Abstract: “Bezvadu tīklu aizsardzība. Bezvadu drošība
"...Informācijas drošība un bezvadu tīkli?
Bet vai tie nav savstarpēji izslēdzoši jēdzieni?
No sarunas izstādē Svyazexpocom-2004"
Bezvadu sakaru ierīces, kuru pamatā ir 802.11x standarti, šobrīd tīkla iekārtu tirgū attīstās ļoti agresīvi. Tas nav pārsteidzoši: lietošanas ērtums mobilajiem un gandrīz mobilajiem lietotājiem, komerciālo un korporatīvo tīklāju organizēšana, “pēdējā jūdze”, vietējo tīklu (LAN) savienojums viens ar otru - tas viss nav pilnīgs ieviešanas iemeslu saraksts. tādi risinājumi. Patiešām, visu veidu darbojošos 802.11x iekārtu skaits pasaulē ir iespaidīgs: pēc J"son & Partners datiem, karsto punktu skaits vien 2003. gada beigās pārsniedza 43 tūkstošus, un līdz 2004. gada beigām tam vajadzētu sasniegt 140 tūkst.Krievijas daļa šajos rādītājos ir neliela, taču bezvadu sakaru tīklu (ieskaitot karstos punktus) skaits mūsu valstī nepārtraukti pieaug. Mēs arī atzīmējam, ka mūsu valstī vairāk nekā 80% uzņēmumu bezvadu sakaru tīklu ir veidoti uz “Vecākā” un biežāk lietotā tehnika – Cisco Aironet.
Taču iespaidīgi ir ne tikai skaitļi; Daudz pārsteidzošāks ir maldīgo priekšstatu skaits, kas saistīts ar drošas datu pārraides nodrošināšanu šādos tīklos. Viedokļu klāsts šeit ir visplašākais: no pilnīgas uzticēšanās jebkuram aprīkojumam un jebkuram tā iestatījumiem līdz neglaimojošām īpašībām, kuras mēs minējām kā epigrāfu.
802.11x — uzņēmība pret ārējiem draudiem
Bezvadu datu pārraides būtība ir saistīta ar nesankcionētu savienojumu iespējamību piekļuves punktiem, datu pārtveršanu un citām nepatikšanām. Organizatoriski viegli aizsargājamā kabeļa neesamība rada nepatīkamas atvērtības un pieejamības sajūtu.
Ir vērts pieminēt “bez protokola” draudus - tie ir problēmas pamatā. Izstrādājot bezvadu korporatīvo tīklu, administratori galvenokārt rūpējas par kvalitatīvu biroja zonas pārklājumu. Ļoti bieži neviens vienkārši neņem vērā, ka mānīgi hakeri var pieslēgties tīklam tieši no uz ielas novietotas automašīnas. Turklāt ir situācijas, kad principā nav iespējams novērst pašu iespēju “dzirdēt” pārraidīto satiksmi. Piemērs ir ārējās antenas. Starp citu, NVS valstīs LAN biroju savienošana savā starpā, izmantojot bezvadu savienojumu, ir ļoti populārs risinājums.
Tikpat bīstams drauds ir aprīkojuma zādzības iespēja. Ja bezvadu tīkla drošības politika ir balstīta uz MAC adresēm, tad jebkura uzbrucēja nozagta sastāvdaļa (tīkla karte, piekļuves punkts) uzreiz padara šo tīklu atvērtu.
Un visbeidzot “pārāk gudru” lietotāju problēma. Bieži vien nesankcionēta piekļuves punktu savienošana ar LAN ir pašu organizācijas darbinieku darbs. Turklāt tas tiek darīts tikai un vienīgi darba ērtībai, dažreiz pat ar labiem nodomiem. Protams, šie darbinieki arī paši nodrošina informācijas aizsardzību, pieslēdzot šādas ierīces tīklam un ne vienmēr iedomājas šādas “pašaizsardzības” sekas.
Šīs un līdzīgas problēmas ir jārisina vispusīgi. Uzreiz atzīmēsim, ka organizatoriskie pasākumi šī raksta ietvaros netiek apskatīti - tie visbiežāk tiek izvēlēti, pamatojoties uz katra konkrētā tīkla darbības apstākļiem. Kas attiecas uz tehniskajiem pasākumiem, tad obligātā ierīču savstarpējā autentifikācija un aktīvo (piemēram, Observer 8.3, Airopeek NX 2.01, Wireless Sniffer 4.75) un pasīvo (piemēram, APTools 0.1.0, xprobe 0.0.2) kontroles rīku ieviešana dod ļoti labu rezultātu. labs rezultāts.
"Veco" drošības metožu ievainojamība
IEEE 802.11 komiteja vienmēr ir bijusi iesaistīta datu aizsardzībā bezvadu tīklos. Diemžēl metodes, kas tika izmantotas, lai nodrošinātu 802.11x tīklu drošību to sākotnējās izstrādes stadijā (1997-1998), maigi izsakoties, bija neveiksmīgas. Tie ietvēra WEP (Wired Equivalent Privacy) šifrēšanu un autentifikāciju: uz MAC adreses bāzes, atvērtā un iepriekš koplietotā atslēga.
Apsvērsim uzskaitītās metodes secībā. Klasiskais WEP šifrēšanas protokols, ko izstrādājis RSA Data Security, izmanto 40 bitu atslēgu, kas tiek pievienota ģenerētajam inicializācijas vektoram (IV, tā garums ir 24 biti). Izmantojot iegūto atslēgu, lietotāja dati un kontrolsumma tiek šifrēti, izmantojot RC4 algoritmu. IV vektors tiek pārraidīts skaidrā.
Pirmais šīs metodes trūkums ir tāds, ka sirdsmieram nepietiek ar 40 bitu atslēgu. Pat DES ar savu 56 bitu atslēgu jau sen ir atzīts par neuzticamu. Otrs trūkums ir atslēgas nemainīgums; Statiskās atslēgas izmantošana vienkāršo uzlaušanas problēmu. Tā kā 40 bitu atslēga ir neuzticama, es vēlētos to mainīt biežāk. Visbeidzot, pati pieeja šifrēšanai ir ļoti apšaubāma. IV izmērs ir 24 biti, kas nozīmē, ka tas tiks atkārtots ne vēlāk kā pēc 5 stundām (paketes garums 1500 baiti, ātrums 11 Mbit/s).
Ņikita Borisovs, Ians Goldbergs un Deivids Vāgners bija pirmie, kas pētīja šo problēmu, un jau 2001. gadā parādījās pirmās draiveru un programmu ieviešanas iespējas, kas tika galā ar WEP šifrēšanu. Dokuments, kurā aprakstīta šī ievainojamība, ir publicēts vietnē http://www.isaac.cs.berkeley.edu/isaac/wep-faq.htm l.
Autentifikācijas metodes arī nav īpaši uzticamas. Piemēram, visas autentifikācijas procedūras “pārklausīšana” pēc MAC adreses nemaksā – galu galā MAC adreses kadrā tiek pārsūtītas nešifrētas. Ja uzbrucējs zina par pieņemto autentifikācijas metodi, viņš ir gandrīz gatavs iekļūt tīklā. Visuzticamākā no uzskaitītajām metodēm ir PreShared Key, taču tā ir laba tikai tad, ja tā ir droši šifrēta un regulāri aizstāj augstas kvalitātes paroles.
Ir izplatīts nepareizs uzskats, ka, izmantojot unikālu pakalpojumu kopas ID (SSID), tiks novērsti nesankcionēti savienojumi. Diemžēl SSID ir piemērots tikai tīkla ierīču loģiskai sadalīšanai grupās - nekas vairāk. Vienīgais, ko varat darīt ar SSID, ir sajaukt jauno hakeri, izmantojot "nedrukājamas" rakstzīmes. Piekļuves punkti (piekļuves punkts, AP), piemēram, no Cisco Systems, ļauj to izdarīt (var norādīt SSID iekļautās rakstzīmes heksadecimālā formā - \xbd\xba).
Tādējādi, ja ņem vērā arī “ziņkārīgo” pusaudžu masu ar klēpjdatoriem, bezvadu sakaru tīkls neizbēgami saskaras ar aizsardzības problēmu pret gandrīz garantētiem WEP uzbrukumiem.
WEP uzbrukumi
Iepriekš aprakstītais nepietiekamais atslēgas garums, atslēgu rotācijas trūkums un pats RC4 šifrēšanas princips ļauj organizēt ļoti efektīvu pasīvo uzbrukumu. Turklāt uzbrucējam nav jāveic nekādas darbības, ar kurām viņš varētu tikt atklāts, pietiek vienkārši noklausīties kanālu. Šajā gadījumā nav nepieciešams īpašs aprīkojums - pietiks ar parastu WLAN karti, kas iegādāta par 20-25 dolāriem, kā arī ar programmu, kas uzkrās paketes cietajā diskā, līdz IV vektora vērtības sakritīs. Kad pakešu skaits kļūst pietiekams (parasti no 1 miljona līdz 4 miljoniem), ir viegli aprēķināt WEP atslēgu. Viena no populārākajām programmām šādiem “vingrinājumiem” ir AirSnort (http://airsnort.shmoo.com). Šī programmatūra darbojas ar tīkla kartēm no Cisco Systems, kartēm, kuru pamatā ir NMC Prism-2 (tādu ir diezgan daudz), kā arī ar Orinoco kartēm vai to kloniem.
Hakeris, izmantojot aktīvās uzbrukuma metodes, var sasniegt labus rezultātus. Piemēram, jūs varat nosūtīt zināmus datus no ārpus LAN, piemēram, no interneta, vienlaikus analizējot, kā piekļuves punkts tos šifrēja. Šī metode ļauj gan aprēķināt atslēgu, gan manipulēt ar datiem.
Vēl viena aktīva uzbrukuma metode ir Bit-Flip uzbrukums. Darbību algoritms šeit ir šāds (1. att.):
- Mēs pārtveram WEP šifrētu kadru.
- Mēs nejauši mainām vairākus bitus laukā “dati” un pārrēķinām CRC-32 kontrolsummu.
- Mēs nosūtām modificēto rāmi piekļuves punktam.
- Piekļuves punkts pieņems rāmi saites slānī, jo kontrolsumma ir pareiza.
- Piekļuves punkts mēģinās atšifrēt datus un atbildēt ar zināmu tekstu, piemēram: "Jūsu šifrēšanas atslēga ir nepareiza."
- Šifrētā un nešifrētā teksta salīdzināšana var ļaut aprēķināt atslēgu.
Šajā rakstā mēs neapsvērsim iespējamo DOS uzbrukumu iekārtām, izmantojot DSSS platjoslas modulācijas metodi. Šāda veida aprīkojums ietver 802.11b un 802.11a ierīces, kas darbojas ar mazu ātrumu.
Starpsecinājumi
Viss iepriekš minētais liecina, ka vecās metodes drošības nodrošināšanai bezvadu tīklos nav uzticamas; un, ja aprīkojums neļauj ieviest mūsdienīgus risinājumus informācijas aizsardzībai, tad stratēģiju izvēle ir maza: vai nu izmantot visstingrākās administratīvās politikas (skat. sānjoslu "Administratīvie pasākumi"), vai arī izmantot IPSec – ESP tehnoloģiju.
IPSec – ESP tehnoloģija noteikti aizsargās datus, taču ievērojami samazinās LAN veiktspēju. Tomēr šī tehnoloģija tika izstrādāta globāliem tīkliem, un ir izšķērdīgi to izmantot bezvadu lokālajā tīklā. Tā izmantošana bezvadu kanālos ir attaisnojama tikai filiāļu savienošanas vai citu līdzīgu risinājumu gadījumā.
Mūsdienu drošības prasības jeb "Dzīve ar Cisco"
Ikviena lietotāja dvēseles miera labad ir tikai trīs problēmas, kas ir jārisina saistībā ar viņu trafiku: konfidencialitāte (datiem jābūt droši šifrētiem), integritāte (jāgarantē, ka trešā puse nemainīs datus) un autentiskums ( pārliecība, ka dati ir saņemti no pareizā avota).
Autentifikācija
Standarts 802.1x ir definēts kā modernāks nekā 1997.–1998. gada standarti. autentifikācijas metode, ko plaši izmanto dažādās tīkla iekārtās, tostarp bezvadu ierīcēs. Tās būtiskā atšķirība no vecākām autentifikācijas metodēm ir šāda: kamēr nav veikta savstarpēja pārbaude, lietotājs nevar ne saņemt, ne pārsūtīt nekādus datus. Standarts nodrošina arī dinamisku šifrēšanas atslēgu pārvaldību, kas, protams, apgrūtina pasīvo uzbrukumu WEP.
Piemēram, vairāki izstrādātāji izmanto EAP-TLS un PEAP protokolus autentifikācijai savās ierīcēs, bet Cisco Systems (http://www.cisco.com) pievēršas problēmai “plašāk”, piedāvājot kopā ar tiem arī saviem bezvadu tīkliem seko vairākiem protokoliem.
Paplašināmais autentifikācijas protokols — transporta slāņa drošība(EAP-TLS) ir IETF standarts, kas nodrošina autentifikāciju, izmantojot divvirzienu digitālo sertifikātu apmaiņu.
Aizsargāts EAP(PEAP) joprojām ir IETF standarta projekts. Tas paredz digitālo sertifikātu apmaiņu un papildu vārda un paroles pārbaudi, izmantojot īpaši izveidotu šifrētu tuneli.
Viegls EAP(LEAP) ir Cisco Systems patentēts protokols. "Viegls" savstarpējās autentifikācijas protokols, kas līdzīgs divvirzienu izaicinājuma autentifikācijas protokolam (CHAP). Izmanto koplietotu atslēgu, tāpēc paroļu ģenerēšanai ir nepieciešama zināma informācija. Pretējā gadījumā, tāpat kā jebkura cita metode, PreShared Key ir jutīga pret vārdnīcu uzbrukumiem.
EAP — elastīga autentifikācija, izmantojot drošu tunelēšanu(EAP-FAST) — izstrādāts Cisco, pamatojoties uz IETF standarta projektu, lai aizsargātu pret vārdnīcu uzbrukumiem, un tas ir ļoti uzticams. Lai saņemtu atbalstu, administratoram ir nepieciešamas minimālas pūles. Tās darbības princips ir līdzīgs LEAP, taču autentifikācija tiek veikta pa drošu tuneli. Pirmās ieviešanas parādījās 2004. gada aprīlī. Atbalstīta, sākot no programmatūras versijām IOS 12.2(11)JA, VxWorks 12.01T, Cisco Secure ACS 3.2.3.
