Актуальная безопасность беспроводных сетей
Энно Рей
С безопасностью беспроводных сетей дела обстоят не лучшим образом, причем ошибки в реализации играют столь же важную роль, как и недостатки предлагаемых механизмов обеспечения безопасности. Кто хочет сделать все как можно лучше, должен быть в курсе современных методов атак, а также надлежащих контрмер и ожидаемых новшеств в этой области.
Две главнейшие угрозы, связанные с эксплуатацией беспроводных локальных сетей, — это чтение и изменение данных и неавторизованное вторжение хакера с целью проведения атаки на сетевые системы.
Чтение трафика в беспроводных сетях (sniffing) — в отличие от кабельных — не предполагает наличия физического доступа. Распространение пакетов в радиосреде едва ли можно контролировать, поэтому необходимо исходить из того, что злоумышленник способен прочитать все передаваемые по сети пакеты, к примеру при помощи карты, работающей в режиме радиочастотного мониторинга. Поэтому эффективную защиту обеспечивают только шифрование трафика и указание станций, «входящих в состав сети», т. е. имеющих право отправлять пакеты.
Зачастую, однако, доступные технические меры защиты в беспроводных сетях задействуются в неполной мере. Кроме того, некоторые распространенные механизмы несовершенны и не могут противостоять даже тривиальным атакам.
Между тем различают три «поколения» механизмов защиты беспроводных сетей. Их протоколы, представители и проблемы приведены в Таблице 1. Сегодня в случае применения технологий старшего поколения с атакой вряд ли удастся справиться, в то время как эффективность технологий второго поколения определяется конкретной конфигурацией. Новейшую же технологию обеспечения безопасности злоумышленник сможет обойти, только если ему повезет наткнуться на серьезные ошибки в конфигурации.
Наиболее популярными инструментами для атак на беспроводные сети стали специальные сетевые карты, которые поддерживают (по крайней мере) стандарты 802.11b и 802.11g (а для некоторых атакуемых сетей еще и 802.11а) и располагают набором поддерживаемых соответствующим инструментарием микросхем. Наряду с «классическим» набором микросхем Prism2 признание получил Atheros, который даже более совершенен в отношении поддержки инструментов. Важными критериями выбора являются наличие как минимум одного гнезда для подключения внешней антенны и, если злоумышленника не интересуют правовые нормы, мощность излучения антенны. В Германии, например, она ограничена 100 мВт, однако через Internet можно приобрести карты мощностью до 300 мВт. Универсальной с этой точки зрения картой является Proxim 8470-WD. Кроме адаптеров в инструментарий взломщика беспроводных сетей входят обычно несколько антенн для разных целей.
Как правило, антенне придается большое значение применительно к пассивной и активной достижимости атакуемой сети, причем заметно большее, чем мощности самой карты. Это тоже должен учитывать специалист, отвечающий за обеспечение безопасности. Никогда не следует думать, что злоумышленник не сможет атаковать ваши беспроводные сети только потому, что вам самим это не удалось при тестировании с парковки компании. «Моя антенна больше твоей!» — таков боевой клич хакеров.
При выборе инструментов и операционной системы для атак на беспроводные сети наиболее неудачным вариантом будет ОС Windows. Многие инструменты, и прежде всего модифицированные драйверы для карт, работают только под управлением BSD или Linux и требуют некоторого времени для инсталляции и конфигурирования. Между тем доступны дистрибутивы Live-CD (сборки ОС), содержащие все необходимые инструменты. Наиболее известен среди них BackТrack CD. Таким образом, необходимое ноу-хау для проведения атаки в худшем случае сводится к загрузке компакт-диска вместе с чтением странички руководства.
Типичная атака состоит из следующих шагов:
-
идентификации атакуемой сети;
-
чтения трафика (в большинстве случаев используется инструмент airodump);
-
инъекции пакетов в случае необходимости (при помощи инструмента aireplay) с целью отмены аутентификации клиентов (к примеру, для перехвата пакета подтверждения WPA) и/или генерации трафика (для определения ключа WEP);
-
взлома ключа WEP, защиты WPA-PSK (с помощью инструмента aircrack) или пароля LEAP (с помощью asleap) при наличии достаточного количества пакетов;
-
расшифровки, если понадобится, перехваченного трафика (с помощью airdecap);
-
участия в работе беспроводной сети и проведения атак против других абонентов или сетевого трафика.
