Стандарт Wi-Fi разработан на основе IEEE 802.11 (англ. Institute of Electrical and Electronics Engineers), используется для широкополосных беспроводных сетей связи. Изначально технология Wi-Fi была ориентирована на организацию точек быстрого доступа в Интернет (hotspot) для мобильных пользователей. Преимущества беспроводного доступа очевидны, а технология Wi-Fi изначально стала стандартом, которого придерживаются производители мобильных устройств. Постепенно сети Wi-Fi стали использовать малые и крупные офисы для организации внутренних сетей и подсетей, а операторы создавать собственную инфраструктуру предоставления беспроводного доступа в Интернет на основе технологии Wi-Fi. Таким образом в настоящее время сети Wi-Fi распространены повсеместно и зачастую имеют зоны покрытия целых районов города.
С точки зрения безопасности, следует учитывать не только угрозы, свойственные проводным сетям, но также и среду передачи сигнала. В беспроводных сетях получить доступ к передаваемой информации намного проще, чем в проводных сетях, равно как и повлиять на канал передачи данных. Достаточно поместить соответствующее устройство в зоне действия сети
Существует два основных варианта устройства беспроводной сети:
Ad-hoc — передача напрямую между устройствами;
Hot-spot — передача осуществляется через точку доступа;
В Hot-spot сетях присутствует точка доступа (англ. Access point), посредством которой происходит не только взаимодействие внутри сети, но и доступ к внешним сетям. Hot-spot представляет наибольший интерес с точки зрения защиты информации, так как, взломав точку доступа, злоумышленник может получить информацию не только со станций, размещенных в данной беспроводной сети.
Угрозы информационной безопасности, возникающие при использовании Wi-Fi сетей, можно условно разделить на два класса:
прямые — угрозы информационной безопасности, возникающие при передаче информации по беспроводному интерфейсу IEEE 802.11;
косвенные — угрозы, связанные с наличием на объекте и рядом с объектом большого количества Wi-Fi-сетей.
Радиоканал передачи данных, используемый в Wi-Fi, потенциально подвержен вмешательству с целью нарушения конфиденциальности, целостности и доступности информации.
В Wi-Fi предусмотрены как аутентификация, так и шифрование, но эти элементы защиты имеют свои изъяны.
Шифрование значительно снижает скорость передачи данных, и, зачастую, оно осознанно отключается администратором для оптимизации трафика. Первоначальный стандарт шифрования WEP (Wired Equivalent Privacy) был дискредитирован за счёт уязвимостей в алгоритме распределения ключей RC4. Это несколько притормозило развитие Wi-Fi рынка и вызвало создание институтом IEEE рабочей группы 802.11i для разработки нового стандарта, учитывающего уязвимости WEP, обеспечивающего 128-битное AES шифрование и аутентификацию для защиты данных. Wi-Fi Alliance в 2003 представил свой собственный промежуточный вариант этого стандарта — WPA (Wi-Fi Protected Access). WPA использует протокол целостности временных ключей TKIP (Temporal Key Integrity Protocol). Также в нём используется метод контрольной суммы MIC (Message Integrity Code), которая позволяет проверять целостность пакетов . В 2004 Wi-Fi Alliance выпустили стандарт WPA2, который представляет собой улучшенный WPA. Основное различие между WPA и WPA2 заключается в технологии шифрования: TKIP и AES. WPA2 обеспечивает более высокий уровень защиты сети, так как TKIP позволяет создавать ключи длиной до 128 бит, а AES — до 256 бит.
Угроза блокирования информации в канале Wi-Fi практически оставлена без внимания при разработке технологии. Само по себе блокирование канала не является опасным, так как обычно Wi-Fi сети являются вспомогательными, однако блокирование может представлять собой лишь подготовительный этап для атаки «человек посередине», когда между клиентом и точкой доступа появляется третье устройство, которое перенаправляет трафик между ними через себя. Такое вмешательство позволяет удалять, искажать или навязывать ложную информацию.
Чужаками (RogueDevices, Rogues) называются устройства, предоставляющие возможность неавторизованного доступа к корпоративной сети, обычно в обход механизмов защиты, определенных политикой безопасности. Запрет на использование устройств беспроводной связи не защитит от беспроводных атак, если в сети, умышленно или нет, появится чужак. В роли чужака может выступать всё, у чего есть проводной и беспроводной интерфейсы: точки доступа (включая программные), сканеры, проекторы, ноутбуки с обоими включёнными интерфейсами и т. д.
