Безопасность беспроводных сетей проверка знаний. Безопасность беспроводных сетей

18.04.2019

При построении беспроводных сетей также стоит проблема обеспечения их безопасности. Если в обычных сетях информация передается по проводам, то радиоволны, используемые для беспроводных решений, достаточно легко перехватить при наличии соответствующего оборудования. Принцип действия беспроводной сети приводит к возникновению большого числа возможных уязвимостей для атак и проникновений.

Оборудование беспроводных локальных сетей WLAN (Wireless Local Area Network) включает точки беспроводного доступа и рабочие станции для каждого абонента.

Точки доступа АР (Access Point) выполняют роль концентраторов, обеспечивающих связь между абонентами и между собой, а также функцию мостов, осуществляющих связь с кабельной локальной сетью и с Интернет. Каждая точка доступа может обслуживать несколько абонентов. Несколько близкорасположенных точек доступа образуют зону доступа Wi-Fi , в пределах которой все абоненты, снабженные беспроводными адаптерами, получают доступ к сети. Такие зоны доступа создаются в местах массового скопления людей: в аэропортах, студенческих городках, библиотеках, магазинах, бизнес-центрах и т. д.

У точки доступа есть идентификатор набора сервисов SSID (Service Set Identifier). SSID - это 32-битная строка, используемая в качестве имени беспроводной сети, с которой ассоциируются все узлы. Идентификатор SSID необходим для подключения рабочей станции к сети. Чтобы связать рабочую станцию с точкой доступа, обе системы должны иметь один и тот же SSID. Если рабочая станция не имеет нужного SSID, то она не сможет связаться с точкой доступа и соединиться с сетью.

Главное отличие между проводными и беспроводными сетями - наличие неконтролируемой области между конечными точками беспроводной сети. Это позволяет атакующим, находящимся в непосредственной близости от беспроводных структур, производить ряд нападений, которые невозможны в проводном мире.

При использовании беспроводного доступа к локальной сети угрозы безопасности существенно возрастают (рис. 2.5).

Рис. 2.5.

Перечислим основные уязвимости и угрозы беспроводных сетей.

Вещание радиомаяка. Точка доступа включает с определенной частотой широковещательный радиомаяк, чтобы оповещать окрестные беспроводные узлы о своем присутствии. Эти широковещательные сигналы содержат основную информацию о точке беспроводного доступа, включая, как правило, SSID, и приглашают беспроводные узлы зарегистрироваться в данной области. Любая рабочая станция, находящаяся в режиме ожидания, может получить SSID и добавить себя в соответствующую сеть. Вещание радиомаяка является «врожденной патологией» беспроводных сетей. Многие модели позволяют отключать содержащую SSID часть этого вещания, чтобы несколько затруднить беспроводное подслушивание, но SSID, тем не менее, посылается при подключении, поэтому все равно существует небольшое окно уязвимости.

Обнаружение WLAN. Для обнаружения беспроводных сетей WLAN используется, например, утилита NetStumber совместно со спутниковым навигатором глобальной системы позиционирования GPS. Данная утилита идентифицирует SSID сети WLAN, а также определяет, используется ли в ней система шифрования WEP. Применение внешней антенны на портативном компьютере делает возможным обнаружение сетей WLAN во время обхода нужного района или поездки по городу. Надежным методом обнаружения WLAN является обследование офисного здания с переносным компьютером в руках.

Подслушивание. Подслушивание ведут для сбора информации о сети, которую предполагается атаковать впоследствии. Перехватчик может использовать добытые данные для того, чтобы получить доступ к сетевым ресурсам. Оборудование, используемое для подслушивания в сети, может быть не сложнее того, которое используется для обычного доступа к этой сети. Беспроводные сети по своей природе позволяют соединять с физической сетью компьютеры, находящиеся на некотором расстоянии от нее, как если бы эти компьютеры находились непосредственно в сети. Например, подключиться к беспроводной сети, располагающейся в здании, может человек, сидящий в машине на стоянке рядом. Атаку посредством пассивного прослушивания практически невозможно обнаружить.

Ложные точки доступа в сеть. Опытный атакующий может организовать ложную точку доступа с имитацией сетевых ресурсов. Абоненты, ничего не подозревая, обращаются к этой ложной точке доступа и сообщают ей свои важные реквизиты, например аутентификационную информацию. Этот тип атак иногда применяют в сочетании с прямым «глушением» истинной точки доступа в сеть.

Отказ в обслуживании. Полную парализацию сети может вызвать атака типа DoS (Denial of Service) - отказ в обслуживании. Ее цель состоит в создании помехи при доступе пользователя к сетевым ресурсам. Беспроводные системы особенно восприимчивы к таким атакам. Физический уровень в беспроводной сети - абстрактное пространство вокруг точки доступа. Злоумышленник может включить устройство, заполняющее весь спектр на рабочей частоте помехами и нелегальным трафиком - такая задача не вызывает особых трудностей. Сам факт проведения DoS-атаки на физическом уровне в беспроводной сети трудно доказать.

Атаки типа «человек-в-середине». Атаки этого типа выполняются на беспроводных сетях гораздо проще, чем на проводных, так как в случае проводной сети требуется реализовать определенный вид доступа к ней. Обычно атаки «человек-в-середине» используются для разрушения конфиденциальности и целостности сеанса связи. Атаки MITM более сложные, чем большинство других атак: для их проведения требуется подробная информация о сети. Злоумышленник обычно подменяет идентификацию одного из сетевых ресурсов. Он использует возможность прослушивания и нелегального захвата потока данных с целью изменения его содержимого, необходимого для удовлетворения некоторых своих целей, например для спуфинга IP-адресов, изменения МАС-адреса для имитирования другого хоста и т. д.

