Беспроводная безопасность

Аспект беспроводных сетей

Пример беспроводного маршрутизатора , который может реализовать функции безопасности беспроводной сети.

Безопасность беспроводной сети — это предотвращение несанкционированного доступа или повреждения компьютеров или данных с помощью беспроводных сетей, к которым относятся сети Wi-Fi . Этот термин может также относиться к защите самой беспроводной сети от злоумышленников, стремящихся нанести ущерб конфиденциальности, целостности или доступности сети. Наиболее распространенным типом является безопасность Wi-Fi , которая включает в себя проводную эквивалентную конфиденциальность (WEP) и защищенный доступ Wi-Fi (WPA). WEP — это старый стандарт IEEE 802.11 1997 года. ^[1] Это заведомо слабый стандарт безопасности: пароль, который он использует, часто можно взломать за несколько минут с помощью простого портативного компьютера и широко доступных программных инструментов. ^[2] В 2003 году на смену WEP пришел WPA, быстрая альтернатива на тот момент для повышения безопасности по сравнению с WEP. Текущий стандарт — WPA2; ^[3] некоторое оборудование не может поддерживать WPA2 без обновления или замены прошивки. WPA2 использует устройство шифрования, которое шифрует сеть с помощью 256-битного ключа; более длинная длина ключа повышает безопасность по сравнению с WEP. Предприятия часто обеспечивают безопасность, используя систему на основе сертификатов для аутентификации подключающегося устройства в соответствии со стандартом 802.11X.

В январе 2018 года Wi-Fi Alliance объявил WPA3 заменой WPA2. Сертификация началась в июне 2018 года, а с июля 2020 года поддержка WPA3 стала обязательной для устройств с логотипом Wi-Fi CERTIFIED™.

Многие портативные компьютеры имеют предустановленные беспроводные карты . Возможность входа в сеть с мобильного телефона имеет большие преимущества. Однако беспроводная сеть подвержена некоторым проблемам с безопасностью. Хакеры обнаружили, что взломать беспроводные сети относительно легко, и даже используют беспроводные технологии для взлома проводных сетей. В результате очень важно, чтобы предприятия определяли эффективные политики безопасности беспроводной сети, защищающие от несанкционированного доступа к важным ресурсам. ^[4] Системы предотвращения вторжений в беспроводную сеть (WIPS) или системы обнаружения вторжений в беспроводную сеть (WIDS) обычно используются для обеспечения соблюдения политик безопасности беспроводной сети.

Панель настроек безопасности роутера DD-WRT

Риски для пользователей беспроводных технологий возросли по мере того, как услуга стала более популярной. Когда впервые появилась беспроводная технология, опасностей было относительно немного. Хакеры еще не успели освоить новую технологию, а беспроводные сети на рабочих местах встречаются редко. Однако существует множество рисков безопасности, связанных с текущими беспроводными протоколами и методами шифрования , а также с небрежностью и невежеством, существующими на уровне пользователей и корпоративных ИТ. ^[5] Благодаря беспроводному доступу методы взлома стали гораздо более изощренными и инновационными. Взлом также стал намного проще и доступнее благодаря простым в использовании инструментам на базе Windows или Linux , которые стали доступны в Интернете бесплатно.

Некоторые организации, в которых не установлены точки беспроводного доступа , не считают необходимым решать проблемы безопасности беспроводной сети. По оценкам In-Stat MDR и META Group, 95% всех корпоративных портативных компьютеров, которые планировалось приобрести в 2005 году, были оснащены беспроводными картами. Проблемы могут возникнуть в предположительно не беспроводной организации, когда беспроводной ноутбук подключен к корпоративной сети. Хакер может сидеть на парковке и собирать с нее информацию через ноутбуки и/или другие устройства или даже проникнуть через этот ноутбук, оснащенный беспроводной картой, и получить доступ к проводной сети.

Фон

Любой, кто находится в географическом диапазоне открытой незашифрованной беспроводной сети, может « прослушивать » или перехватывать и записывать трафик , получать несанкционированный доступ к внутренним сетевым ресурсам, а также к Интернету, а затем использовать информацию и ресурсы для разрушительных действий. или незаконные действия. Подобные нарушения безопасности стали серьезной проблемой как для корпоративных, так и для домашних сетей.

Если безопасность маршрутизатора не активирована или владелец деактивирует ее для удобства, создается бесплатная точка доступа . Поскольку большинство портативных компьютеров 21-го века имеют встроенную беспроводную сеть (см. технологию Intel Centrino ), им не требуется адаптер стороннего производителя, такой как карта PCMCIA или USB- ключ . Встроенная беспроводная сеть может быть включена по умолчанию без ведома владельца, таким образом транслируя доступность ноутбука к любому компьютеру поблизости.

Современные операционные системы, такие как Linux , macOS или Microsoft Windows, позволяют довольно легко настроить ПК в качестве «базовой станции» беспроводной локальной сети с помощью общего доступа к подключению к Интернету , что позволяет всем компьютерам в доме получать доступ к Интернету через «базовую станцию ». " ПК. Однако недостаток знаний пользователей о проблемах безопасности, присущих настройке таких систем, часто может позволить другим людям, находящимся поблизости, получить доступ к соединению. Такое «совмещение» обычно достигается без ведома оператора беспроводной сети; это может произойти даже без ведома злоумышленника, если его компьютер автоматически выберет ближайшую незащищенную беспроводную сеть для использования в качестве точки доступа.

Ситуация с угрозами

Безопасность беспроводной сети — еще один аспект компьютерной безопасности. Организации могут быть особенно уязвимы к нарушениям безопасности ^[6], вызванным несанкционированными точками доступа .

Если сотрудник добавит беспроводной интерфейс к незащищенному порту системы, он может создать брешь в сетевой безопасности , которая позволит получить доступ к конфиденциальным материалам. Для защиты сети и содержащейся в ней информации доступны такие контрмеры , как отключение открытых портов коммутатора во время настройки коммутатора и настройка VLAN для ограничения доступа к сети, но такие контрмеры должны применяться единообразно ко всем сетевым устройствам.