Беспроводные устройства могут менять точки подключения к сети прямо в процессе работы. Например, могут происходить «случайные ассоциации», когда ноутбук с Windows XP (доверительно относящейся ко всем беспроводным сетям) или просто некорректно сконфигурированный беспроводной клиент автоматически ассоциируется и подключает пользователя к ближайшей беспроводной сети. Таким образом нарушитель переключает на себя пользователя для последующего сканирования уязвимостей, фишинга или атак «человек посередине». А если пользователь при этом подключен и к проводной сети, то он становится точкой входа — чужаком. К тому же многие пользователи, подключённые к внутренней сети и имеющие Wi-Fi интерфейс, недовольные качеством и политикой работы сети, переключаются на ближайшую доступную точку доступа (или операционная система делает это автоматически при отказе проводной сети). При этом вся защита сети терпит крах.
Ещё одна проблема — сети Ad-Hoc, с помощью которых удобно передавать файлы коллегам или печатать на принтере с Wi-Fi. Но такая организация сетей не поддерживает многие методы обеспечения безопасности, что делает их лёгкой добычей для нарушителя. Новые технологии Virtual WiFi и Wi-Fi Direct только ухудшили ситуацию
Некорректно сконфигурированные устройства, устройства со слабыми и недостаточно длинными ключами шифрования, использующие уязвимые методы аутентификации — именно такие устройства подвергаются атакам в первую очередь. Согласно отчётам аналитиков, большая часть успешных взломов происходит как раз из-за неправильных настроек точек доступа и программного обеспечения клиента
Достаточно подключить неправильно настроенную точку доступа к сети для взлома последней. Настройки «по умолчанию» не включают шифрование и аутентификацию, или используют ключи, прописанные в руководстве и поэтому всем известные. Маловероятно, что пользователи достаточно серьёзно озаботятся безопасной конфигурацией устройств. Именно такие привнесённые точки доступа и создают основные угрозы защищённым сетям.
Некорректно настроенные устройства пользователей — угроза опаснее, чем некорректно сконфигурированные точки доступа. Это устройства пользователей и они не конфигурируются специально в целях безопасности внутренней сети предприятия. К тому же они находятся за периметром контролируемой зоны, так и внутри него, позволяя злоумышленнику проводить всевозможные атаки, как то распространять вредоносное программное обеспечение или просто обеспечивая удобную точку входа.
О защищённости WEP и речи уже нет. Интернет полон специального и удобного в использовании ПО для взлома этого стандарта, которое собирает статистику трафика до тех пор, пока её не станет достаточно для восстановления ключа шифрования. Стандарты WPA и WPA2 также имеют ряд уязвимостей разной степени опасности, позволяющих их взлом. Пока что нет информации об успешных атаках на WPA2-Enterprise (802.1x).
Имперсонация авторизованного пользователя — серьезная угроза любой сети, не только беспроводной. Однако в беспроводной сети определить подлинность пользователя сложнее. Конечно, существуют SSID и можно пытаться фильтровать по MAC-адресам, но и то и другое передается в эфире в открытом виде, и их несложно подделать, а подделав — как минимум снизить пропускную способность сети, вставляя неправильные кадры, а разобравшись в алгоритмах шифрования — устраивать атаки на структуру сети (например, ARP-spoofing). Имперсонация пользователя возможна не только в случае MAC-аутентификации или использования статических ключей. Схемы на основе 802.1x не являются абсолютно безопасными. Некоторые механизмы (LEAP) имеют сложность взлома, схожую со взломом WEP. Другие механизмы, EAP-FAST или PEAP-MSCHAPv2, хотя и надёжнее, но не гарантируют устойчивость к комплексной атаке.
DoS атаки направлены на нарушение качества функционирования сети или на абсолютное прекращение доступа пользователей. В случае Wi-Fi сети отследить источник, заваливающий сеть «мусорными» пакетами, крайне сложно — его местоположение ограничивается лишь зоной покрытия. К тому же есть аппаратный вариант этой атаки — установка достаточно сильного источника помех в нужном частотном диапазоне.
Сигналы WiFi-устройств имеют достаточно сложную структуру и широкий спектр, поэтому эти сигналы, а тем более, окружающие устройства Wi-Fi невозможно идентифицировать обычными средствами радиомониторинга. Уверенное обнаружение сигнала WiFi современными комплексами радиомониторинга в широкой полосе частот возможно только по энергетическому признаку при наличии полос параллельного анализа шириной несколько десятков МГц на скорости не менее 400 МГц/с и лишь в ближней зоне. Сигналы точек доступа, находящихся в дальней зоне, оказываются ниже уровня шумов приёмника. Обнаружение Wi-Fi-передатчиков при последовательном сканировании узкополосными приёмниками вообще невозможно.
Исходя из того, что практически каждый объект окружает множество «чужих» Wi-Fi сетей, отличить легальных клиентов своей сети и соседних сетей от нарушителей крайне сложно, что позволяет успешно маскировать несанкционированную передачу информации среди легальных Wi-Fi-каналов.