Анонимный доступ в Интернет. Незащищенные беспроводные ЛВС обеспечивают хакерам наилучший анонимный доступ для атак через Интернет. Хакеры могут использовать незащищенную беспроводную ЛВС организации для выхода через нее в Интернет, где они будут осуществлять противоправные действия, не оставляя при этом своих следов. Организация с незащищенной ЛВС формально становится источником атакующего трафика, нацеленного на другую компьютерную систему, что связано с потенциальным риском правовой ответственности за причиненный ущерб жертве атаки хакеров.

Описанные выше атаки не являются единственными атаками, используемыми хакерами для взлома беспроводных сетей.

Защита сети wifi — еще один вопрос, который встает перед нами, после того, как мы создали домашнюю сеть. Безопасность wifi сети является не только гарантом от нежелательных сторонних подключений к вашему интернету, но и залогом защищенности вашего компьютера и других устройств сети — ведь через дыры к вам могут проникнуть вирусы с чужих компов и доставить множество хлопот. Ключа безопасности wifi, которым как правило ограничивается большинство пользователей, в этом случае недостаточно. Но обо всем по порядку…

Прежде всего для организации защиты wifi сети позаботьтесь об обязательном , для чего я рекомендую использовать ключ безопасности wifi WPA2/PSK. Он требует достаточно сложного семизначного пароля, который весьма сложно подобрать. Но возможно! Я серьезно задумался над этой проблемой, когда при очередном обзоре входящих в сетку устройств обнаружил не одно, не два, а штук 10! Тогда защита wifi сети меня всерьез заинтересовала, и я стал искать дополнительные более надежные способы и, разумеется, нашел. Причем для этого не требуется какая-то специфическая программа защиты — все делается в настройках роутера и компьютера. Сейчас буду делиться с Вами! Да, демонстрация способов будет проводиться на устройствах фирмы ASUS — у современных идентичный интерфейс, в частности, в видеокурсе я делал все на модели WL-520GU.

Защита wifi сети — практические способы

1. Отключить трансляцию SSID

Тот, кто смотрел мой видеокурс, знают, о чем речь. Кто нет — поясню. SSID — это, говоря по-русски, название нашей сети. То есть то имя, которое вы ей присвоили в настройках и которое отображается при сканировании доступных для подключения роутеров.

Если ваш SSID виден всем, значит любой может попробовать к ней подключиться. Для того, чтобы о ней знали только Вы и ваши друзья, надо ее скрыть, то есть чтобы ее в этом списке не было. Для этого ставим галочку на «Скрыть SSID». После этого она исчезнет из результатов поиска. А присоединиться к ней вы сможете следующим способом:

Все, после этого вы должны войти в свой безопасный wifi, хотя его и не было видно.

2. Фильтрация устройств по MAC адресу

Это еще более надежный способ защитить wifi от непрошенных гостей. Дело в том, что каждое устройство имеет свой персональный идентификатор, который называется MAC адрес. Вы можете разрешить доступ только своим компьютерам, прописав их ID в настройках домашнего роутера.

Но для начала надо эти MAC узнать. Для этого в Windows 7 надо зайти по цепочке: «Пуск > Панель управления > Сеть и интернет > Центр управления > Изменение параметров адаптера» и дважды кликнуть по своему wifi соединению. Далее жмем на кнопку «Сведения» и смотрим на пункт «Физический адрес» — это оно и есть!

Записываем его без знаком дефиса — только цифры и буквы.
После чего заходим в админке маршрутизатора во вкладку «Фильтр MAC-адресов беспроводной сети».
Выбираем из выпадающего списка пункт «Принимать» и добавляем MAC адреса компьютеров, которые имеются в вашей локалке — повторюсь, без знаков дефиса.

После этого сохраняем настройки и радуемся, что чужое устройство не зайдет!

3. Фильтрация устройств по IP адресу

Это еще более усовершенствованный способ. Здесь компьютеры будут отсеиваться не только по MAC, но и по их IP, назначенным для каждого вручную. Современные технологии позволяют подменить MAC, то есть узнав номер вашего гаджета, можно его сымитировать и войти, как будто это подключились вы сами. IP при этом по умолчанию раздается всем подключенным устройствам автоматически в рамках какого-то диапазона — это происходит за счет работы маршрутизатора в режиме так называемого DCHP сервера. Но мы можем его отключить и задать IP адреса для каждого вручную.

Давайте посмотрим, как это делается на практике. Для начала надо отключить DCHP сервер, который раздает адреса автоматически. Переходим в раздел «ЛВС» и открываем вкладку «DCHP-сервер». Здесь отключаем его («No» в первом пункте).

После этого необходимо настроить каждый компьютер или иное устройство. Если вы используете Windows 7, то заходим в «Панель управления > Сеть и интернет > Центр управления сетями > Изменение параметров адаптера > Беспроводное соединения (или как оно там еще у вас называется)». Щелкаем по нему два раза, заходим в «Свойства > Протокол интернета версии 4 (TCP/IP)». Здесь у нас все параметры получались автоматом. Ставим галочку на «Использовать следующий IP» и задаем:

IP — тот, который вы назначили при настройке роутера, то есть у меня это 192.168.1.3
Маска — 255.255.255.0
Шлюз — ip роутера, то есть по умолчанию на асусе это 192.168.1.1

4. Время работы маршрутизатора

Данный способ подходит тем, кто работает за компьютером в одно и то же определенное время. Суть заключается в том, что роутер будет раздавать интернет только в определенные часы. Например, вы приходите с работы в 6 вечера и до 10 сидите в сети. Тогда выставляем работу устройства только с 18 до 22 часов. Также есть возможность задать опредленные дни включения. Например, если в выходные вы уезжаете на дачу, можно в субботу и воскресенье wifi вообще не транслировать.

