„...Informaciona sigurnost i bežične mreže?
Ali nisu li ovo međusobno isključivi koncepti?"
Iz razgovora na izložbi Svyazexpocom-2004"

Bežični komunikacioni uređaji zasnovani na 802.11x standardima danas se veoma agresivno kreću na tržištu mrežne opreme. To nije iznenađujuće: jednostavnost korištenja za mobilne i kvazi-mobilne korisnike, organizacija komercijalnih i korporativnih hotspotova, „posljednja milja“, međusobno povezivanje lokalnih mreža (LAN-ova) - sve to nije potpuna lista razloga za implementaciju ovakva rješenja. Zaista, broj svih vrsta operativne 802.11x opreme u svijetu je impresivan: prema J"son & Partners, samo broj hot spotova na kraju 2003. premašio je 43 hiljade, a do kraja 2004. trebao bi dostići 140 hiljada. Udio Rusije u ovim pokazateljima je mali, ali broj bežičnih komunikacionih mreža (uključujući hot spotove) u našoj zemlji stalno raste. „najstarija“ i najčešće korišćena oprema - Cisco Aironet.

Ali nisu samo brojke impresivne; Mnogo više iznenađuje broj zabluda povezanih s osiguravanjem sigurnog prijenosa podataka u takvim mrežama. Raspon mišljenja ovdje je najširi: od potpunog povjerenja u bilo koju opremu i bilo koju njenu postavku do neugodnih karakteristika kakve smo naveli kao epigraf.

802.11x - podložnost vanjskim prijetnjama

Sama suština bežičnog prijenosa podataka prepuna je mogućnosti neovlaštenog povezivanja na pristupne tačke, presretanja podataka i drugih problema. Odsustvo kabla, koji je organizaciono lak za zaštitu, stvara osećaj neprijatne otvorenosti i pristupačnosti.

Vrijedi spomenuti i “neprotokolarne” prijetnje – one su osnova problema. Prilikom razvoja bežične korporativne mreže, administratori prvenstveno vode računa o kvalitetnoj pokrivenosti kancelarijskog prostora. Vrlo često niko jednostavno ne uzima u obzir da se podmukli hakeri mogu povezati na mrežu direktno iz automobila parkiranog na ulici. Osim toga, postoje situacije kada je, u principu, nemoguće eliminirati samu mogućnost da se "čuje" preneseni promet. Primjer su vanjske antene. Inače, u zemljama ZND-a povezivanje LAN ureda jednih s drugima putem bežične veze je vrlo popularno rješenje.

Jednako opasna prijetnja je i mogućnost krađe opreme. Ako je sigurnosna politika bežične mreže zasnovana na MAC adresama, tada bilo koja komponenta (mrežna kartica, pristupna tačka) koju je ukrao napadač momentalno otvara ovu mrežu.

I na kraju, problem “prepametnih” korisnika. Često je neovlašteno povezivanje pristupnih tačaka na LAN rad samih zaposlenih u organizaciji. Štaviše, to se radi isključivo radi praktičnosti rada, ponekad čak i u dobrim namjerama. Naravno, ovi zaposlenici osiguravaju i zaštitu informacija prilikom samostalnog povezivanja takvih uređaja na mrežu i ne zamišljaju uvijek posljedice takve „samoodbrane“.

Ovim i sličnim problemima treba se baviti sveobuhvatno. Odmah napominjemo da se organizacijske mjere ne razmatraju u okviru ovog članka - one se najčešće biraju na osnovu uslova rada svake određene mreže. Što se tiče tehničkih mera, obavezna međusobna autentikacija uređaja i uvođenje aktivnih (na primer, Observer 8.3, Airopeek NX 2.01, Wireless Sniffer 4.75) i pasivnih (kao što su APTools 0.1.0, xprobe 0.0.2) kontrolnih alata daju veoma dobre rezultate. dobar rezultat.

Ranjivost "starih" sigurnosnih metoda

IEEE 802.11 komitet je oduvijek bio uključen u zaštitu podataka u bežičnim mrežama. Nažalost, metode koje su korištene za osiguranje sigurnosti 802.11x mreža u fazi njihovog početnog razvoja (1997-1998) bile su, blago rečeno, neuspješne. Oni su uključivali WEP (Wired Equivalent Privacy) enkripciju i autentifikaciju: baziran na MAC adresi, Open i PreShared Key.

Razmotrimo navedene metode po redu. Klasični WEP protokol za šifrovanje, koji je razvio RSA Data Security, koristi 40-bitni ključ koji se dodaje generisanom vektoru inicijalizacije (IV, njegova dužina je 24 bita). Koristeći rezultirajući ključ, korisnički podaci i kontrolni zbroj se šifriraju pomoću RC4 algoritma. Vektor IV se prenosi u čistom obliku.

Prvi nedostatak ove metode je što 40-bitni ključ nije dovoljan za mir. Čak je i DES, sa svojim 56-bitnim ključem, dugo bio prepoznat kao nepouzdan. Drugi nedostatak je nepromjenjivost ključa; Upotreba statičkog ključa pojednostavljuje problem hakovanja. Pošto je 40-bitni ključ nepouzdan, želio bih da ga češće mijenjam. I konačno, sam pristup šifriranju je vrlo upitan. Veličina IV je 24 bita, što znači da će se ponoviti najkasnije nakon 5 sati (dužina paketa 1500 bajtova, brzina 11 Mbit/s).

Nikita Borisov, Ian Goldberg i David Wagner su prvi proučavali ovaj problem, a već 2001. godine pojavile su se prve implementacije drajvera i programa koji su se nosili sa WEP enkripcijom. Dokument koji opisuje ovu ranjivost objavljen je na: http://www.isaac.cs.berkeley.edu/isaac/wep-faq.htm l.

Metode autentifikacije također nisu vrlo pouzdane. Na primjer, ništa ne košta "preslušavanje" cijele procedure autentifikacije po MAC adresi - na kraju krajeva, MAC adrese u okviru se prenose nešifrovane. Ako napadač zna za prihvaćenu metodu autentifikacije, gotovo je spreman za ulazak u mrežu. Najpouzdaniji od navedenih metoda je PreShared Key, ali je dobar samo ako je sigurno šifriran i redovito zamjenjuje visokokvalitetne lozinke.

Uobičajena je zabluda da će korištenje jedinstvenog ID-a skupa usluga (SSID) spriječiti neovlaštene veze. Nažalost, SSID je pogodan samo za logičku podjelu mrežnih uređaja u grupe - ništa više. Jedina stvar koju možete učiniti sa SSID-om je zbuniti mladog hakera korištenjem znakova koji se ne mogu ispisati. Pristupne tačke (Access Point, AP), na primjer, iz Cisco Systems-a, vam to omogućavaju (možete navesti znakove uključene u SSID u heksadecimalnom obliku - \xbd\xba).

Dakle, ako uzmemo u obzir i masu “radoznalih” tinejdžera sa laptopima, bežična komunikaciona mreža se neizbežno suočava sa problemom zaštite od gotovo garantovanih WEP napada.

WEP napadi

Nedovoljna dužina ključa, nedostatak rotacije ključa i sam princip RC4 enkripcije, opisan gore, omogućavaju organiziranje vrlo efikasnog pasivnog napada. Štaviše, napadač ne mora izvoditi nikakve radnje pomoću kojih bi mogao biti otkriven, dovoljno je jednostavno preslušati kanal. U ovom slučaju nije potrebna posebna oprema - bit će dovoljna obična WLAN kartica, kupljena za 20-25 dolara, kao i program koji će akumulirati pakete na tvrdom disku dok se vrijednosti IV vektora ne poklope. Kada broj paketa postane dovoljan (obično od 1 milion do 4 miliona), lako je izračunati WEP ključ. Jedan od najpopularnijih programa za takve “vježbe” je AirSnort (http://airsnort.shmoo.com). Ovaj softver radi sa mrežnim karticama kompanije Cisco Systems, karticama baziranim na NMC Prism-2 (ima ih dosta), kao i na Orinoco karticama ili njihovim klonovima.

Haker koji koristi aktivne metode napada može postići dobre rezultate. Na primjer, možete slati poznate podatke izvan LAN-a, recimo, sa Interneta, dok istovremeno analizirate kako ih je pristupna tačka šifrirala. Ova metoda vam omogućava da izračunate ključ i manipulišete podacima.

Druga aktivna metoda napada je Bit-Flip napad. Algoritam akcija ovdje je sljedeći (slika 1):

1. Presrećemo WEP šifrirani okvir.
2. Nasumično mijenjamo nekoliko bitova u polju „podaci“ i ponovo izračunavamo kontrolnu sumu CRC-32.
3. Šaljemo modifikovani okvir na pristupnu tačku.
4. Pristupna tačka će prihvatiti okvir na sloju veze jer je kontrolni zbir ispravan.
5. Pristupna točka će pokušati dešifrirati podatke i odgovoriti poznatim tekstom, na primjer: "Vaš ključ za šifriranje je netačan."
6. Poređenje šifrovanog i nešifrovanog teksta može omogućiti izračunavanje ključa.

U ovom članku nećemo razmatrati mogući DOS napad na opremu koja koristi DSSS metod širokopojasne modulacije. Ova vrsta opreme uključuje 802.11b i 802.11a uređaje koji rade pri malim brzinama.

Privremeni zaključci

Sve navedeno ukazuje na to da su stare metode osiguranja sigurnosti u bežičnim mrežama nepouzdane; a ako oprema ne dozvoljava implementaciju savremenih rješenja za zaštitu informacija, onda je izbor strategija mali: ili koristiti najstrože administrativne politike (vidi bočnu traku "Administrativne mjere"), ili koristiti IPSec - ESP tehnologiju.

IPSec - ESP tehnologija će sigurno zaštititi podatke, ali će uvelike smanjiti performanse LAN-a. Ipak, ova tehnologija je razvijena za globalne mreže i rasipno je koristiti je unutar bežične lokalne mreže. Njegova upotreba preko bežičnih kanala opravdana je samo u slučaju spajanja grana ili drugih sličnih rješenja.

Moderni sigurnosni zahtjevi, ili "Život sa Cisco"

Za bezbrižnost svakog korisnika, postoje samo tri pitanja koja se moraju riješiti za njihov promet: povjerljivost (podaci moraju biti sigurno šifrirani), integritet (podaci moraju biti zagarantovani da ih treća strana neće mijenjati) i autentičnost ( povjerenje da su podaci primljeni iz ispravnog izvora).

Autentifikacija

Standard 802.1x je definisan kao moderniji od standarda 1997-1998. metoda provjere autentičnosti koja se široko koristi u različitoj mrežnoj opremi, uključujući bežične uređaje. Njegova fundamentalna razlika u odnosu na starije metode autentifikacije je sljedeća: dok se ne izvrši međusobna provjera, korisnik ne može ni primati ni prenositi podatke. Standard takođe predviđa dinamičko upravljanje ključevima za šifrovanje, što prirodno otežava pasivni napad na WEP.

Na primjer, određeni broj programera koristi EAP-TLS i PEAP protokole za autentifikaciju u svojim uređajima, ali Cisco Systems (http://www.cisco.com) pristupa problemu "šire", nudeći, zajedno s njima, prateći za svoje bežične mreže niz protokola.

Proširivi protokol provjere autentičnosti - Sigurnost transportnog sloja(EAP-TLS) je IETF standard koji pruža autentifikaciju kroz dvosmjernu razmjenu digitalnih certifikata.

Zaštićeni EAP(PEAP) je još uvijek nacrt standarda od strane IETF-a. Omogućava razmjenu digitalnih certifikata i dodatnu provjeru imena i lozinke kroz posebno kreiran šifrirani tunel.

Lagani EAP(LEAP) je vlasnički protokol kompanije Cisco Systems. "Laki" protokol za međusobnu autentifikaciju sličan dvosmjernom Challenge Authentication Protocolu (CHAP). Koristi zajednički ključ, pa je potrebna određena inteligencija prilikom generiranja lozinki. Inače, kao i svaka druga metoda, PreShared Key je podložan napadima iz rječnika.

EAP - Fleksibilna autentifikacija putem sigurnog tuneliranja(EAP-FAST) - razvijen od strane Cisco na osnovu IETF nacrta standarda za zaštitu od napada na rječnik i vrlo je pouzdan. Zahteva minimalan trud administratora za podršku. Princip njegovog rada je sličan LEAP-u, ali se autentifikacija vrši preko sigurnog tunela. Prve implementacije pojavile su se u aprilu 2004. Podržano počevši od softverskih verzija IOS 12.2(11)JA, VxWorks 12.01T, Cisco Secure ACS 3.2.3.

Sve moderne metode provjere autentičnosti (pogledajte tabelu) podrazumijevaju podršku za dinamičke ključeve, što je dobra vijest. Međutim, ako uporedimo sve ove standarde u drugim aspektima, metode EAP-TLS i PEAP izgledaju glomaznije. I zaista jeste. Pogodniji su za korištenje u mrežama izgrađenim na opremi različitih proizvođača.

Osobine metoda provjere autentičnosti

Indeks	Way
	SKOK	EAP-FAST	PEAP	EAP-TLS
Podrška za moderni OS	Da	Da	Ne sve	Ne sve
Softverska složenost i intenzitet resursa autentifikacije	Nisko	Nisko	Prosjek	Visoko
Poteškoće u kontroli	nisko*	Nisko	Prosjek	Prosjek
Jedinstvena prijava (jednostruka prijava na Windows)	Da	Da	br	Da
Dinamički tasteri	Da	Da	Da	Da
Jednokratne lozinke	br	Da	Da	br
Podrška za korisničke baze podataka koje nisu u Microsoft Windows formatu	br	Da	Da	Da
Brzi sigurni roaming	Da	Da	br	br
Mogućnost lokalne autentifikacije	Da	Da	br	br

Metode provjere autentičnosti koje je razvio Cisco izgledaju ljepše. Ono što ih čini posebno atraktivnim je njihova podrška za tehnologiju Fast Secure Roaming, koja vam omogućava prebacivanje između različitih pristupnih tačaka (vrijeme prebacivanja je približno 100 ms), što je posebno važno pri prijenosu govornog prometa. Uz EAP-TLS i PEAP, ponovna autentifikacija će trajati znatno duže i rezultirat će prekidom razgovora. Glavni nedostatak LEAP-a i LEAP-FAST-a je očigledan - ovi protokoli su podržani samo u opremi Cisco Systems.

Šifrovanje i integritet

Na osnovu preporuka 802.11i, Cisco Systems je implementirao TKIP (Temporal Key Integrity Protocol) protokol, koji osigurava promjenu PPK (Per Packet Keying) ključa za šifriranje u svakom paketu i nadgleda integritet poruka MIC (Message Integrity Check).

PPK procedura uključuje promjenu IV u svakom paketu. Štaviše, šifriranje se provodi korištenjem vrijednosti hash funkcije iz IV i samog WEP ključa. Ako također uzmemo u obzir da se WEP ključevi dinamički mijenjaju, pouzdanost enkripcije postaje prilično visoka.

Osiguravanje integriteta je odgovornost MIC procedure. Polja MIC i SEQuence number dodaju se generiranom okviru; redni broj paketa je naznačen u SEQ polju, što vam omogućava zaštitu od napada na osnovu ponavljanja i kršenja sekvence. Paket sa pogrešnim rednim brojem se jednostavno ignoriše. 32-bitno MIC polje sadrži vrijednost hash funkcije izračunatu iz vrijednosti samog zaglavlja 802.11 paketa, polja SEQ i korisničkih podataka (slika 2).

Još jedan obećavajući protokol za šifriranje i integritet koji se već dokazao u žičanim rješenjima je AES (Advanced Encryption Standard). Razvijen je relativno nedavno - u oktobru 2001. godine i ima bolju kriptografsku snagu u odnosu na DES i GOST 28147-89. Dužina AES ključa je 128, 192 ili 256 bita. Kao što je navedeno, pruža i enkripciju i integritet.

Imajte na umu da algoritam koji se koristi u njemu (Rijndael) ne zahtijeva velike resurse ni tokom implementacije ni tokom rada, što je veoma važno za smanjenje kašnjenja podataka i opterećenja procesora.

AES već radi na Cisco IOS (k9) počevši od 12.2(13)T. Trenutno su skoro svi Cisco Systems 802.11g uređaji spremni da podrže AES. Internet zajednica čeka najavu izlaska ovog softvera, ali više puta navedeni rokovi nisu ispoštovani. Međutim, sada se pojavila određena jasnoća. Kompanija je objavila da svi uređaji koji rade u standardu 802.11g mogu biti potpuno slobodno opremljeni novim softverom, koji će se sigurno uskoro pojaviti... Ali tek nakon ratifikacije standarda 802.11i. Standard je ratifikovao IEEE krajem juna (pogledajte bočnu traku „Ratifikovan standard 802.11i“). Dakle, čekamo, gospodine.

Wi-Fi zaštićeni pristup

Standard Wi-Fi zaštićenog pristupa (WPA) je skup pravila za implementaciju zaštite podataka u 802.11x mrežama. Od avgusta 2003. usaglašenost sa WPA je deo zahteva za opremu koja je sertifikovana kao Wi-Fi Certified (http://www.wi-fi.org/OpenSection/pdf/Wi-Fi_Protected_Access_Overview.pdf).

Imajte na umu da WPA specifikacija uključuje malo izmijenjen TKIP-PPK protokol. Šifriranje se vrši na "mješavini" nekoliko ključeva - trenutnog i narednih. U ovom slučaju, dužina IV se povećava na 48 bita.

WPA također definira kontrolu integriteta poruke prema pojednostavljenoj verziji MIC-a (Michael MIC), koja se razlikuje od opisane po tome što se hash funkcija izračunava na osnovu manjeg broja polja, ali je samo MIC polje duže - 64 bita. To omogućava implementaciju dodatnih mjera zaštite informacija, na primjer, pooštravanje zahtjeva za ponovno povezivanje, ponovnu autentifikaciju itd.

Specifikacije također uključuju podršku za 802.1x/EAP i autentifikaciju dijeljenog ključa i, naravno, upravljanje ključevima.