Межмашинный контекст

Беспроводная связь полезна в промышленной межмашинной связи (M2M). К таким промышленным приложениям часто предъявляются особые требования безопасности. Доступны оценки этих уязвимостей и полученные каталоги уязвимостей в промышленном контексте с учетом WLAN, NFC и ZigBee. ^[7]

Режимы несанкционированного доступа

Режимы несанкционированного доступа к ссылкам, функциям и данным настолько же разнообразны, насколько и соответствующие объекты используют программный код. Полномасштабной модели такой угрозы не существует. В некоторой степени предотвращение опирается на известные способы и методы нападения, а также на соответствующие методы подавления применяемых методов. Однако каждый новый режим действий будет создавать новые варианты угроз. Следовательно, профилактика требует постоянного стремления к улучшению. Описанные режимы атаки — это лишь краткий обзор типичных методов и сценариев их применения.

Случайная ассоциация

Нарушение периметра безопасности корпоративной сети может быть осуществлено различными способами и намерениями. Один из этих методов называется «случайной ассоциацией». Когда пользователь включает компьютер и он подключается к беспроводной точке доступа из перекрывающейся сети соседней компании, пользователь может даже не знать, что это произошло. Однако это нарушение безопасности, поскольку конфиденциальная информация компании раскрывается, и теперь может существовать связь от одной компании к другой. Это особенно актуально, если ноутбук подключен к проводной сети.

Случайная ассоциация — это случай уязвимости беспроводной сети, называемый «неправильной ассоциацией». ^[8] Неправильная ассоциация может быть случайной, преднамеренной (например, сделанной для обхода корпоративного брандмауэра) или результатом преднамеренных попыток беспроводных клиентов соблазнить их подключиться к точкам доступа злоумышленника.

Вредоносная ассоциация

«Вредоносные ассоциации» — это когда злоумышленники могут активно заставить беспроводные устройства подключаться к сети компании через свой ноутбук вместо точки доступа компании (AP). Эти типы ноутбуков известны как «мягкие точки доступа» и создаются, когда киберпреступник запускает какое-либо программное обеспечение , которое делает его беспроводную сетевую карту похожей на законную точку доступа. Получив доступ, вор может украсть пароли, атаковать проводную сеть или установить трояны . Поскольку беспроводные сети работают на уровне 2, средства защиты уровня 3, такие как сетевая аутентификация и виртуальные частные сети (VPN), не создают никаких препятствий. Аутентификация беспроводной сети 802.1X действительно помогает обеспечить некоторую защиту, но по-прежнему уязвима для взлома. Идея этого типа атаки может заключаться не во взломе VPN или других мер безопасности. Скорее всего преступник просто пытается захватить клиента на уровне Layer 2.

Специальные сети

Одноранговые сети могут представлять угрозу безопасности. Одноранговые сети определяются как [одноранговые] сети между беспроводными компьютерами, между которыми нет точки доступа. Хотя эти типы сетей обычно не имеют достаточной защиты, для обеспечения безопасности можно использовать методы шифрования. ^[9]

Дыра в безопасности, обеспечиваемая одноранговой сетью, - это не сама одноранговая сеть, а мост, который она обеспечивает в другие сети, обычно в корпоративной среде, и неудачные настройки по умолчанию в большинстве версий Microsoft Windows, позволяющие включить эту функцию, если она явно не отключена. . Таким образом, пользователь может даже не знать, что на его компьютере работает незащищенная одноранговая сеть. Если они одновременно используют проводную или беспроводную инфраструктурную сеть, они обеспечивают мост к защищенной сети организации через незащищенное одноранговое соединение. Мост существует в двух формах. Прямой мост, который требует от пользователя фактически настроить мост между двумя соединениями и, следовательно, вряд ли будет инициирован, если это явно не требуется, и косвенный мост, который представляет собой общие ресурсы на компьютере пользователя. Косвенный мост может предоставлять частные данные, которые передаются с компьютера пользователя по LAN-подключениям, например, общие папки или частное сетевое хранилище, не делая различий между аутентифицированными или частными соединениями и неаутентифицированными одноранговыми сетями. Это не представляет собой угроз, которые еще не были знакомы открытым/публичным или незащищенным точкам доступа Wi-Fi, но правила брандмауэра можно обойти в случае плохо настроенных операционных систем или локальных настроек. ^[10]

Нетрадиционные сети

Нетрадиционные сети, такие как персональные сети Bluetooth- устройств, не защищены от взлома и их следует рассматривать как угрозу безопасности. ^[11] Даже считыватели штрих-кодов , портативные карманные компьютеры , беспроводные принтеры и копиры должны быть защищены. Эти нетрадиционные сети могут быть легко упущены из виду ИТ-персоналом, специализирующимся на ноутбуках и точках доступа.

Кража личных данных (подмена MAC-адреса)

Кража личных данных (или подмена MAC-адреса ) происходит, когда хакер может прослушивать сетевой трафик и идентифицировать MAC-адрес компьютера с сетевыми привилегиями . Большинство беспроводных систем допускают некоторую фильтрацию MAC-адресов , позволяющую только авторизованным компьютерам с определенными MAC-идентификаторами получать доступ и использовать сеть. Однако существуют программы, обладающие возможностями « обнюхивания » сети. Объедините эти программы с другим программным обеспечением, которое позволяет компьютеру притворяться, что у него есть любой MAC-адрес, который пожелает хакер, ^[12] и хакер сможет легко обойти это препятствие.

Фильтрация MAC-адресов эффективна только для небольших жилых (SOHO) сетей, поскольку она обеспечивает защиту только тогда, когда беспроводное устройство находится «вне эфира». Любое устройство 802.11 «в эфире» свободно передает свой незашифрованный MAC-адрес в заголовках 802.11, и для его обнаружения не требуется никакого специального оборудования или программного обеспечения. Любой, у кого есть приемник 802.11 (ноутбук и беспроводной адаптер) и бесплатный анализатор беспроводных пакетов, может получить MAC-адрес любого передающего устройства 802.11 в пределах досягаемости. В организационной среде, где большинство беспроводных устройств находятся «в эфире» на протяжении всей активной рабочей смены, фильтрация MAC-адресов обеспечивает лишь ложное чувство безопасности, поскольку предотвращает только «случайные» или непреднамеренные подключения к инфраструктуре организации и не делает ничего, чтобы предотвратить направленная атака.