Устанавливается данный режим в разделе «Беспроводная сеть», вкладка «Профессионально». Выставляем дни недели для работы и часы.

5. Запретить автоматическое подключение к сети

Эта настройка производится на самом компьютере и скорее всего это даже не защита wifi, а к ограждение компа от подключения к чужой сети, через которую можно поймать вирус. Кликаем по своему беспроводному подключению в «Сетевых подключениях» (см. пункт 3) и выбираем здесь «Свойства беспроводной сети».

Для максимальной защиты соединения с wifi сетью рекомендуется убрать здесь все галочки, чтобы вводить пароль каждый раз при подключении. Для ленивых можно оставить на первом пункте — автоматическом подключении к текущей сети, но нельзя активировать две других, которые разрешать компьютеру самостоятельно присоединяться к любой другой, доступной для подключения.

Как видите, защиту WiFi сети обеспечивает не только шифрование WPA2 — есл будете cледовать этим несложным советам, безопасность вашей беспроводной сети будет гарантирована! Совсем скоро Вы также узнаете, как защитить всю локальную сеть сразу, и для того, чтобы не пропустить эту статью, рекомендую подписаться на обновления блога. Если есть вопросы — форма комментариев к вашим услугам 😉

Если статья помогла, то в благодарность прошу сделать 3 простые вещи:
Подписаться на наш YouTube канал

Отправить ссылку на публикацию к себе на стену в социальной сети по кнопке выше

Роутеры, которые раздают сигнал на подключенные устройства, появились в жизни большинства людей относительно недавно, но уже успели завоевать популярность. Не будет преувеличением сказать, что сегодня интернетом пользуются везде: распространяется дистанционное образование, люди общаются в социальных сетях, документация хранится в электронном виде, деловая переписка ведется по “мылу”.С маршрутизатором возможно создавать собственные...

Сохраненные пароли wifi – безопасное соединение сети, обеспечивающее защиту информации, хранящейся на носителях. Именно поэтому пользователи интересуются тем, как посмотреть пароль вай фай на компьютере. Сохранность доступа к интернету обеспечивается с большей производительностью, если юзер знает, где посмотреть пароль от вайфая на роутере.Доступ к сети вай-фай предоставляется доверенным устройствам, потому...

Безопасность Wi-Fi сети зависит от надежно подобранного пароля. Скажете “да какая разница, безлим, скорости хватает, смысл возиться со сменой пароля wi fi”.Если друзья и соседи просто пользуются интернетом, причем в то время, когда доступ в сеть не нужен - не так уж страшно. Но о варианте «сменить пароль на вай...

Сегодня невозможно представить себе человека, который не пользуется интернетом, но практически каждый сталкивается с тем, что забывает пароль от Wi-Fi. При первой настройке домашнего роутера мастер советует составить пароль, который вы не забудете, и записать его. Но чаще всего эти советы остаются без внимания. Повторно он может понадобиться при подключении...

Предоставляя устройства личной торговой марки для удобства клиентов, Beeline аргументирует это тем, что роутеры уже настроены по необходимым параметрам и готовы к работе, надо просто подключить. При этом, несмотря на подобные тезисы, советуем сразу же сменить пароль на вай-фай роутере Билайн. К сожалению, об индивидуальной защите маршрутизатора говорить не приходится...

Часто интересуются: «Зачем менять пароль на WiFi?». Ответ простой. Иногда это необходимо, чтобы недобросовестные соседи не подключались к вашей сети и не снижали трафик. Далее в статье рассмотрим, как поменять пароль на вай фай byfly. (далее…)...

Необходимость узнать пароль вай фай виндовс 7 возникает как раз тогда, когда восстановить кейген невозможно. Стандартная ситуация: пароль с логином был записан, но несчастный клочок бумаги давно затерялся на просторах вашего обиталища. Не всегда пользователи заботятся о сохранности данных для доступа, надеясь, что их можно будет без труда восстановить. Рассказываем,...

В каких случаях следует сменить пароль на роутереБывают ситуации, когда для пользователя роутера tplink смена пароля wifi сети необходима. К ним относятся следующие случаи: (далее…)...

Защита частной WiFi сети – это важнейший момент при создании домашней группы. Дело в том, что точка доступа имеет достаточно большой радиус действия, чем могут воспользоваться злоумышленники. Что делать чтобы это предотвратить? Как защитить частную беспроводную сеть от посягательств недобросовестных людей? Именно об этом и пойдет речь в данной статье....

В этой статье мы разберем, что такое ключ безопасности беспроводной WiFi сети и для чего он необходим. Это актуальный вопрос, так беспроводные сети пользуются широким распространением во всем мире. При этом есть риск попасть под прицел злоумышленников или просто любителей «Халявы». (далее…)...

Как узнать пароль от WiFi сети – это актуальная тема, так как очень часто встречаются такие случаи, когда пользователи просто забывали свой ключ. Конечно, можно сбросить параметры роутера (точки доступа), но не всегда есть такая возможность, да и не каждый сможет потом заново настроить маршрутизатор. (далее…)...

Иногда пользователи забывают свой пароль от вай-фай. При этом далеко не каждый может подключиться к роутеру и войти в его настройки, для того, чтобы посмотреть ключ безопасности. Да и не всегда есть такая возможность. Поэтому вопрос, как узнать пароль WiFi на Андроиде встречается достаточно часто. (далее…)...

Из-за широкого распространения беспроводных сетей возникает вполне резонный вопрос, наносит ли вред Wi-Fi? Ведь в наше время беспроводной роутер имеется чуть ли не в каждой семье. (далее…)...