Visas mūsdienu autentifikācijas metodes (skatiet tabulu) ietver dinamisko atslēgu atbalstu, kas ir labas ziņas. Tomēr, ja salīdzinām visus šos standartus citos aspektos, EAP-TLS un PEAP metodes šķiet apgrūtinošākas. Un tā tiešām ir. Tie ir vairāk piemēroti lietošanai tīklos, kas veidoti uz dažādu ražotāju iekārtām.
Autentifikācijas metožu iezīmes
| Rādītājs | veids | |||
| LĒCIENS | EAP-ĀTRI | PEAP | EAP-TLS | |
| Atbalsts mūsdienu OS | Jā | Jā | Ne viss | Ne viss |
| Programmatūras sarežģītība un autentifikācijas resursu intensitāte | Zems | Zems | Vidēji | Augsts |
| Kontroles grūtības | zems* | Zems | Vidēji | Vidēji |
| Viena pierakstīšanās (viena pieteikšanās operētājsistēmā Windows) | Jā | Jā | Nē | Jā |
| Dinamiskās atslēgas | Jā | Jā | Jā | Jā |
| Vienreizējas paroles | Nē | Jā | Jā | Nē |
| Atbalsts lietotāju datu bāzēm, kas nav Microsoft Windows formātā | Nē | Jā | Jā | Jā |
| Ātra droša viesabonēšana | Jā | Jā | Nē | Nē |
| Vietējās autentifikācijas iespēja | Jā | Jā | Nē | Nē |
Cisco izstrādātās autentifikācijas metodes izskatās jaukākas. Tos īpaši pievilcīgus padara atbalsts Fast Secure Roaming tehnoloģijai, kas ļauj pārslēgties starp dažādiem piekļuves punktiem (pārslēgšanās laiks ir aptuveni 100 ms), kas ir īpaši svarīgi, pārraidot balss trafiku. Izmantojot EAP-TLS un PEAP, atkārtota autentifikācija prasīs ievērojami ilgāku laiku, un tā rezultātā saruna tiks pārtraukta. Galvenais LEAP un LEAP-FAST trūkums ir acīmredzams – šie protokoli tiek atbalstīti tikai Cisco Systems aprīkojumā.
Šifrēšana un integritāte
Pamatojoties uz 802.11i ieteikumiem, Cisco Systems ir ieviesis TKIP (Temporal Key Integrity Protocol) protokolu, kas nodrošina PPK (Per Packet Keying) šifrēšanas atslēgas maiņu katrā paketē un MIC (Message Integrity Check) ziņojumu integritātes uzraudzību.
PPK procedūra ietver IV maiņu katrā paketē. Turklāt šifrēšana tiek veikta, izmantojot jaucējfunkcijas vērtību no IV un pašas WEP atslēgas. Ja ņemam vērā arī to, ka WEP atslēgas mainās dinamiski, šifrēšanas uzticamība kļūst diezgan augsta.
Par integritātes nodrošināšanu atbild MIC procedūra. Ģenerētajam kadram tiek pievienoti lauki MIC un SEQuence number, laukā SEQ tiek norādīts paketes kārtas numurs, kas ļauj aizsargāties pret uzbrukumiem, kuru pamatā ir atkārtojumi un secības pārkāpumi. Pakete ar nepareizu kārtas numuru tiek vienkārši ignorēta. 32 bitu MIC lauks satur jaucējfunkcijas vērtību, kas aprēķināta no pašas 802.11 paketes galvenes vērtībām, SEQ lauka un lietotāja datiem (2. attēls).
Vēl viens daudzsološs šifrēšanas un integritātes protokols, kas jau ir sevi pierādījis vadu risinājumos, ir AES (Advanced Encryption Standard). Tas tika izstrādāts salīdzinoši nesen - 2001. gada oktobrī, un tam ir labāka kriptogrāfiskā izturība salīdzinājumā ar DES un GOST 28147-89. AES atslēgas garums ir 128, 192 vai 256 biti. Kā minēts, tas nodrošina gan šifrēšanu, gan integritāti.
Ņemiet vērā, ka tajā izmantotais algoritms (Rijndael) neprasa lielus resursus ne ieviešanas, ne darbības laikā, kas ir ļoti svarīgi datu latentuma un procesora slodzes samazināšanai.
AES jau darbojas Cisco IOS (k9), sākot ar 12.2(13)T. Pašlaik gandrīz visas Cisco Systems 802.11g ierīces ir gatavas atbalstīt AES. Tiešsaistes kopiena gaida paziņojumu par šīs programmatūras izlaišanu, taču vairākkārt norādītie termiņi netiek ievēroti. Tomēr tagad ir parādījusies zināma skaidrība. Uzņēmums paziņoja, ka visas ierīces, kas darbojas 802.11g standartā, var pilnīgi brīvi aprīkot ar jaunu programmatūru, kas noteikti parādīsies drīz... Taču tikai pēc 802.11i standarta ratifikācijas. Standartu IEEE ratificēja jūnija beigās (skatiet sānjoslu "802.11i Standard Ratified"). Tāpēc mēs gaidām, kungs.
Aizsargāta Wi-Fi piekļuve
Wi-Fi aizsargātās piekļuves (WPA) standarts ir noteikumu kopums datu aizsardzības ieviešanai 802.11x tīklos. Kopš 2003. gada augusta WPA atbilstība ir daļa no prasībām iekārtām, kas sertificētas kā Wi-Fi sertificētas (http://www.wi-fi.org/OpenSection/pdf/Wi-Fi_Protected_Access_Overview.pdf).
Ņemiet vērā, ka WPA specifikācijā ir iekļauts nedaudz modificēts TKIP-PPK protokols. Šifrēšana tiek veikta, izmantojot vairāku atslēgu "maisījumu" - pašreizējo un nākamo. Šajā gadījumā IV garums tiek palielināts līdz 48 bitiem.
WPA arī definē ziņojumu integritātes kontroli saskaņā ar vienkāršotu MIC versiju (Michael MIC), kas atšķiras no aprakstītās ar to, ka jaucējfunkcija tiek aprēķināta, pamatojoties uz mazāku lauku skaitu, bet pats MIC lauks ir garāks - 64 biti. Tas dod iespēju īstenot papildu informācijas aizsardzības pasākumus, piemēram, stingrākas prasības atkārtotai saistīšanai, atkārtotai autentifikācijai u.c.
Specifikācijās ir iekļauts arī atbalsts 802.1x/EAP un koplietojamo atslēgu autentifikācijai un, protams, atslēgu pārvaldībai.
Īpaši patīkami ir tas, ka WPA ierīces ir gatavas darbam gan ar klientiem, kuru aprīkojums atbalsta mūsdienu standartus, gan ar klientiem, kuri pilnībā nerūpējas par savu drošību un izmanto vecu aprīkojumu vai programmatūru. Autors kategoriski iesaka: izplatīt lietotājus ar atšķirīgu drošības pakāpi dažādos virtuālajos LAN un ieviest savu drošības politiku saskaņā ar to.
Mūsdienās, ja tiek izmantots moderns aprīkojums un programmatūra, ir pilnīgi iespējams izveidot drošu un uzbrukumiem izturīgu bezvadu tīklu, kura pamatā ir 802.11x standarti. Lai to izdarītu, jums vienkārši jāpiemēro vairāki saprātīgi postulāti.
Jāatceras, ka bezvadu tīkls gandrīz vienmēr ir savienots ar vadu tīklu. Papildus nepieciešamībai aizsargāt bezvadu kanālus, šis fakts kalpo kā stimuls jaunu drošības metožu ieviešanai vadu tīklos. Pretējā gadījumā var rasties situācija, ka tīklā ir sadrumstalota drošība, kas pēc būtības rada potenciālus drošības draudus.
Vēlams izmantot iekārtas, kurām ir Wi-Fi Certified sertifikāts, kas izsniegts vēlāk par 2003. gada augustu, t.i., kas apliecina atbilstību WPA.
Daudzi administratori, instalējot ierīces LAN, saglabā ražotāja noklusējuma iestatījumus. Nopietnos bezvadu tīklos tas ir absolūti nepieņemami.
Protams, mums ir jāievieš 802.1x/EAP/TKIP/MIC un dinamiska atslēgu pārvaldība. Ja tīkls ir jaukts, izmantojiet virtuālos vietējos tīklus. Tagad gandrīz jebkurš nopietns piekļuves punktu ražotājs atbalsta šo tehnoloģiju. Un, ja viņš to neatbalsta, tad jums nevajadzētu atbalstīt šādu ražotāju, iegādājoties viņa aprīkojumu. Ja tiek izmantotas ārējās antenas (piemēram, savienojot dažādus LAN), ieteicama VPN virtuālā privātā tīkla tehnoloģija.
Ir vērts apvienot protokola un programmatūras aizsardzības metodes ar administratīvajām. Ir arī jēga padomāt par ielaušanās noteikšanas sistēmas (IDS) tehnoloģijas ieviešanu, lai noteiktu iespējamos ielaušanās gadījumus. Varat arī izmantot iepriekš aprakstītos programmatūras produktus.
Visbeidzot, un pats galvenais, izmantojiet veselo saprātu, plānojot drošu bezvadu tīklu. Atcerieties: jebkura šifrēšana vai cita veida manipulācijas ar datiem neizbēgami rada papildu aizkavi, palielina pakalpojumu trafika apjomu un tīkla ierīču procesoru slodzi. Protams, drošība ir svarīgs faktors mūsdienu tīklos, taču tas kļūst bezjēdzīgs, ja lietotāju trafiks nesaņem atbilstošu joslas platumu. Galu galā diemžēl visi tīkli galu galā tiek izveidoti lietotājiem, nevis administratoriem. Tomēr tēma par QoS 802.11x bezvadu tīklos ir pelnījusi atsevišķu rakstu.
802.11i standarts ir ratificēts2004. gada 25. jūnijā Elektrisko un elektronikas inženieru institūts (IEEE) ratificēja ilgi gaidīto bezvadu LAN drošības standartu 802.11i. Pirms tā pieņemšanas 2002. gadā nozares konsorcijs Wi-Fi Alliance ierosināja izmantot WPA protokolu kā starpposma iespēju. Tas ietver dažus 802.11i mehānismus, tostarp TKIP šifrēšanu un iespēju izmantot 802.1x lietotāju autentifikācijas sistēmu, kuras pamatā ir RADIUS protokols. WPA protokolam ir divas modifikācijas: vieglais (mājas lietotājiem) un 802.1x autentifikācijas standarts (korporatīvajiem lietotājiem). Oficiālais 802.11i standarts WPA protokolam pievieno prasību izmantot AES šifrēšanas standartu, kas nodrošina drošības līmeni, kas atbilst ASV valdībā izmantotā FIPS Class 140-2 (federālā informācijas apstrādes standarta) prasībām. Tomēr daudzos esošajos tīklos AES protokolam var būt nepieciešams nomaiņas aprīkojums, ja vien tas nav aprīkots ar īpašām šifrēšanas un atšifrēšanas iespējām. Turklāt jaunais standarts ir ieguvis vairākas salīdzinoši maz zināmas īpašības. Viens no tiem - atslēgu kešatmiņa - ieraksta informāciju par viņu lietotājam nepamanītu, ļaujot viņam vēlreiz neievadīt visu informāciju par sevi, izejot no bezvadu tīkla pārklājuma zonas un pēc tam atgriežoties tajā. Otrs jauninājums ir iepriekšēja autentifikācija. Tās būtība ir šāda: no piekļuves punkta, kuram lietotājs pašlaik ir pieslēgts, iepriekšējas autentifikācijas pakete tiek nosūtīta uz citu piekļuves punktu, nodrošinot šim lietotājam iepriekšēju autentifikāciju pat pirms reģistrēšanās jaunajā punktā un tādējādi samazinot autorizācijas laiku, kad pārvietošanās starp piekļuves punktiem. Wi-Fi Alliance plāno sākt testēt ierīces, lai tās atbilstu jaunajam standartam (sauktam arī par WPA2) līdz šī gada septembrim. Pēc tās pārstāvju domām, plaša aprīkojuma nomaiņa nebūs nepieciešama. Un, lai gan ierīces ar iespējotu WPA1 var darboties vidēs, kur nav nepieciešama uzlabota šifrēšana un RADIUS autentifikācija, 802.11i produktus var uzskatīt par WPA aprīkojumu, kas atbalsta AES. |
Bezvadu tīkli nav droši. Ļaujiet man atkārtot: bezvadu tīkli nav droši. Lielāko daļu laika tie ir pietiekami droši lielākajai daļai lietotāju, taču šādus tīklus nevar padarīt pilnībā privātus.
Vienkāršā patiesība ir tāda, ka bezvadu tīkls izmanto radiosignālus ar precīzi definētu raksturlielumu kopumu, tāpēc ikviens, kas vēlas veltīt pietiekami daudz laika un pūļu šo signālu uzraudzībai, var atrast veidu, kā pārtvert un nolasīt tajos esošos datus. Ja sūtāt sensitīvu informāciju, izmantojot bezvadu savienojumu, uzbrucējs var to kopēt. Kredītkaršu numuri, kontu paroles un cita personiskā informācija ir neaizsargāti.
Šifrēšana un citas drošības metodes var nedaudz apgrūtināt datu pārtveršanu, taču tās nenodrošina pilnīgu aizsardzību pret patiesi izsmalcinātu spiegu. Kā var pateikt jebkurš policists, slēdzenes nāk no godīgiem cilvēkiem, bet pieredzējuši zagļi zina, kā ar tām rīkoties. Internetā ir viegli atrast visu rīku katalogu WEP šifrēšanas pārtraukšanai.
Padarot situāciju vēl bīstamāku, daudzi tīkla administratori un mājas bezvadu lietotāji atstāj savu tīklu durvis un logus plaši atvērtas, neizmantojot šifrēšanas un citus drošības līdzekļus, kas integrēti katrā 802.11b bezvadu punktā un tīkla mezglā. Pieteikšanās nenodrošinātos privātajos tīklos ir iespējama daudzās pilsētu teritorijās un daudzos vietējos tīklos. 2001. gada pavasarī Sanfrancisko hronika ziņoja, ka tīkla drošības eksperts ar virziena antenu, kas uzstādīta uz furgona jumta Sanfrancisko centrā, spējis pieslēgties vidēji pusducim bezvadu tīklu katrā blokā. Šādu tīklu skaits nepārtraukti pieaug. Gadu vēlāk Microsoft darbinieku grupa, kas veica "neformālu pārbaudi", Sietlas piepilsētas tīklā atklāja vairāk nekā 200 nenodrošinātu atvērtas piekļuves punktu. Un Tully's Coffee veikali ziņo, ka viņi pamana, ka klienti piesakās Wi-Fi tīklos, izmantojot tīklājus Starbucks veikalos pāri ielai.
Pietiek ar vienkāršu aritmētiku: jūsu piekļuves punkta darbības rādiuss ir 100 m vai vairāk visos virzienos, tāpēc signāls, visticamāk, izplatīsies ārpus jūsu īpašuma (vai jūsu dzīvokļa sienām). Tīkla ierīce, kas atrodas blakus ēkas telpā vai pāri ielai, visticamāk, var noteikt tīklu. Līdzīgu darbību spēj veikt arī klēpjdators vai plaukstdators, kas novietots uz ielas novietotā automašīnā. Ja netiks veikti daži piesardzības pasākumi, šīs ierīces operators var reģistrēties jūsu tīklā, nozagt failus no serveriem un iefiltrēties jūsu interneta savienojumā, lai straumētu video vai tiešsaistes spēles.
Ir svarīgi saprast, ka mēs runājam par diviem dažādiem bezvadu drošības draudu veidiem. Pirmais ir risks, ka kāds cits pieslēgsies jūsu tīklam bez jūsu ziņas vai atļaujas; otrā ir iespēja, ka sarežģīts uzbrucējs var nozagt datus, kamēr jūs tos nosūtāt un saņemat. Katrs no tiem ir atsevišķa potenciāla problēma, un katram ir nepieciešama īpaša profilakses un aizsardzības metode. Lai gan var būt taisnība, ka neviens no pašlaik pieejamajiem rīkiem nevar nodrošināt pilnīgu aizsardzību, tie var ievērojami apgrūtināt dzīvi lielākajai daļai gadījuma uzbrucēju.
Bezvadu tīkli ir kompromiss starp drošību un lietojamību. Bezvadu tīkla savienojuma acīmredzamās priekšrocības — ātra un ērta piekļuve tīklam no klēpjdatora vai izolētas vietas — ir par maksu. Lielākajai daļai lietotāju šīs izmaksas neatsver bezvadu tīkla ērtības. Taču, tāpat kā bloķējat savu automašīnu, novietojot automašīnu stāvvietā, jums jāveic līdzīgas darbības, lai aizsargātu tīklu un datus.
Tīkla un datu aizsardzība
Ko jūs kā bezvadu tīkla operators varat darīt, lai pasargātu sevi no nepiederošām personām? Jums ir divas iespējas: varat pieņemt faktu, ka 802.11b tīkli nav pilnībā droši, bet izmantot iebūvētos tīkla drošības līdzekļus, lai palēninātu slikto dalībnieku darbību; Varat atteikties no iebūvētajiem rīkiem un tā vietā izmantot ugunsmūri izolācijai.
Ir skaidrs, ka drošības līdzekļi ir integrēti 802.11b protokolos.
nepieņemami pārsūtīto datu absolūtai aizsardzībai. Ja esat lasījis rakstus par bezvadu tīkla drošību tirdzniecības žurnālos un izpētījis diskusijas tiešsaistes forumos, ir viegli noticēt, ka Wi-Fi tīkli ir tikpat necaurlaidīgi kā sakāmvārdu siets. Taču tas var pārspīlēt reālos draudus jūsu tīklam. Atcerieties, ka lielākā daļa cilvēku, kas ir tuvu jūsu ziņojumu zagšanai vai iefiltrēšanās jūsu tīklā, ne tikai sēdēs un gaidīs, kad sāksit pārsūtīt datus. Un, godīgi sakot, lielākā daļa datu, kas nosūtīti caur jūsu tīklu, faktiski neinteresē. Bet šifrēšanas rīki ir pieejami katrā Wi-Fi tīklā, tāpēc jums tie faktiski ir jāizmanto.
Nopietnāks drauds ir nevis tas, ka jūsu sakari tiks pārtverti, bet gan tas, ka ar tiem tiks izveidoti nelegāli savienojumi. Tas ļaus neautorizētam lietotājam lasīt failus, kas saglabāti citos tīkla datoros, vai izmantot jūsu platjoslas interneta savienojumu bez jūsu ziņas vai atļaujas.
Ir lietderīgi rūpēties par tīkla pārvaldību. Ja izvēlaties ieviest 802.11b drošību, ir jāveic īpašas darbības:
Novietojiet piekļuves punktu ēkas vidū, nevis blakus logam. Tas samazinās attālumu, kas jūsu signāliem jāpārvar cauri sienām;
Izmantojiet WEP (Wired Equivalent Privacy) šifrēšanu, kas pieejama visos 802.11b tīkla mezglos. Ņemot vērā pietiekami daudz laika un pareizo aprīkojumu, WEP nav grūti uzlauzt, taču šifrētas paketes joprojām ir grūtāk nolasāmas nekā datus, kas nosūtīti bez šifrēšanas. Šajā nodaļā ir sniegta plašāka informācija par WEP šifrēšanu;
Bieži mainiet WEP atslēgas. WEP šifrēšanas atslēgu iegūšana no datu straumes prasa laiku, un katru reizi, kad maināt atslēgas, ļaunajiem dalībniekiem, kas mēģina nozagt jūsu datus, viss ir jāsāk no jauna. Mainīt atslēgas vienu vai divas reizes mēnesī nav pārāk bieži;
Neglabājiet WEP atslēgas viegli pieejamā vietā. Lielā tīklā tos var mēģināt saglabāt vietējā Web lapā vai teksta failā. Nedari tā;
Neizmantojiet e-pastu, lai pārsūtītu WEP atslēgas. Ja nepiederoša persona nozog kontu vārdus un paroles, zaglis saņems ziņojumus ar jūsu jaunajām atslēgām, pirms tās saņems jūsu likumīgie lietotāji;
Pievienojiet vēl vienu šifrēšanas slāni, piemēram, Kerberos, SSH vai VPN, papildus bezvadu tīklā integrētajai WEP šifrēšanai;
Neizmantojiet piekļuves punkta noklusējuma SSID. Šie iestatījumi ir labi zināmi tīkla hakeriem;
Mainiet SSID uz tādu, kas neidentificē jūsu darbu vai atrašanās vietu. Ja uzbrucējs atklāj nosaukumu BigCorpNet un paskatās apkārt un pāri ielai redz BigCorp galveno mītni, viņš, visticamāk, mērķēs uz jūsu tīklu. Tas pats attiecas uz jūsu mājas tīklu. Nesauciet to par Pērkinsu, ja tas ir jūsu pastkastes ārpusē. Neizmantojiet SSID, kas izklausās tā, it kā jūsu tīklā būtu ietverta kāda veida vilinoša informācija — izmantojiet nenozīmīgu nosaukumu, piemēram, tukšu lauku, "tīkls-" vai pat nejaušu rakstzīmju virkni (W24rnQ);
Mainiet piekļuves punkta IP adresi un paroli. Noklusējuma paroles lielākajai daļai piekļuves punktu konfigurācijas rīku ir viegli atrodamas (un bieži tās atkārtojas no viena pārdevēja pie cita — padoms: neizmantojiet "admin"), tāpēc tās nav pat pietiekami labas, lai aizsargātu pret saviem lietotājiem. tikai nepiederošas personas, kas plāno izmantot jūsu tīklu saviem mērķiem;
Atspējojiet SSID apraides funkciju piekļuves punktam, kas ļauj izveidot savienojumus no klientiem bez pareizā SSID. Tas negarantē, ka jūsu tīkls būs neredzams, taču tas var palīdzēt;
Iespējojiet piekļuves kontroles funkciju savam piekļuves punktam. Piekļuves kontrole ierobežo savienojumus ar tīkla klientiem ar norādītām MAC adresēm. Piekļuves punkts atteiks savienojumu ar jebkuru adapteri, kura adrese nav sarakstā. Tas var nebūt praktiski, ja vēlaties ļaut citiem apmeklētājiem izmantot jūsu tīklu, taču tas ir noderīgs rīks mājas un neliela biroja tīkliem, kur jūs zināt visus savus potenciālos lietotājus. Līdzīgi kā "apraides SSID" funkcijai, tas negarantē, taču tas arī nekaitēs;
Pārbaudiet sava tīkla drošību, mēģinot to atrast no ielas. Paņemiet klēpjdatoru, kurā darbojas skenēšanas programma, piemēram, Network Stumbler vai utilīta, kas parāda tīkla adaptera statusu, un sāciet doties prom no ēkas. Ja jūs varat noteikt savu tīklu kvartāla attālumā, to var arī kāds nepiederošs cilvēks. Atcerieties, ka ļaundari var izmantot virziena antenas ar lielu pastiprinājumu, kas palielina šo attālumu;
Padomājiet par tīklu kā plaši atvērtu koplietošanai. Pārliecinieties, vai visi tīkla lietotāji apzinās, ka izmanto nedrošu sistēmu;
Paplašiniet piekļuvi failiem tikai tiem failiem, kurus patiešām vēlaties kopīgot. Neatveriet visu disku. Izmantojiet paroles aizsardzību katram pieejamam vienumam;
Izmantojiet tos pašus drošības rīkus, ko izmantotu vadu tīklā. Labākajā gadījumā jūsu LAN bezvadu daļa nav drošāka par vadu daļu, tāpēc jums ir jāveic tie paši piesardzības pasākumi. Vairumā gadījumu tīkla bezvadu daļa ir daudz mazāk droša nekā vadu daļa;
Apsveriet iespēju izmantot virtuālo privāto tīklu (VPN), lai nodrošinātu papildu drošību.
Daži eksperti bezvadu tīkla nodrošināšanai izmanto citu metodi. Viņi pieņem domu, ka 802.11b tīkls ir nedrošs, tāpēc viņi pat nemēģina izmantot iebūvētos drošības līdzekļus. Piemēram, NASA Advanced Supercomputing Division tīkla drošības komanda Kalifornijā atklāja, ka "tīkls pats par sevi nenodrošina spēcīgu autentifikāciju un aizsardzību pret viltojumiem" un ka "802.11b drošības līdzekļi tikai patērē resursus, pretī nesniedzot nekādu reālu drošību". Tādējādi tas atspējo visus 802.11b drošības līdzekļus un tā vietā izmanto savu bezvadu ugunsmūri Wireless Firewall Gateway (WFG). WFG ir maršrutētājs, kas atrodas starp bezvadu un pārējo tīklu, tāpēc visai tīkla trafikam uz un no bezvadu ierīcēm (tostarp piekļuvei internetam) ir jāiet caur vārteju.
Kā papildu priekšrocība šī drošības metode samazina katras pakotnes administratīvo nospiedumu līdz minimumam, jo tajās nav ietverta autentifikācija vai šifrēšana. Tas samazina bitu skaitu katrā paketē, kas palielina tīkla efektīvo datu pārraides ātrumu.
Citi bezvadu tīkla operatori izmanto VPN, lai kontrolētu piekļuvi caur saviem bezvadu vārtejām. Pirms lietotājs var sērfot tīklā, VPN IP slānim pievieno vēl vienu drošības līmeni no punkta līdz punktam (nevis fiziskajam slānim, kurā notiek šifrēšana 802.11b).
Tīkla drošība ir nepieciešama divos gadījumos – tīkla administrators nevēlas ļaut neautorizētiem lietotājiem iekļūt savā tīklā, un atsevišķi lietotāji nevēlas, lai kāds piekļūtu viņu personīgajiem failiem. Piesakoties koplietotā tīklā, jums ir jāveic daži piesardzības pasākumi, lai jūsu faili netiktu nolasīti tīklā.
Lai atspējotu Failu koplietošana(Piekļuve failam) Pirms savienojuma izveides ar koplietojamu tīklu operētājsistēmās Windows 95, Windows 98 un Windows ME veiciet tālāk norādītās darbības.
1. B Vadības panelis(Vadības panelis) atveriet dialoglodziņu Tīkls(Tīkls).
2. Izvēlieties Failu un printeru koplietošana(Piekļuve failiem un printeriem).
3. Fi dialoglodziņā le un Printer Sharing atspējot funkciju Es vēlos dot citiem piekļuvi saviem failiem(Piešķiriet citiem piekļuvi maniem failiem).
Operētājsistēmām Windows 2000 un Windows XP nav centrālās vietas, kur atspējot piekļuvi failiem, tāpēc jums ir jāatspējo katra piekļuve atsevišķi.
1. Atveriet logu Mans dators(Mans dators).
2. Visu pieejamo disku un mapju ikonām ir rokas ikona. Lai atspējotu piekļuvi, ar peles labo pogu noklikšķiniet uz ikonas un atlasiet Koplietošana un drošība(Piekļuve un drošība) izvēlnē.
3. Atspējojiet funkciju Kopīgojiet šo mapi tīklā(Atveriet piekļuvi šai mapei tīklā).
4. Noklikšķiniet uz pogas labi(Jā), lai aizvērtu dialoglodziņu.
5. Atkārtojiet šo procesu katrai pieejamajai mapei vai failam. Neaizmirstiet mapi Koplietotie dokumenti(Vispārīgie dokumenti).
Atgriežoties birojā vai mājas tīklā, jums ir jāmaina procedūra, lai atgūtu piekļuvi failiem.
Vēl viena problēma ir draudi, ka spiegs izseko datus, kas tiek nosūtīti pa radiosakariem, un lidojuma laikā var nozagt konfidenciālu informāciju. Tas nav tik izplatīts kā spiegs piekļūt tīklam un lasīt failus, taču tas ir iespējams. Šifrēšana un citi drošības rīki var apgrūtināt datu atšifrēšanu, taču vislabāk ir rīkoties ar Wi-Fi tīklu tāpat kā pret mobilo tālruni: nekad nesūtiet ziņojumu vai failu ar sensitīvu informāciju.
802.11b drošības rīki
Drošības rīki 802.11b specifikācijās nav ideāli, taču tie ir labāki par neko. Pat ja nolemjat tos neizmantot, pirms to izslēgšanas ir svarīgi saprast, kas tie ir un kā tie darbojas.
Tīkla nosaukums (SSID)
Kā minēts 1. nodaļā, katram bezvadu tīklam ir nosaukums. Tīklā ar tikai vienu piekļuves punktu nosaukums ir pamata pakalpojumu kopas ID (BSSID). Ja tīklā ir vairāk nekā viens piekļuves punkts, nosaukums kļūst par paplašinātās pakalpojumu kopas ID (ESSID). Visu tīklu nosaukumu standarta apzīmējums ir SSID — termins, ko visbiežāk redzēsit bezvadu piekļuves punktu un klientu konfigurācijas utilītprogrammās.
Konfigurējot tīkla piekļuves punktus, tam ir jāpiešķir SSID. Katram piekļuves punktam un tīkla klientam tīklā ir jāizmanto viens un tas pats SSID. Windows datoros bezvadu adaptera SSID ir jābūt arī darba grupas nosaukumam.
Kad tiek atklāti divi vai vairāki piekļuves punkti ar vienu un to pašu SSID, lietotājs pieņem, ka tie visi ir viena tīkla daļa (pat ja piekļuves punkti darbojas dažādos radio kanālos), un sazinās ar piekļuves punktu, kas nodrošina spēcīgāko vai skaidrāko signālu. Ja traucējumu vai vājināšanās dēļ šis signāls pasliktinās, klients mēģinās pāriet uz citu piekļuves punktu, kas, viņaprāt, pieder tam pašam tīklam.
Ja diviem dažādiem tīkliem ar signālu pārklāšanos ir vienāds nosaukums, klients pieņems, ka tie abi ir viena tīkla daļa, un var mēģināt veikt pāreju. No lietotāja viedokļa šāda kļūdaina pāreja izskatās pēc pilnīga tīkla savienojuma pārtraukuma. Tāpēc katram bezvadu tīklam, kas var pārklāties ar citu, ir jābūt unikālam SSID.
Unikālā SSID noteikuma izņēmumi ir publiskie un grupu tīkli, kas nodrošina piekļuvi tikai internetam, nevis citiem datoriem vai ierīcēm lokālajā tīklā. Šādiem tīkliem bieži ir kopīgs SSID, lai abonenti varētu tos atklāt un izveidot savienojumu ar tiem no vairākām vietām.
Dažiem piekļuves punktiem, tostarp Apple AirPort bāzes stacijai un līdzīgām Orinoco sistēmām, ir funkcija, kas ļauj izvēlēties starp "atvērtu" un "slēgtu" piekļuvi. Kad piekļuves punkts ir konfigurēts publiskai piekļuvei, tas pieņem savienojumus no klienta, kura SSID ir iestatīts uz Jebkurš(Jebkurš), tāpat kā no ierīcēm, kas konfigurētas saziņai, izmantojot piekļuves punkta SSID. Ja piekļuves punkts ir iestatīts kā privāts (Apple to sauc par "slēpto tīklu"), tas pieņem tikai savienojumus, kuru SSID atbilst tā SSID. Tas ir labs veids, kā aizsargāt tīklu no nepiederošām personām, taču tas darbojas tikai tad, ja katrs tīkla mezgls izmanto Orinoco adapteri (Apple AirPort karte ir Orinoco adaptera patentēta versija). Ja kāda cita ražotāja izgatavots adapteris mēģina izveidot savienojumu ar slēgtu piekļuves punktu, tas to ignorēs, pat ja SSID sakritīs.
Tīkla SSID nodrošina ļoti ierobežotu piekļuves kontroles veidu, jo, iestatot bezvadu savienojumu, jums ir jānorāda SSID. Piekļuves punkta SSID līdzeklis vienmēr ir teksta lauks, kas pieņem jebkuru nosaukumu, kuru vēlaties piešķirt. Tomēr daudzas tīkla konfigurācijas programmas (tostarp bezvadu tīkla rīki operētājsistēmā Windows XP un tie, kas tiek piegādāti dažu galveno tīkla adapteru zīmolu komplektācijā) automātiski nosaka un parāda katra aktīvā tīkla SSID to signāla diapazonā. Tāpēc pirms savienojuma izveides ne vienmēr ir jāzina tīkla SSID. Dažreiz konfigurācijas utilīta (tīkla monitors vai skenēšanas programma, kas līdzīga Network Stumbler) sarakstā vai izvēlnē parādīs katra tuvumā esošā tīkla nosaukumus.
Kā piemēru attēlā. 14.1. attēlā parādīts Network Stumbler skenera rezultāts Sietlas-Takomas lidostā, kur WayPort apkalpo pasažieru termināli un MobileStar nodrošina pārklājumu American Airlines VIP klubā. (MobileStar kļuva par daļu no cita pakalpojuma neilgi pēc šī plāna sastādīšanas, tāpēc tīklu nosaukumi ir mainījušies, taču pakalpojums paliek nemainīgs).
Katram piekļuves punktam ir noklusējuma SSID iestatījums. Šie noklusējuma iestatījumi ir labi zināmi un publicēti snooping kopienās (skatiet, piemēram, http://www.wi2600.org/mediawhore/nf0/wireless/ssid_defaults). Acīmredzot noklusējuma iestatījumus nevajadzētu izmantot nevienā tīklā.
Rīsi. 14.1
Daudziem piekļuves punktiem ir SSID slēpšanas funkcija, ko bieži sauc Slēpts tīkls vai Slēpts tīkls. Šī funkcija palīdz neļaut dažiem spiegiem atklāt jūsu tīkla nosaukumu, taču ikreiz, kad tam pievienojas jauns klients vai esošs klients saņem vāju signālu, tiek pārraidīts SSID un tāda programma kā Kismet to nosaka. SSID slēpšana var palēnināt gadījuma viesa darbību, taču nenodrošina nekādu reālu drošību.
WEP šifrēšana
WEP šifrēšana ir katras 802.11b sistēmas funkcija, tāpēc ir svarīgi zināt, kā tā darbojas, pat ja izvēlaties to neizmantot. Kā norāda nosaukums, Wired Equivalent Privacy (WEP) sākotnējais mērķis bija nodrošināt bezvadu tīklu drošības līmeni, kas ir salīdzināms ar vadu tīkla drošības līmeni. Taču ir ļoti izplatīts apgalvojums, ka tīkls, kura pamatā ir WEP šifrēšana, ir gandrīz tikpat neaizsargāts pret ielaušanos kā tīkls bez absolūti nekādas drošības. Tas pasargās no neregulāriem spiegiem, bet nebūs īpaši efektīvs pret pastāvīgu kramplauzi.
WEP veic trīs funkcijas: novērš nesankcionētu piekļuvi tīklam, pārbauda katras paketes integritāti un aizsargā datus no ļaundariem. Lai šifrētu datu paketes, WEP izmanto slepeno šifrēšanas atslēgu, pirms tīkla klients vai piekļuves punkts to pārsūta, un izmanto to pašu atslēgu, lai atšifrētu datus pēc to saņemšanas.
Kad klients mēģina sazināties ar tīklu, izmantojot citu atslēgu, rezultāts tiek izkropļots un tiek ignorēts. Tāpēc WEP iestatījumiem ir jābūt vienādiem katrā tīkla piekļuves punktā un klienta adapterī. Tas izklausās pietiekami vienkārši, taču tas kļūst mulsinoši, jo piegādātāji izmanto dažādas metodes, lai noteiktu WEP atslēgas izmēru un formātu. Funkcijas ir konsekventas dažādiem zīmoliem, taču vieniem un tiem pašiem iestatījumiem ne vienmēr ir vienādi apzīmējumi.
Cik bitu ir jūsu WEP atslēgā?
Pirmkārt, WEP atslēga var būt 64 vai 128 biti. 128 bitu atslēgas ir grūtāk uzlauzt, taču tās arī palielina katras paketes pārsūtīšanas laiku.
Neskaidrības starp dažādu pārdevēju ieviešanu rodas tāpēc, ka 40 bitu WEP ir tas pats, kas 64 bitu WEP atslēga, un 104 bitu atslēga ir tāda pati kā 128 bitu atslēga. Standarta 64 bitu WEP atslēga ir virkne, kas satur iekšēji ģenerētu 24 bitu inicializācijas vektoru un 40 bitu slepeno atslēgu, ko piešķīris tīkla administrators. Dažu ražotāju specifikācijas un konfigurācijas programmas to sauc par "64 bitu šifrēšanu", bet citas to sauc par "40 bitu šifrēšanu". Jebkurā gadījumā šifrēšanas shēma paliek nemainīga, tāpēc adapteris, kas izmanto 40 bitu šifrēšanu, ir pilnībā saderīgs ar piekļuves punktu vai adapteri, kas izmanto 64 bitu šifrēšanu.
Daudzi tīkla adapteri un piekļuves punkti satur arī "spēcīgas šifrēšanas" līdzekli, kas izmanto 128 bitu atslēgu (kas patiesībā ir 104 bitu slepenā atslēga ar 24 bitu inicializācijas vektoru).
Spēcīga šifrēšana ir vienvirziena saderīga ar 64 bitu šifrēšanu, taču tā nav automātiska, tāpēc visi jauktā ierīču tīkla komponenti ar 128 bitu un 64 bitu atslēgu darbosies ar 64 bitu šifrēšanu. Ja piekļuves punkts un visi adapteri atbalsta 128 bitu šifrēšanu, izmantojiet 128 bitu atslēgu. Bet, ja vēlaties, lai jūsu tīkls būtu saderīgs ar adapteriem un piekļuves punktiem, kas atpazīst tikai 64 bitu šifrēšanu, konfigurējiet visu tīklu, lai izmantotu 64 bitu atslēgas.
ASCII vai heksadecimālā atslēga?
Taču atslēgas garums vien ir mulsinošs, iestatot WEP šifrēšanu. Dažām programmām atslēga ir nepieciešama kā teksta rakstzīmju virkne, savukārt citām tā ir nepieciešama kā heksadecimāls skaitlis. Citi var ģenerēt atslēgu no izvēles ieejas frāzes.
Katra ASCII rakstzīme sastāv no 8 bitiem, tāpēc 40 bitu (vai 64 bitu) WEP atslēgā ir 5 rakstzīmes, bet 104 bitu (vai 128 bitu) atslēgā ir 13 rakstzīmes. Heksadecimālā katrs skaitlis sastāv no 4 bitiem, tāpēc 40 bitu atslēga satur 10 heksadecimālās rakstzīmes, bet 128 bitu atslēga ir 26 rakstzīmes.
Attēlā 14.2. attēlā, kurā ir parādīts D-Link piekļuves punkta bezvadu iestatījumu logs, 40 bitu koplietotās atslēgas drošības laukā tiek izmantotas heksadecimālās rakstzīmes, un tajā ir vieta desmit rakstzīmēm. Programmā D-Link ir visas desmit rakstzīmes vienā rindā, bet dažas citas tās sadala piecās grupās pa diviem cipariem vai divās grupās pa pieciem cipariem.
Rīsi. 14.2
Datorā atslēga izskatās vienādi, taču ir vieglāk kopēt virkni, ja tā ir sadalīta daļās.
Daudzas klientu utilītas, piemēram, Windows XP dialoglodziņš Wireless Network Properties (parādīts 14.3. attēlā), piedāvā heksadecimālā koda vai teksta izvēli, lai piekļuves punktam varētu izmantot atbilstošo formātu.
Ieejas frāze ir teksta virkne, ko adapteri un piekļuves punkti automātiski pārveido par heksadecimālo rakstzīmju virkni. Tā kā cilvēki parasti atceras jēgpilnus vārdus vai frāzes vieglāk nekā heksadecimālo gobbledygook, ieejas frāzi ir vieglāk nodot nekā heksadecimālo virkni. Tomēr ieejas frāze ir noderīga tikai tad, ja visus tīkla adapterus un piekļuves punktus ražo viens un tas pats ražotājs.
Rīsi. 14.3
Kādas funkcijas ir klāt?
Līdzīgi kā gandrīz visiem 802.11b konfigurācijas utilīta iestatījumiem, WEP funkciju nosaukumi nav nemainīgi dažādās programmās.
Daži izmanto atvērtu funkciju kopu, piemēram, “iespējot WEP šifrēšanu”, savukārt citi izmanto tehnisko terminoloģiju, kas iegūta no oficiālās 802.11 specifikācijas. Atvērtās sistēmas autentifikācija ir nosaukuma "WEP šifrēšana atspējota" otrais variants.
Daži piekļuves punkti nodrošina arī izvēles publiskās atslēgas autentifikācijas līdzekli, kas izmanto WEP šifrēšanu, kur tīkla klientam ir atslēga, bet nešifrēti dati tiek pieņemti no citiem tīkla mezgliem.
Heksadecimālo un teksta taustiņu apvienošana
Jaukta tīkla iestatīšana kļūst sarežģītāka, ja daži tīkla mezgli izmanto tikai heksadecimālās atslēgas, bet citiem ir nepieciešamas teksta atslēgas. Ja jūsu tīklā rodas šāda situācija, jums jāievēro tālāk norādītie noteikumi, lai tos konfigurētu ar WEP:
Konvertējiet visus teksta taustiņus uz heksadecimālu. Ja konfigurācijas programmai ir nepieciešams teksta taustiņš, ievadiet rakstzīmes Ak(nulle, kam seko mazais burts x) pirms heksadecimālās virknes. Ja izmantojat Apple AirPort programmatūru, tā vietā Ak Hessadecimālās atslēgas sākumā jāievada dolāra simbols ( $ );
Pārliecinieties, vai visās jūsu šifrēšanas atslēgās ir pareizais rakstzīmju skaits;
Ja problēmas joprojām nedarbojas, izlasiet drošības sadaļas tīkla adapteru un piekļuves punktu rokasgrāmatās. Iespējams, ka vienai vai vairākām no šīm tīklā esošajām ierīcēm ir kāda slēpta personības iezīme, par kuru jūs nezināt.
WEP atslēgu maiņa
Daudzi piekļuves punkti un tīkla klientu adapteri var atbalstīt līdz četrām dažādām 64 bitu WEP atslēgām, taču vienlaikus ir aktīva tikai viena, kā parādīts 1. attēlā. 14.4. Citas atslēgas ir rezerves atslēgas, kas ļauj tīkla administratoram pielāgot tīkla drošību ar īsu brīdinājumu. Adapteri un piekļuves punkti, kas atbalsta 128 bitu šifrēšanu, vienlaikus izmanto tikai vienu 128 bitu WEP atslēgu.
Rīsi. 14.4
Tīklā, kur WEP šifrēšana ir organizēta nopietni. WEP atslēgas ir regulāri jāmaina saskaņā ar grafiku. Tīklam, kas nepārraida svarīgus datus, pietiek ar mēnesi, bet nopietnākam tīklam reizi vai divas nedēļā jāuzstāda jauna atslēga. Neaizmirstiet pierakstīt pašreizējās WEP atslēgas drošā vietā.
Mājas vai neliela biroja tīklā jūs, visticamāk, pats nomainīsit visas WEP atslēgas. Pretējā gadījumā tīkla administratoram vai drošības speciālistam jaunās WEP atslēgas ir jāizplata papīra formātā, piezīmē, nevis e-pastā. Lai iegūtu papildu drošības līmeni tīklos, kuros tiek izmantota 64 bitu šifrēšana, norādiet lietotājiem mainīt divas atslēgas vienlaikus (nevis pašreizējo noklusējuma). Nosūtiet atsevišķu piezīmi, informējot lietotājus par to, kura atslēga ir kļuvusi par jauno noklusējuma taustiņu un kad tā ir jāmaina.
Tipisks iknedēļas norādījums varētu izskatīties šādi:
Lūdzu, ievadiet šādas jaunās 64 bitu WEP atslēgas:
1. atslēga: XX XX XX XX XX
4. atslēga: YY YV YY YY YY
Pēc nedēļas vēl viena piezīme nodrošinās 2. un 3. atslēgas kodus.
Atsevišķā piezīmē varētu būt teikts: “Mūsu tīkls pārslēgsies uz 3. taustiņu otrdienas pusnaktī. Lūdzu, mainiet tīkla adaptera noklusējuma atslēgu." Lai mainītu, izvēlieties laiku, kad bezvadu tīklu izmanto vismazākais lietotāju skaits, jo jebkurš aktīvais savienojums piekļuves punktā atslēgu nomaiņas brīdī tiks pārtraukts un to nevarēs atjaunot, kamēr netiks mainītas klienta adaptera atslēgas. Lietotāji var iepriekš ievadīt jaunas atslēgas kā alternatīvas pašreizējai aktīvajai atslēgai un mainīt tās ar dažiem klikšķiem, kad jaunā atslēga stājas spēkā.
Vai pietiek ar WEP aizsardzību?
Vairāki datorzinātnieki ir publicējuši ziņojumus par WEP šifrēšanu, iebilstot pret tās izmantošanu sensitīvu datu aizsardzībai. Visi no tiem norāda uz nopietniem trūkumiem kriptogrāfijas teorijā un praksē, ko izmanto WEP šifrēšanas algoritmu sastāvā. Šie eksperti ir vienisprātis savā ieteikumā: ikvienam, kas izmanto 802.11 bezvadu tīklu, drošības nolūkos nevajadzētu paļauties uz WEP. Lai aizsargātu tīklus, jāizmanto citas metodes.
Komanda no Kalifornijas Universitātes Bērklijā ir atradusi daudzus trūkumus WEP algoritmā, kas padara to neaizsargātu pret vismaz četriem dažādu veidu uzbrukumiem:
Pasīvie uzbrukumi, izmantojot statistisko analīzi datu atšifrēšanai;
Aktīvi uzbrukumi ar šifrētu pakešu izveidi, kas piespiež piekļuves punktu pieņemt viltus komandas;
Uzbrukumi, analizējot šifrētas paketes, lai izveidotu vārdnīcu, ko pēc tam var izmantot, lai automātiski atšifrētu datus reāllaikā;
Uzbrukumi, kas maina pakešu galvenes, lai novirzītu datus uz uzbrucēja kontrolēto galamērķi.
Bērklija ziņojums noslēdzas ar nepārprotamu paziņojumu: “WEP drošība nav līdzvērtīga vadu drošībai. Problēmas ar protokolu ir radušās dažu kriptogrāfijas pamatu pārpratumu un līdz ar to nedrošas šifrēšanas metožu izmantošanas rezultātā.
Pētnieki no Raisa universitātes un AT&T Labs publicēja savus aprakstus par saviem uzbrukumiem WEP šifrētiem tīkliem (http://www.cs.rice.edu/~astubble/wep), kas lika viņiem izdarīt līdzīgu secinājumu: “WEP 802.11. ir pilnīgi nedrošs." Viņi varēja pasūtīt un saņemt nepieciešamo aprīkojumu, izveidot testēšanas stendu, izstrādāt savu uzbrukuma rīku un veiksmīgi iegūt 128 bitu WEP atslēgu nepilnas nedēļas laikā.
Gan Berkeley, gan AT&T Labs ziņojumus raksta tehniskie eksperti tehniskajiem ekspertiem un analizē kriptogrāfiju. Viņu argumenti ir saprotami, taču viņu metodes paredz, ka ļaundarim ir nopietnas tehniskas zināšanas. Tomēr rīkus mazāk sarežģītiem kodu lauzējiem var atrast tikpat viegli. Gan AirSnort (http://airsnort.shmoo.com), gan WEPCrack() ir Linux programmas, kas uzrauga bezvadu tīkla signālus un izmanto WEP algoritma nepilnības, lai iegūtu šifrēšanas atslēgu.
AirSnort izstrādātāji apgalvo, ka viņu programma var veiksmīgi uzlauzt lielāko daļu tīklu divu nedēļu laikā. Šī tehnoloģija uzrauga tīkla signālus, tos neietekmējot, tāpēc tīkla administrators nevar noteikt uzbrukuma esamību. Programma tiek izlaista, lai pasliktinātu problēmu. Ja WEP šifrēšanu ir viegli izjaukt, standartu grupas ir spiestas vai nu atrast veidu, kā padarīt to drošāku, vai aizstāt to ar grūtāk uzlaužamu opciju.
Rezumējot: saglabājiet to vienkāršu un šifrējiet tīkla datus.
Šifrētie dati ir drošāki nekā vienkārša teksta pārraide, un WEP atslēgas uzlaušana prasa laiku, tāpēc WEP pievieno vēl vienu (iespējams, vāju) drošības līmeni, it īpaši, ja atslēgas tiek mainītas bieži. WEP šifrēšana neko daudz nevar aizsargāt no nopietniem ienaidniekiem, taču tā pasargās jūs no nejaušiem ļaundariem. Ir daudz vieglāk iekļūt tīklā, kurā netiek izmantota šifrēšana (to dara lielākā daļa), tāpēc hakeris, kurš atklāj šifrētu signālu, visticamāk, pāries uz mērķi ar mazāku drošību.
Palīdzība ir ceļā
Acīmredzot drošības dizains ar pietiekami lieliem caurumiem, lai izbrauktu milzīgu digitālo kravas automašīnu, ir gandrīz tikpat slikts kā vispār bez drošības. Veiksmīgi uzbrukumi WEP šifrēšanai un viegli pieejamiem rīkiem, lai izmantotu drošības protokola nepilnības, liek Wi-Fi alianses dalībniekiem nopietni apsvērt iespēju atbalstīt savu licenci kā de facto bezvadu tīkla standartu. Viņi izmanto tādus vārdus kā “krīze”, lai aprakstītu šiem jautājumiem veltīto uzmanību.
Viņi vēlas atrast risinājumu, pirms drošības pārkāpumu bēdīgā slava atsver pieprasījumu pēc viņu rūpīgi izveidotā un reklamētā bezvadu Ethernet aprīkojuma.
Jaunie standarti, kas atrisinās šo problēmu, tiks saukti par 802.11i.IEEE. 802.11 standartu komiteja sāka apspriest problēmu vairākus mēnešus pirms tā kļuva publiski zināma. Komiteja ar nosaukumu Task Group I (TGi) strādā pie jaunas, uzlabotas drošības specifikācijas, kas (cerams) novērsīs visas zināmās WEP šifrēšanas standartu nepilnības. Grupa sola, ka jaunie drošības rīki darbosies automātiski un būs savietojami ar vecākām iekārtām, kurās netiek izmantoti jaunie rīki. Pētniecības grupai ir tīmekļa vietne http://grouper.ieee.Org/groups/802/11/Reports, kurā varat atrast informāciju par sanāksmēm un izlasīt dažus tehniskos dokumentus.
Wi-Fi Alliance vēlas, lai tās dalībnieki pēc iespējas ātrāk sāktu lietot TGi produktu. Tas var mazināt situāciju, pirms tā kļūst par komerciālu katastrofu. Kad inženieri ziņos par risinājumu, visi piekļuves punktu un tīkla adapteru ražotāji savos produktos integrēs jaunās drošības metodes, un alianse pievienos tās Wi-Fi sertifikācijas testa komplektam. Atjaunināta programmatūra un programmaparatūra nodrošinās esošo 802.11b produktu savietojamību ar jaunajiem 802.11i protokoliem.
Piekļuves kontrole
Lielākajai daļai piekļuves punktu ir funkcija, kas ļauj tīkla administratoram ierobežot piekļuvi klienta adapteriem no norādītā saraksta. Ja tīkla ierīce, kuras MAC adrese nav autorizēto lietotāju sarakstā, mēģina izveidot savienojumu, piekļuves punkts ignorē pieprasījumu saistīt ar tīklu. Šī metode var būt efektīva, lai neļautu svešiniekiem izveidot savienojumu ar bezvadu tīklu, taču tā liek tīkla administratoram saglabāt pilnīgu lietotāju adapteru un viņu MAC adrešu sarakstu. Katru reizi, kad jauns lietotājs vēlas izveidot savienojumu ar tīklu un ikreiz, kad likumīgs lietotājs maina adapterus, kādam sarakstam ir jāpievieno cita MAC adrese. Tas ir iespējams mājas vai neliela biroja tīklā, taču tas var būt liela problēma lielam uzņēmumam vai universitātes pilsētiņas sistēmai.
Katra piekļuves punkta konfigurācijas utilīta piekļuves sarakstiem izmanto citu formātu. Rokasgrāmatā un tiešsaistes dokumentācijā, kas tiek piegādāta kopā ar piekļuves punktu, ir jāsniedz detalizēti norādījumi par piekļuves kontroles saraksta izveidi un lietošanu. 802.11b standarts nenosaka maksimālo ACL lielumu piekļuves punktam, tāpēc numuri tiek izplatīti visā kartē. Daži piekļuves punkti ierobežo sarakstu ar vairākiem desmitiem parametru. Citi, piemēram, Proxim Harmony AP Controller, atbalstīs līdz pat 10 000 individuālu adrešu. Pārējie pieļauj neierobežotu skaitu. Ja plānojat izmantot adrešu sarakstu, lai kontrolētu piekļuvi savam tīklam, pārliecinieties, vai piekļuves punkts apstrādās pietiekami lielu sarakstu, lai nodrošinātu visiem lietotājiem pietiekamu brīvību nākotnē. Īkšķis ir tāds, ka piekļuves punktam ir jāatļauj vismaz divreiz lielāks MAC adrešu skaits, salīdzinot ar pašreizējo lietotāju skaitu jūsu tīklā.
MAC autentifikācija nevar aizsargāt pret visiem ielaušanās gadījumiem, jo MAC adreses maiņa lielākajā daļā tīkla karšu ir nenozīmīga: uzbrucējam ir jāuzrauga jūsu tīkla trafiks pietiekami ilgi, lai atrastu derīgu lietotāju un kopētu viņa MAC adresi.
Tomēr tas var būt ļoti efektīvs veids, kā palēnināt neregulāru spiegu darbību.
Autentifikācija: 802.1x standarts
Sakarā ar drošības robiem WEP šifrēšanas specifikācijā daudzi bezvadu tīklu iekārtu ražotāji un programmatūras izstrādātāji jau ir pielāgojuši jauno IEEE standartu - 802.1x -, lai saviem tīkliem pievienotu vēl vienu drošības līmeni. 802.1x standarts nosaka sistēmu, kas var atbalstīt vairākus dažādus autentifikācijas veidus, tostarp sertifikātus, viedkartes un vienreizējas paroles, kas nodrošina lielāku drošību nekā 802.11 integrētās piekļuves vadīklas.
Bezvadu tīklos 802.11 tehnoloģija, ko sauc par Robust Security Network, ir veidota, papildinot 802.1x sistēmu, lai ierobežotu tīkla piekļuvi autorizētām ierīcēm.
Lielākajai daļai galalietotāju ir jāzina divas lietas par 802.1x: pirmkārt, tas ir integrēts dažā (bet ne visā) 802.11b aparatūrā un programmatūrā, tostarp bezvadu konfigurācijas utilītprogrammā, kas tiek piegādāta kopā ar Windows XP un daudziem moderniem piekļuves punktiem, lai tā varētu nodrošināt citu. potenciālais aizsardzības slānis; un, otrkārt, tam joprojām ir nopietni trūkumi, kurus prasmīgs tīkla hakeris var izmantot, lai iefiltrētos bezvadu tīklā. Nejaukas tehniskās detaļas, ko analizējuši divi Merilendas universitātes pētnieki, ir pieejamas tiešsaistē vietnē http://www.cs.umd.edu/~waa/1x.pdf.
Šķiet, ka ir parādījies orientieris, vai ne? Ieinteresēto aparatūras un programmatūras uzņēmumu inženieri apvienojas zem pētniecības grupas karoga
Ko darīt? Vai drošs bezvadu tīkls ir nesasniedzams ideāls? Ja paskatās uz bezvadu drošību kā kaķa un peles spēli, ir diezgan skaidrs, ka peles (spiegi un tīkla krekeri) ir ieguvējas. Taču šīm pelēm ir vajadzīgas uzlabotas zināšanas un aparatūra, lai pārvarētu esošos šifrēšanas un autentifikācijas rīkus.
Padomājiet par to kā par savas mājas ārdurvīm: ja atstājat tās plaši atvērtas, ikviens var ienākt un nozagt jūsu lietas, bet, ja aizslēgsiet durvis un aizbīdīsiet logus, zaglim būs daudz grūtāk iekļūt iekšā. . Speciālists var atvērt slēdzeni, taču tas prasīs daudz laika un pūļu.
Ugunsmūri
Ja piekrītat, ka WEP šifrēšana un 802.1x nenodrošina atbilstošu bezvadu drošību, nākamais loģiskais solis ir atrast citu veidu, kā novērst nepiederošu personu piekļuvi jūsu tīklam. Jums ir nepieciešams ugunsmūris.
Ugunsmūris ir starpniekserveris, kas filtrē visus datus, kas caur to nonāk tīklā vai no tā, atkarībā no tīkla administratora iestatīto noteikumu kopas. Piemēram, ugunsmūris var filtrēt datus no nezināma avota vai failiem, kas saistīti ar konkrētu avotu (vīrusiem). Vai arī tas var atļaut visus datus, kas tiek nosūtīti no lokālā tīkla uz internetu, bet atļaut tikai noteiktu veidu datus no interneta. Visbiežāk tīkla ugunsmūris tiek izmantots kā vārteja uz internetu, kā parādīts attēlā. 14.5. Ugunsmūris uzrauga visus datus, kas nāk un nonāk starp vietējo tīklu vienā pusē un internetu otrā pusē. Šāda veida ugunsmūris ir paredzēts, lai aizsargātu tīklā esošos datorus no nesankcionētas piekļuves no interneta.
Rīsi. 14.5
Bezvadu tīklā ugunsmūris var atrasties arī vārtejā starp bezvadu piekļuves punktiem un vadu tīklu. Šāds ugunsmūris izolē tīkla bezvadu daļu no vadu tīkla, tāpēc ļaundari, kuri bez atļaujas pievieno savus datorus tīklam, nevar izmantot bezvadu savienojumu, lai piekļūtu internetam vai tīkla vadu daļai. Attēlā 14.6. attēlā parādīta ugunsmūra atrašanās vieta bezvadu tīklā.
Rīsi. 14.6
Nedodiet iespēju bezvadu tīkla iebrucējiem
Lielākā daļa cilvēku, kas mēģina pievienoties bezvadu tīklam, neuztraucas par citiem datoriem; viņus interesē bezmaksas ātrgaitas interneta piekļuve. Ja viņi nevar izmantot jūsu tīklu, lai lejupielādētu failus vai izveidotu savienojumu ar savām iecienītākajām Web lapām, viņi, visticamāk, mēģinās atrast kādu citu nenodrošinātu bezvadu punktu. Tas nenozīmē, ka jums vajadzētu saglabāt sensitīvus datus pieejamos failos nenodrošinātos datoros, taču, ja varat ierobežot vai liegt piekļuvi internetam, jūs padarīsit savu tīklu daudz mazāk pievilcīgu nelabvēļiem. Ugunsmūris bezvadu tīklā var veikt vairākas funkcijas: tas darbojas kā maršrutētājs starp bezvadu un vadu tīklu vai kā tilts starp tīklu un internetu, bloķējot visu trafiku no bezvadu tīkla uz vadu pusi, kas nav autentificēta. lietotājs. Taču tas netraucē komandām, ziņojumiem vai failu pārsūtīšanu, ko veic uzticami lietotāji.
Tā kā gan pilnvarotie lietotāji, gan nepiederošie atrodas ugunsmūra neaizsargātajā pusē, tas neizolē bezvadu mezglus vienu no otra. Uzbrucējs joprojām var piekļūt citam datoram tajā pašā bezvadu tīklā un lasīt pieejamos failus, tāpēc labāk to atspējot Failu koplietošana(Piekļuve failiem) jebkurā datorā, kas savienots ar bezvadu tīklu.
Bezvadu ugunsmūrim ir jāizmanto noteikta veida autentifikācija, lai atļautu autorizētus lietotājus cauri vārtejai un filtrētu visus pārējos. Ja 802.11b sistēmās ir iebūvēta piekļuves kontrole, kuras pamatā ir MAC adrese, un papildu autentifikācija 802.1x sistēmā nav pieņemama, tad ārējam ugunsmūrim ir jāpieprasa katram lietotājam ievadīt pieteikumvārdu un paroli pirms savienojuma izveides ar internetu.
Ja jūsu bezvadu tīklā ir datori, kuros darbojas vairākas operētājsistēmas, ugunsmūrim ir jāizmanto pieteikšanās, kas darbojas jebkurā platformā. Vienkāršākais veids, kā to paveikt, ir izmantot tīmekļa autentifikācijas serveri, piemēram, to, kas iekļauts Apache tīmekļa serverī (http://httpd.apache.org).
NASA izmanto Apache speciālā serverī, lai izveidotu vietni, kas informē lietotājus, kad viņi ievada konta nosaukumu un paroli.
Serveris izmanto Perl/CGI skriptu, lai salīdzinātu pieteikumvārdu un paroli ar datu bāzi. Ja tie ir pareizi, tas uzdod serverim pieņemt komandas un datus no lietotāja IP adreses. Ja datu bāzē nav pieteikšanās vai parole ir neprecīza, Apache serveris parāda Web lapu “Nederīgs lietotājvārds un parole”.
Apache tīmekļa serveris ir pieejams kā Unix lietojumprogramma, kas darbojas vecā, lēnā datorā ar agrīnu Pentium vai pat 486 CPU, tāpēc bieži vien ir iespējams atkārtoti izmantot vecu datoru, kas vairs netiek izmantots ikdienā kā ugunsmūri. Gan Apache lietojumprogramma, gan Unix operētājsistēma ir pieejamas kā atvērtā pirmkoda programmatūra, tāpēc vajadzētu būt iespējai izveidot uz Apache balstītu ugunsmūri par ārkārtīgi zemām izmaksām.
Ja vēlaties izmantot Windows, nevis Unix, jums ir vairākas iespējas. Varat izmantot Apache versiju Windows NT/2000 vai komerciālu utilītu, piemēram, Wireless Enforcer no Sygate (http://www.sygate.com/prodacls/sse/sse_swe_securjty.htm) — Wireless Enforcer darbojas ar citiem Sygate elementiem. Secure Enterprise Suite Sygate Security), lai piešķirtu un pārbaudītu unikālu pirkstu nospiedumu katram autorizētajam lietotājam. Ja nepiederošie mēģina izveidot savienojumu ar piekļuves punktu bez nepieciešamā pirksta nospieduma, tīkls tos bloķē.
Tīkla izolācija no interneta
Ne visi uzbrukumi bezvadu tīklam tiek veikti pa gaisu. Bezvadu tīklam ir nepieciešams tāds pats ugunsmūra atbalsts pret interneta uzbrukumiem kā jebkuram citam tīklam. Daudzos piekļuves punktos ir konfigurējama ugunsmūra funkcionalitāte, taču, ja jūsējā tā nav, jūsu tīklā ir jābūt vienam vai vairākiem no šiem ugunsmūriem:
Ugunsmūra programma katrā datorā;
Atsevišķs maršrutētājs vai īpašs dators, kas darbojas kā tīkla ugunsmūris;
Integrēta drošības pakotne, piemēram, Sygate pakotne, kas aprakstīta iepriekšējā sadaļā.
Ugunsmūra klientu programmas nodrošina vēl vienu aizsardzības līniju pret uzbrukumiem jūsu tīklam, izmantojot internetu. Daži no tiem nāk no ļaundariem, kuri meklē veidu, kā lasīt jūsu failus un citus resursus, kurus vēlaties paslēpt no ārpasaules. Citi var vēlēties izmantot jūsu datoru kā izplatīšanas punktu surogātpasta vai infiltrācijas mēģinājumiem datorā citur pasaulē, lai padarītu faktisko resursu grūtāk izsekojamu. Citi izplata vīrusus vai izmanto nevēlamas programmas, kas pārņem vadību pār datoru un parāda iebiedējošus vai reklāmas ziņojumus. Turklāt nenodrošināta iekārta ar lielu neizmantotu krātuves vietu var būt pievilcīgs mērķis hakeriem, kas vēlas izplatīt pirātisku programmatūru, mūziku vai video failus (vai jums nešķiet, ka viņi varētu glabāt šīs nedienas savos datoros?).
Ja iestatāt ugunsmūri, kas paziņo, kad ārējs dators mēģina izveidot savienojumu ar jūsu tīklu, iespējams, katru dienu redzēsit vairākus ielaušanās mēģinājumus.
Piekļuves punkti ar ugunsmūriem
Vienkāršākā bezvadu ugunsmūra izmantošanas iespēja ir izmantot piekļuves punktā iebūvēto ugunsmūri. Daži no tiem apvieno bezvadu piekļuves punkta funkcijas ar platjoslas maršrutētāju un Ethernet slēdzi, tāpēc tie atbalsta gan vadu, gan bezvadu tīkla klientus.
Kā jūs zināt, tīkla maršrutētājs nodrošina tulkojumu starp skaitlisko IP adresi, kas nosaka vietējā tīkla vārteju, un iekšējām IP adresēm, kas nosaka atsevišķus datorus tajā. Ugunsmūris parasti bloķē visus vietējā tīkla saimniekiem ienākošos datu pieprasījumus, taču tas rada problēmas, ja vēlaties izmantot vienu vai vairākus lokālā tīkla datorus kā failu serverus. Lai atrisinātu šo problēmu, ugunsmūris ietver virtuālo serveri, kas novirza noteikta veida pieprasījumus uz atbilstošo datoru tīklā.
Katrs pieprasījums izveidot savienojumu ar serveri satur īpašu porta numuru, kas nosaka servera veidu. Piemēram, tīmekļa serveri izmanto portu 80, bet FTP izmanto portu 21, tāpēc šie portu numuri ir daļa no piekļuves pieprasījuma. Pieņemot pieprasījumus piekļūt serverim, ugunsmūrī ir jāiespējo tīkla adreses tulkošanas (NAT) funkcija, lai šos pieprasījumus novirzītu uz noteiktu datoru lokālajā tīklā. Attēlā 14.7. virtuālais serveris ir konfigurēts, lai izmantotu datoru ar vietējo IP adresi 192.168.0.177 kā tīmekļa serveri un 192.168.0.164 kā FTP failu serveri. Tabulā 14.1. tabulā parādīti visizplatītākie pakalpojumu portu numuri.
Tabula 14.1. Kopējie TCP/IP pakalpojumu portu numuri
Dažādos tīklos tiek izmantoti simtiem citu portu numuru, taču lielāko daļu no tiem jūs nekad neredzēsit reālajā lietošanā. Oficiālais piešķirto portu saraksts ir pieejams vietnē http://www.iana.org/assignments/port-numbers.
Rīsi. 14.7
NAT tulkojumā tiek pieņemts, ka katra virtuālā servera IP adreses nedrīkst mainīties no viena pieprasījuma uz nākamo. Tīmekļa serverim ar pašreizējo numuru 192.168.0.23 nevajadzētu nedēļas laikā pārslēgties uz 192.168.0.47. Parasti tā nav problēma vadu tīklā, bet gan bezvadu tīklā, kur tīkla klienti nepārtraukti pieslēdzas un atstāj. DHCP serveris katram jaunam klientam automātiski piešķir nākamo pieejamo numuru. Ja viens no šiem lietotājiem ir viena tīkla pakalpojumu porta atrašanās vieta, NAT var to neatklāt. Šī problēma nav ļoti izplatīta, jo lielākā daļa tīklu neizmanto klēpjdatorus kā serveri, taču dažreiz tā notiek. Risinājums ir vai nu atspējot DHCP serveri un katram klientam piešķirt pastāvīgu IP adresi, vai arī pārvietot pakalpojuma portu uz datoru, kuram ir vadu savienojums ar tīklu.
Ugunsmūra programmatūra
Bezvadu vārtejas ugunsmūris saskarnē starp piekļuves punktu un jūsu LAN vadu daļu neļaus nepiederošām personām izmantot tīklu, lai piekļūtu internetam, un interneta savienojuma ugunsmūris noraidīs mēģinājumus izveidot savienojumu ar tīklu no interneta, bet cita forma. bezvadu tīklam ir nepieciešama drošība. Ja kāds piekļūst jūsu bezvadu tīklam bez atļaujas, jūs vēlaties atbrīvot no tā citus likumīgos datorus tajā pašā tīklā. Tas nozīmē, ka katram tīkla mezglam ir nepieciešama klienta ugunsmūra programma.
Klienta ugunsmūris datora tīkla saskarnē veic tās pašas funkcijas, kuras visā tīklā veic tīkla vai uzņēmuma ugunsmūris. Tā nosaka savienojuma mēģinājumus TCP portos un ignorē tos, ja tie neatbilst vienam vai vairākiem ugunsmūra programmas konfigurācijas iestatījumiem.
Daži ugunsmūri ir pieejami kā izmēģinājuma versija, savukārt citi ir bez maksas nekomerciāliem lietotājiem, tāpēc varat tos viegli izmēģināt savā sistēmā un noskaidrot, kurš no tiem jums patīk vislabāk.
Tālāk ir norādītas dažas Windows programmas:
Unix un Linux lietotājiem ir arī daudzas ugunsmūra funkcijas. Lielākā daļa no tiem tika rakstīti lietošanai uz atsevišķiem ugunsmūra datoriem, kas tiek plaši izmantoti kā tīkla vārtejas, taču tie var darboties arī kā atsevišķu tīkla klientu aizsardzība.
Linux sistēmā ugunsmūris ir daļa no kodola, lietotājs ar to strādā, izmantojot konsoles utilītus – vai nu ipchains, vai iptables. Abi ir dokumentēti attiecīgi vietnēs http://linuxdoc.org/HOWTO/IPCHAINS-HOWVTO.html un http://www.netfilter.org/unreliable-guides/packet-filtering-HOWTO. IP Filter ir programmatūras pakotne, kas nodrošina ugunsmūra pakalpojumus FreeBSD un NetBSD sistēmām. Oficiālā IP filtra vietne atrodas http://coombs.anu.edu.au/-avalon, un http://www.obfuscation.org/ipf/ipf-howto.txt ir lielisks dokuments par tā izmantošanu. Programma var noraidīt vai atļaut jebkuru paketi, kas iet caur ugunsmūri, kā arī filtrēt pēc tīkla maskas vai resursdatora adreses, ieviest pakalpojumu portu ierobežojumus un nodrošināt NAT tulkošanas pakalpojumus.
NetBSD/i386 Firewall ir vēl viens bezmaksas Unix ugunsmūris.
Tas darbojas jebkurā datorā ar 486 vai lielāku CPU ar vismaz 8 MB atmiņu. NetBSD/i386 Firewall Project mājas lapa atrodas http://www.dubbele.com.
PortSentry ir portu skenēšanas rīks, kas integrējas vairākās plaši izmantotās Linux versijās, tostarp Red Hat, Caldera, Debian un Turbo Linux. Tas ir pieejams lejupielādei vietnē http://www.psionic.com/products/portsentry.html.
Virtuālie privātie tīkli
Izolējot savienojumu starp tīkla mezgliem no citas tīkla trafika, VPN var pievienot vēl vienu aizsardzības līmeni. VPN ir šifrēts pārraides kanāls, kas savieno divus tīkla galapunktus, izmantojot “datu tuneli”. Daudzi tīkla drošības eksperti iesaka VPN kā efektīvu veidu, kā aizsargāt bezvadu tīklu no ļaundariem un nesankcionētiem lietotājiem. Plašāku informāciju par VPN iestatīšanu un lietošanu varat atrast nākamajā nodaļā.
Fiziskā aizsardzība
Līdz šim mēs esam runājuši par to, lai neļautu elektroniskajiem zagļiem piekļūt jūsu tīklam. Piekļuve tīklam ir pietiekami vienkārša, izmantojot esošo aparatūru, kas tam vēl nav konfigurēta. Tas ir vēl vienkāršāk, ja uzbrucējam dators ir nozagts autorizētam lietotājam.
Pazaudēt klēpjdatoru nav patīkami. Vēl sliktāk ir atļaut zaglim izmantot nozagtu datoru, lai izsekotu tīklu. Kā tīkla operatoram jums vajadzētu atgādināt saviem lietotājiem, ka viņu pārnēsājamās ierīces ir pievilcīgi zagļu mērķi, un piedāvāt dažus padomus, kā tās aizsargāt. Kā lietotājam jums pašam ir jāievēro tie paši noteikumi.
Pirmais noteikums ir vienkāršs – neaizmirstiet, ka nēsājat datoru. Šķiet pašsaprotami, taču taksometru vadītāji Londonā sešu mēnešu laikā atrada automašīnās atstātus aptuveni 2900 klēpjdatorus (un 62 000 mobilos tālruņus!). Neskaitāmi citi ir pamesti lidmašīnās, viesnīcu istabās, piepilsētas vilcienos un konferenču telpās. Nereklamējiet, ka nēsājat līdzi datoru. Neilona somas ar lielu "IBM" vai "COMPAQ" logotipu sānos var izskatīties moderni, taču tās nav tik drošas kā parasts portfelis vai iepirkumu soma.
Vienmēr nēsājiet datoru rokās vai uz pleca, kad tas nav aizslēgts skapī vai noliktavas telpā. Novērsiet uzmanību uz minūti, un pieredzējis zaglis to var nozagt. Lidostu termināļi, dzelzceļa stacijas un viesnīcu vestibili ir izplatītas zādzību vietas. Neatstājiet nenodrošinātu personālo datoru birojā pa nakti. Neļaujiet tai iziet cauri lidostas skeneriem. Lūdziet inspektoram to pārbaudīt personīgi vai pārliecinieties, ka varat atgriezt datoru tūlīt pēc tam, kad tas beidzis kustību pa konveijera lenti. Divi cilvēki, kas strādā kopā, var jūs viegli aizturēt un nozagt jūsu datoru, pirms tas jums ir. Ja kāds mēģina nozagt jūsu datoru bagāžas pārbaudes laikā, saceliet traci un izsauciet palīdzību. Pārliecinieties, vai jūsu datoru un atsevišķu komponentu, piemēram, PC karšu, iekšpusē un ārpusē ir īpašumtiesību uzlīmes.
Biroja īpašuma drošības izsekošana (http://www.stoptheft.com) piedāvā ierakstāmas, drukātas ciānakrilāta adhezīvas drošības birkas, kuru noņemšanai ir nepieciešams 360 kg spēka, ar pastāvīgu ķīmisko marķējumu "Nozagts īpašums", kas parādās, ja kāds... vai izdzēš. īsceļu.
Ja jūs varat pārliecināt savus klientus izmantot brīdinājuma ierīces savos datoros, tas var palielināt viņu atgriešanās iespējas. Trackit (http://www.trackit-corp.com m) ir divdaļīga trauksmes ierīce, kas izmanto piespraužamu raidītāju un miniatūru uztvērēju, kas atrodas datora somā. Kad raidītājs atrodas vairāk nekā 12 m attālumā no uztvērēja, uztvērējs izstaro 110 dB sirēnu, kas parasti liek zaglim nomest nozagtu somu.
Visbeidzot, saglabājiet modeļu un sērijas numuru sarakstu atsevišķi no pašām ierīcēm. Šī informācija jums ir nepieciešama apdrošināšanas prasībai.
Ja atklājat, ka kāds no jūsu tīklam pievienotajiem datoriem ir pazaudēts vai nozagts, ir svarīgi aizsargāt pārējo tīklu. Ja iespējams, pēc iespējas ātrāk nomainiet tīkla SSID, paroli un WEP atslēgas. Ja jūsu tīkls izmanto MAC adrešu sarakstu, lai kontrolētu piekļuvi, noņemiet nozagtās ierīces MAC adresi no autorizēto savienojumu saraksta.
Tīkla savienošana ar pasauli
Ja izmantojat bezvadu tīklu, lai koplietotu interneta piekļuvi apkaimes tīklam vai universitātes pilsētiņai, vai vēlaties ļaut klientiem un citiem apmeklētājiem izveidot savienojumu ar jūsu bezvadu tīklu, jums nevajadzētu izmantot WEP vai citus drošības rīkus, lai ierobežotu piekļuvi zināmiem lietotājiem, taču jums joprojām ir jānodrošina daži drošības pasākumi.
Jūsu vēlme nodrošināt cilvēkiem tiešu savienojumu ar internetu nenozīmē, ka vēlaties ļaut viņiem klīst pa citiem jūsu tīkla datoriem; jūs vēlaties izolēt bezvadu piekļuves punktus no pārējā tīkla.
Ja visi jūsu tīkla vietējie resursdatori ir savienoti ar vadu, labākā prakse ir novietot ugunsmūri starp bezvadu piekļuves punktu un vadu LAN, ļaujot piekļuves punktam (un datoriem, kas tam pievienoti, izmantojot bezvadu savienojumus) izveidot savienojumu tikai ar internetu un ne uz kādu no vietējā saimniekdatora vadu tīklam, kā parādīts attēlā. 14.8.
Tomēr, ja daži no jūsu mājas datoriem izmanto bezvadu savienojumus, jums tie ir jāaizsargā no piekļuves citiem, kas izmanto jūsu tīkla koplietoto daļu. Ir daži veidi, kā īstenot šo plānu: attēlā. 14.9. attēlā parādīts bezvadu tīkls ar programmatūras ugunsmūri katrā mājas datorā, un att. 14.10 - sistēma, kas izmanto divus atsevišķus bezvadu tīklus ar dažādiem SSID, kas savienoti ar vienu un to pašu interneta mezglu. Vispārējais noteikums ir izmantot vienu vai vairākus ugunsmūrus, lai izolētu tīkla publisko daļu no datoriem, kurus nevēlaties pakļaut pārējai pasaulei.
Rīsi. 14.8
Rīsi. 14.9
Rīsi. 14.10
Piezīmes:
Lai centralizēti kontrolētu piekļuvi failiem operētājsistēmās Windows XP un Windows 2000, ar peles labo pogu noklikšķiniet uz konteksta izvēlnes Mans dators un atlasiet Pārvaldīt. Labajā rūtī atlasiet grāmatzīmi Koplietotās mapes, tad Akcijas. - Piezīme zinātnisks ed.
Pēdējos gados ir vērojams bezvadu tehnoloģiju pieaugums. Wi-Fi tīkli (802.11a/b/g standarta tīkli) kļūst arvien populārāki, un, ja agrāk tas galvenokārt bija par bezvadu tīklu izmantošanu birojos un karstajos punktos, tad tagad tos plaši izmanto gan mājās, gan mobilo tālruņu izvietošanai. biroji (biroji komandējumu laikā). Speciāli mājas lietotājiem un maziem birojiem tiek pārdoti bezvadu piekļuves punkti un SOHO klases bezvadu maršrutētāji, mobilajiem lietotājiem tiek pārdoti kabatas bezvadu maršrutētāji. Tomēr, pieņemot lēmumu pāriet uz bezvadu tīklu, jāatceras, ka pašreizējā attīstības stadijā tam ir viens būtisks trūkums - nepilnība drošības ziņā. Šajā rakstā mēs runāsim par visneaizsargātākajām bezvadu tīklu zonām un ar praktiskiem piemēriem parādīsim, kā tie tiek uzlauzti. Iegūtās zināšanas var veiksmīgi izmantot bezvadu tīklu drošības auditam, kas ļaus izvairīties no tradicionālajām kļūdām, kas tiek pieļautas, izvietojot bezvadu tīklus. Vispirms apskatīsim pamata drošības pasākumus, ko mūsdienās izmanto bezvadu tīklu aizsardzībai, un pēc tam runāsim par to, kā uzbrucēji tos var pārvarēt.
Bezvadu drošības metodes
802.11a/b/g bezvadu tīkla standarti nodrošina vairākus drošības mehānismus:
- autentifikācijas un datu šifrēšanas režīms, izmantojot WEP (Wired Equivalent Privacy) protokolu;
- autentifikācijas un datu šifrēšanas režīms, izmantojot WPA (Wi-Fi Protected Access) protokolu;
- filtrēšana pēc MAC adresēm;
- izmantojot slēptā tīkla identifikatora režīmu.
WEP protokols
Visas mūsdienu bezvadu ierīces (piekļuves punkti, bezvadu adapteri un maršrutētāji) atbalsta WEP drošības protokolu, kas sākotnēji tika iekļauts IEEE 802.11 bezvadu tīkla specifikācijā.
WEP protokols ļauj šifrēt pārsūtīto datu straumi, pamatojoties uz RC4 algoritmu ar atslēgas izmēru 64 vai 128 biti. Dažas ierīces atbalsta arī 152, 256 un 512 bitu atslēgas, taču tas drīzāk ir noteikuma izņēmums. Taustiņiem ir tā sauktais statiskais komponents attiecīgi 40 un 104 bitu garumā 64 un 128 bitu atslēgām, kā arī papildu dinamiskais komponents 24 bitu lielumā, ko sauc par inicializācijas vektoru (IV).
Vienkāršākajā līmenī WEP šifrēšanas procedūra ir šāda. Sākotnēji tiek pārbaudīta paketē pārsūtīto datu integritāte (CRC-32 algoritms), pēc tam kontrolsumma (Integrity Check Value, ICV) tiek pievienota paketes galvenes servisa laukam. Tālāk tiek ģenerēts 24 bitu inicializācijas vektors (IV), kuram tiek pievienota statiskā (40 vai 104 bitu) slepenā atslēga. Šādi iegūtā 64 vai 128 bitu atslēga ir sākotnējā atslēga datu šifrēšanai izmantotā pseidogadījuma skaitļa ģenerēšanai. Pēc tam dati tiek sajaukti (šifrēti), izmantojot loģisko XOR darbību ar pseidogadījuma atslēgu secību, un inicializācijas vektors tiek pievienots kadra pakalpojuma laukam.
Saņēmēja pusē datus var atšifrēt, jo kopā ar to tiek pārsūtīta informācija par inicializācijas vektoru, un atslēgas statisko komponentu saglabā lietotājs, kuram dati tiek pārsūtīti.
WEP protokols nodrošina divas lietotāja autentifikācijas metodes: atvērtā sistēma (atvērta) un koplietotā atslēga (koplietotā). Izmantojot atvērto autentifikāciju, autentifikācija faktiski nenotiek, tas nozīmē, ka jebkurš lietotājs var piekļūt bezvadu tīklam. Tomēr pat atvērtas sistēmas gadījumā ir atļauta WEP datu šifrēšana.
WAP protokols
2003. gadā tika ieviests vēl viens drošības standarts - WPA, kura galvenā iezīme ir datu šifrēšanas atslēgu dinamiskas ģenerēšanas tehnoloģija, kas veidota uz TKIP (Temporal Key Integrity Protocol) bāzes, kas ir RC4 šifrēšanas tālāka attīstība. algoritms. Saskaņā ar TKIP protokolu tīkla ierīces strādā ar 48 bitu inicializācijas vektoru (pretēji 24 bitu WEP vektoram) un ievieš noteikumus tā bitu secības maiņai, kas novērš atslēgas atkārtotu izmantošanu. TKIP protokols paredz jaunas 128 bitu atslēgas ģenerēšanu katrai pārsūtītajai paketei. Turklāt kriptogrāfiskās kontrolsummas WPA tiek aprēķinātas, izmantojot jaunu metodi - MIC (Message Integrity Code). Katrs kadrs satur īpašu astoņu baitu ziņojumu integritātes kodu, kura pārbaude ļauj atvairīt uzbrukumus, izmantojot viltotas paketes. Rezultātā izrādās, ka katrai tīklā pārsūtītajai datu paketei ir sava unikālā atslēga un katra bezvadu tīkla ierīce ir apveltīta ar dinamiski mainīgu atslēgu.
Turklāt WPA protokols atbalsta šifrēšanu, izmantojot uzlaboto AES (Advanced Encryption Standard) standartu, kuram ir drošāks kriptogrāfijas algoritms, salīdzinot ar WEP un TKIP protokoliem.
Izvietojot bezvadu tīklus mājās vai mazos birojos, parasti tiek izmantots WPA drošības protokola variants, kura pamatā ir koplietotās atslēgas - WPA-PSK (Pre Shared Key). Nākotnē mēs apsvērsim tikai WPA-PSK opciju, nepieskaroties WPA protokola opcijām, kas paredzētas korporatīvajiem tīkliem, kur lietotāju autorizācija tiek veikta uz atsevišķa RADIUS servera.
Izmantojot WPA-PSK, piekļuves punkta iestatījumos un klienta bezvadu savienojuma profilos ir norādīta parole no 8 līdz 63 rakstzīmēm.
MAC adrešu filtrēšana
MAC adrešu filtrēšana, ko atbalsta visi mūsdienu piekļuves punkti un bezvadu maršrutētāji, lai gan neietilpst 802.11 standartā, tomēr tiek uzskatīts par bezvadu tīkla drošības uzlabošanu. Lai ieviestu šo funkciju, piekļuves punkta iestatījumos tiek izveidota to klientu bezvadu adapteru MAC adrešu tabula, kuriem ir tiesības strādāt šajā tīklā.
Slēpts SSID režīms
Vēl viens piesardzības pasākums, ko bieži izmanto bezvadu tīklos, ir slēptā tīkla identifikatora režīms. Katram bezvadu tīklam tiek piešķirts unikāls identifikators (SSID), kas ir tīkla nosaukums. Kad lietotājs mēģina pieteikties tīklā, bezvadu adaptera draiveris vispirms skenē ētera viļņus, lai noteiktu bezvadu tīklu klātbūtni. Izmantojot slēpto identifikatora režīmu (parasti šo režīmu sauc par Slēpt SSID), tīkls netiek parādīts pieejamo sarakstā, un jūs varat izveidot savienojumu ar to tikai tad, ja, pirmkārt, ir precīzi zināms tā SSID, un, otrkārt, profils ir izveidots pirms savienojuma izveides ar šo tīklu.