Атаки «человек посередине»

Злоумышленник «человек посередине» побуждает компьютеры войти в компьютер, который настроен как программная точка доступа ( точка доступа ). Как только это будет сделано, хакер подключается к реальной точке доступа через другую беспроводную карту, обеспечивая постоянный поток трафика через прозрачный хакерский компьютер в реальную сеть. Затем хакер может прослушивать трафик. Один тип атаки «человек посередине» основан на ошибках безопасности в протоколах запроса и установления связи для выполнения «атаки деаутентификации». Эта атака вынуждает компьютеры, подключенные к точке доступа, разорвать свои соединения и повторно подключиться к программной точке доступа хакера (отключает пользователя от модема, поэтому ему приходится снова подключаться, используя свой пароль, который можно извлечь из записи события). Атаки «человек посередине» усиливаются с помощью такого программного обеспечения, как LANjack и AirJack, которое автоматизирует несколько этапов процесса, а это означает, что то, что когда-то требовало определенных навыков, теперь может быть выполнено скрипт-кидди . Горячие точки особенно уязвимы для любых атак, поскольку в этих сетях практически нет безопасности.

Отказ в обслуживании

Атака типа «отказ в обслуживании» (DoS) происходит, когда злоумышленник постоянно бомбардирует целевую точку доступа ( точку доступа ) или сеть фиктивными запросами, преждевременными сообщениями об успешном подключении, сообщениями об ошибках и/или другими командами. Это приводит к тому, что законные пользователи не могут подключиться к сети и могут даже привести к сбою сети. Эти атаки основаны на злоупотреблении такими протоколами, как расширяемый протокол аутентификации (EAP).

DoS-атака сама по себе мало что делает для раскрытия данных организации злоумышленнику, поскольку нарушение работы сети предотвращает поток данных и фактически косвенно защищает данные, предотвращая их передачу. Обычной причиной проведения DoS-атаки является наблюдение за восстановлением беспроводной сети, в ходе которого все первоначальные коды подтверждения повторно передаются всеми устройствами, предоставляя злоумышленнику возможность записать эти коды и использовать различные инструменты взлома. анализировать слабые места безопасности и использовать их для получения несанкционированного доступа к системе. Лучше всего это работает в системах со слабым шифрованием, таких как WEP, где имеется ряд инструментов, которые могут запустить атаку по словарю «возможно принятых» ключей безопасности на основе «модельного» ключа безопасности, полученного во время восстановления сети.

Сетевое внедрение

При атаке с внедрением сети хакер может использовать точки доступа, которые подвергаются воздействию нефильтрованного сетевого трафика, в частности, широковещательного сетевого трафика, такого как « Spanning Tree » (802.1D), OSPF , RIP и HSRP . Хакер вводит поддельные команды реконфигурации сети, которые влияют на маршрутизаторы, коммутаторы и интеллектуальные концентраторы. Таким образом можно вывести из строя всю сеть и потребовать перезагрузки или даже перепрограммирования всех интеллектуальных сетевых устройств.

Атака кофе латте

Атака Caffe Latte является еще одним способом получения ключа WEP и не требует наличия ближайшей точки доступа к целевой сети . ^[13] Атака Caffe Latte заключается в обмане клиента с помощью сохраненного пароля WEP для подключения к вредоносной точке доступа с тем же SSID , что и у целевой сети. После подключения клиента клиент генерирует запросы ARP , которые злонамеренная точка доступа использует для получения данных ключевого потока. Затем злонамеренная точка доступа неоднократно отправляет пакет деаутентификации клиенту, заставляя клиента отключаться, повторно подключаться и отправлять дополнительные запросы ARP, которые затем злонамеренная точка доступа использует для получения дополнительных данных ключевого потока. Как только вредоносная точка доступа соберет достаточный объем данных ключевого потока. Ключ WEP можно взломать с помощью такого инструмента, как [aircrack-ng].

Атака Caffe Latte была продемонстрирована против беспроводного стека Windows , но другие операционные системы также могут быть уязвимы.

Исследователь Вивек Рамачандран назвал эту атаку атакой «Caffe Latte», поскольку ее можно было использовать для получения ключа WEP от удаленного путешественника менее чем за 6 минут, необходимых для того, чтобы выпить чашку кофе. ^{[14] [15] [16]}

Концепции предотвращения вторжений в беспроводную сеть

Существует три основных способа защиты беспроводной сети.

• Для закрытых сетей (например, домашних пользователей и организаций) наиболее распространенным способом является настройка ограничений доступа в точках доступа . Эти ограничения могут включать шифрование и проверку MAC-адреса . Системы предотвращения вторжений в беспроводную сеть можно использовать для обеспечения безопасности беспроводной локальной сети в этой модели сети.
• Для коммерческих провайдеров, точек доступа и крупных организаций предпочтительным решением часто является открытая и незашифрованная, но полностью изолированная беспроводная сеть. Сначала пользователи не будут иметь доступа ни к Интернету, ни к каким-либо ресурсам локальной сети. Коммерческие провайдеры обычно перенаправляют весь веб-трафик на авторизованный портал , который обеспечивает оплату и/или авторизацию. Другое решение — потребовать от пользователей безопасного подключения к привилегированной сети с помощью VPN .
• Беспроводные сети менее безопасны, чем проводные; во многих офисах злоумышленники могут легко посетить и без проблем подключить собственный компьютер к проводной сети, получив доступ к сети, а также часто удаленные злоумышленники могут получить доступ к сети через бэкдоры , такие как Back Orifice . Одним из общих решений может быть сквозное шифрование с независимой аутентификацией на всех ресурсах, которые не должны быть общедоступными.

Не существует готовой системы, позволяющей предотвратить мошенническое использование беспроводной связи или защитить данные и функции компьютеров и других объектов, взаимодействующих по беспроводной сети. Однако существует система квалификации принятых мер в целом по общему пониманию того, что следует считать современным. Система квалификации является международным консенсусом, как указано в ISO/IEC 15408 .

Беспроводная система предотвращения вторжений

Система предотвращения вторжений в беспроводную сеть (WIPS) — это концепция наиболее надежного способа противодействия рискам безопасности беспроводной сети. ^[17] Однако такой WIPS не существует в виде готового решения для реализации в виде пакета программного обеспечения. WIPS обычно реализуется как надстройка над существующей инфраструктурой беспроводной локальной сети , хотя его можно развернуть автономно для обеспечения соблюдения политик отсутствия беспроводной сети внутри организации. WIPS считается настолько важным для безопасности беспроводной сети, что в июле 2009 года Совет по стандартам безопасности индустрии платежных карт опубликовал рекомендации по беспроводной связи ^[18] для PCI DSS , в которых рекомендуется использовать WIPS для автоматизации беспроводного сканирования и защиты для крупных организаций.

Меры безопасности

Существует целый ряд мер безопасности беспроводной сети, различной эффективности и практичности.

SSID скрывается

Простой, но неэффективный метод защиты беспроводной сети — скрыть SSID (идентификатор набора служб). ^[19] Это обеспечивает очень слабую защиту от чего-либо, кроме самых случайных попыток вторжения.

Фильтрация MAC-идентификаторов

Один из самых простых методов — разрешить доступ только с известных, предварительно утвержденных MAC-адресов. Большинство точек беспроводного доступа содержат тот или иной тип фильтрации MAC- идентификаторов. Однако злоумышленник может просто прослушать MAC-адрес авторизованного клиента и подделать этот адрес.

Статическая IP-адресация

Типичные точки беспроводного доступа предоставляют клиентам IP-адреса через DHCP . Требование от клиентов устанавливать свои собственные адреса затрудняет вход в сеть случайному или неискушенному злоумышленнику, но обеспечивает слабую защиту от изощренного злоумышленника. ^[19]

Безопасность 802.11

IEEE 802.1X — это стандартные механизмы аутентификации IEEE для устройств, подключающихся к беспроводной локальной сети.

Обычный WEP

Стандарт шифрования Wired Equiвалентной конфиденциальности (WEP) был первоначальным стандартом шифрования для беспроводной связи, но с 2004 года, после ратификации WPA2, IEEE объявил его «устаревшим» ^[20] и, хотя он часто поддерживается, он редко или никогда не используется по умолчанию в современных оборудование.

Обеспокоенность по поводу его безопасности была высказана еще в 2001 году, ^[21] это было ярко продемонстрировано в 2005 году ФБР , [ ^22] однако в 2007 году TJ Maxx признал масштабное нарушение безопасности, отчасти из-за использования WEP ^[23] и платежных карт. Промышленность потребовалось до 2008 года, чтобы запретить его использование, и даже после этого разрешило существующее использование продолжаться до июня 2010 года. ^[24]

WPAv1

Протоколы безопасности Wi-Fi Protected Access (WPA и WPA2) были позже созданы для решения проблем с WEP. Если используется слабый пароль, например словарное слово или короткая строка символов, WPA и WPA2 можно взломать. Использование достаточно длинного случайного пароля (например, 14 случайных букв) или парольной фразы (например, 5 случайно выбранных слов ) делает общий ключ WPA практически неуязвимым. Второе поколение протокола безопасности WPA (WPA2) основано на последней поправке IEEE 802.11i к стандарту 802.11 и соответствует стандарту FIPS 140-2 . Благодаря всем этим схемам шифрования любой клиент в сети, знающий ключи, может прочитать весь трафик.

Защищенный доступ Wi-Fi (WPA) — это улучшение программного обеспечения/прошивки по сравнению с WEP. Все штатное WLAN-оборудование, работающее с WEP, можно просто модернизировать, не прибегая к покупке нового оборудования. WPA — это урезанная версия стандарта безопасности 802.11i , разработанная IEEE 802.11 для замены WEP. Алгоритм шифрования TKIP был разработан для WPA с целью улучшения WEP, которое можно было бы использовать в качестве обновлений встроенного ПО существующих устройств 802.11. Профиль WPA также обеспечивает дополнительную поддержку алгоритма AES-CCMP , который является предпочтительным алгоритмом в 802.11i и WPA2.

WPA Enterprise обеспечивает аутентификацию на основе RADIUS с использованием 802.1X. WPA Personal использует предварительно общий ключ ( PSK ) для обеспечения безопасности с использованием парольной фразы длиной от 8 до 63 символов. PSK также можно ввести в виде шестнадцатеричной строки длиной 64 символа. Слабые парольные фразы PSK можно взломать с помощью автономных атак по словарю, перехватив сообщения в четырехстороннем обмене, когда клиент повторно подключается после деаутентификации. Беспроводные пакеты, такие как aircrack-ng, могут взломать слабую парольную фразу менее чем за минуту. Другими взломщиками WEP/WPA являются AirSnort и Auditor Security Collection . ^[25] Тем не менее, WPA Personal безопасен при использовании с «хорошими» парольными фразами или полным шестнадцатеричным ключом из 64 символов.

Однако была информация, что Эрик Тьюс (человек, который организовал атаку фрагментации WEP) собирался раскрыть способ взлома реализации WPA TKIP на токийской конференции по безопасности PacSec в ноябре 2008 года, взломав шифрование пакета за 12 минут. 15 минут. ^[26] Тем не менее, объявление об этом «взломе» было несколько преувеличено средствами массовой информации, поскольку по состоянию на август 2009 года лучшая атака на WPA (атака Бек-Тьюса) успешна лишь частично, поскольку она работает только с короткими данными. пакеты, он не может расшифровать ключ WPA и для работы требует очень специфических реализаций WPA. ^[27]

Дополнения к WPAv1

В дополнение к WPAv1 могут быть добавлены TKIP, WIDS и EAP . Кроме того, сети VPN (прерывистые защищенные сетевые соединения) могут быть настроены в соответствии со стандартом 802.11. Реализации VPN включают PPTP , L2TP , IPsec и SSH . Однако этот дополнительный уровень безопасности также можно взломать с помощью таких инструментов, как Anger, Deceit и Ettercap для PPTP; ^[28] и ike-scan, IKEProbe, ipsectrace и IKEcrack для IPsec-соединений.

ТКИП

Это означает «Протокол целостности временного ключа», а аббревиатура произносится как «ти-кип». Это часть стандарта IEEE 802.11i. TKIP реализует смешивание ключей для каждого пакета с системой повторного ввода ключей, а также обеспечивает проверку целостности сообщения. Это позволяет избежать проблем WEP.