В наше время технология беспроводной связи WiFi, которая позволяет создавать домашние сети глубоко вошла в повседневную жизнь людей. Это весьма удобный способ объединить домашние устройства, такие как ноутбук, смартфон, планшет, стационарный ПК и так далее в одну группу с выходом в глобальную сеть. Однако очень часто случается, что пользователь забыл....

Сейчас почти в каждой квартире и доме, которые подключены к интернету, можно найти Wi-Fi роутер. Некоторые из пользователей ставят на него пароль, чтобы пользоваться единолично, а некоторые оставляют в открытом доступе. Это дело личное, однако бывает, что интернет начинает тормозить или же вам, например, просто становится интересно, не подключился ли...

Вопреки всем предостережениям и рекомендациям, большинство пользователей, использующие беспроводные роутеры и точки доступа, задают в настройках устройств стандартные пароли Wi-Fi. Чем это грозит и как от этого уберечься – рассмотрим далее. Чем опасны стандартные кодыПодобное поведение возникает только потому, что зачастую люди попросту не понимают, насколько это может быть опасно. Казалось...

Очень часто случается так, что вы хотите ограничить доступ к своему домашнему Wi-Fi, но до этого он стоял без пароля и теперь немало посторонних граждан могут абсолютно просто и дальше им пользоваться, но, с вашей точки зрения, это не есть хорошо. Сейчас мы рассмотрим, что делать и как ограничить количество...

Возможно, вам надоело каждый раз вводить пароль для новых устройств? Или вы просто щедрый человек и решили сделать свой Wi-Fi общественным? Так или иначе, вам понадобится наша инструкция о том, как убрать пароль с Wi-Fi. Это не очень трудоемкий процесс, так что сейчас мы опишем такую операцию на самых распространенных роутерах...

Современные технологии связи позволяют создавать домашние сети, объединяя целые группы компьютеров для общения, обмена данными и так далее. Их организация не требует особых знаний и больших растрат. Представьте только, еще 10 лет назад не у каждого был компьютер и тем более интернет, а сегодня практически в каждой квартире организована частная...

Тема данной статьи – как поставить пароль на WiFi сеть. Такие сети пользуются широким распространением. Практически в каждом доме уже имеется беспроводной роутер или модем. Но, производитель не устанавливает на устройства ключи для подключения по беспроводной связи. Это делается для того, чтобы покупатель смог свободной войти в меню настроек и...

Для современного общества интернет стал настолько привычным явлением, что человек не может длительное время обходиться без социальных сетей или доступа к Google. Найти необходимую информацию, скачать музыку или фильм, сыграть в онлайн-игру можно гораздо быстрее и проще с появлением роутеров, раздающих сигнал другим устройствам. Стационарные ПК, ноутбуки, смартфоны, даже телевизоры...

Безопасность Wi-Fi сети зависит от надежно подобранного пароля. Скажете “да какая разница, безлимитный интернет, скорости хватает, смысл возиться, чтобы разобраться, как изменить пароль на wifi роутере”.На сегодняшний день домашние сети играют важную роль в жизни современных людей. С их помощью пользователи объединяют компьютеры в группы, что позволяет обмениваться информацией, а...

Итак, вы обзавелись Wi-Fi роутером – это дает вам удобный и не менее быстрый доступ к интернету из любой точки вашего дома или квартиры, что уже отлично. Как правило, большинство пользователей приобретает устройство раздачи сами и бывает, что почти не настраивают, разве что только корректируют основные настройки для оптимальной работы....

Если у вас, кроме компьютера, есть еще ноутбук, планшет или смартфон, то вы наверняка захотите, чтобы можно было из любых точек квартиры или дома иметь доступ к сети и с этих устройств. Естественно, решением такой задачки сможет стать Wi-Fi роутер, который создает покрытие беспроводного интернета в определенном радиусе. Если вы устанавливаете...

Рано или поздно у каждого пользователя интернета возникает потребность сделать доступ к сети более удобным, и тогда в доме появляется Wi-Fi роутер, который помогает избавиться от лишних проводов и наслаждаться беспроводным интернетом почти в любой точке квартиры или дома. Однако не стоит забывать о защите вашей беспроводной точки доступа – именно...

На данный момент большинство фирм и предприятий все больше внимания уделяют использованию непосредственно Wi-Fi-сетей. Обусловлено это удобством, мобильностью и относительной дешевизной при связи отдельных офисов и возможностью их перемещения в пределах действия оборудования. В Wi-Fi-сетях применяются сложные алгоритмические математические модели аутентификации, шифрования данных, контроля целостности их передачи – что позволят быть относительно спокойным за сохранность данных при использовании данной технологии.

Анализ безопасности беспроводных сетей.

Однако данная безопасность относительна, если не уделять должного внимания настройке беспроводной сети. К данному моменту уже существует список «стандартных» возможностей которые может получить хакер при халатности в настройке беспроводной сети:

Доступ к ресурсам локальной сети;

Прослушивание, воровство (имеется ввиду непосредственно интернет-траффик) трафика;

Искажение проходящей в сети информации;

Внедрение поддельной точки доступа;

Немного теории.

1997 год – выход в свет первого стандарта IEEE 802.11. Варианты защиты доступа к сети:

1. Использовался простой пароль SSID (Server Set ID) для доступа в локальную сеть. Данный вариант не предоставляет должного уровня защиты, особенно для нынешнего уровня технологий.

2. Использование WEP (Wired Equivalent Privacy) – то есть использование цифровых ключей шифрования потоков данных с помощью данной функции. Сами ключи это всего лишь обыкновенные пароли с длиной от 5 до 13 символов ASCII, что соответствует 40 или 104-разрядному шифрованию на статическом уровне.

2001 год - внедрение нового стандарта IEEE 802.1X. Данный стандарт использует динамические 128-разрядные ключи шифрования, то есть периодически изменяющихся во времени. Основная идея заключается в том, что пользователь сети работает сеансами, по завершении которых им присылается новый ключ - время сеанса зависит от ОС (Windows XP - по умолчанию время одного сеанса равно 30 минутам).

На данный момент существуют стандарты 802.11:

802.11 - Первоначальный базовый стандарт. Поддерживает передачу данных по радиоканалу со скоростями 1 и 2 Мбит/с.

802.11a - Высокоскоростной стандарт WLAN. Поддерживает передачу данных со скоростями до 54 Мбит/с по радиоканалу в диапазоне около 5 ГГц.

I802.11b - Наиболее распространенный стандарт. Поддерживает передачу данных со скоростями до 11 Мбит/с по радиоканалу в диапазоне около 2,4 ГГц.

802.11e - Требование качества запроса, необходимое для всех радио интерфейсов IEEE WLAN

802.11f - Стандарт, описывающий порядок связи между равнозначными точками доступа.

802.11g - Устанавливает дополнительную технику модуляции для частоты 2,4 ГГц. Предназначен, для обеспечения скоростей передачи данных до 54 Мбит/с по радиоканалу в диапазоне около 2,4 ГГц.

802.11h - Стандарт, описывающий управление спектром частоты 5 ГГц для использования в Европе и Азии.

802.11i (WPA2) - Стандарт, исправляющий существующие проблемы безопасности в областях аутентификации и протоколов шифрования. Затрагивает протоколы 802.1X, TKIP и AES.

На данный момент широко используется 4 стандарта: 802.11, 802.11a, 802.11b, 802.11g.

2003 года - был внедрён стандарт WPA (Wi-Fi Protected Access), который совмещает преимущества динамического обновления ключей IEEE 802.1X с кодированием протокола интеграции временного ключа TKIP (Temporal Key Integrity Protocol), протоколом расширенной аутентификации EAP (Extensible Authentication Protocol) и технологией проверки целостности сообщений MIC (Message Integrity Check).

Помимо этого, параллельно развивается множество самостоятельных стандартов безопасности от различных разработчиков. Ведущими являются такие гиганты как Intel и Cisco.

2004 год - появляется WPA2, или 802.11i, - максимально защищённый на данное время стандарт.

Технологии защиты Fi-Wi сетей.

WEP

Эта технология была разработана специально для шифрования потока передаваемых данных в рамках локальной сети. Данные шифруются ключом с разрядностью от 40 до 104 бит. Но это не целый ключ, а только его статическая составляющая. Для усиления защиты применяется так называемый вектор инициализации IV (Initialization Vector), который предназначен для рандомизации дополнительной части ключа, что обеспечивает различные вариации шифра для разных пакетов данных. Данный вектор является 24-битным. Таким образом, в результате мы получаем общее шифрование с разрядностью от 64 (40+24) до 128 (104+24) бит, что позволяет при шифровании оперировать и постоянными, и случайно выбранными символами. Но с другой стороны 24 бита это всего лишь ~16 миллионов комбинаций (2 24 степени) – то есть по истечению цикла генерации ключа начинается новый цикл. Взлом осуществляется достаточно элементарно:

1) Нахождение повтора (минимальное время, для ключа длинной 40 бит – от 10 минут).

2) Взлом остальной части (по сути - секунды)

3) Вы можете внедряться в чужую сеть.

При этом для взлома ключа имеются достаточно распространенные утилиты такие как WEPcrack.

802.1X

IEEE 802.1X - это основополагающий стандарт для беспроводных сетей. На данный момент он поддерживается ОС Windows XP и Windows Server 2003.

802.1X и 802.11 являются совместимыми стандартами. В 802.1X применяется тот же алгоритм, что и в WEP, а именно - RC4, но с некоторыми отличиями (большая «мобильность», т.е. имеется возможность подключения в сеть даже PDA-устройства) и исправлениями (взлом WEP и т. п.).

802.1X базируется на протоколе расширенной аутентификации EAP (Extensible Authentication Protocol), протоколе защиты транспортного уровня TLS (Transport Layer Security) и сервере доступа RADIUS (Remote Access Dial-in User Service).

После того, как пользователь прошёл этап аутентификации, ему высылается секретный ключ в зашифрованном виде на определённое незначительное время - время действующего на данный момент сеанса. По завершении этого сеанса генерируется новый ключ и опять высылается пользователю. Протокол защиты транспортного уровня TLS обеспечивает взаимную аутентификацию и целостность передачи данных. Все ключи являются 128-разрядными.

Отдельно необходимо упомянуть о безопасности RADIUS: использует в своей основе протокол UDP (а поэтому относительно быстр), процесс авторизации происходит в контексте процесса аутентификации (т.е. авторизация как таковая отсутствует), реализация RADIUS-сервера ориентирована на однопроцессное обслуживание клиентов (хотя возможно и многопроцессное - вопрос до сих пор открытый), поддерживает довольно ограниченное число типов аутентификации (сleartext и CHAP), имеет среднюю степень защищенности. В RADIUS"е шифруется только cleartext-пароли, весь остальной пакет остается "открытым" (с точки зрения безопасности даже имя пользователя является очень важным параметром). А вот CHAP – это отдельный разговор. Идея в том, что бы cleartext-пароль ни в каком виде никогда не передавался бы через сеть. А именно: при аутентификации пользователя клиент посылает пользовательской машине некий Challenge (произвольная случайная последовательность символов), пользователь вводит пароль и с этим Challengе"ем пользовательская машина производит некие шифрующий действия используя введенный пароль (как правило это обыкновенное шифрование по алгоритму MD5 (RFC-1321). Получается Response. Этот Response отправляется назад клиенту, а клиент все в совокупности (Challenge и Response) отправляет на аутентификацию 3A-серверу (Authentication, Authorization, Accounting). Тот (также имея на своей стороне пользовательский пароль) производит те же самые действия с Challeng"ем и сравнивает свой Response с полученным от клиента: сходится - пользователь аутентифицирован, нет - отказ. Таким образом, cleartext-пароль знают только сам пользователь и 3А-сервер и пароль открытым текстом не "ходит" через сеть и не может быть взломан.

