могут быть самыми разными. Проникнуть в сеть, защищенную Access Control List, и использовать ее ресурсы очень просто, поскольку беспроводные сетевые карты позволяют менять МАС-адрес, и перехватить его не сложно — ведь даже при шифровании данных через WEP он передается в открытом виде.

Способов проникновения в сеть довольно много, поскольку алгоритмы WEP уязвимы. К примеру, работники одного израильского научного института обнаружили слабое место в алгоритме Key Scheduling Algorithm (KSA). Воспользовавшись этой «дыркой», можно получить и 24-битный ключ WEP и 128-битный ключ WEP 2.

К сожалению, большинство беспроводных сетей совсем никак не защищены, в них не требуется авторизации и даже не используется WEP, так что человек с беспроводной сетевой карточкой и сканером может легко подключиться к Access Point.

На войне как на войне

Настало время поговорить о защите от любителей «халявы». Рекомендуем вам внимательно прочитать эту главу, прежде чем вы соберетесь заняться установкой беспроводной сети. Во время теста мы использовали точку доступа AirLive WL-8064ARM. Настройки стандартны, независимо от производителя брандмауэра. По сути, существует три уровня безопасности и ряд дополнительных возможностей.

1. SSID (Network ID)

Алфавитно-цифровой код SSID (система сетевых идентификаторов) или, грубо говоря, ключ, передается клиенту при попытке подключения к AP. Ключ может быть любой длины. Только те, кто знает этот код, смогут присоединиться к нашей сети. При использовании WEP сетевой идентификатор при передаче шифруется, однако на конечном устройстве он хранится в виде plain-text'a. Потому хакер, имеющий доступ к устройствам, сможет его прочесть.

2. Фильтрация МАС-адресов

Далее переходим к составлению списка МАС-адресов сетевых карт клиентов. В случае нескольких АР необходимо предусмотреть, чтобы МАС-адрес клиента существовал на всех, дабы он мог беспрепятственно перемещаться между ними. Однако, как уже говорилось, несмотря на всю уникальность МАС-адреса, одной этой схемы обеспечения безопасности явно недостаточно.

3. WEP-WPA 802.1х

Несмотря на то, что WEP легко поддается взлому, его все равно стоит использовать, дабы не облегчать задачу хакеру. Есть и усовершенствованная альтернатива WEP — стандарт WPA. «Подтянуть» уровень безопасности можно и средствами усиленной аутентификации по протоколу стандарта 802.1х, который определяет взаимодействие клиента с сервером на этапе авторизации абонента в системе. Однако 802.1х требует установки на стороне клиента специализированного программного обеспечения (сапликанта). По умолчанию поддержка механизма аутентификации по протоколу 802.1х встроена в операционную систему Windows, но это не гарантирует совместимость реализаций одного и того же протокола разными производителями. К тому же сапликанта именно для вашего типа клиентского устройства может вообще не быть. В этом случае советуем искать дополнительное ПО в комплекте поставки точки доступа на диске с драйверами.

Firewall

На наш взгляд — это единственное, что может спасти от неавторизованного доступа. Доступ к сети должен осуществляться при помощи IPSec, secure shell или VPN, и брандмауэр надо настроить на работу именно с этими безопасными соединениями.

Access Points

Точку доступа надо настраивать на фильтрацию МАС-адресов. Кроме того, само устройство нужно физически изолировать от окружающих (просто спрятать).

***

«Протягивая» сеть, прежде всего, защищайте ее при помощи VPN или Аccess Сontrol List. Знайте, что точка доступа не должна быть напрямую подсоединена к локальной сети, даже если WEP включен, и никогда не должна находиться позади брандмауэра. Доступ клиентам беспроводной сети надо давать по secure shell, IPSec или через виртуальные частные сети, поскольку они обеспечивают необходимую безопасность. Начинаем жизнь без проводов!






Рекомендуемый контент




Copyright © 2010-2019 housea.ru. Контакты: info@housea.ru При использовании материалов веб-сайта Домашнее Радио, гиперссылка на источник обязательна.