Posebno raduje činjenica da su WPA uređaji spremni za rad kako sa klijentima čija oprema podržava savremene standarde, tako i sa klijentima koji se potpuno ne brinu o svojoj sigurnosti i koriste staru opremu ili softver. Autor kategorički preporučuje: distribuirati korisnike sa različitim stepenom sigurnosti na različite virtuelne LAN mreže i implementirati svoju bezbednosnu politiku u skladu sa tim.

Danas, uz korištenje savremene opreme i softvera, sasvim je moguće izgraditi sigurnu i na napade otpornu bežičnu mrežu zasnovanu na 802.11x standardima. Da biste to učinili, samo trebate primijeniti nekoliko razumnih postulata na to.

Moramo imati na umu da je bežična mreža gotovo uvijek povezana sa žičnom. Pored potrebe za zaštitom bežičnih kanala, ova činjenica služi kao poticaj za uvođenje novih sigurnosnih metoda u žičane mreže. U suprotnom, može doći do situacije u kojoj mreža ima fragmentiranu sigurnost, što u suštini stvara potencijalnu prijetnju sigurnosti.

Preporučljivo je koristiti opremu koja ima Wi-Fi Certified certifikat izdat kasnije od avgusta 2003. godine, odnosno koji potvrđuje usklađenost sa WPA.

Mnogi administratori, kada instaliraju uređaje na LAN, čuvaju zadane postavke proizvođača. U ozbiljnim bežičnim mrežama to je apsolutno neprihvatljivo.

Naravno, moramo implementirati 802.1x/EAP/TKIP/MIC i dinamičko upravljanje ključevima. Ako je mreža mješovita, koristite virtualne lokalne mreže. Sada skoro svaki ozbiljan proizvođač pristupnih tačaka podržava ovu tehnologiju. A ako on to ne podržava, onda ne biste trebali podržati takvog proizvođača kupovinom njegove opreme. Ako se koriste vanjske antene (na primjer, kada se povezuju različite LAN mreže), preporučuje se VPN tehnologija virtuelne privatne mreže.

Vrijedi kombinirati protokolarne i softverske metode zaštite s administrativnim. Takođe ima smisla razmišljati o implementaciji tehnologije sistema za otkrivanje upada (IDS) za otkrivanje mogućih upada. Također možete koristiti gore opisane softverske proizvode.

Konačno, i što je najvažnije, koristite zdrav razum kada planirate sigurnu bežičnu mrežu. Zapamtite: svaka enkripcija ili druga manipulacija podacima neizbježno dovodi do dodatnog kašnjenja, povećava količinu uslužnog prometa i opterećenje procesora mrežnih uređaja. Naravno, sigurnost je važan faktor u modernim mrežama, ali postaje besmislena ako korisnički promet ne dobije odgovarajuću propusnost. Na kraju krajeva, nažalost, sve mreže se kreiraju u konačnici za korisnike, a ne za administratore. Međutim, tema QoS-a u 802.11x bežičnim mrežama zaslužuje poseban članak.

Ratifikovan standard 802.11i 25. juna 2004. Institut inženjera elektrotehnike i elektronike (IEEE) ratifikovao je dugoočekivani sigurnosni standard bežične LAN mreže, 802.11i. Prije usvajanja, još 2002. godine, industrijski konzorcij Wi-Fi Alliance je predložio korištenje WPA protokola kao posredne opcije. Uključuje neke 802.11i mehanizme, uključujući TKIP enkripciju i mogućnost korištenja 802.1x sistema za autentifikaciju korisnika zasnovanog na RADIUS protokolu. WPA protokol postoji u dvije modifikacije: lagan (za kućne korisnike) i uključujući 802.1x standard za autentifikaciju (za korporativne korisnike). Zvanični standard 802.11i dodaje WPA protokolu zahtjev za korištenje standarda AES enkripcije, koji pruža nivo sigurnosti koji ispunjava zahtjeve FIPS klase 140-2 (Federalni standard za obradu informacija) koji se koristi u vladi SAD-a. Međutim, u mnogim postojećim mrežama, AES protokol može zahtijevati zamjensku opremu osim ako nije opremljen posebnim mogućnostima šifriranja i dešifriranja. Osim toga, novi standard je dobio nekoliko relativno malo poznatih svojstava. Jedan od njih - keširanje ključeva - bilježi informacije o njemu neprimjetno od strane korisnika, omogućavajući mu da više ne unese sve podatke o sebi kada napusti područje pokrivenosti bežičnom mrežom i zatim se vrati u njega. Druga inovacija je pretautentifikacija. Njegova suština je sledeća: sa pristupne tačke na koju je korisnik trenutno povezan, paket za pretautentifikaciju se šalje na drugu pristupnu tačku, obezbeđujući ovom korisniku pretautentifikaciju i pre registracije na novoj tački i na taj način smanjujući vreme autorizacije kada kretanje između pristupnih tačaka. Wi-Fi Alliance namjerava započeti testiranje uređaja na usklađenost sa novim standardom (koji se naziva i WPA2) prije septembra ove godine. Prema riječima njenih predstavnika, neće biti potrebna široka zamjena opreme. I dok uređaji koji podržavaju WPA1 mogu raditi u okruženjima u kojima nije potrebna napredna enkripcija i RADIUS autentifikacija, 802.11i proizvodi se mogu smatrati WPA opremom koja podržava AES.

Bežične mreže nisu sigurne. Dozvolite mi da ponovim: bežične mreže nisu sigurne. Većinu vremena dovoljno su sigurne za većinu korisnika, ali takve mreže ne mogu biti potpuno privatne.

Jednostavna istina je da bežična mreža koristi radio signale s dobro definiranim skupom karakteristika, tako da svako ko je spreman posvetiti dovoljno vremena i truda praćenju ovih signala vjerovatno može pronaći način da presretne i pročita podatke sadržane u njima. Ako pošaljete osjetljive informacije putem bežične veze, napadač bi ih mogao kopirati. Brojevi kreditnih kartica, lozinke računa i drugi lični podaci su ranjivi.

Šifriranje i druge sigurnosne metode mogu malo otežati presretanje podataka, ali ne pružaju potpunu zaštitu od istinski sofisticiranog špijuna. Kao što vam svaki policajac može reći, brave dolaze od poštenih ljudi, ali iskusni lopovi znaju kako se nositi s njima. Lako je pronaći čitav katalog alata za razbijanje WEP enkripcije na Internetu.

Čineći situaciju još opasnijom, mnogi mrežni administratori i kućni bežični korisnici ostavljaju širom otvorena vrata i prozore svojih mreža bez korištenja prednosti šifriranja i drugih sigurnosnih funkcija integriranih u svaku 802.11b bežičnu tačku i mrežni čvor. Prijava na nezaštićene privatne mreže moguća je u mnogim urbanim sredinama i na velikom broju lokalnih mreža. U proljeće 2001. San Francisco Chronicle je izvijestio da je stručnjak za mrežnu sigurnost sa usmjerenom antenom postavljenom na krov kombija u centru San Francisca bio u mogućnosti da se prijavi na u prosjeku pola tuceta bežičnih mreža po bloku. Broj takvih mreža stalno raste. Godinu dana kasnije, grupa zaposlenih u Microsoftu koja je sprovela "neformalni test" otkrila je više od 200 nezaštićenih otvorenih pristupnih tačaka u mreži predgrađa u Sijetlu. I Tully's Coffee stores izvještavaju da primjećuju da se njihovi kupci prijavljuju na Wi-Fi mreže preko hotspotova u Starbucks prodavnicama preko puta.

Dovoljna je jednostavna aritmetika: vaša pristupna tačka ima domet od 100 m ili više u svim smjerovima, tako da će se signal vjerovatno proširiti izvan vašeg posjeda (ili zidova vašeg stana). Mrežni uređaj u susjednoj prostoriji zgrade ili preko puta ulice najvjerovatnije može otkriti mrežu. Laptop ili PDA postavljen u automobil parkiran na ulici takođe je sposoban za sličnu akciju. Ako se ne preduzmu neke mjere predostrožnosti, operater ovog uređaja može se registrovati na vašoj mreži, ukrasti datoteke sa servera i infiltrirati se u vašu internetsku vezu radi striminga videa ili online igrica.

Važno je razumjeti da govorimo o dvije različite vrste prijetnji bežične sigurnosti. Prvi je opasnost da se neko drugi poveže na vašu mrežu bez vašeg znanja ili dozvole; druga je mogućnost da sofisticirani napadač ukrade podatke dok ih šaljete i primate. Svaki od njih je zaseban potencijalni problem, a za svaki je potreban poseban način prevencije i zaštite. Iako je možda istina da nijedan od trenutno dostupnih alata ne može pružiti potpunu zaštitu, oni mogu znatno otežati život većini slučajnih napadača.

Bežične mreže predstavljaju kompromis između sigurnosti i upotrebljivosti. Očigledne prednosti bežične mrežne veze - brz i lak pristup mreži sa laptopa ili izolovane lokacije - dolaze po cijeni. Za većinu korisnika ovi troškovi nisu veći od pogodnosti bežične mreže. Ali baš kao što zaključavate automobil kada parkirate, trebali biste poduzeti slične korake da zaštitite svoju mrežu i podatke.

Zaštita vaše mreže i podataka

Šta možete učiniti da se zaštitite od autsajdera kao operater bežične mreže? Imate dvije opcije: možete prihvatiti činjenicu da 802.11b mreže nisu potpuno sigurne, ali koristite ugrađene sigurnosne značajke mreže da usporite loše aktere; Možete se odreći ugrađenih alata i umjesto toga koristiti zaštitni zid za izolaciju.

Jasno je da su sigurnosne karakteristike integrisane u 802.11b protokole.

neprihvatljivo za apsolutnu zaštitu prenesenih podataka. Ako ste čitali članke o sigurnosti bežičnih mreža u trgovačkim časopisima i pregledali diskusije na internetskim forumima, lako je povjerovati da su Wi-Fi mreže propusne kao poslovično sito. Ali ovo može preuveličati stvarnu prijetnju vašoj vlastitoj mreži. Zapamtite da većina ljudi bliskih krađi vaših poruka ili infiltriranju u vašu mrežu neće samo sjediti i čekati da počnete sa prijenosom podataka. I da budemo potpuno iskreni, većina podataka koji se šalju putem vaše mreže zapravo nisu od interesa. Ali alati za šifriranje dostupni su na svakoj Wi-Fi mreži, tako da biste ih trebali koristiti.

Ozbiljnija prijetnja nije da će vaša komunikacija biti presretnuta, već da će se s njom stvoriti ilegalne veze. Ovo će omogućiti neovlaštenom korisniku da čita datoteke pohranjene na drugim umreženim računarima ili koristi vašu širokopojasnu internetsku vezu bez vašeg znanja ili dozvole.

Ima smisla voditi računa o upravljanju svojom mrežom. Ako odlučite implementirati sigurnost 802.11b, morate slijediti posebne korake:

Postavite svoju pristupnu tačku na sredinu zgrade, a ne pored prozora. Ovo će smanjiti udaljenost vaših signala da putuju kroz zidove;

Koristite WEP (Wired Equivalent Privacy) enkripciju, dostupnu na svim 802.11b mrežnim čvorovima. S obzirom na dovoljno vremena i odgovarajuću opremu, WEP nije teško probiti, ali šifrirane pakete je još teže čitati nego podatke koji se šalju bez šifriranja. Ovo poglavlje pruža više informacija o WEP enkripciji;

Često mijenjajte WEP ključeve. Izdvajanje WEP ključeva za šifriranje iz toka podataka zahtijeva vrijeme, a svaki put kada promijenite ključeve, loši akteri koji pokušavaju ukrasti vaše podatke moraju početi iznova. Promjena ključeva jednom ili dvaput mjesečno nije prečesta;

Nemojte skladištiti WEP ključeve na lako dostupnom mjestu. Na velikoj mreži može se pokušati pohraniti na lokalnu web stranicu ili u tekstualnu datoteku. Nemoj to raditi;

Nemojte koristiti e-poštu za prijenos WEP ključeva. Ako stranac ukrade imena naloga i lozinke, lopov će primati poruke sa vašim novim ključevima pre nego što ih vaši legitimni korisnici prime;

Dodajte još jedan sloj enkripcije kao što je Kerberos, SSH ili VPN povrh WEP enkripcije integrirane u bežičnu mrežu;

Nemojte koristiti podrazumevani SSID svoje pristupne tačke. Ova podešavanja su dobro poznata mrežnim hakerima;

Promijenite SSID u nešto što ne identificira vaš posao ili lokaciju. Ako napadač otkrije ime BigCorpNet i pogleda okolo i ugleda sjedište BigCorp-a preko puta, vjerovatno će ciljati vašu mrežu. Isto važi i za vašu kućnu mrežu. Ne zovite ga Perkins ako je to ime na vanjskoj strani vašeg poštanskog sandučeta. Nemojte koristiti SSID koji zvuči kao da vaša mreža sadrži neku vrstu primamljivih informacija - koristite neupadljivo ime kao što je prazno polje, "mreža-" ili čak niz nasumičnih znakova (W24rnQ);

Promijenite IP adresu i lozinku svoje pristupne točke. Zadane lozinke za većinu alata za konfiguraciju pristupnih tačaka je lako pronaći (i često se ponavljaju od jednog dobavljača do drugog - savjet: nemojte koristiti "admin"), tako da nisu dovoljno dobre čak ni da se zaštite od vlastitih korisnika, dozvolite sami autsajderi koji nameravaju da koriste vašu mrežu u sopstvene svrhe;

Onemogućite funkciju SSID Broadcast za pristupnu tačku koja dozvoljava veze klijenata bez ispravnog SSID-a. Ovo ne garantuje da će vaša mreža biti nevidljiva, ali može pomoći;

Omogućite funkciju kontrole pristupa za svoju pristupnu tačku. Kontrola pristupa ograničava veze na mrežne klijente sa određenim MAC adresama. Pristupna tačka će odbiti vezu sa bilo kojim adapterom čija adresa nije na listi. Ovo možda nije praktično ako želite dopustiti drugim posjetiteljima da koriste vašu mrežu, ali je koristan alat za kućne i male uredske mreže gdje poznajete sve svoje potencijalne korisnike. Slično funkciji "emitovanja SSID-a", ovo nije garancija, ali neće ni škoditi;

Testirajte sigurnost svoje mreže pokušavajući je pronaći s ulice. Uzmite laptop sa pokrenutim programom za skeniranje, kao što je Network Stumbler ili uslužni program koji prikazuje status vašeg mrežnog adaptera i počnite da se udaljavate od zgrade. Ako možete otkriti svoju mrežu iz bloka dalje, može i autsajder. Zapamtite da zlobnici mogu koristiti usmjerene antene s velikim pojačanjem, koje povećavaju ovu udaljenost;

Zamislite da je mreža širom otvorena za dijeljenje. Uvjerite se da su svi koji koriste mrežu svjesni da koriste nesiguran sistem;

Proširite pristup fajlovima samo na fajlove koje zaista želite da delite. Nemojte otvarati cijeli disk. Koristite zaštitu lozinkom za svaku pristupačnu stavku;

Koristite iste sigurnosne alate koje biste koristili na žičanoj mreži. U najboljem slučaju, bežični dio vašeg LAN-a nije ništa sigurniji od žičanog dijela, tako da morate poduzeti iste mjere opreza. U većini slučajeva, bežični dio mreže je mnogo manje siguran od ožičenog dijela;

Razmislite o korištenju virtuelne privatne mreže (VPN) za dodatnu sigurnost.

Neki stručnjaci koriste različite metode za osiguranje bežične mreže. Oni prihvataju ideju da je mreža 802.11b nesigurna, pa čak ni ne pokušavaju da koriste ugrađene sigurnosne karakteristike. Na primjer, tim za mrežnu sigurnost NASA-e Advanced Supercomputing Division u Kaliforniji otkrio je da "mreža sama po sebi ne pruža snažnu autentifikaciju i zaštitu od neovlaštenog pristupa" i da "802.11b sigurnosne funkcije samo troše resurse bez pružanja stvarne sigurnosti zauzvrat." Dakle, onemogućava sve sigurnosne funkcije 802.11b i umjesto toga koristi vlastiti bežični zaštitni zid, Wireless Firewall Gateway (WFG). WFG je ruter koji se nalazi između bežične i ostatka mreže, tako da sav mrežni promet do i od bežičnih uređaja (uključujući pristup internetu) mora ići kroz gateway.

Kao dodatna prednost, ovaj sigurnosni metod svodi administrativni otisak svakog paketa na minimum, budući da ne sadrži autentifikaciju ili šifriranje. Ovo smanjuje broj bitova u svakom paketu, što povećava efektivnu brzinu prenosa podataka mreže.

Drugi operateri bežičnih mreža koriste VPN-ove za kontrolu pristupa preko svojih bežičnih pristupnika. VPN dodaje još jedan sloj sigurnosti od točke do točke IP sloju (umjesto fizičkog sloja gdje se šifriranje događa u 802.11b) prije nego što korisnik može surfati mrežom.

Sigurnost mreže neophodna je u dva slučaja – administrator mreže ne želi da dozvoli neovlašćenim korisnicima da uđu u njihovu mrežu, a pojedinačni korisnici ne žele da bilo ko dobije pristup njihovim ličnim fajlovima. Kada se prijavite na dijeljenu mrežu, morate poduzeti neke mjere opreza da se vaši fajlovi ne čitaju preko mreže.

Za onemogućavanje Dijeljenje datoteka(Pristup fajlu) Prije povezivanja na dijeljenu mrežu, koristite sljedeću proceduru u Windows 95, Windows 98 i Windows ME:

1. B Kontrolna tabla(Kontrolna tabla) otvara dijaloški okvir Mreža(Net).

2. Odaberite Dijeljenje datoteka i štampača(Pristup datotekama i štampačima).

3. U dijalogu Fi le i dijeljenje štampača onemogućite funkciju Želim drugima dati pristup mojim datotekama(Dajte drugima pristup mojim fajlovima).

Windows 2000 i Windows XP nemaju centralno mjesto za onemogućavanje pristupa datotekama, tako da morate onemogućiti svaki pristup pojedinačno.

1. Otvorite prozor Moj kompjuter(Moj kompjuter).

2. Ikone za sve vaše dostupne diskove i foldere imaju ikonu ruke. Da onemogućite pristup, kliknite desnim tasterom miša na ikonu i izaberite Dijeljenje i sigurnost(Pristup i sigurnost) u meniju.

3. Onemogućite funkciju Podijelite ovu mapu na mreži(Otvoreni pristup ovoj fascikli preko mreže).

4. Kliknite na dugme uredu(Da) da zatvorite dijaloški okvir.

5. Ponovite postupak za svaku dostupnu fasciklu ili datoteku. Ne zaboravite folder Zajednički dokumenti(Opća dokumenta).

Kada se vratite na svoju kancelarijsku ili kućnu mrežu, morate obrnuti proceduru da biste povratili pristup svojim datotekama.

Drugi problem je opasnost da špijun prati podatke poslane preko radio komunikacija i krade povjerljive informacije u hodu. Ovo nije tako uobičajeno kao da špijun pristupi mreži i čita datoteke, ali je moguće. Šifriranje i drugi sigurnosni alati mogu otežati dekodiranje podataka, ali najbolje je da se prema Wi-Fi mreži ponašate kao prema mobitelu: nikada ne šaljite poruku ili datoteku koja sadrži osjetljive informacije.

802.11b Sigurnosni alati

Sigurnosni alati u specifikacijama 802.11b nisu savršeni, ali su bolji nego ništa. Čak i ako odlučite da ih ne koristite, važno je razumjeti šta su i kako rade prije nego što ih isključite.

Naziv mreže (SSID)

Kao što je objašnjeno u poglavlju 1, svaka bežična mreža ima ime. Na mreži sa samo jednom pristupnom tačkom, naziv je Basic Service Set ID (BSSID). Kada mreža sadrži više od jedne pristupne tačke, ime postaje ID proširenog skupa usluga (ESSID). Standardna oznaka za sve nazive mreže je SSID - termin koji ćete najčešće vidjeti u konfiguracijskim uslužnim programima za bežične pristupne točke i klijente.

Kada konfigurišete pristupne tačke za mrežu, morate joj dodeliti SSID. Svaka pristupna tačka i mrežni klijent na mreži moraju koristiti isti SSID. Na Windows računarima, SSID bežičnog adaptera takođe mora biti ime radne grupe.

Kada se otkriju dvije ili više pristupnih tačaka sa istim SSID-om, korisnik pretpostavlja da su sve dio iste mreže (čak i ako pristupne točke rade na različitim radio kanalima) i kontaktira pristupnu tačku koja daje najjači ili najjasniji signal. Ako se zbog smetnji ili slabljenja ovaj signal pogorša, klijent će pokušati premjestiti na drugu pristupnu tačku za koju vjeruje da pripada istoj mreži.

Ako dvije različite mreže sa preklapanjem signala imaju isto ime, klijent će pretpostaviti da su obje dio iste mreže i može pokušati prijeći. Sa stanovišta korisnika, takav pogrešan prijelaz izgleda kao potpuni prekid mrežne veze. Stoga, svaka bežična mreža koja se može preklapati s drugom mora imati jedinstveni SSID.

Izuzetak od jedinstvenog SSID pravila su javne i grupne mreže, koje pružaju pristup samo Internetu, a ne drugim računarima ili uređajima na lokalnoj mreži. Takve mreže često dijele zajednički SSID tako da pretplatnici mogu otkriti i povezati se s njima s više lokacija.

Neke pristupne tačke, uključujući Appleovu AirPort baznu stanicu i slične Orinoco sisteme, imaju funkciju koja vam omogućava da birate između "otvorenog" i "zatvorenog" pristupa. Kada je pristupna tačka konfigurisana za javni pristup, ona prihvata veze od klijenta čiji je SSID postavljen na Bilo koji(Bilo koji), isto kao i kod uređaja konfiguriranih za komunikaciju koristeći vlastiti SSID pristupne točke. Kada je pristupna tačka postavljena na privatnu (Apple je naziva "skrivenom mrežom"), ona prihvata samo veze čiji SSID odgovara njegovom SSID-u. Ovo je dobar način da zaštitite svoju mrežu od autsajdera, ali funkcionira samo ako svaki čvor na mreži koristi adapter iz Orinoca (Apple AirPort kartica je vlasnička verzija Orinoco adaptera). Ako adapter bilo kojeg drugog proizvođača pokuša da se poveže sa zatvorenom pristupnom tačkom, ignoriše ga, čak i ako se SSID podudara.

Mrežni SSID pruža vrlo ograničen oblik kontrole pristupa jer morate navesti SSID prilikom postavljanja bežične veze. Funkcija SSID pristupne tačke je uvek tekstualno polje koje prihvata bilo koje ime koje želite da mu date. Međutim, mnogi programi za konfiguraciju mreže (uključujući alate za bežično umrežavanje u Windows XP-u i one koji dolaze s nekim glavnim markama mrežnih adaptera) automatski otkrivaju i prikazuju SSID svake aktivne mreže unutar njihovog opsega signala. Stoga nije uvijek potrebno znati SSID mreže prije povezivanja. Ponekad će vam uslužni program za konfiguraciju (mrežni monitor ili program za skeniranje sličan Network Stumbler) pokazati nazive svake obližnje mreže na listi ili u meniju.

Kao primjer na sl. Slika 14.1 prikazuje rezultat Network Stumbler skenera na aerodromu Seattle-Tacoma, gdje WayPort opslužuje putnički terminal, a MobileStar pruža pokrivenost u VIP klubu American Airlines. (MobileStar je postao dio druge usluge ubrzo nakon što sam napravio ovaj plan, tako da su se nazivi mreža promijenili, ali usluga je ostala ista).

Svaka pristupna tačka dolazi sa podrazumevanom postavkom SSID-a. Ove podrazumevane postavke su dobro poznate i objavljene u zajednicama njuškanja (pogledajte, na primer, http://www.wi2600.org/mediawhore/nf0/wireless/ssid_defaults). Očigledno, podrazumevane postavke ne bi trebalo da se koriste ni na jednoj mreži.

Rice. 14.1

Mnoge pristupne tačke dolaze sa funkcijom skrivanja SSID-a, koja se često naziva Skrivena mreža ili Skrivena mreža. Ova funkcija pomaže u sprečavanju nekih špijuna da otkriju ime vaše mreže, ali kad god se novi klijent poveže na njega ili postojeći klijent primi slab signal, SSID se emituje i program poput Kismeta ga detektuje. Skrivanje SSID-a može usporiti povremenog gosta, ali ne pruža nikakvu pravu sigurnost.

WEP enkripcija

WEP enkripcija je karakteristika svakog 802.11b sistema, pa je važno znati kako funkcionira, čak i ako odlučite da je ne koristite. Kao što mu ime govori, prvobitna svrha Wired Equivalent Privacy (WEP) bila je da pruži nivo sigurnosti za bežične mreže uporediv sa onim u žičanoj mreži. Ali postoji vrlo česta tvrdnja da je mreža zasnovana na WEP enkripciji gotovo jednako ranjiva na upad kao i mreža bez apsolutno nikakve sigurnosti. Štitiće od povremenog špijuna, ali neće biti posebno efikasan protiv upornih provalnika.

WEP obavlja tri funkcije: sprječava neovlašteni pristup mreži, provjerava integritet svakog paketa i štiti podatke od zlonamjernika. Za šifriranje paketa podataka, WEP koristi tajni ključ za šifriranje prije nego što ga mrežni klijent ili pristupna točka prenesu, a koristi isti ključ za dekodiranje podataka nakon što ih primi.

Kada klijent pokuša komunicirati s mrežom koristeći drugi ključ, rezultat je iskrivljen i zanemaren. Stoga, WEP postavke moraju biti potpuno iste na svakoj pristupnoj tački i klijentskom adapteru na mreži. Ovo zvuči dovoljno jednostavno, ali postaje zbunjujuće jer dobavljači koriste različite metode za određivanje veličine i formata WEP ključa. Funkcije su konzistentne od marke do marke, ali iste postavke nemaju uvijek iste oznake.

Koliko bitova ima vaš WEP ključ?

Prvo, WEP ključ može biti 64 ili 128 bita. 128-bitne ključeve je teže razbiti, ali oni također povećavaju količinu vremena potrebnog za prijenos svakog paketa.

Do zabune između implementacija različitih proizvođača dolazi zato što je 40-bitni WEP isti kao 64-bitni WEP ključ, a 104-bitni ključ je isti kao 128-bitni ključ. Standardni 64-bitni WEP ključ je niz koji sadrži interno generirani 24-bitni inicijalizacijski vektor i 40-bitni tajni ključ koji je dodijelio administrator mreže. Specifikacije i konfiguracijski programi nekih proizvođača to zovu "64-bitna enkripcija", a drugi je zovu "40-bitna enkripcija". U oba slučaja, shema šifriranja ostaje ista, tako da je adapter koji koristi 40-bitnu enkripciju u potpunosti kompatibilan s pristupnom točkom ili adapterom koji koristi 64-bitnu enkripciju.

Mnogi mrežni adapteri i pristupne tačke takođe sadrže funkciju "jake enkripcije" koja koristi 128-bitni ključ (koji je zapravo 104-bitni tajni ključ sa 24-bitnim vektorom inicijalizacije).

Jaka enkripcija je jednosmjerna kompatibilna sa 64-bitnom enkripcijom, ali nije automatska, tako da će sve komponente mješovite mreže uređaja sa 128-bitnim i 64-bitnim ključem raditi sa 64-bitnom enkripcijom. Ako pristupna tačka i svi adapteri podržavaju 128-bitnu enkripciju, koristite 128-bitni ključ. Ali ako želite da vaša mreža bude kompatibilna s adapterima i pristupnim točkama koje prepoznaju samo 64-bitnu enkripciju, konfigurirajte cijelu mrežu da koristi 64-bitne ključeve.

ASCII ili heksadecimalni ključ?

Ali sama dužina ključa je zbunjujuća prilikom postavljanja WEP enkripcije. Neki programi zahtijevaju ključ kao niz tekstualnih znakova, dok ga drugi zahtijevaju kao heksadecimalni broj. Drugi mogu generirati ključ iz opcione pristupne fraze.

Svaki ASCII znak se sastoji od 8 bitova, tako da 40-bitni (ili 64-bitni) WEP ključ sadrži 5 znakova, a 104-bitni (ili 128-bitni) ključ se sastoji od 13 znakova. U heksadecimalnom, svaki broj se sastoji od 4 bita, tako da 40-bitni ključ sadrži 10 heksadecimalnih znakova, a 128-bitni ključ ima 26 znakova.

Na sl. Na slici 14.2, koja prikazuje prozor Wireless Setting za D-Link pristupnu tačku, 40-bitno polje Shared Key Security koristi heksadecimalne znakove i ima prostor za deset znakova. Program D-Link sadrži svih deset znakova u jednom redu, ali neki drugi ih dijele u pet grupa po dva broja ili u dvije grupe od pet brojeva.

Rice. 14.2

Za računar, ključ izgleda isto u svakom slučaju, ali je lakše kopirati niz kada je podijeljen na dijelove.

Mnogi klijentski uslužni programi, kao što je dijaloški okvir Svojstva bežične mreže u Windows XP-u (prikazan na slici 14.3), nude izbor između heksadecimalnog koda ili teksta, tako da možete koristiti odgovarajući format za pristupnu tačku.

Pristupna fraza je tekstualni niz koji adapteri i pristupne tačke automatski pretvaraju u niz heksadecimalnih znakova. Budući da ljudi općenito lakše pamte smislene riječi ili fraze nego heksadecimalni gobbledygook, pristupnu frazu je lakše prenijeti nego heksadecimalni niz. Međutim, pristupna fraza je korisna samo kada su svi adapteri i pristupne tačke na mreži napravljeni od istog proizvođača.

Rice. 14.3

Koje karakteristike su prisutne?

Slično gotovo svim postavkama u uslužnom programu za konfiguraciju 802.11b, nazivi WEP funkcija nisu konstantni od jednog programa do drugog.

Neki koriste otvoreni skup funkcija kao što je „omogući WEP enkripciju“, dok drugi koriste tehničku terminologiju preuzetu iz zvanične 802.11 specifikacije. Autentifikacija otvorenog sistema je druga varijanta naziva "WEP enkripcija onemogućena".

Neke pristupne tačke takođe pružaju opcionu funkciju provjere autentičnosti javnog ključa koja koristi WEP enkripciju, gdje mrežni klijent ima ključ, ali se nešifrirani podaci prihvataju sa drugih mrežnih čvorova.

Kombinacija heksadecimalnih i tekstualnih ključeva

Postavljanje mješovite mreže postaje komplikovanije kada neki mrežni čvorovi koriste samo heksadecimalne ključeve dok drugi zahtijevaju tekstualne ključeve. Ako se ova situacija dogodi na vašoj mreži, morate slijediti pravila u nastavku da biste ih konfigurirali s WEP-om:

Pretvorite sve tekstualne tipke u heksadecimalne. Ako konfiguracijski program zahtijeva tekstualni ključ, unesite znakove Oh(nula praćena malim slovom x) prije heksadecimalnog niza. Ako koristite Appleov AirPort softver, umjesto Oh Na početku hesadecimalnog ključa morate unijeti simbol dolara ( $ );

Provjerite da li svi vaši ključevi za šifriranje imaju ispravan broj znakova;

Ako stvari i dalje ne funkcionišu, pročitajte bezbednosne odeljke u priručnicima za vaše mrežne adaptere i pristupne tačke. Moguće je da jedan ili više ovih uređaja na mreži ima neku skrivenu crtu ličnosti koje niste svjesni.

Promjena WEP ključeva

Mnoge pristupne tačke i mrežni klijentski adapteri mogu podržati do četiri različita 64-bitna WEP ključa, ali samo jedan je aktivan istovremeno, kao što je prikazano na slici 1. 14.4. Ostali ključevi su rezervni ključevi, koji mogu omogućiti mrežnom administratoru da podesi sigurnost mreže u kratkom roku. Adapteri i pristupne tačke koje podržavaju 128-bitnu enkripciju koriste samo jedan 128-bitni WEP ključ istovremeno.

Rice. 14.4

Na mreži u kojoj je WEP enkripcija ozbiljno organizirana. WEP ključevi se moraju redovno mijenjati, prema rasporedu. Za mrežu koja ne prenosi bitne podatke dovoljno je mjesec dana, ali za ozbiljniju mrežu se jednom do dva puta sedmično mora instalirati novi ključ. Ne zaboravite da zapišete svoje trenutne WEP ključeve na sigurno mjesto.

U kućnoj ili maloj kancelarijskoj mreži, najvjerovatnije ćete sami promijeniti sve WEP ključeve. U suprotnom, mrežni administrator ili stručnjak za sigurnost bi trebao distribuirati nove WEP ključeve na papiru, u dopisu, a ne putem e-pošte. Za dodatni nivo sigurnosti na mrežama koje koriste 64-bitnu enkripciju, uputite svoje korisnike da mijenjaju dva ključa istovremeno (nije trenutno zadano). Pošaljite poseban podsjetnik koji obavještava korisnike koji je ključ postao novi zadani i kada bi se trebao promijeniti.

Tipična sedmična instrukcija može izgledati ovako:

Unesite sljedeće nove 64-bitne WEP ključeve:

Taster 1: XX XX XX XX XX

Taster 4: YY YV YY YY YY

Još jedna napomena sedmicu kasnije će dati kodove za ključ 2 i ključ 3.

U posebnoj napomeni može stajati: „Naša mreža će se prebaciti na tipku 3 u utorak u ponoć. Molimo promijenite zadani ključ vašeg mrežnog adaptera." Da biste promijenili, odaberite vrijeme kada najmanji broj korisnika koristi bežičnu mrežu, budući da će svaka aktivna veza na pristupnoj tački u trenutku promjene ključeva biti prekinuta i neće se moći vratiti dok se ne promijene ključevi na klijentskom adapteru. Korisnici mogu unaprijed unijeti nove ključeve kao alternativu trenutnom aktivnom ključu i promijeniti ih s nekoliko klikova kada novi ključ stupi na snagu.

Da li je WEP zaštita dovoljna?

Nekoliko kompjuterskih naučnika objavilo je izvještaje o WEP enkripciji, zalažući se protiv njegove upotrebe za zaštitu osjetljivih podataka. Svi oni ukazuju na ozbiljne nedostatke u teoriji i praksi kriptografije koja se koristi u sastavu algoritama WEP enkripcije. Ovi stručnjaci su jednoglasni u svojoj preporuci: Svako ko koristi 802.11 bežičnu mrežu ne bi se trebao oslanjati na WEP iz sigurnosnih razloga. Morate koristiti druge metode da zaštitite svoje mreže.

Tim sa Univerziteta Kalifornije, Berkli, pronašao je brojne nedostatke u WEP algoritmu koji ga čine ranjivim na najmanje četiri različite vrste napada:

Pasivni napadi koji koriste statističku analizu za dekodiranje podataka;

Aktivni napadi sa stvaranjem šifrovanih paketa koji prisiljavaju pristupnu tačku da prihvati lažne komande;

Napadi analiziranjem šifriranih paketa kako bi se stvorio rječnik, koji se zatim može koristiti za automatsko dekodiranje podataka u realnom vremenu;

Napadi koji modificiraju zaglavlja paketa kako bi preusmjerili podatke na odredište koje kontrolira napadač.

Berklijev izvještaj završava nedvosmislenom izjavom: „WEP sigurnost nije ekvivalentna žičanoj sigurnosti. Problemi s protokolom rezultat su nerazumijevanja nekih osnova kriptografije i stoga nesigurne upotrebe metoda šifriranja."

Istraživači sa Univerziteta Rice i AT&T Labs objavili su vlastite opise svojih napada na WEP šifrovane mreže (http://www.cs.rice.edu/~astubble/wep), što ih je dovelo do sličnog zaključka: „WEP u 802.11 potpuno nesigurno." Bili su u mogućnosti da naruče i dobiju potrebnu opremu, postave probni sto, razviju svoj alat za napad i uspješno dobiju 128-bitni WEP ključ za manje od tjedan dana.

Oba izvještaja Berkeley i AT&T Labs pišu tehnički stručnjaci, za tehničke stručnjake, i analiziraju kriptografiju. Njihovi argumenti su razumljivi, ali njihove metode pretpostavljaju da zlonamjernik ima neko ozbiljno tehničko znanje. Međutim, alati za manje sofisticirane razbijače kodova mogu se naći jednako lako. I AirSnort (http://airsnort.shmoo.com) i WEPCrack() su Linux programi koji prate signale bežične mreže i iskorištavaju slabosti u WEP algoritmu da bi dobili ključ za šifriranje.

Programeri AirSnort-a tvrde da njihov program može uspješno hakovati većinu mreža u roku od dvije sedmice. Ova tehnologija prati mrežne signale bez utjecaja na njih, tako da administrator mreže ne može otkriti prisustvo napada. Program se objavljuje kako bi se problem pogoršao. Ako je WEP enkripciju lako razbiti, grupe za standarde su prisiljene ili da pronađu način da je učine sigurnijom ili da je zamijene opcijom koja je teže razbiti.

Da sumiramo: neka bude jednostavno i šifrirajte svoje mrežne podatke.

Šifrovani podaci su sigurniji od prenosa otvorenog teksta, a za razbijanje WEP ključa je potrebno vreme, tako da WEP dodaje još jedan (verovatno slab) sloj bezbednosti, posebno ako često menjate ključeve. WEP enkripcija ne može učiniti mnogo da vas zaštiti od ozbiljnih neprijatelja, ali će vas zaštititi od slučajnih zlobnika. Mnogo je lakše provaliti u mrežu koja ne koristi enkripciju (što većina radi), tako da će haker koji otkrije šifrirani signal vjerovatno prijeći na metu sa manje sigurnosti.

Pomoć je na putu

Očigledno je da je sigurnosni dizajn s rupama dovoljno velikim da kroz njih prođe gigantski digitalni kamion gotovo jednako loš kao bez sigurnosti. Uspješni napadi na WEP enkripciju i lako dostupni alati za iskorištavanje nedostataka sigurnosnih protokola uzrokuju da članovi Wi-Fi Alijanse ozbiljno razmisle o podršci njihove licence kao de facto standarda za bežično umrežavanje. Oni koriste riječi poput „kriza“ da opišu pažnju koja se posvećuje ovim pitanjima.

Žele pronaći rješenje prije nego što ozloglašenost sigurnosnih propusta nadmaši potražnju za bežičnom Ethernet opremom koju su pažljivo kreirali i reklamirali.

Novi standardi koji će riješiti ovaj problem će se zvati 802.11i.IEEE. Odbor za standarde 802.11 počeo je raspravljati o problemu nekoliko mjeseci prije nego što je postao poznat javnosti. Komitet pod nazivom Task Group i (TGi) radi na novoj, poboljšanoj sigurnosnoj specifikaciji koja će (nadamo se) riješiti sve poznate slabosti standarda WEP enkripcije. Grupa obećava da će novi sigurnosni alati raditi automatski i da će biti kompatibilni sa starijom opremom koja ne koristi nove alate. Istraživačka grupa ima web stranicu na adresi http://grouper.ieee.Org/groups/802/11/Reports, gdje možete pronaći informacije o sastancima i pročitati neke od tehničkih radova.

Wi-Fi Alliance želi da njegovi članovi počnu koristiti TGi proizvod što je prije moguće. Ovo može smiriti situaciju prije nego što postane komercijalna katastrofa. Kada inženjeri prijave rješenje, svi proizvođači pristupnih tačaka i mrežnih adaptera će integrirati nove sigurnosne metode u svoje proizvode, a Alijansa će ih dodati u testni paket za Wi-Fi certifikaciju. Ažurirani softver i firmver će osigurati kompatibilnost postojećih 802.11b proizvoda sa novim 802.11i protokolima.

Kontrole pristupa

Većina pristupnih tačaka ima funkciju koja omogućava administratoru mreže da ograniči pristup klijentskim adapterima sa određene liste. Ako mrežni uređaj čija MAC adresa nije na listi ovlaštenih korisnika pokuša se povezati, pristupna tačka ignorira zahtjev za povezivanje s mrežom. Ova metoda može biti efikasna u sprječavanju nepoznatih ljudi da se povežu na bežičnu mrežu, ali primorava mrežnog administratora da vodi potpunu listu korisničkih adaptera i njihovih MAC adresa. Svaki put kada se novi korisnik želi povezati na mrežu i svaki put kada legitimni korisnik promijeni adaptere, neko mora dodati drugu MAC adresu na listu. Ovo je izvodljivo u kućnoj ili maloj kancelarijskoj mreži, ali može biti veliki problem za veliko preduzeće ili sistem kampusa.

Svaki uslužni program za konfiguraciju pristupne tačke koristi drugačiji format za pristupne liste. Priručnik i on-line dokumentacija koja se isporučuje uz vašu pristupnu tačku treba da pruži detaljna uputstva o tome kako da kreirate i koristite listu za kontrolu pristupa. Standard 802.11b ne definiše maksimalnu ACL veličinu za pristupnu tačku, tako da su brojevi raspoređeni po kartici. Neke pristupne tačke ograničavaju listu na nekoliko desetina parametara. Drugi, kao što je Proxim Harmony AP kontroler, podržavaće do 10.000 pojedinačnih adresa. Ostali dozvoljavaju neograničen broj. Ako planirate da koristite listu adresa za kontrolu pristupa vašoj mreži, uverite se da će pristupna tačka upravljati listom dovoljno velikom da podrži sve korisnike sa dovoljno prostora za budućnost. Opće pravilo je da pristupna tačka mora dozvoliti najmanje dvostruko veći broj MAC adresa u odnosu na trenutni broj korisnika na vašoj mreži.

MAC autentifikacija ne može zaštititi od svih upada, jer je promjena MAC adrese trivijalna na većini mrežnih kartica: sve što napadač treba da uradi je da prati vaš mrežni promet dovoljno dugo da pronađe važećeg korisnika i kopira njegovu MAC adresu.

Međutim, ovo može biti vrlo efikasan način da usporite povremenog špijuna.

Autentifikacija: 802.1x standard

Zbog sigurnosnih rupa u specifikaciji WEP enkripcije, mnogi proizvođači bežične mrežne opreme i programeri softvera već su prilagodili novi IEEE standard - 802.1x - kako bi dodali još jedan sloj sigurnosti svojim mrežama. Standard 802.1x definira okvir koji može podržati nekoliko različitih oblika provjere autentičnosti, uključujući certifikate, pametne kartice i jednokratne lozinke, od kojih svi pružaju veću sigurnost od kontrola pristupa integriranih u 802.11.

U 802.11 bežičnim mrežama, tehnologija nazvana Robust Security Network je izgrađena na vrhu 802.1x okvira kako bi se ograničio pristup mreži ovlaštenim uređajima.

Većina krajnjih korisnika bi trebala znati dvije stvari o 802.1x: prvo, integriran je u neki (ali ne u sav) 802.11b hardver i softver, uključujući uslužni program za bežičnu konfiguraciju koji dolazi uz Windows XP i mnoge moderne pristupne točke, tako da može pružiti drugu potencijalni nivo zaštite; i drugo, još uvijek ima ozbiljne nedostatke koje vješt mrežni haker može iskoristiti za infiltriranje u bežičnu mrežu. Gadni tehnički detalji, koje su analizirala dva istraživača sa Univerziteta Merilend, dostupni su na mreži na http://www.cs.umd.edu/~waa/1x.pdf.

Čini se da se pojavio orijentir, zar ne? Inženjeri iz zainteresovanih hardverskih i softverskih kompanija udružuju se pod zastavom istraživačke grupe

sta da radim? Da li je sigurna bežična mreža nedostižan ideal? Ako na bežičnu sigurnost gledate kao na igru ​​mačke i miša, prilično je jasno da su miševi (špijuni i mrežni krekeri) pobjednici. Ali ovi miševi zahtijevaju napredno znanje i hardver za prevazilaženje postojećih alata za šifriranje i autentifikaciju.

Razmišljajte o tome kao o ulaznim vratima vašeg doma: ako ih ostavite širom otvorena, svako može ući i ukrasti vaše stvari, ali ako zaključate vrata i zaključate prozore, provalniku će biti mnogo teže ući unutra . Specijalist može otvoriti bravu, ali to će oduzeti puno vremena i truda.

Zaštitni zidovi

Ako prihvatite da WEP enkripcija i 802.1x ne pružaju adekvatnu bežičnu sigurnost, sljedeći logičan korak je pronaći drugi način da spriječite autsajdere da pristupe vašoj mreži. Treba vam zaštitni zid.

Vatrozid je proxy server koji filtrira sve podatke koji prolaze kroz njega na ili sa mreže, ovisno o skupu pravila koje postavlja administrator mreže. Na primjer, zaštitni zid može filtrirati podatke iz nepoznatog izvora ili datoteke povezane s određenim izvorom (virusi). Ili može dozvoliti sve podatke koji se šalju s lokalne mreže na Internet, ali samo određene vrste podataka s Interneta. Najčešća upotreba mrežnog zaštitnog zida je kao gateway za Internet, kao što je prikazano na slici. 14.5. Firewall prati sve podatke koji dolaze i odlaze između lokalne mreže s jedne strane i Interneta s druge strane. Ovaj tip zaštitnog zida je dizajniran da zaštiti računare na mreži od neovlašćenog pristupa sa Interneta.

Rice. 14.5

U bežičnoj mreži, zaštitni zid može biti lociran i na gateway-u između bežičnih pristupnih tačaka i žičane mreže. Takav zaštitni zid izoluje bežični dio mreže od žičane mreže, tako da zlobnici koji povezuju svoje računare na mrežu bez dozvole ne mogu koristiti bežičnu vezu za pristup Internetu ili ožičenom dijelu mreže. Na sl. Slika 14.6 prikazuje lokaciju zaštitnog zida na bežičnoj mreži.

Rice. 14.6

Ne dajte šansu napadačima bežične mreže

Većina ljudi koji pokušavaju da se pridruže bežičnoj mreži ne brinu o drugim računarima; zainteresovani su za besplatan pristup Internetu velike brzine. Ako ne mogu koristiti vašu mrežu za preuzimanje datoteka ili povezivanje sa svojim omiljenim web stranicama, vjerovatno će pokušati pronaći neku drugu nezaštićenu bežičnu tačku. To ne znači da biste trebali čuvati osjetljive podatke u dostupnim datotekama na nesigurnim računarima, ali ako možete ograničiti ili zabraniti pristup Internetu, učinit ćete svoju mrežu mnogo manje privlačnom za klevetnike. Vatrozid na bežičnoj mreži može obavljati nekoliko funkcija: djeluje kao usmjerivač između bežične i žičane mreže ili kao most između mreže i interneta, blokirajući sav promet s bežične na ožičenu stranu koji ne potiče od autentificiranog korisnik. Ali to ne ometa komande, poruke ili prijenose datoteka od strane pouzdanih korisnika.

Budući da su i ovlašteni korisnici i autsajderi na nezaštićenoj strani zaštitnog zida, ovo ne izoluje bežične čvorove jedan od drugog. Napadač i dalje može pristupiti drugom računaru na istoj bežičnoj mreži i čitati dostupne datoteke, pa ga je bolje onemogućiti Dijeljenje datoteka(Pristup datotekama) na bilo kojem računaru povezanom na bežičnu mrežu.

Bežični zaštitni zid mora koristiti neku vrstu provjere autentičnosti kako bi omogućio ovlaštenim korisnicima prolaz kroz gateway i filtrirao sve ostale. Ako je kontrola pristupa zasnovana na MAC adresi ugrađena u 802.11b sisteme, a dodatna autentikacija u 802.1x nije prihvatljiva, tada bi vanjski zaštitni zid trebao zahtijevati od svakog korisnika da unese prijavu i lozinku prije povezivanja na Internet.

Ako vaša bežična mreža sadrži računare koji koriste više operativnih sistema, zaštitni zid mora koristiti prijavu koja radi na bilo kojoj platformi. Najlakši način da to postignete je da koristite server za autentifikaciju zasnovan na Webu, kao što je onaj koji je uključen uz Apache Web server (http://httpd.apache.org).

NASA koristi Apache na namjenskom serveru za kreiranje web stranice koja obavještava korisnike kada unesu ime naloga i lozinku.

Server koristi Perl/CGI skriptu da uporedi prijavu i lozinku sa bazom podataka. Ako su ispravni, on daje instrukcije serveru da prihvati komande i podatke sa IP adrese korisnika. Ako u bazi podataka nema podataka za prijavu ili je lozinka netačna, Apache server prikazuje web stranicu „Nevažeće korisničko ime i lozinka“.

Apache web server je dostupan kao Unix aplikacija koja radi na starom, sporom računaru sa ranim Pentium-om ili čak 486 CPU-om, tako da je često moguće ponovo koristiti stari računar koji se više ne koristi u svakodnevnom radu da se koristi kao zaštitni zid . I Apache aplikacija i Unix operativni sistem dostupni su kao softver otvorenog koda, tako da bi trebalo biti moguće izgraditi zaštitni zid baziran na Apacheu po izuzetno niskoj cijeni.

Ako više volite koristiti Windows umjesto Unixa, imate nekoliko opcija. Možete koristiti Windows NT/2000 verziju Apache-a ili komercijalni uslužni program kao što je Wireless Enforcer iz Sygate-a (http://www.sygate.com/prodacls/sse/sse_swe_securjty.htm) - Wireless Enforcer radi s drugim elementima Sygate-a Secure Enterprise Suite Sygate Security) za dodjelu i verifikaciju jedinstvenog otiska prsta svakom ovlaštenom korisniku. Ako autsajderi pokušaju da se povežu na pristupnu tačku bez potrebnog otiska prsta, mreža ih blokira.

Izolacija vaše mreže od interneta

Ne izvode se svi napadi na bežičnu mrežu putem zraka. Bežična mreža zahtijeva istu vrstu podrške za zaštitni zid protiv Internet napada kao i svaka druga mreža. Mnoge pristupne tačke sadrže konfigurabilnu funkcionalnost zaštitnog zida, ali ako vaša ne, vaša mreža mora sadržavati jedan ili više od sljedećih zaštitnih zidova:

Program zaštitnog zida na svakom računaru;

Zaseban ruter ili namjenski računar koji će djelovati kao mrežni zaštitni zid;

Integrisani sigurnosni paket, kao što je Sygate paket opisan u prethodnom odeljku.

Programi klijenta zaštitnog zida pružaju još jednu liniju odbrane od napada na vašu mrežu preko Interneta. Neki od njih dolaze od zlonamjernika koji traže način da pročitaju vaše datoteke i druge resurse koje želite sakriti od vanjskog svijeta. Drugi će možda želeti da koriste vaš računar kao distribucionu tačku za neželjenu poštu ili pokušaje infiltracije na računar negde drugde u svetu kako bi stvarni resurs bio teži za praćenje. Drugi distribuiraju viruse ili koriste neželjene programe koji preuzimaju kontrolu nad računarom i prikazuju zastrašujuće ili reklamne poruke. Osim toga, nezaštićena mašina sa puno neiskorištenog prostora za skladištenje može biti privlačna meta za hakere koji žele da distribuiraju piratski softver, muziku ili video fajlove (zar ne mislite da oni to sranje možda čuvaju na sopstvenim računarima?).

Ako postavite zaštitni zid koji vas obavještava kada vanjski računar pokuša da se poveže na vašu mrežu, vjerovatno ćete vidjeti nekoliko pokušaja upada svaki dan.

Pristupne tačke sa zaštitnim zidovima

Najjednostavnija opcija za korištenje bežičnog zaštitnog zida je korištenje onog ugrađenog u pristupnu tačku. Neki kombinuju funkcije bežične pristupne tačke sa širokopojasnim ruterom i Ethernet prekidačem, tako da podržavaju i žičane i bežične mrežne klijente.

Kao što znate, mrežni ruter obezbeđuje prevod između numeričke IP adrese koja definiše gateway lokalne mreže i internih IP adresa koje definišu pojedinačne računare unutar nje. Vatrozid obično blokira sve dolazne zahtjeve za podacima lokalnim mrežnim domaćinima, ali to stvara probleme kada želite da koristite jedan ili više računara na lokalnoj mreži kao servere datoteka. Da bi riješio ovaj problem, zaštitni zid uključuje virtuelni server koji preusmjerava zahtjeve određenog tipa na odgovarajući računar unutar mreže.

Svaki zahtjev za povezivanje sa serverom sadrži određeni broj porta koji određuje tip servera. Na primjer, Web serveri koriste port 80, a FTP koristi port 21, tako da su ovi brojevi portova dio zahtjeva za pristup. Kada prihvatate zahtjeve za pristup serveru, morate omogućiti funkciju prevođenja mrežnih adresa (NAT) u zaštitnom zidu da biste te zahtjeve usmjerili na određeni računar unutar lokalne mreže. Na sl. 14.7 virtuelni server je konfigurisan da koristi računar sa lokalnom IP adresom 192.168.0.177 kao Web server i 192.168.0.164 kao FTP server datoteka. U tabeli Tabela 14.1 prikazuje najčešće brojeve servisnih portova.

Table 14.1 Uobičajeni brojevi TCP/IP servisnih portova

Postoje stotine drugih brojeva portova koji se koriste na različitim mrežama, ali većinu njih nikada nećete vidjeti u stvarnoj upotrebi. Zvanična lista dodijeljenih portova je na http://www.iana.org/assignments/port-numbers.

Rice. 14.7

NAT prevod pretpostavlja da IP adrese svakog virtuelnog servera ne bi trebalo da se menjaju od jednog zahteva do drugog. Web server sa trenutnim brojem 192.168.0.23 ne bi trebalo da se prebaci na 192.168.0.47 za nedelju dana. To obično nije problem na žičanoj mreži, već na bežičnoj, gdje se mrežni klijenti povezuju i odlaze neprekidno. DHCP server automatski dodjeljuje sljedeći dostupni broj svakom novom klijentu. Ako je jedan od ovih korisnika lokacija jednog od portova mrežnih usluga, NAT ga možda neće otkriti. Ovaj problem nije čest, jer većina mreža ne koristi laptope kao servere, ali se ponekad dešava. Rješenje je ili onemogućiti DHCP server i dodijeliti stalnu IP adresu svakom klijentu ili premjestiti servisni port na računalo koje ima žičanu vezu s mrežom.

Firewall Software

Vatrozid bežičnog pristupnika na sučelju između pristupne točke i žičanog dijela vašeg LAN-a spriječit će osobe izvana da koriste mrežu za pristup Internetu, a zaštitni zid internetske veze će odbiti pokušaje povezivanja na mrežu s Interneta, ali drugi oblik sigurnost je potrebna za bežičnu mrežu. Ako neko pristupa vašoj bežičnoj mreži bez dozvole, poželećete da je oslobodite druge legitimne računare na istoj mreži. To znači da vam je potreban program klijentskog zaštitnog zida za svaki mrežni čvor.

Zaštitni zid klijenta obavlja iste funkcije na mrežnom interfejsu računara koje mrežni ili korporativni zaštitni zid obavlja za cijelu mrežu. On detektuje pokušaje povezivanja na TCP portovima i ignoriše ih ako se ne podudaraju sa jednom ili više postavki konfiguracije programa zaštitnog zida.

Neki zaštitni zidovi su dostupni kao probna verzija, dok su drugi besplatni za nekomercijalne korisnike, tako da ih lako možete isprobati na vlastitom sistemu i vidjeti koji vam se najviše sviđa.

Ispod su neki programi za Windows:

Korisnici Unixa i Linuxa također imaju mnoge funkcije zaštitnog zida. Većina njih je napisana za upotrebu na samostalnim računarima sa zaštitnim zidom, koji se široko koriste kao mrežni gateway-i, ali mogu jednako djelovati i kao zaštita za individualne mrežne klijente.

U Linuxu, firewall je dio kernela, korisnik radi s njim preko konzolnih uslužnih programa - bilo ipchains ili iptables. Oba su dokumentirana na http:// linuxdoc.org/HOWTO/IPCHAINS-HOWVTO.html i http:// www.netfilter.org/unreliable-guides/packet-filtering-HOWTO. IP Filter je softverski paket koji pruža usluge zaštitnog zida za FreeBSD i NetBSD sisteme. Zvanična web stranica IP filtera nalazi se na http://coombs.anu.edu.au/-avalon, a http://www.obfuscation.org/ipf/ipf-howto.txt ima odličan dokument o njegovoj upotrebi. Program može odbiti ili dozvoliti bilo koji paket koji prolazi kroz zaštitni zid, kao i filtriranje po mrežnoj maski ili adresi hosta, implementirati ograničenja portova usluge i pružiti usluge NAT prevođenja.

NetBSD/i386 Firewall je još jedan besplatni Unix zaštitni zid.

Radi na bilo kom računaru sa 486 ili više CPU-a sa minimalno 8 MB memorije. Početna stranica projekta NetBSD/i386 Firewall je na http://www.dubbele.com.

PortSentry je alat za skeniranje portova koji se integrira u nekoliko široko korištenih verzija Linuxa, uključujući Red Hat, Caldera, Debian i Turbo Linux. Dostupan je za preuzimanje na http://www.psionic.com/products/portsentry.html.

Virtuelne privatne mreže

Izolirajući vezu između mrežnih čvorova od drugog mrežnog prometa, VPN može dodati još jedan sloj zaštite. VPN je šifrirani kanal za prijenos koji povezuje dvije krajnje tačke mreže kroz "tunel podataka". Mnogi stručnjaci za mrežnu sigurnost preporučuju VPN kao efikasan način zaštite bežične mreže od zlobnika i neovlaštenih korisnika. Više informacija o postavljanju i korištenju VPN-a možete pronaći u sljedećem poglavlju.

Fizička zaštita

Do sada smo govorili o sprečavanju elektronskih lopova da dobiju pristup vašoj mreži. Dovoljno je lako pristupiti mreži koristeći postojeći hardver koji još nije konfiguriran za to. Ovo je još lakše ako napadač ima kompjuter ukraden od ovlaštenog korisnika.

Gubitak laptopa nije prijatan. Još je gore dozvoliti lopovu da koristi ukradeni računar da bi ponovo pronašao mrežu. Kao mrežni operater, trebali biste podsjetiti svoje korisnike da su njihovi prijenosni uređaji privlačne mete za lopove i ponuditi nekoliko savjeta kako ih zaštititi. Kao korisnik, morate se pridržavati istih pravila.

Prvo pravilo je jednostavno - ne zaboravite da nosite kompjuter. Čini se očiglednim, ali taksisti u Londonu pronašli su otprilike 2.900 laptopa (i 62.000 mobilnih telefona!) ostavljenih u automobilima u periodu od šest mjeseci. Bezbroj drugih je napušteno u avionima, hotelskim sobama, prigradskim vozovima i konferencijskim salama. Ne oglašavajte da nosite računar. Najlonske torbe sa velikim logom "IBM" ili "COMPAQ" sa strane mogu izgledati moderno, ali nisu tako sigurne kao obična aktovka ili torba za kupovinu.

Uvijek nosite računar u rukama ili na ramenu kada nije zaključan u ormaru ili skladištu. Ometajte se na minut i iskusni lopov može to ukrasti. Aerodromski terminali, željezničke stanice i hotelski lobiji uobičajene su lokacije za krađu. Ne ostavljajte neobezbeđen personalni računar u kancelariji preko noći. Ne dozvolite da prođe kroz aerodromske skenere. Zamolite inspektora da ga lično pregleda ili se uvjerite da možete vratiti računar odmah nakon što završi kretanje po pokretnoj traci. Dvije osobe koje rade zajedno mogu vas lako zadržati i ukrasti vaš računar prije nego što ga dobijete. Ako neko pokuša da vam ukrade računar tokom pregleda prtljaga, napravite galamu i pozovite obezbeđenje u pomoć. Uverite se da vaši računari i pojedinačne komponente kao što su PC kartice imaju nalepnice o vlasništvu na unutrašnjoj i spoljašnjoj strani.

Sigurnosno praćenje kancelarijske imovine (http://www.stoptheft.com) nudi za snimanje, štampane cijanoakrilatne lepljive sigurnosne oznake koje zahtevaju 360 kg sile da bi se uklonile, sa trajnom hemijskom oznakom "Ukradena imovina" koja se pojavljuje ako neko... ili izbriše prečicu.

Ako možete uvjeriti svoje klijente da koriste uređaje za upozorenje na svojim računarima, to može povećati šanse da se vrate. Trackit (http://www.trackit-corp.co m) je uređaj za uzbunjivanje koji se sastoji od dva dijela koji koristi predajnik na kopču i minijaturni prijemnik koji se nalazi u kompjuterskoj torbi. Kada je predajnik udaljen više od 12 m od prijemnika, prijemnik emituje sirenu od 110 dB, što obično uzrokuje da lopov ispusti ukradenu torbu.

Na kraju, držite listu modela i serijskih brojeva odvojeno od samih uređaja. Ove informacije su vam potrebne za vaš zahtjev za osiguranje.

Kada otkrijete da je jedan od računara povezanih na vašu mrežu izgubljen ili ukraden, važno je zaštititi ostatak mreže. Ako je moguće, promijenite mrežni SSID, lozinku i WEP ključeve što je prije moguće. Ako vaša mreža koristi listu MAC adresa za kontrolu pristupa, uklonite MAC adresu ukradenog uređaja sa liste ovlaštenih veza.

Povezivanje vaše mreže sa svijetom

Ako koristite bežičnu mrežu za dijeljenje internetskog pristupa mreže u susjedstvu ili kampusa, ili želite omogućiti korisnicima i drugim posjetiteljima da se povežu na vašu bežičnu mrežu, ne biste trebali koristiti WEP ili druge sigurnosne alate da ograničite pristup poznatim korisnicima, ali ipak treba da obezbedite neke mere bezbednosti.

Vaša želja da ljudima omogućite direktnu vezu sa Internetom ne znači da želite da ih pustite da lutaju drugim računarima na vašoj mreži; želite da izolujete bežične pristupne tačke od ostatka vaše mreže.

Ako su svi lokalni domaćini na vašoj mreži ožičeni, najbolja praksa je da postavite zaštitni zid između bežične pristupne tačke i ožičenog LAN-a, omogućavajući pristupnoj tački (i računarima koji su na nju povezani putem bežičnih veza) da se povežu samo na Internet i ne na bilo koji od lokalnih hostova ožičenih mreža, kao što je prikazano na sl. 14.8.

Međutim, ako neki od vaših kućnih računara koriste bežične veze, morate ih zaštititi od pristupa drugih koji koriste zajednički dio vaše mreže. Postoji nekoliko načina za implementaciju ovog plana: na sl. Slika 14.9 prikazuje bežičnu mrežu sa softverskim zaštitnim zidom na svakom kućnom računaru, a sl. 14.10 - sistem koji koristi dvije odvojene bežične mreže sa različitim SSID-ovima povezanim na isti internet čvor. Opšte pravilo je da koristite jedan ili više zaštitnih zidova da izolujete javni deo vaše mreže od računara za koje ne želite da budu izloženi ostatku sveta.

Rice. 14.8

Rice. 14.9

Rice. 14.10

napomene:

Da biste centralno kontrolisali pristup datotekama u Windows XP i Windows 2000, kliknite desnim tasterom miša na kontekstni meni Moj kompjuter i odaberite Upravljaj. U desnom oknu izaberite obeleživač Shared Folders, onda Dionice. - Bilješka naučnim ed.

U posljednjih nekoliko godina došlo je do porasta bežične tehnologije. Wi-Fi mreže (802.11a/b/g standardne mreže) postaju sve popularnije, a ako se ranije radilo uglavnom o korištenju bežičnih mreža u uredima i hot spotovima, sada se naširoko koriste i kod kuće i za postavljanje mobilnih telefona. .kancelarije (kancelarije za vrijeme službenih putovanja). Bežične pristupne tačke i bežični ruteri klase SOHO prodaju se posebno za kućne korisnike i male kancelarije, a džepni bežični ruteri se prodaju za mobilne korisnike. Međutim, kada se odlučite za prelazak na bežičnu mrežu, treba imati na umu da u trenutnoj fazi razvoja ona ima jedan značajan nedostatak - nesavršenost u pogledu sigurnosti. U ovom članku ćemo govoriti o najranjivijim područjima bežičnih mreža i na praktičnim primjerima pokazati kako se one hakiraju. Stečeno znanje može se uspješno koristiti za reviziju sigurnosti bežičnih mreža, što će vam omogućiti da izbjegnete tradicionalne greške pri postavljanju bežičnih mreža. Prvo ćemo pogledati osnovne sigurnosne mjere koje se danas koriste za zaštitu bežičnih mreža, a zatim ćemo govoriti o tome kako ih napadači mogu savladati.

Metode bežične sigurnosti

Standardi bežične mreže 802.11a/b/g pružaju nekoliko sigurnosnih mehanizama:

• autentifikaciju i način šifriranja podataka koristeći WEP (Wired Equivalent Privacy) protokol;
• autentifikaciju i način šifriranja podataka koristeći WPA (Wi-Fi Protected Access) protokol;
• filtriranje po MAC adresama;
• koristeći način skrivenog identifikatora mreže.

WEP protokol

Svi moderni bežični uređaji (pristupne tačke, bežični adapteri i ruteri) podržavaju WEP sigurnosni protokol, koji je prvobitno bio uključen u specifikaciju bežične mreže IEEE 802.11.

WEP protokol omogućava šifriranje prenesenog toka podataka na osnovu RC4 algoritma s veličinom ključa od 64 ili 128 bita. Neki uređaji podržavaju i ključeve od 152, 256 i 512 bita, ali to je prije izuzetak od pravila. Ključevi imaju takozvanu statičku komponentu dužine 40 i 104 bita, za 64- i 128-bitne ključeve, kao i dodatnu dinamičku komponentu veličine 24 bita, nazvanu inicijalizacijski vektor (IV).

Na najjednostavnijem nivou, procedura WEP enkripcije je sljedeća. U početku se podaci koji se prenose u paketu provjeravaju na integritet (CRC-32 algoritam), nakon čega se kontrolni zbroj (Integrity Check Value, ICV) dodaje u servisno polje zaglavlja paketa. Zatim se generiše 24-bitni vektor inicijalizacije (IV) kojem se dodaje statički (40- ili 104-bitni) tajni ključ. Tako dobijeni 64- ili 128-bitni ključ je početni ključ za generiranje pseudo-slučajnog broja koji se koristi za šifriranje podataka. Zatim se podaci miješaju (šifriraju) koristeći logičku operaciju XOR sa pseudo-slučajnom sekvencom ključeva, a vektor inicijalizacije se dodaje polju usluge okvira.

Na prijemnoj strani podaci se mogu dešifrirati, budući da se zajedno s njim prenose i informacije o vektoru inicijalizacije, a statičku komponentu ključa pohranjuje korisnik kome se podaci prenose.

WEP protokol pruža dvije metode provjere autentičnosti korisnika: otvoreni sistem (otvoren) i dijeljeni ključ (zajednički). Uz otvorenu autentifikaciju, autentifikacija se zapravo ne događa, što znači da svaki korisnik može dobiti pristup bežičnoj mreži. Međutim, čak iu slučaju otvorenog sistema, WEP šifrovanje podataka je dozvoljeno.

WAP protokol

2003. godine uveden je još jedan sigurnosni standard - WPA, čija je glavna karakteristika tehnologija dinamičkog generiranja ključeva za enkripciju podataka, izgrađena na bazi TKIP (Temporal Key Integrity Protocol), koji je daljnji razvoj RC4 enkripcije. algoritam. Prema TKIP protokolu, mrežni uređaji rade sa 48-bitnim vektorom inicijalizacije (za razliku od 24-bitnog WEP vektora) i implementiraju pravila za promjenu redoslijeda njegovih bitova, što eliminira ponovnu upotrebu ključa. TKIP protokol omogućava generisanje novog 128-bitnog ključa za svaki poslani paket. Osim toga, kriptografski kontrolni sumi u WPA izračunavaju se pomoću nove metode - MIC (Message Integrity Code). Svaki okvir sadrži poseban osmobajtni kod integriteta poruke, čija verifikacija vam omogućava da odbijete napade koristeći krivotvorene pakete. Kao rezultat toga, ispada da svaki paket podataka koji se prenosi preko mreže ima svoj jedinstveni ključ, a svaki bežični mrežni uređaj ima ključ koji se dinamički mijenja.

Osim toga, WPA protokol podržava šifriranje korištenjem naprednog AES (Advanced Encryption Standard) standarda, koji ima sigurniji kriptografski algoritam u odnosu na WEP i TKIP protokole.

Prilikom postavljanja bežičnih mreža kod kuće ili u malim uredima, obično se koristi varijanta WPA sigurnosnog protokola zasnovanog na zajedničkim ključevima - WPA-PSK (Pre Shared Key). Ubuduće ćemo razmatrati samo opciju WPA-PSK, ne dodirujući opcije WPA protokola namijenjene korporativnim mrežama, gdje se autorizacija korisnika vrši na zasebnom RADIUS serveru.

Kada koristite WPA-PSK, lozinka od 8 do 63 karaktera je navedena u postavkama pristupne tačke i profilima bežične veze klijenta.

Filtriranje MAC adrese

Filtriranje MAC adresa, koje podržavaju sve moderne pristupne tačke i bežični ruteri, iako nije dio standarda 802.11, ipak se smatra da poboljšava sigurnost bežične mreže. Za implementaciju ove funkcije kreira se tabela MAC adresa bežičnih adaptera klijenata ovlaštenih za rad u ovoj mreži u postavkama pristupne točke.

Skriveni SSID način rada

Još jedna mjera opreza koja se često koristi u bežičnim mrežama je način skrivenog identifikatora mreže. Svakoj bežičnoj mreži je dodijeljen jedinstveni identifikator (SSID), koji je naziv mreže. Kada se korisnik pokuša prijaviti na mrežu, upravljački program bežičnog adaptera prvo skenira eter radi prisutnosti bežičnih mreža. Kada koristite način rada skrivenih identifikatora (u pravilu se ovaj način naziva Hide SSID), mreža se ne prikazuje na listi dostupnih i na nju se možete povezati samo ako je, prvo, njen SSID tačno poznat, a drugo, unapred je kreiran profil za povezivanje na ovu mrežu.

Hakovanje bežičnih mreža

Nakon što smo se upoznali s glavnim metodama zaštite 802.11a/b/g mreža, razmotrit ćemo načine da ih prevaziđemo. Imajte na umu da se isti alati koriste za hakovanje WEP i WPA mreža, pa ćemo vam prvo reći šta je uključeno u arsenal napadača.

Prije svega, potreban nam je laptop sa bežičnim adapterom. Glavni problem koji se javlja u procesu odabira alata za bežično hakovanje je osiguranje kompatibilnosti između čipa bežičnog adaptera koji koristi softver i operativnog sistema.

Odabir bežičnog adaptera

Činjenica je da je većina uslužnih programa koji vam omogućavaju hakiranje bežičnih mreža "skrojena" za Linux sisteme. Postoje verzije nekih uslužnih programa za Windows XP. Međutim, u zavisnosti od čipa bežičnog adaptera, određene bežične kartice se mogu koristiti sa uslužnim programima i za Linux i za Windows XP sisteme, a neki bežični adapteri se mogu koristiti sa uslužnim programima samo za Linux ili samo za Windows XP sisteme. Postoje bežični adapteri koje ne podržavaju ni Linux ni Windows XP uslužni programi. Osim toga, postoje čipovi koji, iako podržani uslužnim programima, rade izuzetno sporo (u smislu hvatanja i analize paketa).

Činjenica je da su za obavljanje zadatka hakiranja bežičnih mreža potrebni posebni (nestandardni) drajveri za bežične mrežne adaptere. Standardni načini bilo kojeg bežičnog adaptera su Infrastruktura (Osnovni skup usluga, BSS) i ad-hoc (Nezavisni osnovni servisni set, IBSS). U infrastrukturnom režimu, svaki klijent je povezan na mrežu preko pristupne tačke, au ad-hoc režimu bežični adapteri mogu međusobno da komuniciraju direktno, bez korišćenja pristupne tačke. Međutim, oba ova načina ne dozvoljavaju bežičnom adapteru da sluša u zraku i presreće pakete. U oba slučaja, mrežni adapter će uhvatiti pakete koji su namijenjeni samo mreži za koju je konfiguriran. Da biste mogli vidjeti druge mreže (koje imaju skriveni ESSID) i uhvatiti pakete, postoji poseban način nadzora (Monitor mode), kada se prebaci na koji adapter nije povezan ni sa jednom određenom mrežom i hvata sve dostupne pakete. Uobičajeno, upravljački programi koje je isporučio proizvođač bežičnog adaptera ne podržavaju način nadzora, a da biste ga omogućili, morate instalirati posebne drajvere koje je često napisala grupa programera treće strane. Odmah treba napomenuti da za Windows operativne sisteme takvi specijalni drajveri postoje samo za bežične adaptere bazirane na Hermes, Realtek, Aironet i Atheros čipovima. Podrška drajvera za ovaj režim za operativne sisteme porodice Linux/BSD u velikoj meri je određena otvorenošću specifikacija za karticu, međutim, lista podržanih uređaja je mnogo šira nego za Windows porodicu. Drajveri za Linux/BSD sisteme sa podrškom za mod monitoringa mogu se naći za bežične adaptere zasnovane na sledećim skupovima čipova: Prism, Orinoco, Atheros, Ralink, Aironet, Realtek, Hermes i Intel, iako drajveri zasnovani na Intel čipovima nisu pogodni za sve uređaja.

Trenutno svi laptopi bazirani na Intel Centrino mobilnoj tehnologiji imaju ugrađene bežične adaptere bazirane na Intel čipovima (IPW2100, IPW2200, IPW2915, IPW3945 čipovi), ali za naše potrebe ovi adapteri nisu prikladni - iako su kompatibilni sa Linux uslužnim programima koji se koriste. za hakiranje, ovi čipovi rade izuzetno sporo i generalno su nekompatibilni sa Windows uslužnim programima.

Odabir operativnog sistema

Što se tiče izbora operativnog sistema, mogu se dati sljedeće preporuke. Linux sistemi su poželjniji za ove svrhe, jer kada se koristi Linux, raspon mogućih alata je mnogo širi, a Linux uslužni programi rade mnogo brže. Ali to ne znači da ne možete koristiti Windows XP zajedno sa Windows uslužnim programima. U budućnosti ćemo razmotriti obje opcije za hakiranje bežičnih mreža - odnosno korištenje i Linux i Windows uslužnih programa. U isto vrijeme, savršeno razumijemo da se ne žure svi korisnici da pređu sa Windowsa na Linux. Unatoč svim svojim nedostacima, Windows OS je mnogo rašireniji, a početnicima ga je mnogo lakše naučiti. Stoga, po našem mišljenju, optimalna opcija je korištenje Windows XP kao glavnog operativnog sistema na laptopu, a za zadatke hakovanja bežične mreže - Linux Live CD, koji se pokreće sa CD-a i ne zahtijeva instalaciju na hard računaru. voziti. Najbolje rješenje u našem slučaju bi bio BackTrack disk, koji je izgrađen na Linux OS-u (kernel verzija 2.6.18.3) i sadrži sve potrebne pakete alata za hakovanje mreža. Slika ovog diska može se preuzeti sa web stranice koristeći vezu: http://www.remote-exploit.org/backtrack.html.

Set softvera

Tradicionalno, za hakovanje bežičnih mreža koristi se softverski paket aircrack, koji postoji u verzijama i za Windows XP (aircrack-ng 0.6.2-win) i za Linux (aircrack-ng 0.7). Ovaj paket se distribuira apsolutno besplatno i može se preuzeti sa službene web stranice www.aircrack-ng.org. Jednostavno nema smisla tražiti druge uslužne programe, jer je ovaj paket najbolje rješenje u svojoj klasi. Osim toga, on (naravno, verzija za Linux) je uključen u BackTrack disk.

Hakovanje bežičnih mreža pomoću BackTrack Live CD-a

Dakle, bez obzira koji operativni sistem imate instaliran na svom laptopu, mi ćemo koristiti BackTrack disk za pokretanje da hakujemo bežičnu mrežu. Imajte na umu da pored alata koji su nam potrebni za hakiranje bežične mreže, ovaj disk sadrži mnoge druge uslužne programe koji nam omogućavaju reviziju mreža (skeneri portova, sniffers, itd.). Usput, takav disk je koristan za svakog administratora sistema koji se bavi revizijom mreže.

Hakiranje bilo koje bežične mreže pomoću BackTrack diska izvodi se u tri faze (Tabela 1):

• prikupljanje informacija o bežičnoj mreži;
• hvatanje paketa;
• analiza paketa.

Prvi korak je prikupljanje detaljnih informacija o bežičnoj mreži koja se hakuje: MAC adrese pristupne tačke i aktivnog klijenta bežične mreže, naziv mreže (mrežni ID) i tip šifrovanja koji se koristi. Da biste to učinili, koristite uslužne programe airmon-ng, airodump-ng i Kismet - prvi od njih je neophodan za konfiguraciju upravljačkog programa bežičnog mrežnog adaptera za nadgledanje bežične mreže, a druga dva vam omogućavaju da dobijete potrebne informacije o bežičnoj mreži mreže. Svi ovi uslužni programi su već uključeni na BackTrack disku.

Tabela 1. Koraci za hakovanje bežične mreže pomoću BackTrack Live CD-a

Stage number	Opis	Korišteni komunalni programi	Rezultat
	Prikupljanje informacija o bežičnoj mreži	airmon-ng airodump-ng Kismet	MAC adresa pristupne tačke, MAC adresa aktivnog klijenta, tip mreže, ID mreže, tip šifrovanja (WEP, WPA-PSK), broj komunikacionog kanala
	Presretanje paketa	airodump-ng Kismet airoplay-ng
	Analiza paketa		Izbor tastera	Odabir lozinke

Sljedeći korak je hvatanje paketa pomoću uslužnog programa airodump-ng. U slučaju kada se na mreži koristi WEP enkripcija, potrebno je prikupiti IV pakete koji sadrže vektore inicijalizacije. Ako je promet na mreži nizak (na primjer, klijent je neaktivan), tada možete dodatno koristiti uslužni program airoplay-ng da povećate promet između klijenta i pristupne točke.

Ako mreža koristi WPA-PSK enkripciju, tada je potrebno prikupiti pakete koji sadrže informacije o proceduri provjere autentičnosti klijenta na mreži (procedura rukovanja). Kako biste natjerali klijenta da se podvrgne autentifikaciji na mreži, možete koristiti uslužni program airoplay-ng da biste pokrenuli proces prisilnog isključivanja iz mreže i zatim ponovno uspostavljanje veze.

U posljednjoj fazi, presretnute informacije se analiziraju pomoću aircrack-ng uslužnog programa. U slučaju WEP enkripcije, vjerovatnoća pogađanja ključa ovisi o broju prikupljenih IV paketa, a WPA-PSK enkripcija ovisi o rječniku koji se koristi za pogađanje lozinke.

Praktični primjeri

Nakon kratkog opisa postupka hakovanja bežične mreže, preći ćemo na razmatranje praktičnih primjera s detaljnim opisom svake faze i korištenih uslužnih programa.

U našem slučaju radili smo sa eksperimentalnom mrežom koja se sastojala od D-Link DWL-7000AP pristupne tačke i mrežnog klijenta sa Gigabyte GN-WPEAG bežičnim PCI adapterom.

Za hakiranje mreže koristili smo laptop sa Gigabyte GN-WMAG bežičnim PCMCIA adapterom baziranim na Atheros čipu. Imajte na umu da kada koristite BackTrack disk, nisu potrebni dodatni drajveri za Gigabyte GN-WPEAG adapter – sve je već na disku.

Faza 1. Prikupljanje informacija o bežičnoj mreži

Dakle, u prvoj fazi moramo prikupiti informacije o bežičnoj mreži. Bežični adapter ubacujemo u laptop i učitavamo operativni sistem sa CD-a. Zatim pozovite konzolu i pokrenite airmon-ng uslužni program, uključen u paket aircrack-ng.

Ovaj uslužni program vam omogućava da odredite dostupna bežična sučelja i dodijelite mod nadzora mreže jednom od dostupnih sučelja.

Sintaksa za korištenje naredbe airmon-ng je sljedeća:

airmon-ng ,

gdje su opcije odrediti početak ili zaustavljanje načina praćenja, - bežični interfejs koji se nadgleda, a opcioni parametar određuje broj kanala u bežičnoj mreži koji se nadgleda.

U početku je komanda airmon-ng navedena bez parametara, što vam omogućava da dobijete listu dostupnih bežičnih interfejsa. Na primjer, u našem slučaju, odgovor na komandu airmon-ng bio je sljedeći:

Upotreba: airmon-ng

Drajver za čipset interfejsa

wifi0 Atheros madwifi-ng

ath0 Atheros madwifi-ng VAP (roditelj: wifi0)

Odabirom wifi0 kao bežičnog interfejsa unesite komandu airmon-ng start wifi0. Kao rezultat, dobijamo još jedan interfejs ath1, koji je u režimu praćenja (slika 1).

Rice. 1. Podešavanje režima nadgledanja bežične mreže

Zatim morate pokrenuti uslužni program airodump-ng, koji se koristi i za hvatanje paketa u 802.11 bežičnim mrežama i za prikupljanje informacija o bežičnoj mreži. Sintaksa za korištenje naredbe je sljedeća:

airodump-ng .

Moguće opcije komandi su prikazane u tabeli. 2.

Tablica 2. Moguće opcije za naredbu airodump-ng

	Moguće značenje	Opis
		Sačuvajte samo IV pakete
		Koristite GPS demon. U tom slučaju će se također zabilježiti koordinate tačke prijema
Napiši (ili -w)	Ime dokumenta	Određivanje naziva datoteke za snimanje. Ako navedete samo ime datoteke, ona će biti spremljena u radni direktorij programa
		Snimite sve pakete bez filtriranja
	Broj kanala (1 do 11)	Određivanje broja kanala. Podrazumevano se slušaju svi kanali.
		Određivanje 802.11a/b/g protokola

U našem slučaju, ath1 sučelje je postavljeno na način praćenja.

Međutim, za sada nemamo informacije o tipu mreže (802.11a/b/g), vrsti šifriranja na mreži, te stoga ne znamo koje pakete treba presresti (sve ili samo IV pakete) . Stoga u početku ne biste trebali koristiti opcije u komandi airodump-ng, već samo trebate navesti sučelje - to će nam omogućiti da prikupimo potrebne informacije o mreži.

Dakle, u prvoj fazi pokrećemo naredbu airodump-ng koristeći sljedeću sintaksu:

airodump-ng-ath1

To će nam omogućiti da dobijemo potrebne informacije o mreži, i to:

• MAC adresa pristupne tačke;
• MAC adresa klijenta;
• vrsta mreže;
• Network ESSID;
• tip šifriranja;
• broj kanala komunikacije.

U našem primjeru, unošenjem naredbe airodump-ng ath1, uspjeli smo odrediti sve potrebne mrežne parametre (slika 2):

Rice. 2. Prikupljanje informacija o mreži
koristeći uslužni program airodump-ng

• MAC adresa pristupne tačke je 00:0D:88:56:33:B5;
• MAC adresa klijenta - 00:0E:35:48:C4:76
• vrsta mreže - 802.11g;
• Mrežni ESSID - dlinkG;
• tip enkripcije - WEP;
• broj kanala komunikacije - 11.

Imajte na umu da vam uslužni program airodump-ng omogućava da odredite identifikator mreže (ESSID) bez obzira na to da li je pristupna tačka postavljena na način skrivenog SSID-a ili ne.

Za prikupljanje informacija o mreži možete koristiti i uslužni program Kismet uključen u BackTrack disk - za razliku od airodump-ng, on vam omogućava da prikupite mnogo više informacija o bežičnoj mreži i u tom smislu je potpun i najbolji u klasi bežični mrežni analizator. Ovaj uslužni program ima grafičko sučelje (slika 3), što uvelike olakšava rad s njim.

Rice. 3. Prikupljanje informacija o mreži
koristeći uslužni program Kismet

Faza 2: presretanje paketa

Kada se prikupe detaljne informacije o bežičnoj mreži, možete započeti presretanje paketa koristeći iste uslužne programe koji su korišteni za prikupljanje informacija o mreži - airodump-ng ili Kismet. Međutim, u ovom slučaju će nam trebati nešto drugačija sintaksa komande.

WEP enkripcija

Prvo, razmotrimo opciju kada mreža koristi WEP enkripciju. U ovom slučaju moramo filtrirati samo pakete sa vektorom inicijalizacije (IV paketi) i zapisati ih u datoteku, koja će se kasnije koristiti za odabir ključa.

Na primjer, ako se zna da je napadnuta mreža 802.11g mreža, koristi WEP enkripciju i prijenos se vrši na kanalu 11, tada bi sintaksa komande za presretanje paketa mogla biti sljedeća:

airodump-ng --ivs –w dump --opseg g --kanal 11 ath1

U ovom primjeru upisujemo samo IV pakete u datoteku koja se zove dump. Verovatnoća uspešnog odabira ključa zavisi od broja akumuliranih IV-paketa i dužine ključa. Po pravilu, sa dužinom ključa od 128 bita, dovoljno je da se akumulira oko 1-2 miliona IV paketa, a sa dužinom ključa od 64 bita - reda nekoliko stotina hiljada paketa. Međutim, dužina ključa je nepoznata unaprijed i nijedan pomoćni program je ne može odrediti. Stoga je za analizu poželjno presresti najmanje 1,5 miliona paketa. Na sl. Slika 4 prikazuje primjer hvatanja 1,137,637 IV paketa u pomoćnom programu airodump-ng.

Rice. 4. Snimite pakete koristeći airodump-ng uslužni program

Broj zarobljenih paketa se interaktivno prikazuje u uslužnom programu airodump-ng, a za zaustavljanje procesa hvatanja paketa potrebno je samo pritisnuti kombinaciju tipki Ctrl+C.

Uslužni program Kismet se također može koristiti za hvatanje paketa. Zapravo, proces presretanja počinje odmah nakon pokretanja uslužnog programa, a snimanje se vrši u datoteku s ekstenzijom dump, koja se pohranjuje u radni direktorij programa. Međutim, za razliku od uslužnog programa airodump-ng, u ovom slučaju je nemoguće filtrirati samo IV pakete i postaviti broj komunikacijskog kanala. Stoga, kada se koristi uslužni program Kismet, efikasnost (stopa akumulacije) paketa je niža, a broj paketa koje treba presresti bi trebao biti veći nego kada se koristi airodump-ng uslužni program.

Često, prilikom presretanja paketa, dolazi do situacije kada nema intenzivne razmjene prometa između pristupne točke i klijenta, stoga, da biste akumulirali broj paketa potreban za uspješno hakiranje mreže, morate čekati jako dugo. Međutim, ovaj proces se može ubrzati prisiljavanjem klijenta da komunicira sa pristupnom tačkom pomoću uslužnog programa aireplay-ng (slika 5). Ovaj uslužni program se pokreće paralelno sa uslužnim programom airodump-ng, za koji morate pokrenuti još jednu sesiju konzole.

Rice. 5. Korišćenje uslužnog programa aireplay-ng za inicijalizaciju saobraćaja
između pristupne tačke i klijenta

Sintaksa naredbe je sljedeća:

aireplay-ng

Ova naredba ima vrlo veliki broj različitih opcija, koje se mogu pronaći pokretanjem naredbe bez parametara.

Za naše potrebe, sintaksa naredbe će izgledati ovako:

aireplay –ng -e dlinkG -a 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 --deauth 20 ath1

U ovom slučaju, parametar -e dlinkG specificira ID bežične mreže; parametar -a 00:0d:88:56:33:b5 - MAC adresa pristupne tačke; parametar -c 00:0f:ea:91:7d:95 - MAC adresa klijenta; opcija --deauth 20 - napad radi prekida veze (20 puta) nakon čega slijedi autentikacija klijenta. Kada je klijent autentifikovan, saobraćaj između njega i pristupne tačke naglo se povećava i povećava se broj paketa koji se mogu presresti. Ako je potrebno, možete povećati broj prekida veze ili ponavljati ovu naredbu dok se ne akumulira potreban broj paketa.

WPA-PSK enkripcija

Sa WPA-PSK enkripcijom na bežičnoj mreži, algoritam presretanja paketa je malo drugačiji. U ovom slučaju ne trebamo filtrirati IV pakete, jer kod WPA-PSK enkripcije oni jednostavno ne postoje, ali isto tako nema smisla hvatati sve pakete u nizu. Zapravo, sve što nam treba je mali dio saobraćaja između pristupne tačke i klijenta bežične mreže, koji bi sadržao informacije o proceduri autentifikacije klijenta na mreži (procedura rukovanja). Ali da bi se presrela procedura provjere autentičnosti klijenta na mreži, ona mora prvo biti prisilno pokrenuta pomoću uslužnog programa aireplay-ng.

Stoga, sa WPA-PSK enkripcijom, algoritam presretanja paketa će biti sljedeći. Otvaramo dvije sesije konzole i u prvoj sesiji pokrećemo naredbu za prisilno isključivanje mreže nakon čega slijedi ponovna identifikacija klijenta (aireplay-ng uslužni program, napad deautentifikacije), au drugoj sesiji pauza od jedne ili dvije sekundi pokrećemo naredbu za presretanje paketa (uslužni program airodump-ng). Sintaksa naredbi je sljedeća:

aireplay–ng -e dlinkG -a 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 -deauth 10 ath1

airodump-ng –w dump -band g -kanal 11 ath1

Kao što možete vidjeti, sintaksa aireplay-ng naredbe je potpuno ista kao i za WEP enkripciju, kada je ova naredba korištena za inicijalizaciju prometa između pristupne točke i mrežnog klijenta (jedina razlika je u tome što ima manje paketa za deautentifikaciju) . Sintaksi komande airodump-ng nedostaje filter IV paketa.

Proces hvatanja paketa treba da se nastavi samo nekoliko sekundi, pošto je sa aktiviranim napadom deautentifikacije verovatnoća hvatanja paketa rukovanja skoro sto posto.

Faza 3: Analiza paketa

U posljednjoj fazi, presretnuti paketi se analiziraju pomoću aircrack-ng uslužnog programa, koji se pokreće u sesiji konzole. Naravno, sintaksa aircrack-ng komande je drugačija za WEP i WPA-PSK enkripciju. Opća sintaksa komande je sljedeća:

aircrack-ng

Moguće opcije komandi su prikazane u tabeli. 3. Imajte na umu da nekoliko datoteka sa ekstenzijom *.cap ili *.ivs mogu biti specificirane kao datoteke koje sadrže uhvaćene pakete (datoteke za snimanje). Osim toga, kada se hakiraju mreže sa WEP enkripcijom, uslužni programi airodump-ng i aircrack-ng mogu se pokrenuti istovremeno (koriste se dvije sesije konzole). U ovom slučaju, aircrack-ng će automatski ažurirati bazu podataka IV paketa.

Tabela 3. Moguće opcije za komandu aircrack-ng

	Moguće značenje	Opis
	1 = statički WEP, 2 = WPA-PSK	Određuje vrstu napada (WEP ili WPA-PSK)
		Ako je opcija data, koristit će se svi IV paketi sa istom vrijednošću ESSID. Ova opcija se također koristi za hakovanje WPA-PSK mreža ako se ESSID ne emituje (režim skrivenog identifikatora mreže)
	MAC adresa pristupne tačke	Odabir mreže na osnovu MAC adrese pristupne tačke
		Skriveni način rada. Informacije se ne prikazuju dok se ključ ne pronađe ili se ključ ne može pronaći
		Za WEP mreže, ograničava izbor ključa samo na skup brojeva i slova
		Za WEP mreže, ograničava pogađanje ključa samo na skup heksadecimalnih znakova
		Za WEP mreže, ograničava izbor ključa samo na skup brojeva
		Za WEP mreže, specificira početak ključa u heksadecimalnom formatu. Koristi se za otklanjanje grešaka u programu
	MAC adresa klijenta	Za WEP mreže, postavlja filter paketa na osnovu klijentove MAC adrese. -m ff:ff:ff:ff:ff:ff se koristi za prikupljanje svih IV paketa
	64 (za 40-bitni ključ) 128 (za 104-bitni ključ) 152 (za 128-bitni ključ) 256 (za 232-bitni ključ) 512 (za 488-bitni ključ)	Za WEP mreže, specificira dužinu ključa. Podrazumevana dužina ključa je 104 bita
		Za WEP mreže, označava kolekciju IV paketa koji imaju zadani indeks ključa (od 1 do 4). Podrazumevano se ova opcija ignoriše
		Parametar se koristi prilikom razbijanja WEP mreža - za 104-bitni ključ zadana vrijednost je 2, za 40-bitne ključeve - 5. Veća vrijednost ovog parametra vam omogućava da izračunate ključeve sa manje paketa, ali tokom dužeg vremena
		Koristi se prilikom hakovanja WEP mreža. Ovaj parametar vam omogućava da isključite određene vrste korek napada (ukupno postoji 17 vrsta korek napada)
		Koristi se prilikom hakovanja WEP mreža. Onemogućuje traženje posljednjeg znaka u ključu
		Koristi se prilikom hakovanja WEP mreža. Omogućava traženje posljednjeg znaka u ključu (podrazumevano)
		Koristi se prilikom hakovanja WEP mreža. Omogućava traženje posljednja dva znaka u ključu
		Koristi se prilikom hakovanja WEP mreža. Zabranjuje upotrebu više procesora u SMP sistemima
		Koristi se prilikom hakovanja WEP mreža. Omogućuje vam korištenje posebne (eksperimentalne) vrste napada za odabir ključa. Koristi se kada standardni napadi ne dozvoljavaju pronalaženje ključa kada se koristi više od 1 milion IV paketa
	Put do rječnika	Tokom WPA-PSK napada, specificira putanju do korištenog rječnika

Kada koristite WEP enkripciju, glavni problem je što ne znamo unaprijed dužinu ključa koji se koristi za šifriranje. Stoga možete pokušati isprobati nekoliko opcija za dužinu ključa, koja je određena parametrom -n. Ako ovaj parametar nije specificiran, tada je po defaultu dužina ključa postavljena na 104 bita (-n 128).

Ako znate neke informacije o samom ključu (na primjer, sastoji se samo od brojeva, ili samo od slova, ili samo od skupa slova i brojeva, ali ne sadrži posebne znakove), onda možete koristiti -c, -t i -h opcije.

U našem slučaju, koristili smo naredbu aircrack-ng sa sljedećom sintaksom:

aircrack-ng –a 1 –e dlinkG –b 00:0d:88:56:33:b5 –c 00:0f:ea:91:7d:95 –n 128 dump.ivs.

Ovdje je navođenje MAC adrese pristupne točke i klijenta, kao i mrežnog ESSID-a, suvišno, jer je korištena samo jedna pristupna točka i jedan bežični klijent. Međutim, ako postoji nekoliko klijenata i postoji nekoliko pristupnih tačaka, onda se ovi parametri također moraju specificirati.

Kao rezultat, uspjeli smo pronaći 128-bitni ključ za samo 25 s (slika 6). Kao što vidite, hakovanje mreže bazirane na WEP enkripciji nije ozbiljan problem, ali se ne završava uvijek uspješno. Može se ispostaviti da nije akumulirano dovoljno IV paketa za odabir ključa.

Rice. 6. Izbor 128-bitnog ključa
koristeći uslužni program aircrack-ng

WPA-PSK enkripcija koristi sljedeću sintaksu naredbi:

aircrack-ng –a 2 –e dlinkG–b 00:0d:88:56:33:b5 –w dict dump.cap.

U ovom slučaju, vjerovatnoća pozitivnog rezultata, odnosno vjerovatnoća pogađanja cijele lozinke, ovisi o korištenom rječniku. Ako je lozinka u rječniku, bit će pronađena. Rječnik koji koristi program aircrack-ng mora se prvo montirati u radnu mapu programa ili se mora specificirati puna putanja do rječnika. Izbor dobrih rječnika možete pronaći na web stranici www.insidepro.com. Ako ne pomognu, onda je najvjerovatnije lozinka besmislen skup znakova. Uostalom, rječnici sadrže riječi ili fraze, kao i zgodne, lako pamtljive prečice na tastaturi. Jasno je da u rječnicima nema proizvoljnog skupa znakova. Ali čak iu ovom slučaju postoji izlaz. Neki uslužni programi dizajnirani za pogađanje lozinke mogu generirati rječnike iz datog skupa znakova i maksimalne dužine riječi. Primjer takvog programa je PasswordPro v.2.2.5.0.

Međutim, još jednom napominjemo da je vjerovatnoća hakovanja WPA-PSK lozinke vrlo mala. Ako lozinka nije navedena u obliku bilo koje riječi, već je nasumična kombinacija slova i brojeva, tada ju je gotovo nemoguće pogoditi.

Generalizacija

Da sumiramo sve što je gore rečeno o hakiranju bežičnih mreža, još jednom ćemo navesti glavne faze ovog procesa i komande koje se koriste u svakoj od njih.

Faza 1. Prikupljanje informacija o mreži:

Airmon-ng start wifi0;

Airodump-ng ath1.

Faza 2. Sakupljanje paketa:

• WEP slučaj:

Airodump-ng --ivs -w dump --band g --kanal 11 ath1,

Aireplay -ng -e dlinkG -a 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 --deauth 20 ath1

(ako nema dovoljno saobraćaja. Komanda se pokreće u zasebnoj sesiji konzole);

• WPA-PSC kućište:

-aireplay-ng -e dlinkG -a 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 --deauth 10 ath1,

Airodump-ng -w dump --opseg g --kanal 11 ath1

(komanda se izvodi u zasebnoj sesiji konzole).

Faza 3. Analiza paketa:

• WEP slučaj:

Aircrack-ng -a 1 -e dlinkG -b 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 -n 128 dump.ivs;

• WPA-PSK kućište:

Aircrack-ng -a 2 -e dlinkG-b 00:0d:88:56:33:b5 -w dict dump.cap.

Hakovanje bežičnih mreža koristeći aircrack-ng 0.6.2-win paket i Windows XP

Kao što smo već napomenuli na početku članka, postoji verzija paketa aircrack-ng 0.6.2-win koju podržava Windows XP operativni sistem. Odmah napominjemo da mogućnosti paketa nisu toliko opsežne u odnosu na njegov Linux pandan, pa je stoga, ako nema jakih predrasuda prema Linuxu, bolje je koristiti opciju s BackTrack diskom.

Prva stvar s kojom ćete se morati suočiti kada koristite Windows verziju programa aircrack-ng je potreba da zamijenite standardne drajvere proizvođača bežičnog mrežnog adaptera sa posebnim drajverima koji podržavaju način nadzora i presretanja paketa. Štoviše, kao iu slučaju Linux verzije programa, konkretna verzija drajvera ovisi o čipu na kojem je izgrađen mrežni adapter. Na primjer, kada smo koristili naš Gigabyte GN-WMAG bežični PCMCIA adapter baziran na Atheros AR5004 čipu, koristili smo drajver verziju 5.2.1.1 od WildPackets.

Procedura za hakiranje bežične mreže pomoću Windows verzije paketa aircrack-ng je prilično jednostavna i konceptualno ponavlja proceduru hakovanja bežičnih mreža korištenjem Linux verzije paketa. Tradicionalno se izvodi u tri faze: prikupljanje informacija o mreži, presretanje paketa i njihova analiza.

Da biste počeli raditi s uslužnim programom, morate pokrenuti datoteku Aircrack-ng GUI.exe, koja ima zgodno grafičko sučelje i zapravo je grafička ljuska za sve uslužne programe uključene u aircrack-ng 0.6.2-win paket. Glavni prozor programa (slika 7) ima nekoliko kartica, prebacivanjem između kojih možete aktivirati potrebne uslužne programe.

Rice. 7. Glavni prozor Aircrack-ng GUI uslužnog programa

Da biste prikupili potrebne informacije o mreži, trebate otići na karticu airdump-ng, nakon čega će se u posebnom prozoru pokrenuti uslužni program airdump-ng 0.6.2.

Kada pokrenete program airdump-ng 0.6.2 (slika 8), otvoriće se dijaloški okvir u kojem ćete trebati navesti bežični mrežni adapter (indeksni broj mrežnog interfejsa), tip mrežnog interfejsa (o/a) čip, bežične komunikacije broja kanala (kanali: 1 do 14, 0=svi) (ako je broj kanala nepoznat, tada možete skenirati sve kanale). Dodatno, navodi se naziv izlazne datoteke u kojoj se pohranjuju uhvaćeni paketi (prefiks naziva izlazne datoteke), te je naznačeno da li je potrebno uhvatiti sve pakete (CAP datoteke) ili samo dio paketa sa vektorima inicijalizacije (IVS datoteke) (Pišite samo WEP IV (y/n)). Kod WEP enkripcije, za odabir tajnog ključa, dovoljno je generirati samo IVS datoteku, ali kada koristite WPA-PSK enkripciju, trebat će vam cap fajl. Podrazumevano, IVS ili CAP datoteke se kreiraju u istom direktorijumu kao i program airdump-ng 0.6.2.

Rice. 8. Postavljanje uslužnog programa airdump-ng 0.6.2

Nakon konfigurisanja svih opcija uslužnog programa airodump-ng 0.6.2, otvoriće se informativni prozor koji prikazuje informacije o otkrivenim bežičnim pristupnim tačkama, informacije o mrežnim klijentima i statistiku presretnutih paketa (slika 9).

Rice. 9. Informacijski prozor uslužnog programa airodump-ng 0.6.2

Ako postoji više pristupnih tačaka, statistika će biti prikazana za svaku od njih.

Prvi korak je da zapišete MAC adresu pristupne tačke, SSID bežične mreže i MAC adresu jednog od klijenata povezanih na nju (ako ih ima više). Zatim morate sačekati da se presretne dovoljan broj paketa. Za zaustavljanje procesa hvatanja paketa (operacija uslužnog programa), koristite kombinaciju tipki Ctrl+C. Imajte na umu da Windows verzija paketa ne pruža metode za nasilno povećanje prometa između pristupne točke i mrežnog klijenta (zapamtite da Linux verzija paketa za ovo pruža uslužni program aireplay-ng).

Glavni problem kod hakovanja WPA-PSK mreža koristeći Windows verziju programa Aircrack-ng GNU 0.6.2 je taj što procedura inicijalizacije klijenta na mreži mora biti snimljena u CAP datoteci, odnosno morat ćete sjediti u zasjedi sa pokrenutim programom airodump-ng. Jednom kada je procedura inicijalizacije mrežnog klijenta snimljena u CAP datoteci, možete zaustaviti program airodump i započeti proces dešifriranja. Zapravo, u ovom slučaju nema potrebe za gomilanjem presretnutih paketa, jer se za izračunavanje tajnog ključa koriste samo paketi koji se prenose između pristupne tačke i klijenta tokom inicijalizacije.

U slučaju WEP enkripcije, nakon generiranja izlazne IVS datoteke, možete je početi analizirati pomoću uslužnog programa aircrack-ng 0.6.2, za pokretanje kojeg morate ponovo otvoriti glavni prozor Aircrack-ng GUI programa na odgovarajuću karticu i konfigurišite uslužni program aircrack-ng. Kod WEP enkripcije, podešavanje uslužnog programa sastoji se od postavljanja dužine WEP ključa, navođenja ESSID-a bežične mreže, postavljanja MAC adrese pristupne tačke, isključujući određene vrste napada (RoreK napadi), podešavanja, ako je potrebno, skup znakova koji se koristi za ključ, itd. Ovdje su date sve iste postavke kao iu slučaju Linux verzije ovog uslužnog programa. Jedina razlika je u tome što su u verziji za Linux sva podešavanja navedena kao opcije u komandnoj liniji, dok se u verziji za Windows koristi zgodan grafički interfejs za konfigurisanje uslužnog programa (slika 10).

Rice. 11. Rezultat analize MVS fajla
aircrack-ng 0.6.2 uslužni program

Rezultat analize IVS fajla je prikazan na Sl. 11. Malo je vjerovatno da će linija KEY FOUND! potrebni su komentari. Napomena: tajni ključ je izračunat za samo 1 sekundu!

Kada koristite WPA-PSK enkripciju u postavkama uslužnog programa aircrack-ng 0.6.2, potrebno je koristiti CAP datoteku kao izlaznu datoteku, a ne IVS datoteku. Pored toga, potrebno je da navedete putanju do rečnika koji se koristi za hakovanje, a koji je unapred instaliran u direktorijumu sa programom aircrack-ng 0.6.2 (slika 12).

Rice. 12. Rezultat analize ivs fajla
aircrack-ng 0.6.2 uslužni program

Rezultat analize CAP datoteke prikazan je na Sl. 13. Međutim, treba imati na umu da je pozitivan rezultat pretraživanja ključa moguć samo ako je lozinka prisutna u analiziranom rječniku.

Rice. 13. Rezultat analize CAP fajla

Zaobilaženje zaštite filtera MAC adrese

Na samom početku članka napomenuli smo da se uz WEP i WPA-PSK enkripciju često koriste funkcije kao što su skriveni mrežni identifikator i filtriranje MAC adrese. Oni se tradicionalno klasifikuju kao bežične sigurnosne karakteristike.

Kao što smo već pokazali s paketom aircrack-ng, ne možete se uopće osloniti na skriveni mrežni identifikator. Airodump-ng uslužni program koji smo spomenuli i dalje će vam pokazati mrežni SSID, koji se kasnije može koristiti za kreiranje profila veze (neovlašteno!) na mrežu.

Pa, ako govorimo o takvoj sigurnosnoj mjeri kao što je filtriranje po MAC adresama, onda je ovdje sve vrlo jednostavno. Na internetu možete pronaći dosta različitih uslužnih programa i za Linux i za Windows koji vam omogućavaju zamjenu MAC adrese mrežnog sučelja. Kao primjer možemo navesti sljedeće Windows uslužne programe: SMAC 2.0 (plaćeni uslužni program, http://www.klcconsulting.net/smac), MAC MakeUP (besplatni uslužni program, www.gorlani.com/publicprj/macmakeup/macmakeup.asp - slika 14) ili MAC Spoofer 2006 (besplatni uslužni program).

Rice. 14. lažiranje MAC adrese pomoću uslužnog programa MAC MakeUP

Nakon što ste izvršili takvu zamjenu, možete se pretvarati da ste svoji i implementirati neovlašteni pristup bežičnoj mreži. Štaviše, oba klijenta (pravi i nepozvani) će sasvim mirno postojati na istoj mreži sa istom MAC adresom, štaviše, u ovom slučaju će nepozvanom gostu biti dodeljena potpuno ista IP adresa kao i stvarnom mrežnom klijentu.

zaključci

Dakle, nije teško savladati čitav sigurnosni sistem bežične mreže baziran na WEP enkripciji. Možda će mnogi reći da je to nebitno, pošto je WEP protokol odavno umro - ne koristi se. Zamijenjen je robusnijim WPA protokolom. Ipak, nemojmo žuriti sa zaključcima. To je tačno, ali samo djelimično. Činjenica je da se u nekim slučajevima, radi povećanja dometa bežične mreže, postavljaju takozvane distribuirane bežične mreže (WDS) na temelju nekoliko pristupnih tačaka. Najzanimljivije je da takve mreže ne podržavaju WPA protokol i jedina prihvatljiva mjera sigurnosti u ovom slučaju je korištenje WEP enkripcije. U ovom slučaju, WDS mreže su hakovane na potpuno isti način kao i mreže zasnovane na jednoj pristupnoj tački. Osim toga, PDA uređaji opremljeni bežičnim modulom također ne podržavaju WPA protokol, tako da da biste uključili PDA klijenta u bežičnu mrežu, morate koristiti WEP protokol u njemu. Shodno tome, WEP protokol će biti tražen u bežičnim mrežama dugo vremena.