WPA

WPA (Wi-Fi Protected Access) - это временный стандарт (технология защищённого доступа к беспроводным сетям), который является переходным перед IEEE 802.11i. По сути, WPA совмещает в себе:

802.1X - основополагающий стандарт для беспроводных сетей;

EAP - протокол расширенной аутентификации (Extensible Authentication Protocol);

TKIP - протокол интеграции временного ключа (Temporal Key Integrity Protocol);

MIC - технология проверки целостности сообщений (Message Integrity Check).

Основные модули - TKIP и MIC. Стандарт TKIP использует автоматически подобранные 128-битные ключи, которые создаются непредсказуемым способом и общее число вариаций которых примерно 500 миллиардов. Сложная иерархическая система алгоритма подбора ключей и динамическая их замена через каждые 10 Кбайт (10 тыс. передаваемых пакетов) делают систему максимально защищённой. От внешнего проникновения и изменения информации также обороняет технология проверки целостности сообщений (Message Integrity Check). Достаточно сложный математический алгоритм позволяет сверять отправленные в одной точке и полученные в другой данные. Если замечены изменения и результат сравнения не сходится, такие данные считаются ложными и выбрасываются.

Правда, TKIP сейчас не является лучшим в реализации шифрования, из-за новой технологии Advanced Encryption Standard (AES), используемой ранее в VPN.

VPN

Технология виртуальных частных сетей VPN (Virtual Private Network) была предложена компанией Intel для обеспечения безопасного соединения клиентских систем с серверами по общедоступным интернет-каналам. VPN наверное одна из самых надежных с точки зрения шифрования и надёжности аутентификации.

Технологий шифрования в VPN применяется несколько, наиболее популярные из них описаны протоколами PPTP, L2TP и IPSec с алгоритмами шифрования DES, Triple DES, AES и MD5. IP Security (IPSec) используется примерно в 65-70% случаев. С его помощью обеспечивается практически максимальная безопасность линии связи.

Технология VPN не была ориентированна именно для Wi-Fi - она может использоваться для любого типа сетей, но защита с её помощью беспроводных сетей наиболее правильное решение.

Для VPN выпущено уже достаточно большое количество программного (ОС Windows NT/2000/XP, Sun Solaris, Linux) и аппаратного обеспечения. Для реализации VPN-защиты в рамках сети необходимо установить специальный VPN-шлюз (программный или аппаратный), в котором создаются туннели, по одному на каждого пользователя. Например, для беспроводных сетей шлюз следует установить непосредственно перед точкой доступа. А пользователям сети необходимо установить специальные клиентские программы, которые в свою очередь также работают за рамками беспроводной сети и расшифровка выносится за её пределы. Хотя всё это достаточно громоздко, но очень надёжно. Но как и все - это имеет свои недостатки, в данном случае их два:

Необходимость в достаточно емком администрировании;

Уменьшение пропускной способности канала на 30-40%.

За исключением этого – VPN, это вполне понятный выбор. Тем более в последнее время, развитие VPN оборудования происходит как раз в направлении улучшения безопасности и мобильности. Законченное решение IPsec VPN в серии Cisco VPN 5000 служит ярким примером. Тем более что в данной линейке представлена пока только единственное сегодня решение VPN на основе клиентов, которое поддерживает Windows 95/98/NT/2000, MacOS, Linux и Solaris. Кроме этого бесплатная лицензия на использование марки и распространение программного обеспечения клиента IPsec VPN поставляется со всеми продуктами VPN 5000, что тоже не маловажно.

Основные моменты защиты Fi-Wi сетей организации.

В свете всего выше изложенного можно убедиться что имеющиеся на данный момент механизмы и технологии защиты позволяют обеспечить безопасность вашей сети, при использовании Fi-Wi. Естественно если администраторы не будут полагаться только на элементарные настройки, а озаботятся тонкой настройкой. Конечно нельзя сказать, что таким образом ваша сеть превратится в неприступный бастион, но выделив достаточно серьезные средства на оборудование, время для настройки и конечно для постоянного контроля – можно обеспечить безопасность с вероятностью примерно до 95 %.

Основные моменты при организации и настройке Wi-Fi сети которыми не стоит пренебрегать:

- Выбор и установка точки доступа:

> перед приобретением внимательно ознакомьтесь с документацией и имеющейся на данный момент информации о дырах в реализации ПО для этого класса оборудования (всем известный пример дыры в IOS маршрутизаторов Cisco, позволяющая злоумышленнику получить доступ к листу конфига). Возможно будет смысл ограничиться покупкой более дешевого варианта и обновлением ОС сетевого устройства;

> изучите поддерживаемые протоколы и технологии шифрования;