Wi-Fi-передатчик излучает так называемый «OFDM сигнал». Это означает, что в один момент времени устройство передаёт в одном сигнале, занимающем широкую полосу частот (около 20 МГц) несколько несущих информацию — поднесущих информационных каналов, которые расположены так близко друг от друга, что при приёме их на обычном приёмном устройстве, сигнал выглядит как единый «купол». Выделить в таком «куполе» поднесущие и идентифицировать передающие устройства можно только специальным приёмником.
В крупных городах Wi-Fi сети общего пользования имеют достаточно обширную зону покрытия, чтобы отпала необходимость использовать мобильный пункт приёма информации рядом с объектом — несанкционированное устройство может подключиться к доступной Wi-Fi сети и использовать её для передачи информации через Интернет в любое требуемое место.
Пропускная способность Wi-Fi сетей позволяет передавать звук и видео в реальном времени. Это упрощает злоумышленнику использовать акустические и оптические каналы утечки информации — достаточно легально купить Wi-Fi-видеокамеру и установить её в качестве устройства негласного получения информации.
Примеры:С Wi-Fi видеокамеры с микрофоном информация передаётся на точку доступа, работающую в режиме ретранслятора. Точка расположена на крыше и имеет направленную антенну — таким образом можно значительно увеличить дальность сигнала — до нескольких километров. Сам сигнал принимается на контрольном пунктеСмартфон сотрудника с помощью вируса записывает окружающий звук и передаёт его злоумышленнику с помощью Wi-Fi. В качестве контрольного пункта используется точка доступа со скрытым именем, чтобы обнаружить её было труднее.Если на объекте ограничен вынос носителей информации и выход в Интернет ограничен, то одним из вариантов скрытой передачи большого объёма информации является Wi-Fi. Нужно подключиться к соседним Wi-Fi сетям, оставаясь незамеченным среди легальных пользователей.
Как правило беспроводные сети соединяются с проводными. Значит через точку доступа можно атаковать проводную сеть. А если наличествуют ошибки в настройке как проводной, так и беспроводной сети, то открывается целый плацдарм для атак. Пример — точки доступа, работающие в режиме моста (Layer 2 Bridge), подключённые в сеть без маршрутизаторов или в сеть с нарушением сегментации и передающие в радиоэфир широковещательные пакеты из проводной части сети (ARP-запросы, DHCP, кадры STP и д.р.). Эти данные в целом полезны для разведки, и на их основе можно проводить такие атаки, как «человек посередине», атаки отказа в обслуживании, отравление кеша DNS и др.
Другой пример — при наличии нескольких ESSID (Extended Service Set Identifier) на одной точке доступа. Если на такой точке настроена как защищённая сеть, так и публичная, при неправильной конфигурации широковещательные пакеты будут отправляться в обе сети. Это позволит злоумышленнику, например, нарушить работу DHCP или ARP в защищённом сегменте сети. Это можно запретить, организовав привязку ESS к BSS, что поддерживается практически всеми производителями оборудования класса Enterprise (и мало кем из класса Consumer).
У беспроводных сетей наличествуют некоторые особенности, отсутствующие в проводных сетях. Эти особенности в целом влияют на производительность, безопасность, доступность и стоимость эксплуатации беспроводной сети. Их приходится учитывать, хотя они и не относятся напрямую к шифрованию или аутентификации. Для решения этих вопросов требуется специальный инструментарий и механизмы администрирования и мониторинга.
Исходя из того, что политикой безопасности логично ограничить доступ к сети вне рабочего времени (вплоть до физического отключения), беспроводная активность сети в нерабочее время должна отслеживаться, считаться подозрительной и подлежать расследованию.
Скорость подключения зависит от соотношения сигнал/шум (SNR). Если, скажем, 54 Мбит/с требует SNR в 25 dB, а 2 Мбит/с требует 6 dB, то кадры, отправленные на скорости 2 Мбит/с «пролетят» дальше, то есть их можно декодировать с большего расстояния, чем более скоростные кадры. Также все служебные кадры, а также бродкасты, отправляются на самой нижней скорости. Это означает, что сеть будет видно на значительном расстоянии. Если в сети, где все работают на определённой скорости (офис территориально ограничен и скорости подключения у пользователей примерно одинаковые) появляется подключение на 1-2 Мбит/с — скорее всего это нарушитель. Также можно отключить низкие скорости, тем самым повысив скорость передачи информации в сети.
Качество работы Wi-Fi сети как радиоэфира зависит от многих факторов. Один из них — интерференция радиосигналов, которая может значительно снизить пропускную способность сети и количество пользователей, вплоть до полной невозможности использования сети. В качестве источника может выступать любое устройство, излучающее на той же частоте сигнал достаточной мощности. Это могут быть как соседние точки доступа, так и микроволновки. Эту особенность могут также использовать злоумышленники в качестве атаки отказа в обслуживании, или для подготовки атаки «человек посередине», заглушая легитимные точки доступа и оставляя свою с таким же SSID.
