Четверг, 21.11.2024
PROSTORI.USITE.PRO
Материалов за текущий период нет.
Меню сайта
Ми в соц.Мережах
Статистика

Онлайн всего: 2
Гостей: 2
Пользователей: 0
Главная » 2017 » Июнь » 27 » Защита в сетях Wi-Fi
20:59
Защита в сетях Wi-Fi
Стандарт Wi-Fi разработан на основе IEEE 802.11 (англ. Institute of Electrical and Electronics Engineers), используется для широкополосных беспроводных сетей связи. Изначально технология Wi-Fi была ориентирована на организацию точек быстрого доступа в Интернет (hotspot) для мобильных пользователей. Преимущества беспроводного доступа очевидны, а технология Wi-Fi изначально стала стандартом, которого придерживаются производители мобильных устройств. Постепенно сети Wi-Fi стали использовать малые и крупные офисы для организации внутренних сетей и подсетей, а операторы создавать собственную инфраструктуру предоставления беспроводного доступа в Интернет на основе технологии Wi-Fi. Таким образом в настоящее время сети Wi-Fi распространены повсеместно и зачастую имеют зоны покрытия целых районов города.
С точки зрения безопасности, следует учитывать не только угрозы, свойственные проводным сетям, но также и среду передачи сигнала. В беспроводных сетях получить доступ к передаваемой информации намного проще, чем в проводных сетях, равно как и повлиять на канал передачи данных. Достаточно поместить соответствующее устройство в зоне действия сети.

Организация Wi-Fi сетей

Существует два основных варианта устройства беспроводной сети:

Ad-hoc — передача напрямую между устройствами;

Hot-spot — передача осуществляется через точку доступа;

В Hot-spot сетях присутствует точка доступа (англ. Access point), посредством которой происходит не только взаимодействие внутри сети, но и доступ к внешним сетям. Hot-spot представляет наибольший интерес с точки зрения защиты информации, так как, взломав точку доступа, злоумышленник может получить информацию не только со станций, размещенных в данной беспроводной сети.
Угрозы

Угрозы информационной безопасности, возникающие при использовании Wi-Fi сетей, можно условно разделить на два класса:

прямые — угрозы информационной безопасности, возникающие при передаче информации по беспроводному интерфейсу IEEE 802.11;

косвенные — угрозы, связанные с наличием на объекте и рядом с объектом большого количества Wi-Fi-сетей.

Прямые угрозы

Радиоканал передачи данных, используемый в Wi-Fi, потенциально подвержен вмешательству с целью нарушения конфиденциальности, целостности и доступности информации.

В Wi-Fi предусмотрены как аутентификация, так и шифрование, но эти элементы защиты имеют свои изъяны.

Шифрование значительно снижает скорость передачи данных, и, зачастую, оно осознанно отключается администратором для оптимизации трафика. Первоначальный стандарт шифрования WEP (Wired Equivalent Privacy) был дискредитирован за счёт уязвимостей в алгоритме распределения ключей RC4. Это несколько притормозило развитие Wi-Fi рынка и вызвало создание институтом IEEE рабочей группы 802.11i для разработки нового стандарта, учитывающего уязвимости WEP, обеспечивающего 128-битное AES шифрование и аутентификацию для защиты данных. Wi-Fi Alliance в 2003 представил свой собственный промежуточный вариант этого стандарта — WPA (Wi-Fi Protected Access). WPA использует протокол целостности временных ключей TKIP (Temporal Key Integrity Protocol). Также в нём используется метод контрольной суммы MIC (Message Integrity Code), которая позволяет проверять целостность пакетов . В 2004 Wi-Fi Alliance выпустили стандарт WPA2, который представляет собой улучшенный WPA. Основное различие между WPA и WPA2 заключается в технологии шифрования: TKIP и AES. WPA2 обеспечивает более высокий уровень защиты сети, так как TKIP позволяет создавать ключи длиной до 128 бит, а AES — до 256 бит.

Угроза блокирования информации в канале Wi-Fi практически оставлена без внимания при разработке технологии. Само по себе блокирование канала не является опасным, так как обычно Wi-Fi сети являются вспомогательными, однако блокирование может представлять собой лишь подготовительный этап для атаки «человек посередине», когда между клиентом и точкой доступа появляется третье устройство, которое перенаправляет трафик между ними через себя. Такое вмешательство позволяет удалять, искажать или навязывать ложную информацию.

Чужаки

Чужаками (RogueDevices, Rogues) называются устройства, предоставляющие возможность неавторизованного доступа к корпоративной сети, обычно в обход механизмов защиты, определенных политикой безопасности. Запрет на использование устройств беспроводной связи не защитит от беспроводных атак, если в сети, умышленно или нет, появится чужак. В роли чужака может выступать всё, у чего есть проводной и беспроводной интерфейсы: точки доступа (включая программные), сканеры, проекторы, ноутбуки с обоими включёнными интерфейсами и т. д.