> при возможности приобретайте устройства, использующие WPA2 и 802.11i, так как они для обеспечения безопасности используют новую технологию - Advanced Encryption Standard (AES). На данный момент это могут быть двухдиапазонные точеки доступа (AP) к сетям IEEE 802.11a/b/g Cisco Aironet 1130AG и 1230AG. Данные устройства поддерживают стандарт безопасности IEEE 802.11i, технологию защиты от вторжений Wi-Fi Protected Access 2 (WPA2) с использованием Advanced Encryption Standard (AES) и гарантируют емкость, отвечающую самым высоким требованиям пользователей беспроводных локальных сетей. Новые АР используют преимущества двухдиапазонных технологий IEEE 802.11a/b/g и сохраняют полную совместимость с ранними версиями устройств, работающих на IEEE 802.11b;

> подготовьте предварительно клиентские машины для совместной работы с приобретаемым оборудованием. На данный момент некоторые технологии шифрования могут не поддерживаться ОС или драйверами. Это поможет избежать лишних затрат времени при разворачивании сети;

> не устанавливать точку доступа вне брандмауэра;

> располагайте антенны внутри стен здания, а также ограничивайте мощность радиоизлучения, чтобы снизить вероятность подключения «извне».

> используйте направленные антенны, не используйте радиоканал по умолчанию.

- Настройка точки доступа:

> если точка доступа позволяет запрещать доступ к своим настройкам с помощью беспроводного подключения, то используйте эту возможность. Изначально не давайте возможность хакеру при внедрении в вашу сеть контролировать ключевые узлы по радиоканалу. Отключите вещание по радиоканалу такие протоколы как SNMP, web-интерфейс администрирования и telnet;

> обязательно(!) используйте сложный пароль для доступа к настройкам точки доступа;

> если точка доступа позволяет управлять доступом клиентов по MAC-адресам непременно используйте это;

> если оборудование позволяет запретить трансляцию в эфир идентификатора SSID – сделайте это обязательно. Но при этом у хакера всегда есть возможность получить SSID при подключении как легитимного клиент;

> политика безопасности должна запрещать беспроводным клиентам осуществлять ad-hoc соединения (такие сети позволяют двум или более станциям подключаться непосредственно друг к другу, минуя точки доступа, маршрутизирующие их трафик). Хакеры могут использовать несколько типов атак на системы, использующие ad-hoc-соединения. Первичная проблема с ad-hoc сетями - недостаток идентификации. Эти сети могут позволить хакеру провести атаки man in the middle, отказ в обслуживании (DoS), и/или скомпрометировать системы.

- Выбор настройки в зависимости от технологии:

> если есть возможность - запретите доступ для клиентов с SSID;

> если нет другой возможности - обязательно включайте хотя бы WEP, но не ниже 128bit.

> если при установке драйверов сетевых устройств предлагается на выбор три технологиями шифрования: WEP, WEP/WPA и WPA, то выбирайте WPA;

> если в настройках устройства предлагается выбор: “Shared Key“(возможен перехват WEP-ключа, который одинаков для всех клиентов) и “Open System”(возможно внедрение в сеть, если известен SSID) - выбирайте “Shared Key”. В данном случае (если вы используете WEP-аутентификацию) – наиболее желательно включить фильтрацию по МАС-адресу;

> если ваша сеть не велика – можно выбрать Pre-Shared Key (PSK).

> если есть возможность использовать 802.1X. Но при этом при настройке RADIUS-сервера желательно выбирать тип аутентификации CHAP;

> максимальный уровень безопасности на данный момент обеспечивает применение VPN - используйте эту технологию.

- Пароли и ключи:

> при использовании SSID придерживайтесь требований аналогичных требованиям парольной защиты - SSID должен быть уникален (не забывайте, что SSID не шифруется и может быть легко перехвачен!);

> всегда используйте максимально длинные ключи. Не используйте ключи меньше 128 бит;

> не забывайте про парольную защиту – используйте генератор паролей, меняйте пароли через определенный промежуток времени, храните пароли в тайне;

> в настройках обычно имеется выбор из четырёх заранее заданных ключей - используйте их все, меняя по определенному алгоритму. По возможности ориентируйтесь не на дни недели (всегда существуют люди в любой организации, работающие по выходным – что мешает осуществить внедрение в сеть в эти дни?).

> старайтесь применять длинные динамически изменяющиеся ключи. Если вы используете статические ключи и пароли, меняйте пароли через определенный промежуток времени.

> проинструктируйте пользователей, что бы они хранили пароли и ключи в тайне. Особенно важно, если некоторые используют для входа ноутбуки которые хранят дома.

- Сетевые настройки:

> для организации разделяемых ресурсов используйте NetBEUI. Если это не противоречит концепции вашей сети - не используйте в беспроводных сетях протокол TCP/IP для организации папок и принтеров общего доступа.

> не разрешайте гостевой доступ к ресурсам общего доступа;

> старайтесь не использовать в беспроводной сети DHCP - используйте статические IP-адреса;

> ограничьте количество протоколов внутри WLAN только необходимыми.

- Общее:

> на всех клиентах беспроводной сети используйте файерволлы или при ХР хотя бы активизируйте брандмауэр;

> регулярно следите за уязвимостями, обновлениями, прошивками и драйверами ваших устройств;

> используйте периодически сканеры безопасности, для выявления скрытых проблем;

> определите инструменты для выполнения беспроводного сканирования, а также частоту выполнения этого сканирования. Беспроводное сканирование поможет определить местонахождение неправомочных точек доступа.

> если финансы вашей организации позволяют – приобретите системы обнаружения вторжения (IDS, Intrusion Detection System), такие как:

CiscoWorks Wireless LAN Solution Engine (WLSE), в которой реализовано несколько новых функций - самовосстановление, расширенное обнаружение несанкционированного доступа, автоматизированное обследование площадки развертывания, "теплое" резервирование, отслеживание клиентов с созданием отчетов в реальном времени.
CiscoWorks WLSE - централизованное решение системного уровня для управления всей беспроводной инфраструктурой на базе продуктов Cisco Aironet. Усовершенствованные функции управления радиоканалом и устройствами, поддерживаемые CiscoWorks WLSE, упрощают текущую эксплуатацию беспроводной сети, обеспечивают беспрепятственное развертывание, повышают безопасность, гарантируют максимальную степень готовности, сокращая при этом расходы на развертывание и эксплуатацию.