Необходимо упомянуть, что статический WEP можно взломать практически всегда, если злоумышленнику удастся перехватить пакеты с различными векторами инициализации в количестве от 500 тыс. (в случае 64-разрядного WEP) до 1 млн (128 бит). В беспроводной сети с несколькими активными станциями при типичном поведении пользователей, когда они обращаются к серверу файлов, электронной почте и выполняют поиск в Internet, это займет (без дополнительных атак, см. ниже) самое большее несколько часов. Далее собственно взлом отнимет лишь пару минут. Атаки на инфраструктуры WPA с заранее согласованным ключом (Pre-Shared Key, PSK) — WPA-PSK — и LEAP, напротив, базируются на грубой силе или атаках с перебором паролей, и поэтому их эффективность во многом зависит от качества выбранного пароля.
Протокол WEP, что удивительно, до сих пор еще можно встретить в 20-30% корпоративных сетей; примерно такое же распределение характерно и среди частных пользователей. В процессе написания данной статьи со своего рабочего места автор при помощи инструмента airodump мог видеть, что происходит в сетях, представленных на Рисунке 1, а в центре крупного немецкого города случайный моментальный снимок с их списком мог бы выглядеть, как на Рисунке 2. Из информации, содержащейся в столбце «Данные» (Data), становится ясно, где именно передается больше всего «интересных» пакетов и почему злоумышленник мог бы обратить особое внимание на сеть с идентификатором «Офис» (Buero) или другую, безымянную сеть, если речь идет о целенаправленной атаке (см. Рисунок 3).Подобным образом перехватывается еще большее число ценных пакетов, т. е. таких, которые содержат векторы инициализации, представляющие интерес с точки зрения атак на WEP. Если злоумышленник подключит мощную антенну, он сможет заметно увеличить мощность приема своего устройства (см. Рисунок 4).
Поскольку видны лишь две ассоциированных станции, из которых лишь одна работает с сетью, теперь можно попытать счастья и предпринять попытку инъекции пакетов. В этом случае пакеты не только пассивно считываются, но и активно отсылаются в сеть. Для определенных пакетов подобное возможно и без знания ключа WEP, который еще нужно определить. К примеру, так называемые кадры управления не шифруются вообще, а другие пакеты и без шифрования удается идентифицировать благодаря неизменной структуре заголовка. Это справедливо, к примеру, в отношении запросов протокола определения адресов (Address Resolution Protocol, ARP). Подобный запрос можно снова отправить в сеть после перехвата и вызвать соответствующие ответы (response) ARP, зашифрованные с помощью собственных векторов инициализации и увеличивающие тем самым количество интересных перехватываемых пакетов. Предназначенный для этого инструмент называется aireplay (см. Рисунок 5). Достигнутый эффект очевиден (см. Рисунок 6). Если через некоторое время (в нашем случае примерно 60 мин) у злоумышленника появляется необходимое число пакетов, взлом ключа становится простой формальностью (см. Рисунок 7).
В сети, «защищенной» только (слабым) шифрованием WPA-PSK, процесс взлома должен был бы выглядеть примерно так, как показано на Рисунке 8. Но поскольку успешная атака на WPA-PSK возможна лишь посредст-вом методов грубой силы или перебора паролей, пользователю, чтобы обезопасить себя, достаточно позаботиться о длинном, сложном ключе, к тому же для реализации отдельных шагов, из которых состоит процесс взлома, потребуются значительные ресурсы центрального процессора. Следует, однако, учесть, что мотивированный, хорошо вооруженный злоумышленник может выполнить часть необходимой вычислительной работы заранее и по ходу дела обращаться к предварительно подсчитанным таблицам или специальному аппаратному обеспечению. И то и другое значительно сокращает необходимое для взлома время (
http://www.layerone.info/2006/presentations/Cracking_WiFi_Faster-LayerOne-Church_of_WiFi.pdf).
АНАЛИЗ РИСКОВ ДЛЯ МЕХАНИЗМОВ ВТОРОГО ПОКОЛЕНИЯ
Если в какой-либо организации используются защитные механизмы «второго поколения», в первую очередь WPA-PSK и LEAP, необходимо провести анализ рисков, где среди прочего следует принять во внимание возможные типы нападения и потребность в обеспечении сохранности передаваемых данных. К сожалению, при обеспечении безопасности беспроводных сетей нередко не получается следовать «чистой теории», которая в качестве единственного, достаточно надежного решения — по крайней мере со стороны инфраструктуры — рассматривает аутентификацию с сертификатами на базе 802.1х. Причины такого положения вещей следующие:
-
издержки на реализацию, особенно в случае инфраструктуры с открытым ключом;
-
не все беспроводные клиенты поддерживают методы, основанные на применении сертификатов (это касается принтеров, мобильных устройств сбора данных и некоторых станций на базе UNIX);
-
производственная необходимость может вступить в противоречие с аргументами техники безопасности — к примеру, когда в небольших удаленных филиалах работа в сети не должна зависеть от стабильности соединений с главным офисом, а административный персонал отсутствует.
