Лекция №14. Безопасность Wi-Fi сетей

 

 

 

 

44 

Устройства  стандарта  802.11  связываются  друг  с  другом,  используя  в 

качестве  переносчика  данных  сигналы,  передаваемые  в  диапазоне 

радиочастот.  Данные  передаются  по  радио  отправителем,  полагающим,  что 

приемник  также  работает  в  выбранном  радиодиапазоне.  Недостатком  такого 

механизма  является  то,  что  любая  другая  станция,  использующая  этот 

диапазон, тоже способна принять эти данные. 

Если  не  использовать  какой-либо  механизм  защиты,  любая  станция 

стандарта  802.11  сможет  обработать  данные,  посланные  по  беспроводной 

локальной сети, если только ее приемник работает в том же радиодиапазоне. 

Для  обеспечения  хотя  бы  минимального  уровня  безопасности  необходимы 

следующие компоненты: 

- 

средства  для  принятия  решения  относительно  того,  кто  или  что 

может использовать  беспроводную  LAN.  Это  требование удовлетворяется  за 

счет механизма аутентификации, обеспечивающего контроль доступа к LAN; 

-  средства  защиты  информации,  передаваемой  через  беспроводную 

среду.  Это  требование  удовлетворяется  за  счет  использования  алгоритмов 

шифрования. 

В  спецификации  стандарта  802.11  регламентировано  применение 

механизма  аутентификации  устройств  с  открытым  и  с  совместно 

используемым  ключом  и  механизма  WEP,  обеспечивающего  защищенность 

данных  на  уровне  проводных  сетей.  Оба  алгоритма  аутентификации,  с 

открытым  и  с  совместно  используемым  ключом,  основаны  на  WEP-

шифровании и применении WEP-ключей для контроля доступа.  

WEP  

Спецификация  стандарта  802.11  предусматривает  обеспечение  защиты 

данных  с  использованием  алгоритма  WEP.  Этот  алгоритм  основан  на 

применении  симметричного  поточного  шифра  RC4.  Симметричность  RC4 

означает,  что  согласованные  WEP-ключи  размером  40  или  104  бит  статично 

конфигурируются  на  клиентских  устройствах  и  в  точках  доступа.  Алгоритм 

WEP  был  выбран  главным  образом  потому,  что  он  не  требует  объемных 

вычислений. 

Механизмы аутентификации стандарта 802.11 

Спецификация  стандарта  802.11  оговаривает  два  механизма,  которые 

могут применяться для аутентификации клиентов WLAN: 

  

- открытая аутентификация (open authentication); 

-  аутентификация  с  совместно  используемым  ключом  (shared  key           

authentication). 

Открытая  аутентификация,  по  сути,  представляет  собой  алгоритм  с 

нулевой  аутентификацией  (null  authentication  algorithm).  Точка  доступа 

принимает  любой  запрос  на  аутентификацию.  Это  может  быть  просто 

бессмысленный  сигнал,  используемый  для  указания  на  применение  именно 

этого  алгоритма  аутентификации,  тем  не  менее  открытая  аутентификация 

играет  определенную  роль  в  сетях  стандарта  802.11.  Столь  простые 

требования  к  аутентификации  позволяют  устройствам  быстро  получить 

доступ к сети. 

 

 

 

 

45 

 

Рисунок 12.1 - Процесс открытой аутентификации при различии  

WEP-ключей 

 

В  отличие  от  открытой  аутентификации,  при  аутентификации  с 

совместно  используемым  ключом  требуется,  чтобы  клиентская  станция  и 

точка доступа были способны поддерживать WEP и имели одинаковые WEP-

ключи.  

Для  получения  достаточного  уровня  безопасности  необходимо 

воспользоваться  рядом  правил  при  организации  и  настройке  частной  Wi-Fi-

сети: 

1) максимальный  уровень  безопасности  обеспечит  применение  VPN  - 

используйте эту технологию в корпоративных сетях. И хотя технология VPN 

не предназначалась изначально именно для Wi-Fi, она может использоваться 

для  любого  типа  сетей,  и  идея  защитить  с  её  помощью  беспроводных  их 

вариантов одна из лучших на сегодня. Плюс технологии состоит и в том, что 

на  протяжении  более  трёх  лет  практического  использования  в  индустрии 

данный  протокол  не  получил  никаких  нареканий  со  стороны  пользователей. 

Информации о его взломах не было.; 

2) если есть возможность использовать 802.1X (например, точка доступа 

поддерживает,  имеется  RADIUS-сервер)  -  воспользуйтесь  ей  (впрочем, 

уязвимости есть и у 802.1X); 

3)  перед  покупкой  сетевых  устройств  внимательно  ознакомьтесь  с 

документацией.  Узнайте,  какие  протоколы  или  технологии  шифрования  ими 

поддерживаются.  Проверьте,  поддерживает  ли  эти  технологии  шифрования 

ваша  ОС.  Если  нет,  то  скачайте  апдейты  на  сайте  разработчика.  Если  ряд 

технологий не поддерживается со стороны ОС, то это должно поддерживаться 

на уровне драйверов; 

4)  обратите  внимание  на  устройства,  использующие  WPA2  и  802.11i, 

поскольку  в  этом  стандарте  для  обеспечения  безопасности  используется 

новый Advanced Encryption Standard (AES); 

5)  если точка доступа позволяет запрещать доступ к своим настройкам с 

помощью  беспроводного  подключения,  то  используйте  эту  возможность. 