EAP

Улучшение WPA по сравнению со стандартом IEEE 802.1X уже улучшило аутентификацию и авторизацию для доступа к беспроводным и проводным локальным сетям . В дополнение к этому дополнительные меры, такие как расширяемый протокол аутентификации (EAP), обеспечили еще больший уровень безопасности. Это связано с тем, что EAP использует центральный сервер аутентификации. ^К сожалению, в 2002 году профессор из Мэриленда обнаружил ^{некоторые недостатки} . В течение следующих нескольких лет эти недостатки были устранены с помощью TLS и других усовершенствований. ^[29] Эта новая версия EAP теперь называется Extended EAP и доступна в нескольких версиях; к ним относятся: EAP-MD5, PEAPv0, PEAPv1, EAP-MSCHAPv2, LEAP, EAP-FAST, EAP-TLS, EAP-TTLS, MSCHAPv2 и EAP-SIM.

EAP-версии

Версии EAP включают LEAP, PEAP и другие EAP.

ПРЫГНУТЬ

Это означает облегченный расширяемый протокол аутентификации. Этот протокол основан на 802.1X и помогает свести к минимуму первоначальные недостатки безопасности за счет использования WEP и сложной системы управления ключами. Эта версия EAP безопаснее, чем EAP-MD5. При этом также используется аутентификация по MAC-адресу. LEAP небезопасен; THC-LeapCracker может быть использован для взлома версии LEAP от Cisco и использован против компьютеров, подключенных к точке доступа, в форме атаки по словарю . Anwrap и asleap, наконец, — другие взломщики, способные взломать LEAP. ^[25]

ПЭАП

Это означает защищенный расширяемый протокол аутентификации. Этот протокол обеспечивает безопасную передачу данных, паролей и ключей шифрования без необходимости использования сервера сертификатов. Он был разработан Cisco, Microsoft и RSA Security .

Другие EAP Существуют и другие типы реализаций расширяемого протокола аутентификации, основанные на платформе EAP. Созданная платформа поддерживает существующие типы EAP, а также будущие методы аутентификации. ^[30] EAP-TLS обеспечивает очень хорошую защиту благодаря взаимной аутентификации. И клиент, и сеть аутентифицируются с использованием сертификатов и ключей WEP для каждого сеанса. ^[31] EAP-FAST также обеспечивает хорошую защиту. EAP-TTLS — еще одна альтернатива, разработанная Certicom и Funk Software. Это более удобно, поскольку не нужно раздавать сертификаты пользователям, но обеспечивает немного меньшую защиту, чем EAP-TLS. ^[32]

Сети с ограниченным доступом

Решения включают в себя новую систему аутентификации IEEE 802.1X , которая обещает повысить безопасность как в проводных, так и в беспроводных сетях. Точки беспроводного доступа, в которых используются подобные технологии, часто также имеют встроенные маршрутизаторы , превращаясь, таким образом, в беспроводные шлюзы .

Сквозное шифрование

Можно утверждать, что методы шифрования как уровня 2 , так и уровня 3 недостаточно хороши для защиты ценных данных, таких как пароли и личные электронные письма. Эти технологии добавляют шифрование только к частям пути связи, по-прежнему позволяя людям шпионить за трафиком, если они каким-то образом получили доступ к проводной сети. Решением может быть шифрование и авторизация на уровне приложения с использованием таких технологий, как SSL , SSH , GnuPG , PGP и подобных.

Недостатком сквозного метода является то, что он может не охватить весь трафик. Благодаря шифрованию на уровне маршрутизатора или VPN один коммутатор шифрует весь трафик, даже запросы UDP и DNS. С другой стороны, при сквозном шифровании для каждой защищаемой службы должно быть «включено» шифрование, и часто каждое соединение также должно быть «включено» отдельно. Для отправки электронных писем каждый получатель должен поддерживать метод шифрования и правильно обмениваться ключами. В Интернете не все веб-сайты поддерживают https, и даже если они есть, браузер отправляет IP-адреса в виде открытого текста.

Самым ценным ресурсом зачастую является доступ в Интернет. Владелец офисной локальной сети, стремящийся ограничить такой доступ, столкнется с нетривиальной задачей принудительного обеспечения аутентификации каждого пользователя на маршрутизаторе.

Безопасность 802.11i

Новейшей и самой строгой системой безопасности, внедряемой сегодня в WLAN, является стандарт 802.11i RSN. Однако этот полноценный стандарт 802.11i (который использует WPAv2) требует новейшего оборудования (в отличие от WPAv1), что потенциально требует покупки нового оборудования. Это новое требуемое оборудование может быть либо AES-WRAP (ранняя версия 802.11i), либо более новым и лучшим оборудованием AES-CCMP. Следует убедиться, что вам необходимо оборудование WRAP или CCMP, поскольку два аппаратных стандарта несовместимы.

WPAv2

WPA2 — это версия окончательного стандарта 802.11i под брендом WiFi Alliance. ^[33] Основным усовершенствованием WPA является включение алгоритма AES-CCMP в качестве обязательной функции. И WPA, и WPA2 поддерживают методы аутентификации EAP с использованием серверов RADIUS и предварительного ключа (PSK).

Количество сетей WPA и WPA2 увеличивается, а количество сетей WEP уменьшается ^[34] из-за уязвимостей безопасности в WEP.

Было обнаружено, что в WPA2 имеется по крайней мере одна уязвимость безопасности под названием Hole196. Уязвимость использует групповой временный ключ WPA2 (GTK), который является общим ключом среди всех пользователей одного и того же BSSID , для запуска атак на других пользователей того же BSSID . Он назван в честь страницы 196 спецификации IEEE 802.11i, где обсуждается уязвимость. Для реализации этого эксплойта злоумышленнику должен быть известен GTK. ^[35]

Дополнения к WPAv2

В отличие от 802.1X, 802.11i уже имеет большинство других дополнительных служб безопасности, таких как TKIP. Как и WPAv1, WPAv2 может работать совместно с EAP и WIDS .

ВАПИ

Это означает инфраструктуру аутентификации и конфиденциальности WLAN. Это стандарт безопасности беспроводной связи, определенный правительством Китая .

Смарт-карты, USB-токены и программные токены

Использование токена безопасности — это метод аутентификации, основанный на том, что только авторизованные пользователи обладают необходимым токеном. Смарт-карты представляют собой физические токены в картах, в которых для аутентификации используется встроенный чип интегральной схемы, требующий устройства считывания карт. ^[36] USB-токены — это физические токены, которые подключаются через USB-порт для аутентификации пользователя. ^[37]

Радиочастотное экранирование

В некоторых случаях целесообразно нанести на комнату или здание специальную краску для стен и оконную пленку, чтобы значительно ослабить беспроводные сигналы и предотвратить распространение сигналов за пределы объекта. Это может значительно повысить безопасность беспроводной связи, поскольку хакерам сложно получить сигналы за пределами контролируемой зоны объекта, например, с парковки. ^[38]

Защита от отказа в обслуживании

Большинство DoS-атак легко обнаружить. Однако многие из них сложно остановить даже после обнаружения. Вот три наиболее распространенных способа остановить DoS-атаку.

Черная дыра

Черная дыра — один из возможных способов остановить DoS-атаку. Это ситуация, когда мы отбрасываем все IP-пакеты от злоумышленника. Это не очень хорошая долгосрочная стратегия, поскольку злоумышленники могут очень быстро изменить свой исходный адрес.

Если это делается автоматически, это может иметь негативные последствия. Злоумышленник может сознательно подделать атакующие пакеты, указав IP-адрес корпоративного партнера. Автоматизированная защита может заблокировать законный трафик от этого партнера и вызвать дополнительные проблемы.

Проверка рукопожатия

Проверка рукопожатия предполагает создание ложных открытий, а не выделение ресурсов до тех пор, пока отправитель не подтвердит. Некоторые межсетевые экраны устраняют потоки SYN, предварительно проверяя TCP-квитирование. Это достигается путем создания ложных открытий. Всякий раз, когда приходит сегмент SYN, брандмауэр отправляет обратно сегмент SYN/ACK, не передавая сегмент SYN на целевой сервер.

Только когда брандмауэр получит обратно ACK, что произойдет только при легитимном соединении, брандмауэр отправит исходный сегмент SYN на сервер, для которого он изначально предназначался. Брандмауэр не выделяет ресурсы для соединения при поступлении сегмента SYN, поэтому обработка большого количества ложных сегментов SYN представляет собой лишь небольшую нагрузку.

Ограничение скорости

Ограничение скорости можно использовать для уменьшения трафика определенного типа до уровня, с которым можно разумно справиться. Трансляцию во внутреннюю сеть все еще можно использовать, но, например, только с ограниченной скоростью. Это для более тонких DoS-атак. Это хорошо, если атака направлена ​​на один сервер, поскольку при этом линии передачи остаются хотя бы частично открытыми для других коммуникаций.

Ограничение скорости расстраивает как злоумышленника, так и законных пользователей. Это помогает, но не решает проблему полностью. Как только DoS-трафик забивает линию доступа к Интернету, пограничный брандмауэр ничем не может помочь в этой ситуации. Большинство DoS-атак являются проблемами сообщества, которые можно остановить только с помощью интернет-провайдеров и организаций, чьи компьютеры используются как боты для атак на другие компании.

Мобильные устройства

С увеличением количества мобильных устройств с интерфейсами 802.1X безопасность таких мобильных устройств становится проблемой. В то время как открытые стандарты, такие как Kismet, ориентированы на защиту ноутбуков, ^[39] решения для точек доступа должны распространяться и на мобильные устройства. Хост-решения для мобильных телефонов и КПК с интерфейсом 802.1X.

Безопасность мобильных устройств подразделяется на три категории:

1. Защита от одноранговых сетей
2. Подключение к несанкционированным точкам доступа
3. Схемы взаимной аутентификации, такие как WPA2, как описано выше.

Решения Wireless IPS теперь обеспечивают безопасность беспроводной сети для мобильных устройств. ^{[ нужна цитата ]}

Мобильные устройства для мониторинга пациентов становятся неотъемлемой частью индустрии здравоохранения, и эти устройства в конечном итоге станут методом выбора для доступа и проведения проверок здоровья пациентов, находящихся в отдаленных районах. Для этих типов систем мониторинга пациентов безопасность и надежность имеют решающее значение, поскольку они могут влиять на состояние пациентов и могут оставить медицинских работников в неведении относительно состояния пациента в случае взлома. ^[40]

Реализация сетевого шифрования

Чтобы реализовать 802.11i, необходимо сначала убедиться, что маршрутизатор/точка доступа, а также все клиентские устройства действительно оборудованы для поддержки сетевого шифрования. В этом случае необходимо интегрировать такой сервер, как RADIUS , ADS, NDS или LDAP . Этим сервером может быть компьютер в локальной сети, точка доступа/маршрутизатор со встроенным сервером аутентификации или удаленный сервер. Точки доступа/маршрутизаторы со встроенными серверами аутентификации часто очень дороги и подходят для коммерческого использования, например, в горячих точках . Размещение серверов 802.1X через Интернет требует ежемесячной платы; запуск частного сервера бесплатен, но имеет тот недостаток, что его необходимо настроить и сервер должен работать постоянно. ^[41]

Для настройки сервера необходимо установить серверное и клиентское программное обеспечение. Требуется серверное программное обеспечение — это корпоративный сервер аутентификации, например RADIUS, ADS, NDS или LDAP. Необходимое программное обеспечение можно выбрать у различных поставщиков, таких как Microsoft, Cisco, Funk Software, Meetinghouse Data, а также у некоторых проектов с открытым исходным кодом. Программное обеспечение включает в себя:

• Арадиальный RADIUS-сервер
• Программное обеспечение Cisco для безопасного контроля доступа
• freeRADIUS (с открытым исходным кодом)
• Funk Software Steel Belted RADIUS (Одиссея)
• Служба интернет-аутентификации Microsoft
• Данные о доме собраний EAGIS
• SkyFriendz (бесплатное облачное решение на базе freeRADIUS)

Клиентское программное обеспечение встроено в Windows XP и может быть интегрировано в другие ОС с помощью любого из следующих программ:

• AEGIS-клиент
• Cisco ACU-клиент
• Программное обеспечение Intel PROSet/Wireless
• клиент Одиссеи
• Xsupplicant (open1X)-проект

РАДИУС

Служба удаленной аутентификации при вызове пользователя (RADIUS) — это протокол AAA (аутентификация, авторизация и учет), используемый для удаленного доступа к сети. RADIUS, разработанный в 1991 году, изначально был запатентованным, но затем был опубликован в 1997 году под документами ISOC RFC 2138 и RFC 2139. ^{[42] [43]} Идея состоит в том, чтобы внутренний сервер действовал в качестве привратника, проверяя личность с помощью имени пользователя и пароля, которые уже заранее определено пользователем. Сервер RADIUS также можно настроить для обеспечения соблюдения пользовательских политик и ограничений, а также для записи учетной информации, такой как время соединения, для таких целей, как выставление счетов.