Наряду с выбором технологий и протоколов общая безопасность беспроводной сети зависит также от некоторых аспектов ее проектирования и организационных процессов.
К таковым, например, относятся:
СЕГМЕНТАЦИЯ СЕТИ
Сегментация сети с целью повышения безопасности всегда базируется на «уровнях безопасности» в сети. В идеальном случае они ориентируются на потребность в защите передаваемых данных и определенных узлов («Серверы с персональными данными должны располагаться в одном выделенном сегменте») или на возможные угрозы («Клиенты, на которых по какой-либо причине нельзя установить исправления, должны располагаться в собственных сегментах»).
Исходя из этих основополагающих соображений, любая организация в рамках некоторого формализованного процесса должна решить, будет ли она реализовывать в сегментированных частях (к примеру, в подсетях IP) беспроводные сети, и определить особенности этих сетей. Если потенциальные угрозы в беспроводных и проводных сетях различны, их не следует объединять в общую подсеть IP.
СОВРЕМЕННЫЕ ТОЧКИ ДОСТУПА ПОДДЕРЖИВАЮТ ВИРТУАЛЬНЫЕ СЕТИ
Многие современные точки доступа поддерживают построение виртуальных локальных сетей с собственными идентификаторами SSID и соответст-вующими методами аутентификации и шифрования. Такие возможности должны использоваться как можно шире, в особенности когда ландшафт ассоциированных станций неоднороден в отношении их способности к обеспечению безопасности.
Все большую роль играет безопасность собственно точек доступа. В зависимости от потребностей и структур управления иногда имеет смысл использовать «тонкие» или «немые» точки доступа. Они не обладают собственным интеллектом и управляются при помощи установленных за ними коммутаторов или контроллеров беспроводных сетей.
И ТОЧКИ ДОСТУПА НУЖНО ЗАЩИЩАТЬ ОТ КРАЖ
При использовании «автономных» точек доступа с собственным интеллектом их необходимо защищать от хищения. По данным опросов, около 10% предлагаемых на еВay точек доступа краденые. Кроме того, будучи инфраструктурными устройствами, они нуждаются в защите от неавторизованного доступа. Для этого используются стандартные механизмы: выбор надежных методов управления (SSH вместо Telnet, HTTPS вместо HTTP), ограничение разрешенных IP-адресов при доступе и конфигурирование правильных механизмов аутентификации (управление пользователями, пароли). Контрольный список вопросов для точек доступа от Cisco автор поместил по адресу: http://www.ernw.de/publikationen/hard_cisco_aps.pdf.
Само собой разумеется, что безопасность информационных технологий включает в себя не только предотвращение, но и действенные механизмы контроля и обнаружения, поэтому защита беспроводных сетей должна предусматривать и функции обнаружения вторжений, с помощью которых можно распознать неправомочных участников сети (станции или «мошеннические» точки доступа) и определить их местоположение. Это достигается путем сравнения и анализа системных журналов или при помощи специализированных технологий.
К сожалению, в этой области до сих пор отсутствуют обязательные для производителей стандарты — используются только решения собственной разработки, к примеру специализированное устройство Cisco — решение для управления беспроводной инфраструктурой (Wireless LAN Solution Engine, WLSE), которое предназначено в первую очередь для централизованного управления.
ЗАКЛЮЧЕНИЕ: БЕЗ АНАЛИЗА РИСКОВ НЕ ОБОЙТИСЬ
В целом можно сказать, что провести атаку на беспроводную сеть сравнительно просто. Выбор технологии, пригодной для указанной цели, определяется различными факторами и должен стать предметом тщательного анализа рисков. Безопасность беспроводной сети нельзя обеспечить без адаптированного к потребностям предприятия проектирования сети и рассмотрения производственных процессов. Нап-равление атак в перспективе будет смещаться; их целью могут стать интерфейсы Web для точек доступа или протоколы производителей собственной разработки, скажем протокол управления контекстом беспроводной сети Cisco (Wireless LAN Context Control Protocol, WLCCP).
Энно Рей — технический и коммерческий директор компании ERNW, сертифицированный специалист в области безопасности информационных систем (Certified Information Systems Security Professional, CISSP) и сертифицированный аудитор информационных систем (Certified Information Systems Auditor, CISA).
© AWi Verlag