Купцов В.С.
Национальный горный университет, Украина
Безопасность беспроводных сетей
На
сегодняшний день четко прослеживаются тенденции перехода от проводных
технологий передачи информации к беспроводным. Это обусловлено удобством
данного вида соединений, отсутствием необходимости прокладки кабельных систем,
простотой настройки и использования, широкой масштабируемостью таких сетей и
др.
Существует
две базовые технологии построения беспроводных сетей: Wi-Fi и WiMАХ. WiMАХ в
данной работе рассматриваться не будет (в силу своей слабой распространенности
на территории Украины). Сети Wi-Fi же давно и широко используются в нашей
стране и имеют значительную зону покрытия сети.
Основными
стандартами технологии Wi-Fi являются: IEEE
802.11а, 802.11b и 802.11g. Они отличаются максимальной скоростью передачи,
частотной полосой, радиусом действия и количеством неперекрывающихся каналов.
Сравнительная характеристика стандартов приведена в Таблице 1.
Таблица 1. Сравнительная
характеристика стандартов технологии
Wi-Fi
|
№ п/п |
Стандарт |
802.11a |
802.11b |
802.11g |
|
1 |
Максимальная скорость
передачи, Мбит/с |
54 |
11 |
54 |
|
2 |
Число
неперекрывающихся каналов (всего 14) |
12 |
3 |
3 |
|
3 |
Расстояние и скорость
передачи данных в помещении, метр / Мбит/с |
12 / 54, 91 / 6 |
30 / 11, 91 / 1 |
30 / 54, 91 / 1 |
|
4 |
Расстояние и скорость
передачи данных на открытой местности, метр / Мбит/с |
30 / 54, 305
/ 6 |
120 / 11, |
120 / 54, |
|
5 |
Рабочая частота, ГГц |
5 |
2,4 |
2,4 |
Несмотря
на свое удобство, технология Wi-Fi имеет основной и очень весомый недостаток.
Это – низкий уровень обеспечиваемой защиты передаваемых данных. Применяемые для
шифрования трафика протоколы WEP и WPA
используют довольно нестойкий потоковый шифр RC4 на статическом ключе.
Существует 64-, 128-, 256- и 512-битное шифрование. Часть WEP-ключа является
статической (40 бит в случае 64-битного шифрования), а другая часть (24 бита) –
динамической (вектор инициализации), она меняется в процессе работы сети.
Защита,
обеспечиваемая WPA, несколько лучше WEP
за счет
использования протоколов TKIP и MIC. TKIP (Temporal Key Integrity Protocol) – протокол меняющихся динамических
ключей сети. При этом каждому устройству также присваивается ключ, который также
меняется. MIC (Message Integrity
Check) – протокол проверки целостности пакетов. Защищает от перехвата пакетов и
их перенаправления.
Наиболее
надежная защита беспроводной сети обеспечивается при использовании ключевой
фразы для генерации ключей и входа в систему (PSK), сервера аутентификации
Radius и протокола TKIP.
Тем не менее, вопрос безопасной передачи данных в беспроводной сети
остается открытым. В глобальной сети можно найти множество примеров взлома WEP
и WPA с помощью утилит, переводящих сетевую карту
компьютера злоумышленника в режим сниффера с последующим использованием специального
программного обеспечения, анализирующего перехваченные пакеты с целью поиска
ключа. При этом сбор пакетов и собственно взлом протокола занимают время до
10-15 минут.
Рассмотрим
основные уязвимости протокола шифрования WEP. Для начала необходимо
отметить, что данный протокол может осуществлять потоковое (наиболее
распространенное) и блочное (тот же алгоритм, но исходное сообщение разбивается
на блоки) шифрование в самом простом режиме электронной кодовой книги (ЕСВ). Для
того, чтобы исключить при шифровании одинаковых текстов появление идентичных
выходов, используется вектор инициализации и вводятся обратные связи. Однако
данные механизмы защиты не обеспечивают стойкость алгоритма по отношению к
активным и пассивным сетевым атакам.
Беспроводные
локальные сети подвержены двум следующим атакам: повторное использование
вектора инициализации (ВИ) и манипуляция битами.