Настраивайте  AP  только  по  проводам.  Не  используйте  по  радио  протокол 

SNMP, web-интерфейс и telnet; 

6)  если точка доступа позволяет управлять доступом клиентов по MAC-

адресам  (Media  Access  Control,  в  настройках  может  называться  Access  List), 

 

 

 

 

46 

используйте  эту  возможность.  Хотя  MAC-адрес  и  можно  подменить,  тем  не 

менее это дополнительный барьер на пути злоумышленника; 

7)  если  оборудование  позволяет  запретить  трансляцию  в  эфир 

идентификатора SSID, используйте эту возможность (опция может называться 

«closed  network»),  но  и  в  этом  случае  SSID  может  быть  перехвачен  при 

подключении легитимного клиента; 

8)  запретите  доступ  для  клиентов  с  SSID  по  умолчанию  «ANY»,  если 

оборудование  позволяет  это  делать.  Не  используйте  в  своих  сетях  простые 

SSID  -  придумайте что-нибудь  уникальное, не  завязанное  на  название  вашей 

организации  и  отсутствующее  в  словарях.  Впрочем,  SSID  не  шифруется  и 

может быть легко перехвачен (или подсмотрен на ПК клиента); 

9)  располагайте  антенны  как  можно  дальше  от  окон,  внешних  стен 

здания,  а  также  ограничивайте  мощность  радиоизлучения,  чтобы  снизить 

вероятность подключения «с улицы». Используйте направленные антенны, не 

используйте радиоканал по умолчанию; 

10) 

если  при  установке  драйверов  сетевых  устройств  предлагается 

выбор между технологиями шифрования WEP, WEP/WPA (средний вариант), 

WPA, выбирайте WPA (в малых сетях можно использовать режим Pre-Shared 

Key  (PSK)).  Если  устройства  не  поддерживают  WPA,  то  обязательно 

включайте хотя бы WEP. При выборе устройства никогда не приобретайте то, 

что не поддерживает даже 128bit WEP. 

11) 

всегда  используйте  максимально  длинные  ключи.  128-бит  -  это 

минимум (но если в сети есть карты 40/64 бит, то в этом случае с ними вы не 

сможете  соединиться).  Никогда  не  прописывайте  в  настройках  простые, 

«дефолтные»  или  очевидные  ключи  и  пароли  (день  рождения,  12345), 

периодически  их  меняйте  (в  настройках  обычно  имеется  удобный  выбор  из 

четырёх  заранее  заданных  ключей  -  сообщите  клиентам  о  том,  в  какой  день 

недели какой ключ используется). 

12) 

не давайте никому информации о том, каким образом и с какими 

паролями вы подключаетесь (если используются пароли). Искажение данных 

или  их  воровство,  а  также  прослушивание  траффика  путем  внедрения  в 

передаваемый  поток  -  очень  трудоемкая  задача  при  условиях,  что 

применяются длинные динамически изменяющиеся ключи. Поэтому хакерам 

проще использовать человеческий фактор; 

13) 

если вы используете статические ключи и пароли, позаботьтесь об 

их частой смене. Делать это лучше одному человеку - администратору; 

14) 

обязательно  используйте  сложный  пароль  для  доступа  к 

настройкам  точки  доступа.  Если  точка  доступа  не  позволяет  ограничивать 

доступ паролем, её место на свалке; 

15) 

если  для  генерации  ключа  предлагается  ввести  ключевую  фразу, 

то  используйте  набор  букв  и  цифр  без  пробелов.  При  ручном  вводе  ключа 

WEP вводите значения для всех полей ключа (при шестнадцатеричной записи 

вводить можно цифры 0-9 и буквы a-f). 

16) 

по  возможности  не  используйте  в  беспроводных  сетях  протокол 

TCP/IP  для  организации  папок,  файлов  и  принтеров  общего  доступа. 

Организация  разделяемых  ресурсов  средствами  NetBEUI  в  данном  случае 

 

 

 

 

47 

безопаснее.  Не  разрешайте  гостевой  доступ  к  ресурсам  общего  доступа, 

используйте длинные сложные пароли; 

17) 

по  возможности,  не  используйте  в  беспроводной  сети  DHCP  - 

вручную распределить статические IP-адреса между легитимными клиентами 

безопаснее; 

18) 

на  всех  ПК  внутри  беспроводной  сети  установите  файерволлы, 

старайтесь  не  устанавливать  точку  доступа  вне  брандмауэра,  используйте 

минимум протоколов внутри WLAN (например, только HTTP и SMTP). Дело 

в том, что в корпоративных сетях файерволл стоит обычно один - на выходе в 

интернет,  взломщик  же,  получивший  доступ  через  Wi-Fi,  может  попасть  в 

LAN, минуя корпоративный файерволл; 

19) 

регулярно  исследуйте  уязвимости  своей  сети  с  помощью 

специализированных  сканеров  безопасности  (в  том  числе  хакерских  типа 

NetStumbler),  обновляйте  прошивки  и  драйвера  устройств,  устанавливайте 

заплатки для Windows. 

 

жүктеу/скачать 0,74 Mb.

Достарыңызбен бөлісу: