.jpg/1280px-ADSL_router_with_Wi-Fi_(802.11_b-g).jpg)
Безопасность беспроводных сетей — это предотвращение несанкционированного доступа или повреждения компьютеров или данных с помощью беспроводных сетей, включая сети Wi-Fi . Этот термин может также относиться к защите самой беспроводной сети от злоумышленников, стремящихся нарушить конфиденциальность, целостность или доступность сети. Наиболее распространенным типом является безопасность Wi-Fi , которая включает в себя Wired Equivalent Privacy (WEP) и Wi-Fi Protected Access (WPA). WEP — это старый стандарт IEEE 802.11 с 1997 года. [1] Это общеизвестно слабый стандарт безопасности: используемый им пароль часто можно взломать за несколько минут с помощью простого ноутбука и широко доступных программных средств. [2] В 2003 году WEP был заменен на WPA, быструю альтернативу в то время для повышения безопасности по сравнению с WEP. Текущий стандарт — WPA2; [3] некоторое оборудование не может поддерживать WPA2 без обновления или замены прошивки. WPA2 использует устройство шифрования, которое шифрует сеть с помощью 256-битного ключа; более длинная длина ключа повышает безопасность по сравнению с WEP. Предприятия часто обеспечивают безопасность, используя систему на основе сертификатов для аутентификации подключающегося устройства, следуя стандарту 802.11X.
В январе 2018 года Wi-Fi Alliance объявил WPA3 заменой WPA2. Сертификация началась в июне 2018 года, а поддержка WPA3 стала обязательной для устройств с логотипом «Wi-Fi CERTIFIED™» с июля 2020 года.
На многих ноутбуках предустановлены беспроводные карты . Возможность входить в сеть с мобильного устройства имеет большие преимущества. Однако беспроводные сети подвержены некоторым проблемам безопасности. Хакеры обнаружили, что беспроводные сети относительно легко взломать, и даже используют беспроводные технологии для взлома проводных сетей. В результате очень важно, чтобы предприятия определяли эффективные политики безопасности беспроводных сетей, которые защищают от несанкционированного доступа к важным ресурсам. [4] Системы предотвращения беспроводных вторжений (WIPS) или системы обнаружения беспроводных вторжений (WIDS) обычно используются для обеспечения соблюдения политик безопасности беспроводных сетей.
Риски для пользователей беспроводных технологий возросли по мере того, как услуга стала более популярной. Когда беспроводные технологии были впервые представлены, было относительно немного опасностей. Хакеры еще не успели приспособиться к новой технологии, и беспроводные сети не были широко распространены на рабочем месте. Однако существует множество рисков безопасности, связанных с текущими беспроводными протоколами и методами шифрования , а также с небрежностью и невежеством, которые существуют на уровне пользователей и корпоративных ИТ. [5] Методы взлома стали намного более сложными и инновационными с беспроводным доступом. Взлом также стал намного проще и доступнее с простыми в использовании инструментами на базе Windows или Linux, которые стали доступны в Интернете бесплатно.
Некоторые организации, не имеющие установленных точек беспроводного доступа, не считают, что им нужно решать проблемы безопасности беспроводной связи. In-Stat MDR и META Group подсчитали, что 95% всех корпоративных ноутбуков, которые планировалось купить в 2005 году, были оснащены беспроводными картами. Проблемы могут возникнуть в предположительно не беспроводной организации, когда беспроводной ноутбук подключается к корпоративной сети. Хакер может сидеть на парковке и собирать с него информацию через ноутбуки и/или другие устройства или даже взломать этот ноутбук, оснащенный беспроводной картой, и получить доступ к проводной сети.
Любой, кто находится в географическом диапазоне сети открытой, незашифрованной беспроводной сети, может « нюхать » или захватывать и записывать трафик , получать несанкционированный доступ к внутренним сетевым ресурсам, а также к Интернету, а затем использовать информацию и ресурсы для выполнения разрушительных или незаконных действий. Такие нарушения безопасности стали важными проблемами как для корпоративных, так и для домашних сетей.
Если защита маршрутизатора не активирована или владелец деактивировал ее для удобства, создается бесплатная точка доступа . Поскольку большинство ноутбуков 21-го века имеют встроенную беспроводную сеть (см. технологию Intel " Centrino "), им не нужен сторонний адаптер, такой как карта PCMCIA или USB- ключ . Встроенная беспроводная сеть может быть включена по умолчанию, без ведома владельца, таким образом транслируя доступность ноутбука любому компьютеру поблизости.
Современные операционные системы, такие как Linux , macOS или Microsoft Windows, позволяют довольно легко настроить ПК в качестве «базовой станции» беспроводной локальной сети с помощью функции общего доступа к подключению к Интернету , что позволяет всем ПК в доме получать доступ к Интернету через «базовый» ПК. Однако отсутствие знаний у пользователей о проблемах безопасности, присущих настройке таких систем, часто может позволить другим, находящимся поблизости, получить доступ к подключению. Такое «скрещивание» обычно достигается без ведома оператора беспроводной сети; оно может быть даже без ведома вторгшегося пользователя, если его компьютер автоматически выбирает близлежащую незащищенную беспроводную сеть для использования в качестве точки доступа.
Безопасность беспроводных сетей — еще один аспект компьютерной безопасности. Организации могут быть особенно уязвимы к нарушениям безопасности [6], вызванным несанкционированными точками доступа .
Если сотрудник добавляет беспроводной интерфейс к незащищенному порту системы, он может создать брешь в сетевой безопасности , которая позволит получить доступ к конфиденциальным материалам. Для защиты сети и содержащейся в ней информации доступны такие контрмеры , как отключение открытых портов коммутатора во время настройки коммутатора и настройка VLAN для ограничения доступа к сети, но такие контрмеры должны применяться единообразно ко всем сетевым устройствам.
Беспроводная связь полезна в промышленной связи машина-машина (M2M). Такие промышленные приложения часто имеют особые требования к безопасности. Доступны оценка этих уязвимостей и полученные каталоги уязвимостей в промышленном контексте при рассмотрении WLAN, NFC и ZigBee. [7]
Режимы несанкционированного доступа к ссылкам, функциям и данным столь же разнообразны, как и соответствующие сущности, использующие программный код. Полномасштабной модели такой угрозы не существует. В некоторой степени предотвращение опирается на известные режимы и методы атаки и соответствующие методы подавления применяемых методов. Однако каждый новый режим работы будет создавать новые варианты угроз. Поэтому предотвращение требует постоянного стремления к совершенствованию. Описанные режимы атаки являются лишь моментальным снимком типичных методов и сценариев, где их следует применять.
Нарушение периметра безопасности корпоративной сети может происходить из ряда различных методов и намерений. Один из этих методов называется «случайной ассоциацией». Когда пользователь включает компьютер, и он подключается к беспроводной точке доступа из перекрывающейся сети соседней компании, пользователь может даже не знать, что это произошло. Однако это нарушение безопасности, поскольку конфиденциальная информация компании раскрывается, и теперь может существовать связь от одной компании к другой. Это особенно верно, если ноутбук также подключен к проводной сети.
Случайная ассоциация — это случай уязвимости беспроводной сети, называемый «ложной ассоциацией». [8] Ложная ассоциация может быть случайной, преднамеренной (например, сделанной для обхода корпоративного брандмауэра) или может быть результатом преднамеренных попыток беспроводных клиентов заманить их в ловушку подключения к точкам доступа злоумышленника.
«Вредоносные ассоциации» — это когда беспроводные устройства могут быть активно подключены злоумышленниками к корпоративной сети через свой ноутбук вместо точки доступа компании (AP). Эти типы ноутбуков известны как «мягкие AP» и создаются, когда киберпреступник запускает некоторое программное обеспечение , которое делает его беспроводную сетевую карту похожей на законную точку доступа. Получив доступ, вор может украсть пароли, запустить атаки на проводную сеть или установить трояны . Поскольку беспроводные сети работают на уровне 2-го уровня, защита 3-го уровня, такая как сетевая аутентификация и виртуальные частные сети (VPN), не создает никаких препятствий. Беспроводная аутентификация 802.1X действительно помогает с некоторой защитой, но все еще уязвима для взлома. Идея этого типа атаки может заключаться не во взломе VPN или других мер безопасности. Скорее всего, преступник просто пытается захватить клиент на уровне 2-го уровня.
Сети Ad hoc могут представлять угрозу безопасности. Сети Ad hoc определяются как [одноранговые] сети между беспроводными компьютерами, не имеющими точки доступа между ними. Хотя эти типы сетей обычно имеют слабую защиту, для обеспечения безопасности можно использовать методы шифрования. [9]
Дыра в безопасности, создаваемая сетями Ad hoc, — это не сама сеть Ad hoc, а мост, который она обеспечивает в другие сети, обычно в корпоративной среде, и неудачные настройки по умолчанию в большинстве версий Microsoft Windows, чтобы эта функция была включена, если она явно не отключена. Таким образом, пользователь может даже не знать, что на его компьютере работает незащищенная сеть Ad hoc. Если он также использует проводную или беспроводную инфраструктурную сеть в то же время, он обеспечивает мост к защищенной организационной сети через незащищенное соединение Ad hoc. Мостовое соединение бывает двух видов. Прямой мост, который требует от пользователя фактической настройки моста между двумя соединениями и, таким образом, вряд ли будет инициирован, если явно не указано иное, и косвенный мост, который является общими ресурсами на компьютере пользователя. Косвенный мост может раскрывать конфиденциальные данные, которые совместно используются с компьютера пользователя в подключениях LAN, таких как общие папки или частное сетевое хранилище, не делая различий между аутентифицированными или частными соединениями и неаутентифицированными сетями Ad-Hoc. Это не представляет никаких угроз, которые еще не были известны открытым/публичным или незащищенным точкам доступа Wi-Fi, но правила брандмауэра можно обойти в случае плохо настроенных операционных систем или локальных настроек. [10]
Нетрадиционные сети, такие как персональные сетевые устройства Bluetooth , не защищены от взлома и должны рассматриваться как риск безопасности. [11] Даже считыватели штрих-кодов , карманные КПК , беспроводные принтеры и копировальные аппараты должны быть защищены. Эти нетрадиционные сети могут быть легко упущены из виду ИТ-персоналом, который сосредоточен на ноутбуках и точках доступа.
Кража личных данных (или подмена MAC-адресов ) происходит, когда хакер может прослушивать сетевой трафик и определять MAC-адрес компьютера с сетевыми привилегиями . Большинство беспроводных систем допускают некоторую фильтрацию MAC-адресов , чтобы разрешить только авторизованным компьютерам с определенными MAC-идентификаторами получать доступ и использовать сеть. Однако существуют программы, которые имеют возможности сетевого « нюхания ». Объедините эти программы с другим программным обеспечением, которое позволяет компьютеру притворяться, что у него есть любой MAC-адрес, который пожелает хакер, [12], и хакер может легко обойти это препятствие.
Фильтрация MAC-адресов эффективна только для небольших жилых сетей (SOHO), поскольку она обеспечивает защиту только тогда, когда беспроводное устройство «не в эфире». Любое устройство 802.11 «в эфире» свободно передает свой незашифрованный MAC-адрес в заголовках 802.11, и для его обнаружения не требуется специального оборудования или программного обеспечения. Любой, у кого есть приемник 802.11 (ноутбук и беспроводной адаптер) и бесплатный анализатор беспроводных пакетов, может получить MAC-адрес любого передающего 802.11 в пределах досягаемости. В организационной среде, где большинство беспроводных устройств «в эфире» в течение всей активной рабочей смены, фильтрация MAC-адресов обеспечивает лишь ложное чувство безопасности, поскольку она предотвращает только «случайные» или непреднамеренные подключения к организационной инфраструктуре и не делает ничего для предотвращения направленной атаки.
Атакующий с использованием технологии « человек посередине» побуждает компьютеры войти в компьютер, настроенный как мягкая точка доступа ( точка доступа ). После этого хакер подключается к реальной точке доступа через другую беспроводную карту, обеспечивая постоянный поток трафика через прозрачный компьютер для взлома в реальную сеть. Затем хакер может прослушивать трафик. Один из типов атак с использованием технологии «человек посередине» основан на ошибках безопасности в протоколах вызова и рукопожатия для выполнения «атаки деаутентификации». Эта атака заставляет компьютеры, подключенные к точке доступа, разрывать свои соединения и повторно подключаться к мягкой точке доступа хакера (отключает пользователя от модема, поэтому ему приходится подключаться снова, используя свой пароль, который можно извлечь из записи события). Атаки с использованием технологии «человек посередине» усиливаются с помощью программного обеспечения, такого как LANjack и AirJack, которые автоматизируют несколько этапов процесса, а это означает, что то, что раньше требовало определенных навыков, теперь может быть выполнено скрипт-кидди . Точки доступа особенно уязвимы для любых атак, поскольку в этих сетях практически отсутствует защита.
Атака типа «отказ в обслуживании» (DoS) происходит, когда злоумышленник непрерывно бомбардирует целевую точку доступа (AP ) или сеть поддельными запросами, преждевременными сообщениями об успешном подключении, сообщениями об ошибках и/или другими командами. Это приводит к тому, что законные пользователи не могут войти в сеть и даже может привести к сбою сети. Эти атаки основаны на злоупотреблении протоколами, такими как Extensible Authentication Protocol (EAP).
DoS-атака сама по себе мало что делает для раскрытия организационных данных злоумышленнику, поскольку прерывание работы сети предотвращает поток данных и фактически косвенно защищает данные, предотвращая их передачу. Обычной причиной проведения DoS-атаки является наблюдение за восстановлением беспроводной сети, во время которого все исходные коды рукопожатия повторно передаются всеми устройствами, предоставляя злоумышленнику возможность записать эти коды и использовать различные инструменты взлома для анализа уязвимостей безопасности и их использования для получения несанкционированного доступа к системе. Это лучше всего работает в слабо зашифрованных системах, таких как WEP, где доступно множество инструментов, которые могут запустить атаку по словарю «возможно принятых» ключей безопасности на основе «модельного» ключа безопасности, захваченного во время восстановления сети.
В атаке сетевой инъекции хакер может использовать точки доступа, которые подвергаются нефильтруемому сетевому трафику, в частности широковещательному сетевому трафику, такому как « Spanning Tree » (802.1D), OSPF , RIP и HSRP . Хакер внедряет поддельные команды перенастройки сети, которые влияют на маршрутизаторы, коммутаторы и интеллектуальные концентраторы. Таким образом может быть выведена из строя целая сеть, и потребуется перезагрузка или даже перепрограммирование всех интеллектуальных сетевых устройств.
Атака Caffe Latte — это еще один способ получить ключ WEP , для которого не требуется близлежащая точка доступа для целевой сети . [13] Атака Caffe Latte работает, обманывая клиента с помощью сохраненного пароля WEP, чтобы подключиться к вредоносной точке доступа с тем же SSID , что и у целевой сети. После подключения клиент генерирует запросы ARP , которые вредоносная точка доступа использует для получения данных keystream. Затем вредоносная точка доступа многократно отправляет клиенту пакет деаутентификации, заставляя клиента отключаться, повторно подключаться и отправлять дополнительные запросы ARP, которые вредоносная точка доступа затем использует для получения дополнительных данных keystream. Как только вредоносная точка доступа соберет достаточное количество данных keystream, ключ WEP можно взломать с помощью такого инструмента, как [aircrack-ng].
Атака Caffe Latte была продемонстрирована на беспроводном стеке Windows , но другие операционные системы также могут быть уязвимы.
Исследователь Вивек Рамачандран назвал атаку «Caffe Latte», поскольку с ее помощью можно было получить ключ WEP от удаленного путешественника менее чем за 6 минут, которые требуются, чтобы выпить чашку кофе. [14] [15] [16]
Существует три основных способа защиты беспроводной сети.
Не существует готовой разработанной системы для предотвращения мошеннического использования беспроводной связи или для защиты данных и функций с помощью беспроводных компьютеров и других объектов. Однако существует система квалификации принятых мер в целом в соответствии с общим пониманием того, что следует рассматривать как современное состояние. Система квалификации является международным консенсусом, как указано в ISO/IEC 15408 .
Система предотвращения вторжений в беспроводные сети (WIPS) — это концепция наиболее надежного способа противодействия рискам безопасности беспроводных сетей. [17] Однако такой WIPS не существует в виде готового решения для внедрения в виде программного пакета. WIPS обычно внедряется как наложение на существующую инфраструктуру беспроводной локальной сети , хотя ее можно развернуть автономно для обеспечения соблюдения политик отсутствия беспроводных сетей в организации. WIPS считается настолько важной для безопасности беспроводных сетей, что в июле 2009 года Совет по стандартам безопасности индустрии платежных карт опубликовал беспроводные рекомендации [18] для PCI DSS, в которых рекомендуется использовать WIPS для автоматизации сканирования и защиты беспроводных сетей для крупных организаций.
Существует ряд мер безопасности беспроводных сетей, различающихся по эффективности и практичности.
Простой, но неэффективный метод защитить беспроводную сеть — скрыть SSID (идентификатор набора служб). [19] Это обеспечивает очень слабую защиту от чего-либо, кроме самых случайных попыток вторжения.
Один из самых простых методов — разрешить доступ только с известных, предварительно одобренных MAC-адресов. Большинство беспроводных точек доступа содержат некоторый тип фильтрации MAC -адресов. Однако злоумышленник может просто перехватить MAC-адрес авторизованного клиента и подделать этот адрес.
Типичные беспроводные точки доступа предоставляют IP-адреса клиентам через DHCP . Требование от клиентов устанавливать собственные адреса затрудняет случайному или неискушенному злоумышленнику вход в сеть, но обеспечивает слабую защиту от искушенного злоумышленника. [19]
IEEE 802.1X — это стандартные механизмы аутентификации IEEE для устройств, подключаемых к беспроводной локальной сети.
Стандарт шифрования Wired Equivalent Privacy (WEP) был первоначальным стандартом шифрования для беспроводной связи, но с 2004 года, с ратификацией WPA2, IEEE объявил его «устаревшим» [20] , и хотя он часто поддерживается, он редко или никогда не используется по умолчанию на современном оборудовании.
Опасения по поводу его безопасности высказывались еще в 2001 году [21] , что было наглядно продемонстрировано в 2005 году ФБР [ 22] , однако в 2007 году TJ Maxx признал наличие серьезной уязвимости в системе безопасности, отчасти вызванной использованием WEP [23] , и индустрия платежных карт запретила его использование только в 2008 году, и даже тогда разрешила его использование до июня 2010 года [24].
Протоколы безопасности Wi-Fi Protected Access (WPA и WPA2) были позже созданы для решения проблем с WEP. Если используется слабый пароль, такой как словарный запас или короткая строка символов, WPA и WPA2 могут быть взломаны. Использование достаточно длинного случайного пароля (например, 14 случайных букв) или парольной фразы (например, 5 случайно выбранных слов ) делает WPA с предварительно общим ключом практически невзламываемым. Второе поколение протокола безопасности WPA (WPA2) основано на окончательной поправке IEEE 802.11i к стандарту 802.11 и соответствует требованиям FIPS 140-2 . Со всеми этими схемами шифрования любой клиент в сети, который знает ключи, может прочитать весь трафик.
Wi-Fi Protected Access (WPA) — это усовершенствование программного обеспечения/прошивки по сравнению с WEP. Все обычное оборудование WLAN, работающее с WEP, можно просто обновить, и покупать новое оборудование не нужно. WPA — это урезанная версия стандарта безопасности 802.11i , разработанная IEEE 802.11 для замены WEP. Алгоритм шифрования TKIP был разработан для WPA, чтобы обеспечить улучшения WEP, которые можно было бы использовать в качестве обновлений прошивки для существующих устройств 802.11. Профиль WPA также обеспечивает дополнительную поддержку алгоритма AES-CCMP , который является предпочтительным алгоритмом в 802.11i и WPA2.
WPA Enterprise обеспечивает аутентификацию на основе RADIUS с использованием 802.1X. WPA Personal использует предварительно общий ключ ( PSK ) для установления безопасности с использованием парольной фразы длиной от 8 до 63 символов. PSK также может быть введен как 64-символьная шестнадцатеричная строка. Слабые парольные фразы PSK могут быть взломаны с помощью офлайновых атак по словарю путем захвата сообщений в четырехстороннем обмене, когда клиент повторно подключается после деаутентификации. Беспроводные пакеты, такие как aircrack-ng, могут взломать слабую парольную фразу менее чем за минуту. Другие взломщики WEP/WPA — AirSnort и Auditor Security Collection . [25] Тем не менее, WPA Personal безопасен, если используется с «хорошими» парольными фразами или полным 64-символьным шестнадцатеричным ключом.
Однако была информация, что Эрик Тьюс (человек, который создал атаку фрагментации против WEP) собирался раскрыть способ взлома реализации WPA TKIP на конференции по безопасности PacSec в Токио в ноябре 2008 года, взломав шифрование пакета за 12–15 минут. [26] Тем не менее, объявление об этом «взломе» было несколько преувеличено СМИ, поскольку по состоянию на август 2009 года лучшая атака на WPA (атака Бека-Тьюса) была лишь частично успешной, поскольку она работала только с короткими пакетами данных, не могла расшифровать ключ WPA и для ее работы требовались очень специфические реализации WPA. [27]
В дополнение к WPAv1 могут быть добавлены TKIP, WIDS и EAP . Также VPN -сети (непостоянные защищенные сетевые соединения) могут быть настроены в соответствии со стандартом 802.11. Реализации VPN включают PPTP , L2TP , IPsec и SSH . Однако этот дополнительный уровень безопасности также может быть взломан с помощью таких инструментов, как Anger, Deceit и Ettercap для PPTP; [28] и ike-scan, IKEProbe, ipsectrace и IKEcrack для IPsec-соединений.
Это означает Temporal Key Integrity Protocol, и аббревиатура произносится как ти-кип. Это часть стандарта IEEE 802.11i. TKIP реализует попакетное смешивание ключей с системой повторного ключа, а также обеспечивает проверку целостности сообщения. Это позволяет избежать проблем WEP.
Улучшение WPA по сравнению со стандартом IEEE 802.1X уже улучшило аутентификацию и авторизацию для доступа к беспроводным и проводным локальным сетям . В дополнение к этому, дополнительные меры, такие как расширяемый протокол аутентификации (EAP), инициировали еще большую степень безопасности. Это, поскольку EAP использует центральный сервер аутентификации. К сожалению, в 2002 году профессор из Мэриленда обнаружил некоторые недостатки [ необходима ссылка ] . В течение следующих нескольких лет эти недостатки были устранены с использованием TLS и других улучшений. [29] Эта новая версия EAP теперь называется Extended EAP и доступна в нескольких версиях; к ним относятся: EAP-MD5, PEAPv0, PEAPv1, EAP-MSCHAPv2, LEAP, EAP-FAST, EAP-TLS, EAP-TTLS, MSCHAPv2 и EAP-SIM.
Версии EAP включают LEAP, PEAP и другие EAP.
ПРЫГНУТЬ
Это означает Lightweight Extensible Authentication Protocol. Этот протокол основан на 802.1X и помогает минимизировать исходные недостатки безопасности, используя WEP и сложную систему управления ключами. Эта версия EAP безопаснее, чем EAP-MD5. Она также использует аутентификацию MAC-адреса. LEAP не является безопасным; THC-LeapCracker может использоваться для взлома версии LEAP от Cisco и использоваться против компьютеров, подключенных к точке доступа, в форме атаки по словарю . Anwrap и asleap, наконец, являются другими взломщиками, способными взломать LEAP. [25]
ПЭАП
Это означает Protected Extensible Authentication Protocol (защищенный расширяемый протокол аутентификации). Этот протокол обеспечивает безопасную передачу данных, паролей и ключей шифрования без необходимости использования сервера сертификатов. Он был разработан Cisco, Microsoft и RSA Security .
Другие EAP Существуют и другие типы реализаций протокола расширенной аутентификации, основанные на структуре EAP. Созданная структура поддерживает существующие типы EAP, а также будущие методы аутентификации. [30] EAP-TLS предлагает очень хорошую защиту благодаря своей взаимной аутентификации. И клиент, и сеть аутентифицируются с использованием сертификатов и ключей WEP для каждого сеанса. [31] EAP-FAST также предлагает хорошую защиту. EAP-TTLS — еще одна альтернатива, созданная Certicom и Funk Software. Она более удобна, поскольку не требует распространения сертификатов среди пользователей, но обеспечивает немного меньшую защиту, чем EAP-TLS. [32]
Решения включают в себя более новую систему аутентификации IEEE 802.1X , которая обещает повысить безопасность как проводных, так и беспроводных сетей. Беспроводные точки доступа, которые включают такие технологии, часто также имеют встроенные маршрутизаторы , таким образом становясь беспроводными шлюзами .
Можно утверждать, что методы шифрования как уровня 2 , так и уровня 3 недостаточно хороши для защиты ценных данных, таких как пароли и личные электронные письма. Эти технологии добавляют шифрование только к частям пути связи, все еще позволяя людям шпионить за трафиком, если они каким-то образом получили доступ к проводной сети. Решением может быть шифрование и авторизация на прикладном уровне с использованием таких технологий, как SSL , SSH , GnuPG , PGP и подобных.
Недостатком метода end-to-end является то, что он может не охватить весь трафик. При шифровании на уровне маршрутизатора или VPN один коммутатор шифрует весь трафик, даже поиски UDP и DNS. С другой стороны, при шифровании end-to-end каждая служба, которую нужно защитить, должна иметь свое шифрование «включенным», и часто каждое соединение также должно быть «включено» отдельно. Для отправки электронных писем каждый получатель должен поддерживать метод шифрования и должен правильно обмениваться ключами. Для Web не все веб-сайты предлагают https, и даже если они это делают, браузер отправляет IP-адреса в открытом виде.
Самым ценным ресурсом часто является доступ к Интернету. Владелец офисной локальной сети, стремящийся ограничить такой доступ, столкнется с нетривиальной задачей принудительного обеспечения аутентификации каждого пользователя для маршрутизатора.
Новейшая и самая строгая безопасность для внедрения в WLAN сегодня — это стандарт 802.11i RSN. Однако этот полноценный стандарт 802.11i (использующий WPAv2) требует новейшего оборудования (в отличие от WPAv1), что потенциально требует покупки нового оборудования. Это новое необходимое оборудование может быть либо AES-WRAP (ранняя версия 802.11i), либо более новое и лучшее оборудование AES-CCMP. Следует убедиться, что вам нужно оборудование WRAP или CCMP, поскольку эти два стандарта оборудования несовместимы.
WPA2 — это версия финального стандарта 802.11i под брендом WiFi Alliance. [33] Основным улучшением по сравнению с WPA является включение алгоритма AES-CCMP в качестве обязательной функции. И WPA, и WPA2 поддерживают методы аутентификации EAP с использованием серверов RADIUS и предварительных ключей (PSK).
Количество сетей WPA и WPA2 увеличивается, в то время как количество сетей WEP уменьшается [34] из-за уязвимостей безопасности WEP.
Было обнаружено, что WPA2 имеет по крайней мере одну уязвимость безопасности, названную Hole196. Уязвимость использует временный групповой ключ WPA2 (GTK), который является общим ключом среди всех пользователей одного и того же BSSID , для запуска атак на других пользователей того же BSSID . Она названа в честь страницы 196 спецификации IEEE 802.11i, где обсуждается уязвимость. Для того чтобы этот эксплойт был выполнен, GTK должен быть известен злоумышленнику. [35]
В отличие от 802.1X, 802.11i уже имеет большинство других дополнительных служб безопасности, таких как TKIP. Как и в случае с WPAv1, WPAv2 может работать в сотрудничестве с EAP и WIDS .
Это означает WLAN Authentication and Privacy Infrastructure. Это стандарт безопасности беспроводной связи, определенный китайским правительством.
Использование маркера безопасности — это метод аутентификации, полагающийся только на авторизованных пользователей, обладающих необходимым маркером. Смарт-карты — это физические маркеры в картах, которые используют встроенный чип интегральной схемы для аутентификации, требуя считыватель карт. [36] USB-токены — это физические маркеры, которые подключаются через порт USB для аутентификации пользователя. [37]
В некоторых случаях практично наносить специальную краску для стен и оконную пленку на комнату или здание, чтобы значительно ослабить беспроводные сигналы, что не дает сигналам распространяться за пределы объекта. Это может значительно улучшить беспроводную безопасность, поскольку хакерам сложно принимать сигналы за пределами контролируемой зоны объекта, например, с парковки. [38]
Большинство DoS-атак легко обнаружить. Однако многие из них трудно остановить даже после обнаружения. Вот три наиболее распространенных способа остановить DoS-атаку.
Black Holing — один из возможных способов остановить DoS-атаку. Это ситуация, когда мы отбрасываем все IP-пакеты от атакующего. Это не очень хорошая долгосрочная стратегия, поскольку атакующие могут очень быстро изменить свой исходный адрес.
Это может иметь негативные последствия, если делается автоматически. Злоумышленник может сознательно подделывать пакеты атаки с IP-адресом корпоративного партнера. Автоматизированные средства защиты могут блокировать легитимный трафик от этого партнера и вызывать дополнительные проблемы.
Проверка рукопожатия включает в себя создание ложных открытий и не резервирование ресурсов до подтверждения отправителем. Некоторые брандмауэры решают проблему SYN-флуда путем предварительной проверки TCP-рукопожатия. Это делается путем создания ложных открытий. Всякий раз, когда приходит сегмент SYN, брандмауэр отправляет обратно сегмент SYN/ACK, не передавая сегмент SYN на целевой сервер.
Только когда брандмауэр получает ответ ACK, что может произойти только при легитимном подключении, брандмауэр отправляет исходный сегмент SYN на сервер, для которого он изначально предназначался. Брандмауэр не выделяет ресурсы для подключения при получении сегмента SYN, поэтому обработка большого количества ложных сегментов SYN — лишь небольшая проблема.
Ограничение скорости может использоваться для сокращения определенного типа трафика до объема, с которым можно разумно справиться. Широковещательная передача во внутреннюю сеть все еще может использоваться, но только с ограниченной скоростью, например. Это для более тонких DoS-атак. Это хорошо, если атака направлена на один сервер, поскольку это сохраняет линии передачи, по крайней мере, частично открытыми для других коммуникаций.
Ограничение скорости расстраивает как злоумышленника, так и законных пользователей. Это помогает, но не решает проблему полностью. Как только DoS-трафик забивает линию доступа, ведущую в Интернет, пограничный брандмауэр ничего не может сделать, чтобы исправить ситуацию. Большинство DoS-атак — это проблемы сообщества, которые можно остановить только с помощью интернет-провайдеров и организаций, чьи компьютеры используются как боты и для атак на другие фирмы.
С ростом числа мобильных устройств с интерфейсами 802.1X безопасность таких мобильных устройств становится проблемой. В то время как открытые стандарты, такие как Kismet, нацелены на защиту ноутбуков, [39] решения точек доступа должны распространяться и на мобильные устройства. Решения на основе хоста для мобильных телефонов и КПК с интерфейсом 802.1X.
Безопасность мобильных устройств делится на три категории:
Решения Wireless IPS теперь предлагают беспроводную безопасность для мобильных устройств. [ необходима цитата ]
Мобильные устройства мониторинга пациентов становятся неотъемлемой частью отрасли здравоохранения, и эти устройства в конечном итоге станут методом выбора для доступа и проведения медицинских осмотров пациентов, находящихся в отдаленных районах. Для этих типов систем мониторинга пациентов безопасность и надежность имеют решающее значение, поскольку они могут влиять на состояние пациентов и могут оставить медицинских работников в неведении относительно состояния пациента в случае их нарушения. [40]
Для внедрения 802.11i необходимо сначала убедиться, что маршрутизатор/точка доступа, а также все клиентские устройства действительно оснащены для поддержки сетевого шифрования. Если это сделано, необходимо интегрировать сервер, такой как RADIUS , ADS, NDS или LDAP . Этот сервер может быть компьютером в локальной сети, точкой доступа/маршрутизатором со встроенным сервером аутентификации или удаленным сервером. Точки доступа/маршрутизаторы со встроенными серверами аутентификации часто очень дороги и являются вариантом для коммерческого использования, например, для точек доступа . Размещенные через Интернет серверы 802.1X требуют ежемесячной платы; запуск частного сервера бесплатен, но имеет тот недостаток, что его необходимо настраивать, и сервер должен быть постоянно включен. [41]
Для настройки сервера необходимо установить серверное и клиентское программное обеспечение. Требуемое серверное программное обеспечение — это сервер аутентификации предприятия, такой как RADIUS, ADS, NDS или LDAP. Необходимое программное обеспечение можно выбрать у различных поставщиков, таких как Microsoft, Cisco, Funk Software, Meetinghouse Data, а также из некоторых проектов с открытым исходным кодом. Программное обеспечение включает:
Клиентское программное обеспечение встроено в Windows XP и может быть интегрировано в другие ОС с помощью любого из следующих программ:
Remote Authentication Dial In User Service (RADIUS) — это протокол AAA (аутентификация, авторизация и учет), используемый для удаленного доступа к сети. RADIUS, разработанный в 1991 году, изначально был проприетарным, но затем опубликован в 1997 году в документах ISOC RFC 2138 и RFC 2139. [42] [43] Идея заключается в том, чтобы внутренний сервер действовал как привратник, проверяя идентификационные данные с помощью имени пользователя и пароля, которые уже заранее определены пользователем. Сервер RADIUS также может быть настроен для обеспечения соблюдения политик и ограничений пользователя, а также для записи учетной информации, такой как время соединения, для таких целей, как выставление счетов.
Сегодня во многих городских районах имеется почти полное покрытие беспроводной сетью — инфраструктура для беспроводной общественной сети (которую некоторые считают будущим Интернета [ кто? ] ) уже существует. Можно было бы бродить и всегда быть подключенным к Интернету, если бы узлы были открыты для публики, но из-за проблем безопасности большинство узлов зашифрованы, и пользователи не знают, как отключить шифрование. Многие люди [ кто? ] считают правильным оставлять точки доступа открытыми для публики, обеспечивая свободный доступ к Интернету. Другие [ кто? ] считают, что шифрование по умолчанию обеспечивает существенную защиту при небольших неудобствах от опасностей открытого доступа, которые, как они опасаются, могут быть существенными даже на домашнем маршрутизаторе DSL.
Плотность точек доступа может даже стать проблемой — доступно ограниченное количество каналов, и они частично перекрываются. Каждый канал может обслуживать несколько сетей, но в местах с большим количеством частных беспроводных сетей (например, в многоквартирных домах) ограниченное количество радиоканалов Wi-Fi может привести к замедлению и другим проблемам.
По мнению сторонников открытых точек доступа, открытие беспроводных сетей для общественности не должно нести в себе никаких существенных рисков:
С другой стороны, в некоторых странах, включая Германию, [44] лица, предоставляющие открытую точку доступа, могут быть (частично) привлечены к ответственности за любую незаконную деятельность, осуществляемую через эту точку доступа. Кроме того, во многих контрактах с интернет-провайдерами указывается, что подключение не может быть предоставлено другим лицам.