В
основе первой атаки лежит знание того, что пара ВИ-секретный ключ может быть
повторно использована злоумышленником для воссоздания ключевой
последовательности. Вторая атака использует уязвимость вектора контроля
целостности (ВКЦ) фреймов, а также возможность анализа стандартных
зашифрованных служебных сообщений.
Для
обеспечения безопасности информационных ресурсов, циркулирующих в беспроводных
сетях, необходимо придерживаться следующих рекомендаций:
- фильтрация по МАС-адресу (уникальному
идентификатору сетевого адаптера). Необходимо использовать принцип «все, что явно
не разрешено – запрещено», то есть, доступ в сеть должен предоставляться только
тем устройствам, чей МАС-адрес присутствует в списке разрешенных. Данный метод
создает препятствие для случайного злоумышленника, так как подделка МАС-адреса
не составляет большой сложности;
- скрытие идентификатора беспроводной сети
(SSID), при этом при поиске доступных сетей с помощью встроенной утилиты ОС Windows
идентификатор не будет виден. Но, как и в предыдущем случае, для опытного
злоумышленника не представляет труда узнать SSID;
- запрет доступа из беспроводной сети к
настройкам точки доступа или маршрутизатора. Данное ограничение не позволит внутренним
пользователям получить доступ к опциям, но это не защищает от активного и
пассивного проникновения в сеть;
- регулярная проверка и уточнение действующих
настроек сети только администратором безопасности, запрет использования
настроек и идентификаторов, установленных по умолчанию производителем.
Выше
были даны только самые общие советы, учитывая которые можно защитить
беспроводную сеть от злоумышленников, не обладающих высоким уровнем знаний.
Для
защиты от атаки повторного использования ВИ и манипуляции битами необходимо
использовать технологию виртуальных частных сетей – VPN (Virtual Private Network), которая
позволяет в открытой общедоступной среде создавать каналы (туннели) защищенного
соединения между сервером и клиентом. Изначально VPN не предполагалось использовать в беспроводных сетях, но данный
протокол зарекомендовал себя как очень надежный (на сегодняшний день неизвестны
удачные попытки взлома), поэтому его можно использовать для любых видов сетей. Для
шифрования трафика в VPN чаще всего применяется протокол IPSec (около 70%
случаев), реже – PPTP или L2TP. При этом могут использоваться такие алгоритмы,
как DES, Triple DES, AES и MD5. VPN поддерживается на многих платформах
(Windows, Linux, Solaris) как программными, так и аппаратными средствами.
VPN
состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть
несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение
(обычно используется Интернет). Возможно также подключение к виртуальной сети
отдельного компьютера. Подключение удалённого пользователя к VPN производится
посредством сервера доступа, который подключён как к внутренней, так и к
внешней (общедоступной) сети. При подключении удалённого пользователя (либо при
установке соединения с другой защищённой сетью) сервер доступа требует
прохождения процесса идентификации, а затем процесса аутентификации. После
успешного прохождения обоих процессов, удалённый пользователь (удаленная сеть)
наделяется полномочиями для работы в сети, то есть происходит процесс
авторизации.
Таким
образом, можно сделать вывод о том, что вопрос обеспечения безопасности
беспроводных сетей остается актуальным и требует новых исследований и
практических решений, создания новых протоколов обмена информацией, а также
защитных средств и методов.
Литература:
1)
М.В. Грайворонський, О.М. Новіков
Безпека інформаційно-комунікаційних систем. – К.: Видавнича група ВНV, 2009. –
608 с.
2)
В.Г. Олифер, Н.А. Олифер Компьютерные сети.
Принципы, технологии, протоколы – Спб.: Питер, 2001. – 672 с.
3)
А.А. Малюк Информационная безопасность: концептуальные
и методологические основы защиты информации. Учеб. Пособие для ВУЗов. – М:
Горячая линия-Телеком, 2004 – 280с.
4)
В. Столлингс
Беспроводные линии связи и сети.
Изд.: Вильямс, 2003 – 640
с.
5)
http://ru.wikipedia.org/wiki/VPN