Открытые точки доступа

Сегодня во многих городских районах почти полное покрытие беспроводной сети — инфраструктура для беспроводной общественной сети (которую некоторые считают будущим Интернета ^{[ кто? ]} ) уже существует. Можно было бы перемещаться и всегда быть подключенным к Интернету, если бы узлы были открыты для публики, но из соображений безопасности большинство узлов зашифрованы, и пользователи не знают, как отключить шифрование. Многие люди ^{[ кто? ]} считают правильным оставлять точки доступа открытыми для публики, обеспечивая свободный доступ к Интернету. Другие ^{[ кто? ]} считают, что шифрование по умолчанию обеспечивает существенную защиту при небольших неудобствах от опасностей открытого доступа, которые, как они опасаются, могут быть существенными даже на домашнем DSL-маршрутизаторе.

Плотность точек доступа может даже стать проблемой — количество доступных каналов ограничено, и они частично перекрываются. Каждый канал может работать с несколькими сетями, но в местах с большим количеством частных беспроводных сетей (например, в многоквартирных домах) ограниченное количество радиоканалов Wi-Fi может привести к замедлению работы и другим проблемам.

По мнению сторонников открытых точек доступа, открытие беспроводных сетей для общественности не должно сопряжено с какими-либо значительными рисками:

• В конце концов, беспроводная сеть ограничена небольшой географической территорией. Компьютер, подключенный к Интернету и имеющий неправильную конфигурацию или другие проблемы с безопасностью, может быть использован кем угодно из любой точки мира, в то время как только клиенты в небольшом географическом диапазоне могут использовать открытую точку беспроводного доступа. Таким образом, при открытой точке беспроводного доступа риск невелик, а риски при наличии открытой беспроводной сети невелики. Однако следует помнить, что открытый беспроводной маршрутизатор предоставит доступ к локальной сети, часто включая доступ к общим файлам и принтерам.
• Единственный способ обеспечить по-настоящему безопасную связь — использовать сквозное шифрование . Например, при доступе к интернет-банку почти всегда нужно использовать стойкое шифрование на всем пути до банка – таким образом, банковские операции через незашифрованную беспроводную сеть не должны быть рискованными. Аргумент состоит в том, что любой может прослушивать трафик, что применимо и к проводным сетям, где системные администраторы и возможные хакеры имеют доступ к ссылкам и могут читать трафик. Кроме того, любой, кто знает ключи зашифрованной беспроводной сети, может получить доступ к данным, передаваемым по сети.
• Если в локальной сети доступны такие службы, как общий доступ к файлам, доступ к принтерам и т. д., желательно иметь аутентификацию (т. е. по паролю) для доступа к ней (никогда не следует предполагать, что частная сеть недоступна извне). При правильной настройке должно быть безопасно разрешать доступ к локальной сети посторонним.
• Благодаря наиболее популярным сегодня алгоритмам шифрования сниффер обычно сможет вычислить сетевой ключ за несколько минут.
• Очень часто фиксированную ежемесячную плату платят за подключение к Интернету, а не за трафик – поэтому дополнительный трафик не будет вредным.
• Там, где интернет-соединения многочисленны и дешевы, халявщики редко будут серьезной помехой.

С другой стороны, в некоторых странах, включая Германию, ^[44] лица, предоставляющие открытую точку доступа, могут быть привлечены (частично) к ответственности за любую незаконную деятельность, осуществляемую через эту точку доступа. Кроме того, во многих контрактах с интернет-провайдерами указано, что соединение не может быть передано другим лицам.

Смотрите также

• Aircrack-нг
• Электромагнитное экранирование
• Кисмет
• КРАК
• Список проектов прошивок роутера
• Взлом шифрования сети
• Мобильная безопасность
• Стандарт безопасности данных индустрии платежных карт
• Стелс обои
• Буря (кодовое имя)
• Беспроводная система предотвращения вторжений
• Беспроводная инфраструктура открытых ключей (WPKI)
• Эксплойты беспроводных сетей

Рекомендации

1. Стандарт IEEE для спецификаций управления доступом к среде беспроводной локальной сети (MAC) и физического уровня (PHY) . 1997. doi :10.1109/IEESTD.1997.85951. ISBN 978-0738130446.
2. «Определение WEP». ПКМАГ . Проверено 4 июня 2021 г.
3. LinkedIn. «Как защитить сеть Wi-Fi с помощью WPA2?». Жизненный провод . Проверено 4 июня 2021 г.
4. «Как определить политики безопасности беспроводной сети» . Проверено 9 октября 2008 г.
5. «Букварь по безопасности беспроводной сети (Часть II)» . windowssecurity.com. 23 апреля 2003 г. Проверено 27 апреля 2008 г.
6. «Соединение частей безопасности WLAN вместе». pcworld.com. 30 октября 2008 г. Проверено 30 октября 2008 г.^{[ постоянная мертвая ссылка ]}
7. «Уязвимости и риски безопасности при промышленном использовании беспроводной связи». IEEE ETFA 2014 – 19-я Международная конференция IEEE по новым технологиям и автоматизации производства . Проверено 4 августа 2014 г.
8. «Основные причины, по которым корпоративные клиенты Wi-Fi подключаются к неавторизованным сетям» . ИнфоБезопасность. 17 февраля 2010 г. Проверено 22 марта 2010 г.
9. Маргарет Роуз. «Шифрование». ТехТаржет . Проверено 26 мая 2015 г.
10. Брэйдли Митчелл. «Что такое режим Ad-Hoc в беспроводной сети?». о тех. Архивировано из оригинала 8 апреля 2015 года . Проверено 26 мая 2015 г.
11. Браунинг, Деннис; Кесслер, Гэри (2009). «Взлом Bluetooth: практический пример». Журнал цифровой криминалистики, безопасности и права . дои : 10.15394/jdfsl.2009.1058 . ISSN  1558-7223.
12. «Сменщик MAC-адресов SMAC 2.0» . klcconsulting.com . Проверено 17 марта 2008 г.
13. Лиза Файфер. «Атака Caffe Latte: как это работает и как ее заблокировать». Wi-Fiplanet.com . Проверено 21 марта 2008 г.
14. «Кафе Латте с бесплатной начинкой из взломанного WEP: получение ключей WEP от дорожных воинов» . Архивировано из оригинала 11 мая 2015 г. Проверено 21 марта 2008 г.
15. Рамачандран, Вивек (18 сентября 2009 г.). «Атака кофе латте». www.slideshare.net . Проверено 12 января 2023 г.
16. «Кафе Латте с бесплатной начинкой из взломанного WEP - получение ключей WEP от дорожных воинов» . toorcon.org . 24 апреля 2009 г. Архивировано из оригинала 24 апреля 2009 г. Проверено 12 января 2023 г.
17. «Официальный сайт Совета по стандартам безопасности PCI» . Совет по стандартам безопасности PCI .
18. «Руководство по беспроводной связи PCI DSS» (PDF) . Проверено 16 июля 2009 г.
19. Оу, Джордж (март 2005 г.). «Шесть самых глупых способов защитить беспроводную локальную сеть». ЗДНет .
20. «Что такое ключ WEP?». lirent.net. Архивировано из оригинала 17 апреля 2008 г. Проверено 11 марта 2008 г.
21. например, «Слабые стороны алгоритма планирования ключей RC4» Флюрера, Мантина и Шамира.
22. «ФБР преподает урок, как проникнуть в сети Wi-Fi» . infoweek.com .
23. «Анализ фиаско безопасности данных TJ Maxx» . Общество CPA штата Нью-Йорк .
24. «PCI DSS 1.2» .
25. Бивер, Кевин; Дэвис, Питер Т. (13 сентября 2005 г.). Взлом беспроводных сетей для чайников . ISBN 978-0764597305.
26. Роберт Макмиллан. «Когда-то считавшееся безопасным, шифрование WPA Wi-Fi взломано». ИДГ . Проверено 6 ноября 2008 г.
27. Нейт Андерсон (2009). «Одноминутный взлом Wi-Fi оказывает дополнительное давление на WPA» . Арс Техника . Проверено 5 июня 2010 г.
28. Кевин Бивер; Питер Т. Дэвис; Девин К. Акин (2011). Взлом беспроводных сетей для чайников. Джон Уайли и сыновья. п. 295. ИСБН 978-1118084922.
29. «Обзор расширяемого протокола аутентификации» . ТехНет. 11 сентября 2009 года . Проверено 26 мая 2015 г.
30. «Обзор расширяемого протокола аутентификации» . Microsoft TechNet . Проверено 2 октября 2008 г.
31. Джошуа Бардвелл; Девин Акин (2005). Официальное учебное пособие CWNA (Третье изд.). МакГроу-Хилл . п. 435. ИСБН 978-0072255386.
32. Джордж Оу. «Полное руководство по безопасности беспроводной сети: введение в аутентификацию Cisco EAP-FAST». Техреспублика . Архивировано из оригинала 7 июля 2012 г. Проверено 2 октября 2008 г.
33. «Защищенный доступ к Wi-Fi» . Wi-Fi Альянс . Архивировано из оригинала 21 мая 2007 года . Проверено 6 февраля 2008 г.
34. «WiGLE - Механизм беспроводной географической регистрации - Статистика» .
35. «Уязвимость WPA2 Hole196» . 28 января 2019 г. Архивировано из оригинала 13 ноября 2015 г. Проверено 5 мая 2013 г.
36. «Альянс безопасных технологий» . Проверено 23 апреля 2021 г.
37. Этьен, Стефан (22 февраля 2019 г.). «Лучшие аппаратные ключи безопасности для двухфакторной аутентификации». Грань . Проверено 3 июня 2021 г.
38. «Как: улучшить безопасность беспроводной сети с помощью экранирования» . Проверено 9 октября 2008 г.
39. «Что такое Кисмет?». kismetwireless.net . Проверено 6 февраля 2008 г.
40. Кхамиш Малхотра; Стивен Гарднер; Уилл Мефам. «Новая реализация протокола подписи, шифрования и аутентификации (SEA) на мобильных устройствах мониторинга пациентов». IOS Пресс . Проверено 11 марта 2010 г.
41. Бриер, Дэнни; Херли, Пэт (2005). Беспроводные сети, хаки и моды для чайников . Джон Уайли и сыновья. ISBN 978-0764595837.
42. Джонатан Хассел (2003). RADIUS: Обеспечение публичного доступа к частным ресурсам . О'Рейли Медиа. стр. 15–16. ISBN 978-0596003227.
43. Джон Волбрехт (2006). «Начало и история RADIUS» (PDF) . Интерлинк Сети . Проверено 15 апреля 2009 г.
44. "Offene Netzwerke auch für Deutschland!". netzpolitik.org . 15 сентября 2006 г.

• Wi-Foo: Секреты взлома беспроводных сетей (2004) - ISBN 978-0321202178 
• Настоящая безопасность 802.11: защищенный доступ Wi-Fi и 802.11i (2003 г.) - ISBN 978-0321136206 
• Проектирование и реализация аутентификации и безопасности WLAN (2010 г.) - ISBN 978-3838372266 
• «Эволюция безопасности беспроводной сети 802.11» (PDF) . ИТФФРОК. 18 апреля 2010 г.
• Бойл, Рэндалл, Панко, Рэймонд. Корпоративная компьютерная безопасность . Река Аппер-Сэддл, Нью-Джерси. 2015 ^{[ отсутствует ISBN ]}

Внешние ссылки

• Беспроводная безопасность в Керли
• Как защитить вашу беспроводную домашнюю сеть на wikiHow