Нефиксированная природа связи

Беспроводные устройства могут менять точки подключения к сети прямо в процессе работы. Например, могут происходить «случайные ассоциации», когда ноутбук с Windows XP (доверительно относящейся ко всем беспроводным сетям) или просто некорректно сконфигурированный беспроводной клиент автоматически ассоциируется и подключает пользователя к ближайшей беспроводной сети. Таким образом нарушитель переключает на себя пользователя для последующего сканирования уязвимостей, фишинга или атак «человек посередине». А если пользователь при этом подключен и к проводной сети, то он становится точкой входа — чужаком. К тому же многие пользователи, подключённые к внутренней сети и имеющие Wi-Fi интерфейс, недовольные качеством и политикой работы сети, переключаются на ближайшую доступную точку доступа (или операционная система делает это автоматически при отказе проводной сети). При этом вся защита сети терпит крах.

Ещё одна проблема — сети Ad-Hoc, с помощью которых удобно передавать файлы коллегам или печатать на принтере с Wi-Fi. Но такая организация сетей не поддерживает многие методы обеспечения безопасности, что делает их лёгкой добычей для нарушителя. Новые технологии Virtual WiFi и Wi-Fi Direct только ухудшили ситуацию.

Уязвимости сетей и устройств

Некорректно сконфигурированные устройства, устройства со слабыми и недостаточно длинными ключами шифрования, использующие уязвимые методы аутентификации — именно такие устройства подвергаются атакам в первую очередь. Согласно отчётам аналитиков, большая часть успешных взломов происходит как раз из-за неправильных настроек точек доступа и программного обеспечения клиента.
Некорректно сконфигурированные точки доступа
Достаточно подключить неправильно настроенную точку доступа к сети для взлома последней. Настройки «по умолчанию» не включают шифрование и аутентификацию, или используют ключи, прописанные в руководстве и поэтому всем известные. Маловероятно, что пользователи достаточно серьёзно озаботятся безопасной конфигурацией устройств. Именно такие привнесённые точки доступа и создают основные угрозы защищённым сетям.

Некорректно сконфигурированные беспроводные клиенты

Некорректно настроенные устройства пользователей — угроза опаснее, чем некорректно сконфигурированные точки доступа. Это устройства пользователей и они не конфигурируются специально в целях безопасности внутренней сети предприятия. К тому же они находятся за периметром контролируемой зоны, так и внутри него, позволяя злоумышленнику проводить всевозможные атаки, как то распространять вредоносное программное обеспечение или просто обеспечивая удобную точку входа.

Взлом шифрования

О защищённости WEP и речи уже нет. Интернет полон специального и удобного в использовании ПО для взлома этого стандарта, которое собирает статистику трафика до тех пор, пока её не станет достаточно для восстановления ключа шифрования. Стандарты WPA и WPA2 также имеют ряд уязвимостей разной степени опасности, позволяющих их взлом. Пока что нет информации об успешных атаках на WPA2-Enterprise (802.1x).
Имперсонация и Identity Theft

Имперсонация авторизованного пользователя — серьезная угроза любой сети, не только беспроводной. Однако в беспроводной сети определить подлинность пользователя сложнее. Конечно, существуют SSID и можно пытаться фильтровать по MAC-адресам, но и то и другое передается в эфире в открытом виде, и их несложно подделать, а подделав — как минимум снизить пропускную способность сети, вставляя неправильные кадры, а разобравшись в алгоритмах шифрования — устраивать атаки на структуру сети (например, ARP-spoofing). Имперсонация пользователя возможна не только в случае MAC-аутентификации или использования статических ключей. Схемы на основе 802.1x не являются абсолютно безопасными. Некоторые механизмы (LEAP) имеют сложность взлома, схожую со взломом WEP. Другие механизмы, EAP-FAST или PEAP-MSCHAPv2, хотя и надёжнее, но не гарантируют устойчивость к комплексной атаке.

Косвенные угрозы

Сигналы WiFi-устройств имеют достаточно сложную структуру и широкий спектр, поэтому эти сигналы, а тем более, окружающие устройства Wi-Fi невозможно идентифицировать обычными средствами радиомониторинга. Уверенное обнаружение сигнала WiFi современными комплексами радиомониторинга в широкой полосе частот возможно только по энергетическому признаку при наличии полос параллельного анализа шириной несколько десятков МГц на скорости не менее 400 МГц/с и лишь в ближней зоне. Сигналы точек доступа, находящихся в дальней зоне, оказываются ниже уровня шумов приёмника. Обнаружение Wi-Fi-передатчиков при последовательном сканировании узкополосными приёмниками вообще невозможно.

Исходя из того, что практически каждый объект окружает множество «чужих» Wi-Fi сетей, отличить легальных клиентов своей сети и соседних сетей от нарушителей крайне сложно, что позволяет успешно маскировать несанкционированную передачу информации среди легальных Wi-Fi-каналов.

Wi-Fi-передатчик излучает так называемый «OFDM сигнал». Это означает, что в один момент времени устройство передаёт в одном сигнале, занимающем широкую полосу частот (около 20 МГц) несколько несущих информацию — поднесущих информационных каналов, которые расположены так близко друг от друга, что при приёме их на обычном приёмном устройстве, сигнал выглядит как единый «купол». Выделить в таком «куполе» поднесущие и идентифицировать передающие устройства можно только специальным приёмником.

В крупных городах Wi-Fi сети общего пользования имеют достаточно обширную зону покрытия, чтобы отпала необходимость использовать мобильный пункт приёма информации рядом с объектом — несанкционированное устройство может подключиться к доступной Wi-Fi сети и использовать её для передачи информации через Интернет в любое требуемое место.


Пропускная способность Wi-Fi сетей позволяет передавать звук и видео в реальном времени. Это упрощает злоумышленнику использовать акустические и оптические каналы утечки информации — достаточно легально купить Wi-Fi-видеокамеру и установить её в качестве устройства негласного получения информации.

Утечки информации из проводной сети

Как правило беспроводные сети соединяются с проводными. Значит через точку доступа можно атаковать проводную сеть. А если наличествуют ошибки в настройке как проводной, так и беспроводной сети, то открывается целый плацдарм для атак. Пример — точки доступа, работающие в режиме моста (Layer 2 Bridge), подключённые в сеть без маршрутизаторов или в сеть с нарушением сегментации и передающие в радиоэфир широковещательные пакеты из проводной части сети (ARP-запросы, DHCP, кадры STP и д.р.). Эти данные в целом полезны для разведки, и на их основе можно проводить такие атаки, как «человек посередине», атаки отказа в обслуживании, отравление кеша DNS и др.

Другой пример — при наличии нескольких ESSID (Extended Service Set Identifier) на одной точке доступа. Если на такой точке настроена как защищённая сеть, так и публичная, при неправильной конфигурации широковещательные пакеты будут отправляться в обе сети. Это позволит злоумышленнику, например, нарушить работу DHCP или ARP в защищённом сегменте сети. Это можно запретить, организовав привязку ESS к BSS, что поддерживается практически всеми производителями оборудования класса Enterprise (и мало кем из класса Consumer).
Просмотров: 1189 | Добавил: medergrup | Теги: Защита в сетях Wi-Fi | Рейтинг: 0.0/0
Всего комментариев: 0
avatar
Вход на сайт

Поиск
Блог
[09.06.2017][UCOZ]
uCoz дарує літо (0)
[10.06.2017][UCOZ]
Постинг в соцмережі (0)
[09.06.2017][UCOZ]
Як створити сайт на uCoz і домогтися успіху? (0)
[09.06.2017][UCOZ]
uNet - що ж це таке (0)
[09.06.2017][UCOZ]
Реліз мобільного застосування для управління сайтами системи uCoz (0)
[09.06.2017][UCOZ]
Додаток «Мої сайти» для Windows Phone (0)
[09.06.2017][UCOZ]
Ще раз про сайти шкіл і сервери на території РФ (0)
[09.06.2017][UCOZ]
Додаток «Мої сайти» для iOS (0)
[09.06.2017][UCOZ]
Де знаходяться сервери uCoz? Міфи і реальність (0)
[14.06.2017][UCOZ]
Як створити інтернет-магазин (0)
Календарь
«  Июнь 2017  »
ПнВтСрЧтПтСбВс
   1234
567891011
12131415161718
19202122232425
2627282930
Архив записей
00:03:52

Грибы - Тает Лёд

  • Просмотры:
  • Всего комментариев: 0
  • Рейтинг: 0.0
00:04:43

Тимати feat. Филипп Киркоров - Последняя весна

  • Просмотры:
  • Всего комментариев: 0
  • Рейтинг: 0.0
00:03:56

Время и Стекло - На Стиле

  • Просмотры:
  • Всего комментариев: 0
  • Рейтинг: 0.0
00:02:48

MOZGI - Атятя

  • Просмотры:
  • Всего комментариев: 0
  • Рейтинг: 0.0
PROSTORI.USITE.PRO © 2024