Primjeri hakovanja bežičnih mreža koje smo razmotrili vrlo jasno pokazuju njihovu ranjivost. Ako govorimo o WEP protokolu, on se može uporediti sa sigurnom zaštitom. Ovo je otprilike isto kao i auto alarm - samo što vas spašava od huligana. Što se tiče mjera predostrožnosti kao što su filtriranje MAC adrese i način skrivenog identifikatora mreže, one se uopće ne mogu smatrati zaštitom. Ipak, ni takva sredstva ne treba zanemariti, ali samo u kombinaciji s drugim mjerama.

Protokol WPA, iako je mnogo teže razbiti, također je ranjiv. Međutim, nemojte klonuti duhom - nije sve tako beznadežno. Činjenica je da uspjeh hakovanja WPA tajnog ključa ovisi o tome da li se nalazi u rječniku ili ne. Standardni rječnik koji smo koristili je nešto više od 40 MB, što općenito nije toliko. Nakon tri pokušaja uspjeli smo pronaći ključ kojeg nije bilo u rječniku, a hakovanje mreže se pokazalo nemogućim. Broj riječi u ovom rječniku je samo 6.475.760, što je, naravno, vrlo malo. Možete koristiti rječnike većeg kapaciteta, na primjer, na Internetu možete naručiti rječnik na tri CD-a, odnosno veličine skoro 2 GB, ali čak ni on ne sadrži sve moguće lozinke. Zaista, hajde da ugrubo izračunamo broj lozinki od 8 do 63 znaka koje se mogu formirati koristeći 26 slova engleske abecede (razlikuje velika i mala slova), deset brojeva i 32 slova ruske abecede. Ispostavilo se da se svaki simbol može odabrati na 126 načina. Shodno tome, ako uzmemo u obzir samo lozinke dužine 8 karaktera, tada će broj mogućih kombinacija biti 1268=6,3·1016. Ako je veličina svake riječi od 8 znakova 8 bajtova, tada će veličina takvog rječnika biti 4,5 miliona terabajta. Ali ovo su samo kombinacije od osam simbola! Kakav ćete rečnik dobiti ako prođete kroz sve moguće kombinacije od 8 do 63 znaka?! Ne morate biti matematičar da biste izračunali da će veličina takvog rječnika biti otprilike 1,2·10119 TB.

Zato ne očajavajte. Velika je šansa da se lozinka koju koristite ne nalazi u rječniku. Jednostavno, prilikom odabira lozinke ne treba koristiti riječi koje imaju smisla. Najbolje je ako se radi o nasumičnom skupu znakova - nešto poput “FGproukqweRT4j563app”.

Neovlašteni pristup – čitanje, ažuriranje ili uništavanje informacija bez odgovarajućeg ovlaštenja za to.

Neovlašteni pristup se po pravilu ostvaruje korištenjem tuđeg imena, promjenom fizičkih adresa uređaja, korištenjem informacija preostalih nakon rješavanja problema, modificiranjem softvera i informacija, krađom medija za skladištenje podataka, instaliranjem opreme za snimanje.

Za uspješnu zaštitu vaših podataka, korisnik mora imati potpuno jasno razumijevanje mogućih načina neovlaštenog pristupa. Glavni tipični načini za dobivanje neovlaštenih informacija:

· krađa medija za skladištenje i proizvodnog otpada;

· kopiranje medija za pohranu savladavanjem sigurnosnih mjera;

· prerušavanje kao registrovani korisnik;

· prevara (prikrivanje kao sistemski zahtjevi);

· iskorišćavanje nedostataka operativnih sistema i programskih jezika;

· korišćenje softverskih obeleživača i softverskih blokova tipa „trojanski konj“;

· presretanje elektronskog zračenja;

· presretanje akustičnog zračenja;

· daljinsko fotografisanje;

· korištenje prislušnih uređaja;

· zlonamerno onemogućavanje zaštitnih mehanizama itd.

Za zaštitu informacija od neovlaštenog pristupa koriste se sljedeće:

1) organizacioni događaji;

2) tehnička sredstva;

3) softver;

4) enkripcija.

Organizacijski događaji uključuju:

· način pristupa;

· skladištenje medija i uređaja u sef (diskete, monitor, tastatura itd.);

· ograničavanje pristupa osobama računarskim prostorijama itd.

Tehnička sredstva uključuju:

· filteri, sita za opremu;

· ključ za zaključavanje tastature;

· uređaji za autentifikaciju – za čitanje otisaka prstiju, oblika šake, šarenice, brzine i tehnike kucanja itd.;

· elektronski ključevi na mikro krugovima, itd.

Softverski alati uključuju:

· pristup lozinki – postavljanje korisničkih dozvola;

· zaključajte ekran i tastaturu pomoću kombinacije tastera u uslužnom programu Diskreet iz paketa Norton Utilites;

· korišćenje BIOS alata za zaštitu lozinkom - na samom BIOS-u i na računaru u celini, itd.

Šifriranje je transformacija (kodiranje) otvorenih informacija u šifrovane informacije koje su nedostupne strancima. Metode za šifrovanje i dešifrovanje poruka proučava nauka kriptologija, čija istorija seže oko četiri hiljade godina unazad.

2.5. Zaštita informacija u bežičnim mrežama

Nevjerovatno brz tempo implementacije bežičnih rješenja u moderne mreže tjera nas da razmišljamo o pouzdanosti zaštite podataka.

Sam princip bežičnog prenosa podataka uključuje mogućnost neovlašćenog povezivanja na pristupne tačke.

Jednako opasna prijetnja je i mogućnost krađe opreme. Ako se bezbednosna politika bežične mreže zasniva na MAC adresama, tada mrežna kartica ili pristupna tačka koju je ukrao napadač može otvoriti pristup mreži.

Često neovlašteno povezivanje pristupnih tačaka na LAN izvode sami zaposleni u preduzeću, koji ne razmišljaju o zaštiti.

Takvi problemi moraju se rješavati sveobuhvatno. Organizacione mjere se biraju na osnovu uslova rada svake konkretne mreže. Što se tiče tehničkih mjera, vrlo dobri rezultati se postižu korištenjem obavezne međusobne autentifikacije uređaja i uvođenjem aktivnih kontrola.

Godine 2001. pojavile su se prve implementacije drajvera i programa koji su mogli da se nose sa WEP enkripcijom. Najuspješniji je PreShared Key. Ali dobro je samo ako postoji pouzdana enkripcija i redovna zamjena visokokvalitetnih lozinki (slika 1).

Slika 1 – Algoritam za analizu šifriranih podataka

Savremeni zahtjevi zaštite

Autentifikacija

Trenutno se u različitoj mrežnoj opremi, uključujući bežične uređaje, široko koristi moderniji način autentifikacije koji je definiran u standardu 802.1x - dok se ne izvrši međusobna provjera, korisnik ne može ni primati ni prenositi podatke.

Brojni programeri koriste EAP-TLS i PEAP protokole za autentifikaciju u svojim uređajima Cisco Systems nudi sljedeće protokole za svoje bežične mreže, pored navedenih: EAP-TLS, PEAR, LEAP, EAP-FAST.

Sve moderne metode provjere autentičnosti zahtijevaju podršku za dinamičke ključeve.

Glavni nedostatak LEAP-a i EAP-FAST-a je taj što su ovi protokoli podržani uglavnom u opremi Cisco Systems (slika 2).

Slika 2 - 802.11x struktura paketa koristeći TKIP-PPK, MIC i WEP enkripciju.

Šifrovanje i integritet

Na osnovu preporuka Cisco Systems 802.11i implementiran je TCIP (Temporal Integrity Protocol) protokol koji osigurava promjenu PPK ključa za šifriranje (Per Packet Keying) u svakom paketu i praćenje integriteta MIC poruka (Message Integrity Check).

Još jedan obećavajući protokol šifriranja i integriteta je AES (Advanced Encryption Standard). Ima bolju kriptografsku snagu u odnosu na DES i GOST 28147-89. Pruža i enkripciju i integritet.

Imajte na umu da algoritam koji se koristi u njemu (Rijndael) ne zahtijeva velike resurse ni tokom implementacije ni tokom rada, što je veoma važno za smanjenje kašnjenja podataka i opterećenja procesora.

Sigurnosni standard za bežične lokalne mreže je 802.11i.

Standard Wi-Fi zaštićenog pristupa (WPA) je skup pravila koja osiguravaju implementaciju zaštite podataka u 802.11x mrežama. Od avgusta 2003. godine, usklađenost sa WPA standardima je obavezan uslov za opremu koja je sertifikovana kao Wi-Fi Certified.

WPA specifikacija uključuje modificirani TKOP-PPK protokol. Šifriranje se vrši kombinacijom nekoliko ključeva - trenutnog i narednog. U ovom slučaju, dužina IV se povećava na 48 bita. Ovo omogućava implementaciju dodatnih mjera za zaštitu informacija, na primjer, pooštravanje zahtjeva za ponovno povezivanje i ponovnu autentifikaciju.

Specifikacije uključuju podršku za 802.1x/EAP, autentifikaciju dijeljenog ključa i, naravno, upravljanje ključevima.

Tabela 3 – Metode implementacije sigurnosne politike

Indeks
Podrška za moderni OS
Softverska složenost i intenzitet resursa autentifikacije
Poteškoće u kontroli
Jedinstvena prijava (jednostruka prijava na Windows)
Dinamički tasteri
Jednokratne lozinke

Nastavak tabele 3

Pod uslovom da se koristi savremena oprema i softver, sada je sasvim moguće izgraditi sigurnu bežičnu mrežu otpornu na napade zasnovanu na standardima serije 802.11x.

Gotovo uvijek je bežična mreža povezana sa žičnom, a to je, pored potrebe zaštite bežičnih kanala, potrebno obezbijediti zaštitu u žičanim mrežama. U suprotnom, mreža će imati fragmentiranu sigurnost, što je u suštini sigurnosni rizik. Preporučljivo je koristiti opremu koja ima Wi-Fi Certified certifikat, odnosno koji potvrđuje usklađenost sa WPA.

Moramo implementirati 802.11x/EAP/TKIP/MIC i dinamičko upravljanje ključevima. U slučaju mješovite mreže, treba koristiti VLAN; Ako postoje vanjske antene, koristi se tehnologija virtuelne privatne mreže VPN.

Potrebno je kombinovati kako protokolarne i softverske metode zaštite, tako i administrativne.

Šta bi moglo biti važnije u naše vrijeme od zaštite vaše kućne Wi-Fi mreže :) Ovo je vrlo popularna tema o kojoj je napisano više od jednog članka samo na ovoj stranici. Odlučio sam da prikupim sve potrebne informacije o ovoj temi na jednoj stranici. Sada ćemo detaljno razmotriti pitanje zaštite Wi-Fi mreže. Reći ću vam i pokazati kako da zaštitite Wi-Fi lozinkom, kako to ispravno učiniti na ruterima različitih proizvođača, koju metodu šifriranja odabrati, kako odabrati lozinku i šta trebate znati ako ste planirate promijeniti lozinku za bežičnu mrežu.

U ovom članku ćemo tačno govoriti o zaštiti vaše kućne bežične mreže. I samo o zaštiti lozinkom. Ako uzmemo u obzir sigurnost nekih velikih mreža u uredima, onda je bolje pristupiti sigurnosti tamo malo drugačije (barem drugačiji način provjere autentičnosti). Ako mislite da jedna lozinka nije dovoljna za zaštitu vaše Wi-Fi mreže, savjetujem vam da se ne trudite. Postavite dobru, složenu lozinku koristeći ove upute i ne brinite. Malo je vjerovatno da će neko potrošiti vrijeme i trud da hakuje vašu mrežu. Da, možete, na primjer, sakriti naziv mreže (SSID) i postaviti filtriranje prema MAC adresama, ali to su nepotrebne muke koje će u stvarnosti samo uzrokovati neugodnosti prilikom povezivanja i korištenja bežične mreže.

Ako razmišljate o zaštiti svoje Wi-Fi mreže ili o tome da mrežu ostavite otvorenom, onda može postojati samo jedno rješenje - zaštitite je. Da, internet je neograničen i skoro svako kod kuće ima svoj ruter, ali na kraju će se neko povezati na vašu mrežu. Zašto nam je ovo potrebno, jer dodatni klijenti su dodatno opterećenje za ruter. A ako nije skupo, onda jednostavno neće izdržati ovo opterećenje. Također, ako se neko poveže na vašu mrežu, moći će pristupiti vašim datotekama (ako je lokalna mreža konfigurisana), i pristup postavkama vašeg rutera (na kraju krajeva, najvjerovatnije niste promijenili standardnu ​​administratorsku lozinku koja štiti kontrolnu ploču).

Obavezno zaštitite svoju Wi-Fi mrežu dobrom lozinkom uz ispravnu (modernu) metodu šifriranja. Preporučujem da odmah instalirate zaštitu prilikom postavljanja rutera. Također, bilo bi dobro da s vremena na vrijeme promijenite lozinku.

Ako ste zabrinuti da će vam neko hakovati mrežu, ili je to već učinio, jednostavno promijenite lozinku i živite u miru. Inače, pošto ćete se i dalje prijavljivati ​​na kontrolnu tablu svog rutera, preporučio bih i , koji se koristi za unos postavki rutera.

Pravilna zaštita vaše kućne Wi-Fi mreže: koju metodu šifriranja odabrati?

Tokom procesa postavljanja lozinke, morat ćete odabrati metod šifriranja Wi-Fi mreže (metoda autentifikacije). Preporučujem samo instalaciju WPA2 - Lični, sa algoritmom šifriranja AES. Za kućnu mrežu ovo je najbolje rješenje, trenutno najnovije i najpouzdanije. Ovo je vrsta zaštite koju proizvođači rutera preporučuju instaliranje.

Samo pod jednim uslovom da nemate stare uređaje koje želite da povežete na Wi-Fi. Ako nakon podešavanja neki od vaših starih uređaja odbiju da se povežu na bežičnu mrežu, možete instalirati protokol WPA (sa TKIP algoritmom enkripcije). Ne preporučujem instaliranje WEP protokola, jer je već zastario, nije siguran i može se lako hakovati. Da, i može doći do problema pri povezivanju novih uređaja.

Kombinacija protokola WPA2 - Lični sa AES enkripcijom, ovo je najbolja opcija za kućnu mrežu. Sam ključ (lozinka) mora imati najmanje 8 znakova. Lozinka se mora sastojati od engleskih slova, brojeva i simbola. Lozinka je osjetljiva na velika i mala slova. To jest, “111AA111” i “111aa111” su različite lozinke.

Ne znam koji ruter imate, pa ću pripremiti kratka uputstva za najpopularnije proizvođače.

Ako nakon promjene ili postavljanja lozinke imate problema s povezivanjem uređaja na bežičnu mrežu, pogledajte preporuke na kraju ovog članka.

Savjetujem vam da odmah zapišete lozinku koju ćete postaviti. Ako ga zaboravite, morat ćete instalirati novi ili .

Zaštita Wi-Fi veze lozinkom na Tp-Link ruterima

Povezivanje na ruter (putem kabla ili Wi-Fi), pokrenite bilo koji pretraživač i otvorite adresu 192.168.1.1 ili 192.168.0.1 (adresa vašeg rutera, kao i standardno korisničko ime i lozinka su naznačeni na naljepnici na dnu samog uređaja). Navedite svoje korisničko ime i lozinku. Podrazumevano, ovo su admin i admin. U , detaljnije sam opisao unos postavki.

U podešavanjima idite na karticu Bežični(Bežični način rada) - Wireless Security(Bežična sigurnost). Označite polje pored načina zaštite WPA/WPA2 - Lični (preporučeno). U padajućem meniju Verzija(verzija) odaberite WPA2-PSK. Na meniju Enkripcija(šifriranje) instalirati AES. Na terenu Bežična lozinka(PSK lozinka) Unesite lozinku da zaštitite svoju mrežu.

Postavljanje lozinke na Asus ruterima

U postavkama trebamo otvoriti karticu Bežična mreža, i izvršite sljedeće postavke:

• U padajućem izborniku "Način provjere autentičnosti" odaberite WPA2 - Lično.
• "WPA enkripcija" - instalirajte AES.
• U polje "WPA Pre-Shared Key" upišite lozinku za našu mrežu.

Za spremanje postavki kliknite na dugme Prijavite se.

Povežite svoje uređaje na mrežu novom lozinkom.

Zaštita bežične mreže vašeg D-Link rutera

Idite na postavke vašeg D-Link rutera na 192.168.0.1. Detaljna uputstva možete pogledati. U podešavanjima otvorite karticu WiFi - Sigurnosne postavke. Postavite vrstu sigurnosti i lozinku kao na slici ispod.

Postavljanje lozinke na drugim ruterima

Imamo i detaljna uputstva za ZyXEL i Tenda rutere. Pogledajte linkove:

Ako niste pronašli uputstva za svoj ruter, onda možete podesiti zaštitu Wi-Fi mreže na kontrolnoj tabli vašeg rutera, u odjeljku postavki koji se zove: sigurnosne postavke, bežična mreža, Wi-Fi, bežični itd. mislim da mogu da nađem neće biti teško. I mislim da već znate koja podešavanja treba postaviti: WPA2 - Personal i AES enkripcija. Pa, to je ključ.

Ako ne možete da shvatite, pitajte u komentarima.

Što učiniti ako se uređaji ne povežu nakon instalacije ili promjene lozinke?

Vrlo često, nakon instalacije, a posebno nakon promjene lozinke, uređaji koji su prethodno bili povezani na vašu mrežu ne žele da se povežu na nju. Na računarima su to obično greške „Mrežne postavke sačuvane na ovom računaru ne ispunjavaju zahteve ove mreže“ i „Windows nije mogao da se poveže sa...“. Na tabletima i pametnim telefonima (Android, iOS) mogu se pojaviti i greške poput „Nije moguće povezati se na mrežu“, „Povezano, zaštićeno“ itd.

Ovi problemi se mogu riješiti jednostavnim brisanjem bežične mreže i ponovnim povezivanjem s novom lozinkom. Napisao sam kako izbrisati mrežu u Windows 7. Ako imate Windows 10, onda morate "zaboraviti mrežu" koristeći . Na mobilnim uređajima pritisnite i držite svoju mrežu i odaberite "Izbriši".

Ako se problemi s vezom pojave na starijim uređajima, tada postavite WPA sigurnosni protokol i TKIP enkripciju u postavkama rutera.