Существуют и другие особенности беспроводных сетей помимо интерференции. Неправильно настроенный клиент или сбоящая антенна могут ухудшить качество обслуживания всех остальных пользователей. Или вопрос стабильности связи. Не только сигнал точки доступа должен достичь клиента, но и сигнал клиента должен достичь точки. Обычно точки мощнее, и чтобы добиться симметрии, возможно придётся снизить мощность сигнала. Для 5 ГГц следует помнить, что надежно работают только 4 канала: 36/40/44/48 (для Европы, для США есть ещё 5). На остальных включен режим сосуществования с радарами (DFS). В итоге, связь может периодически пропадать.
Фильтрация MAC-адресов:
Данный метод не входит в стандарт IEEE 802.11. Фильтрацию можно осуществлять тремя способами:
Точка доступа позволяет получить доступ станциям с любым MAC-адресом;Точка доступа позволяет получить доступ только станциям, чьи MAC-адреса находятся в доверительном списке;Точка доступа запрещает доступ станциям, чьи MAC-адреса находятся в «чёрном списке»;
Наиболее надежным с точки зрения безопасности является второй вариант, хотя он не рассчитан на подмену MAC-адреса, что легко осуществить злоумышленнику.
Режим скрытого идентификатора SSID (англ. Service Set IDentifier):
Для своего обнаружения точка доступа периодически рассылает кадры-маячки (англ. beacon frames). Каждый такой кадр содержит служебную информацию для подключения и, в частности, присутствует SSID (идентификатор беспроводной сети). В случае скрытого SSID это поле пустое, то есть невозможно обнаружение вашей беспроводной сети и нельзя к ней подключиться, не зная значение SSID . Но все станции в сети, подключенные к точке доступа, знают SSID и при подключении, когда рассылают Probe Request запросы, указывают идентификаторы сетей, имеющиеся в их профилях подключений. Прослушивая рабочий трафик, с легкостью можно получить значение SSID, необходимое для подключения к желаемой точке доступа.
Открытая аутентификация (англ. Open Authentication):
Рабочая станция делает запрос аутентификации, в котором присутствует только MAC-адрес клиента. Точка доступа отвечает либо отказом, либо подтверждением аутентификации. Решение принимается на основе MAC-фильтрации, то есть по сути это защита беспроводной Wi-Fi сети на основе ограничения доступа, что не безопасно.Используемые шифры: без шифрования, статический WEP, CKIP.
Аутентификация с общим ключом (англ. Shared Key Authentication):
Необходимо настроить статический ключ шифрования алгоритма WEP (англ. Wired Equivalent Privacy). Клиент делает запрос у точки доступа на аутентификацию, на что получает подтверждение, которое содержит 128 байт случайной информации. Станция шифрует полученные данные алгоритмом WEP (проводится побитовое сложение по модулю 2 данных сообщения с последовательностью ключа) и отправляет зашифрованный текст вместе с запросом на ассоциацию. Точка доступа расшифровывает текст и сравнивает с исходными данными. В случае совпадения отсылается подтверждение ассоциации, и клиент считается подключенным к сети.
Схема аутентификации с общим ключом уязвима к атакам «Man in the middle». Алгоритм шифрования WEP — это простой XOR ключевой последовательности с полезной информацией, следовательно, прослушав трафик между станцией и точкой доступа, можно восстановить часть ключа.
Используемые шифры: без шифрования, динамический WEP, CKIP.
Аутентификация по MAC-адресу:
Данный метод не предусмотрен в IEEE 802.11, но поддерживается большинством производителей оборудования, например D-Link и Cisco. Происходит сравнение МАС-адреса клиента с таблицей разрешённых MAC-адресов, хранящейся на точке доступа, либо используется внешний сервер аутентификации. Используется как дополнительная мера защиты.
IEEE начал разработки нового стандарта IEEE 802.11i, но из-за трудностей утверждения, организация WECA (англ. Wi-Fi Alliance) совместно с IEEE анонсировали стандарт WPA (англ. Wi-Fi Protected Access). В WPA используется TKIP (англ. Temporal Key Integrity Protocol, протокол проверки целостности ключа), который использует усовершенствованный способ управления ключами и покадровое изменение ключа.
Wi-Fi Protected Access (WPA)После первых успешных атак на WEP было принято разработать новый стандарт 801.11i. Но до него был выпущен «промежуточный» стандарт WPA, который включал в себя новую систему аутентификации на базе 801.1x и новый метод шифрования TKIP. Существуют два варианта аутентификации: с помощью RADIUS сервера(WPA-Enterprise) и с помощью предустановленного ключа (WPA-PSK)Используемые шифры: TKIP (стандарт), AES-CCMP (расширение), WEP (в качестве обратной совместимости).
|