Система Hitachi AirLocation использует сеть стандарта IEEE802.11b и способна работать как внутри помещений, так и вне зданий. Точность определения координат объекта, по словам разработчиков, составляет 1-3 м, что несколько точнее, чем аналогичная характеристика GPS- систем. Система состоит из сервера определения координат, управляющего сервера, комплекта из нескольких базовых станций, комплекта WLAN- оборудования и специализированного ПО. Минимальная цена комплекта - около $46,3 тыс. Система определяет местонахождение необходимого устройства и расстояние между ним и каждой точкой доступа за счет вычисления времени отклика терминала на посылаемые точками, связанными в сеть с расстоянием между узлами 100-200 м, сигналы. Для достаточно точного местоположения терминала, таким образом, достаточно всего трех точек доступа.

Да цены на такое оборудование достаточно высоки, но любая серьезная компания может решить потратить данную сумму для того, что бы быть уверенной в безопасности свой беспроводной сети.

Вы покупаете дорогой роутер, устанавливаете сложный пароль и никому его не сообщаете, но всё равно замечаете, что скорость порой как-то проседает… Хуже, только если вы обнаружите кражу личных данных, заблокированный компьютер и другие прелести. Несмотря на антивирус и другую защиту.

Оказывается, домашний Wi-Fi далеко не так защищен, как вы думаете. Разбираемся, почему.

Уязвимый WPA2

Современные точки доступа Wi-Fi защищены в основном протоколом WPA2. В нём реализовано CCMP и шифрование AES . CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) – это протокол блочного шифрования с кодом аутентичности сообщения (MAC) и режимом сцепления блоков и счётчика, который был создан для замены более слабого TKIP (использовался в предшественниках, WPA и WEP). Собственно, CCMP использует AES (Advanced Encryption Standard) – симметричный алгоритм блочного шифрования (размер блока 128 бит, ключ 128/192/256 бит).

Объективно говоря, WPA2 – довольно старый протокол

Соответственно, и уязвимостей в протоколе найдено немало. Например, ещё 23 июля 2010 года опубликовали данные о дыре под названием Hole196. Используя её, авторизовавшийся в сети пользователь может применять свой закрытый ключ для расшифровки данных других пользователей и подменять MAC-адреса, а значит, использовать ресурсы взломанной сети для атак на различные веб-ресурсы без риска быть обнаруженным. Без всякого брутфорса и взлома ключей!

Патчи, надо сказать, выпустили не все. А дальше пошло-поехало…

Взлом WPA2

Сегодня Wi-Fi c WPA2 в основном взламывают брутфорсом и атакой по словарю. Хакеры мониторят беспроводную карту, сканируют эфир, отслеживают и записывают нужные пакеты.

После этого выполняется деавторизация клиента. Это нужно для хэндшейка – захвата начального обмена пакетами. Можно, конечно, подождать, пока клиент подключится. Но этого может и не произойти, по крайней мере, в ближайшие несколько минут.

Взлом WPS

Многие современные роутеры поддерживают протокол Wi-Fi Protected Setup, который используется для полуавтоматического подключения к беспроводной сети Wi-Fi. Он был разработал для упрощения подключения к WPS. Упростил, конечно, процесс и для злоумышленников тоже.

В PIN-коде WPS, который позволяет подключиться к сети, восемь знаков. Причём восьмой символ является контрольной суммой.

Уязвимость в WPS-протоколе позволяет проверять PIN-коды блоками: первый блок включает четыре цифры, второй – три (восьмая цифра вычисляется). В итоге имеем 9999 + 999 = 10998 вариантов PIN-кода.

Для взлома WPS подходит утилита Reaver. Она есть, к примеру, в дистрибутиве Kali Linux .

Алгоритм действий прост:

-i mon0 – это интерфейс,
-b 64:XX:XX:XX:XX:F4 это BSSID атакуемой точки,
-vv необязательный ключ, который включает подробный вывод.

Процесс перебора может занять несколько часов. Его результат – подобранный PIN-код и ключ безопасности сети.

Альтернативы – приложения WPS Connect , WIFI WPS WPA TESTER для Android и др. С iPhone сложнее, потому что из официального App Store приложения быстро удаляют или отклоняют на старте, а из неофициальных магазинов вы устанавливаете программы на свой страх и риск.

Чтобы бороться с этой атакой, нужно отключить WPS на роутере или точке доступа. Тогда взламывать будет нечего.

Последствия атак

Самое простое – использовать вашу Wi-Fi-сеть для получения бесплатного интернет-доступа. «Симптомы»: падение скорости, превышение лимитов трафика, увеличение пинга.

Хакеры могут использовать ваш Wi-Fi для совершения противоправных действий. К примеру, взлома сетей и аккаунтов, рассылки спама и т.п. Если правоохранительные органы отследят преступников до вашего IP, придётся объясняться. Вероятность невелика, но неприятно.

Наконец, самое страшное – если хакеры решат перехватить и расшифровать ваш трафик. И получить данные, которые вы бы не хотели кому-то предоставлять: пароли от социальных сетей и банковских аккаунтов, интимные фото, личную переписку.

Наконец, есть возможность осуществления атак «человек посередине». Можно перехватывать сеансы TCP, выполнять вставку информации в сеансы HTTP, воспроизводить адресные или широковещательные пакеты.