Datorurķēšana bezvadu tīkliem
Iepazīstoties ar galvenajām 802.11a/b/g tīklu aizsardzības metodēm, mēs apsvērsim veidus, kā tās pārvarēt. Ņemiet vērā, ka WEP un WPA tīklu uzlaušanai tiek izmantoti tie paši rīki, tāpēc vispirms mēs jums pateiksim, kas ir iekļauts uzbrucēja arsenālā.
Pirmkārt, mums ir nepieciešams klēpjdators ar bezvadu adapteri. Galvenā problēma, kas rodas bezvadu uzlaušanas rīku izvēles procesā, ir programmatūras izmantotā bezvadu adaptera mikroshēmas un operētājsistēmas savietojamības nodrošināšana.
Bezvadu adaptera izvēle
Fakts ir tāds, ka lielākā daļa utilītu, kas ļauj uzlauzt bezvadu tīklus, ir “pielāgoti” Linux sistēmām. Ir dažu utilītu versijas operētājsistēmai Windows XP. Tomēr atkarībā no bezvadu adaptera mikroshēmas noteiktas bezvadu kartes var izmantot ar utilītprogrammām gan Linux, gan Windows XP sistēmām, un dažus bezvadu adapterus var izmantot tikai ar utilītprogrammām operētājsistēmai Linux vai tikai Windows XP sistēmām. Ir bezvadu adapteri, kurus neatbalsta ne Linux, ne Windows XP utilītas. Turklāt ir arī mikroshēmas, kuras, lai arī atbalsta utilītas, darbojas ārkārtīgi lēni (pakešu uztveršanas un analīzes ziņā).
Fakts ir tāds, ka, lai veiktu bezvadu tīklu uzlaušanas uzdevumu, ir nepieciešami īpaši (nestandarta) draiveri bezvadu tīkla adapteriem. Jebkura bezvadu adaptera standarta režīmi ir infrastruktūra (Basic Service Set, BSS) un ad-hoc (Independent Basic Service Set, IBSS). Infrastruktūras režīmā katrs klients ir savienots ar tīklu, izmantojot piekļuves punktu, un ad-hoc režīmā bezvadu adapteri var sazināties viens ar otru tieši, neizmantojot piekļuves punktu. Tomēr abi šie režīmi neļauj bezvadu adapterim klausīties ēterā un pārtvert paketes. Abos gadījumos tīkla adapteris uztvers paketes, kas paredzētas tikai tīklam, kuram tas ir konfigurēts. Lai varētu redzēt citus tīklus (kuriem ir slēpts ESSID) un uztvert paketes, ir īpašs uzraudzības režīms (Monitor mode), uz kuru pārslēdzoties adapteris nav saistīts ar kādu konkrētu tīklu un noķer visas pieejamās paketes. Parasti bezvadu adaptera ražotāja nodrošinātie draiveri neatbalsta uzraudzības režīmu, un, lai to iespējotu, ir jāinstalē īpaši draiveri, kurus bieži raksta trešās puses izstrādātāju grupa. Nekavējoties jāatzīmē, ka Windows operētājsistēmām šādi īpaši draiveri pastāv tikai bezvadu adapteriem, kuru pamatā ir Hermes, Realtek, Aironet un Atheros mikroshēmas. Šī režīma draivera atbalstu Linux/BSD saimes operētājsistēmām lielā mērā nosaka kartes specifikāciju atklātība, tomēr atbalstīto ierīču saraksts ir daudz plašāks nekā Windows saimei. Linux/BSD sistēmu draiverus ar uzraudzības režīma atbalstu var atrast bezvadu adapteriem, kuru pamatā ir šādas mikroshēmas: Prism, Orinoco, Atheros, Ralink, Aironet, Realtek, Hermes un Intel, lai gan draiveri, kuru pamatā ir Intel mikroshēmas, nav piemēroti visiem. ierīces.
Pašlaik visos klēpjdatoros, kuru pamatā ir Intel Centrino mobilā tehnoloģija, ir iebūvēti bezvadu adapteri, kuru pamatā ir Intel mikroshēmas (IPW2100, IPW2200, IPW2915, IPW3945 mikroshēmas), taču mūsu vajadzībām šie adapteri nav piemēroti - lai gan tie ir saderīgi ar Linux utilītiem. Datorurķēšanai šīs mikroshēmas darbojas ārkārtīgi lēni un parasti nav saderīgas ar Windows utilītiem.
Operētājsistēmas izvēle
Attiecībā uz operētājsistēmas izvēli var sniegt šādus ieteikumus. Šiem nolūkiem labāk ir izmantot Linux sistēmas, jo, izmantojot Linux, iespējamo rīku klāsts ir daudz plašāks, un Linux utilītas darbojas daudz ātrāk. Bet tas nenozīmē, ka nevar izmantot Windows XP kopā ar Windows utilītprogrammām. Nākotnē mēs apsvērsim abas bezvadu tīklu uzlaušanas iespējas - tas ir, izmantojot gan Linux, gan Windows utilītas. Tajā pašā laikā mēs lieliski saprotam, ka ne visi lietotāji steidzas pāriet no Windows uz Linux. Neskatoties uz visiem trūkumiem, Windows OS ir daudz izplatītāka, un to ir daudz vieglāk iemācīties iesācējam. Tāpēc, mūsuprāt, optimālais variants ir izmantot Windows XP kā galveno operētājsistēmu klēpjdatorā, bet bezvadu tīkla uzlaušanas uzdevumiem - Linux Live CD, kas darbojas no kompaktdiska un neprasa instalēšanu uz datora cietā. braukt. Mūsu gadījumā labākais risinājums būtu BackTrack disks, kas ir veidots uz Linux OS (kodola versija 2.6.18.3) un satur visas vajadzīgās rīku pakotnes tīklu uzlaušanai. Šī diska attēlu var lejupielādēt no vietnes, izmantojot saiti: http://www.remote-exploit.org/backtrack.html.
Programmatūras komplekts
Tradicionāli bezvadu tīklu uzlaušanai tiek izmantota aircrack programmatūras pakotne, kas pastāv gan Windows XP (aircrack-ng 0.6.2-win), gan Linux (aircrack-ng 0.7) versijās. Šī pakotne tiek izplatīta pilnīgi bez maksas, un to var lejupielādēt no oficiālās vietnes www.aircrack-ng.org. Vienkārši nav jēgas meklēt citus utilītus, jo šī pakete ir labākais risinājums savā klasē. Turklāt tas (protams, Linux versija) ir iekļauts BackTrack diskā.
Bezvadu tīklu uzlaušana, izmantojot BackTrack Live CD
Tāpēc neatkarīgi no tā, kādu operētājsistēmu esat instalējis savā klēpjdatorā, bezvadu tīkla uzlaušanai izmantosim BackTrack sāknēšanas disku. Ņemiet vērā, ka papildus rīkiem, kas mums nepieciešami bezvadu tīkla uzlaušanai, šajā diskā ir daudz citu utilītu, kas ļauj mums pārbaudīt tīklus (portu skeneri, sniffers utt.). Starp citu, šāds disks ir noderīgs jebkuram sistēmas administratoram, kas nodarbojas ar tīkla auditu.
Jebkura bezvadu tīkla uzlaušana, izmantojot BackTrack disku, tiek veikta trīs posmos (1. tabula):
- informācijas vākšana par bezvadu tīklu;
- pakešu uztveršana;
- pakešu analīze.
Vispirms ir jāsavāc detalizēta informācija par bezvadu tīklu, kas tiek uzlauzts: piekļuves punkta un bezvadu tīkla aktīvā klienta MAC adreses, tīkla nosaukums (tīkla ID) un izmantotā šifrēšanas veids. Lai to izdarītu, izmantojiet utilītas airmon-ng, airodump-ng un Kismet - pirmais no tiem ir nepieciešams, lai konfigurētu bezvadu tīkla adaptera draiveri, lai uzraudzītu bezvadu tīklu, bet pārējās divas ļauj iegūt nepieciešamo informāciju par bezvadu tīklu. tīklu. Visas šīs utilītas jau ir iekļautas BackTrack diskā.
1. tabula. Darbības, lai uzlauztu bezvadu tīklu, izmantojot BackTrack Live CD
|
Posma numurs |
Apraksts |
Izmantotie komunālie pakalpojumi |
Rezultāts |
|
|
Bezvadu tīkla informācijas vākšana |
airmon-ng airodump-ng Kismet |
Piekļuves punkta MAC adrese, aktīvā klienta MAC adrese, tīkla veids, tīkla ID, šifrēšanas veids (WEP, WPA-PSK), sakaru kanāla numurs |
||
|
Pakešu pārtveršana |
airodump-ng Kismet airoplay-ng |
|||
|
Pakešu analīze |
Taustiņu izvēle |
Paroles izvēle |
||
Nākamais solis ir pakešu tveršana, izmantojot utilītu airodump-ng. Gadījumā, ja tīklā tiek izmantota WEP šifrēšana, ir jāsavāc IV paketes, kas satur inicializācijas vektorus. Ja tīklā ir maza trafika (piemēram, klients ir neaktīvs), varat papildus izmantot utilītu airoplay-ng, lai palielinātu trafiku starp klientu un piekļuves punktu.
Ja tīkls izmanto WPA-PSK šifrēšanu, tad ir jāsavāc paketes, kas satur informāciju par klienta autentifikācijas procedūru tīklā (rokasspiediena procedūra). Lai piespiestu klientu veikt autentifikācijas procedūru tīklā, varat izmantot utilītu airoplay-ng, lai sāktu tā piespiedu atvienošanas no tīkla un pēc tam savienojuma atjaunošanas procesu.
Pēdējā posmā pārtvertā informācija tiek analizēta, izmantojot utilītu aircrack-ng. WEP šifrēšanas gadījumā atslēgas uzminēšanas varbūtība ir atkarīga no savākto IV pakešu skaita, savukārt WPA-PSK šifrēšana ir atkarīga no vārdnīcas, kas tiek izmantota paroles uzminēšanai.
Praktiski piemēri
Pēc īsa bezvadu tīkla uzlaušanas procedūras apraksta mēs pāriesim pie praktiskiem piemēriem ar detalizētu katra posma un izmantoto utilītu aprakstu.
Mūsu gadījumā mums bija darīšana ar eksperimentālu tīklu, kas sastāv no D-Link DWL-7000AP piekļuves punkta un tīkla klienta ar Gigabyte GN-WPEAG bezvadu PCI adapteri.
Lai uzlauztu tīklu, mēs izmantojām klēpjdatoru ar Gigabyte GN-WMAG bezvadu PCMCIA adapteri, kura pamatā ir Atheros mikroshēma. Ņemiet vērā, ka, izmantojot BackTrack disku, Gigabyte GN-WPEAG adapterim nav nepieciešami papildu draiveri - viss jau ir diskā.
1. posms. Informācijas vākšana par bezvadu tīklu
Tātad, pirmajā posmā mums ir jāapkopo informācija par bezvadu tīklu. Mēs ievietojam bezvadu adapteri klēpjdatorā un ielādējam operētājsistēmu no kompaktdiska. Pēc tam piezvaniet uz konsoli un palaidiet airmon-ng utilītu, kas iekļauta aircrack-ng pakotnē.
Šī utilīta ļauj noteikt pieejamās bezvadu saskarnes un piešķirt tīkla uzraudzības režīmu vienai no pieejamajām saskarnēm.
Komandas airmon-ng izmantošanas sintakse ir šāda:
airmon-ng
kur ir varianti
Sākotnēji komanda airmon-ng tiek norādīta bez parametriem, kas ļauj iegūt pieejamo bezvadu saskarņu sarakstu. Piemēram, mūsu gadījumā atbilde uz airmon-ng komandu bija šāda:
Lietošana: airmon-ng
Interfeisa mikroshēmojuma draiveris
wifi0 Atheros madwifi-ng
ath0 Atheros madwifi-ng VAP (vecāks: wifi0)
Izvēloties wifi0 kā bezvadu saskarni, ievadiet komandu airmon-ng start wifi0. Rezultātā mēs iegūstam citu interfeisu ath1, kas atrodas uzraudzības režīmā (1. att.).
Rīsi. 1. Bezvadu tīkla uzraudzības režīma iestatīšana
Tālāk jums jāpalaiž utilīta airodump-ng, kas tiek izmantota gan pakešu uztveršanai 802.11 bezvadu tīklos, gan informācijas apkopošanai par bezvadu tīklu. Komandas lietošanas sintakse ir šāda:
airodump-ng
Iespējamās komandu opcijas ir parādītas tabulā. 2.
2. tabula. Komandas airodump-ng iespējamās opcijas
|
Iespējamā nozīme |
Apraksts |
|
|
Saglabājiet tikai IV paketes |
||
|
Izmantojiet GPS dēmonu. Šajā gadījumā tiks ierakstītas arī saņemšanas punkta koordinātas |
||
|
Rakstiet (vai -w) |
Faila nosaukums |
Norāda ierakstāmā faila nosaukumu. Ja norādāt tikai faila nosaukumu, tas tiks saglabāts programmas darba direktorijā |
|
Ierakstiet visas paketes bez filtrēšanas |
||
|
Kanāla numurs (no 1 līdz 11) |
Kanāla numura norādīšana. Pēc noklusējuma tiek klausīties visi kanāli. |
|
|
Norāda 802.11a/b/g protokolu |
Mūsu gadījumā ath1 interfeiss ir iestatīts uzraudzības režīmā.
Tomēr līdz šim mums nav informācijas par tīkla veidu (802.11a/b/g), šifrēšanas veidu tīklā, un tāpēc mēs nezinām, kuras paketes ir jāpārtver (visas vai tikai IV paketes) . Tāpēc sākotnēji nevajadzētu izmantot opcijas komandā airodump-ng, bet tikai jānorāda interfeiss - tas ļaus mums savākt nepieciešamo informāciju par tīklu.
Tādējādi pirmajā posmā mēs palaižam komandu airodump-ng, izmantojot šādu sintaksi:
airodump-ng-ath1
Tas ļaus mums iegūt nepieciešamo informāciju par tīklu, proti:
- piekļuves punkta MAC adrese;
- Klienta MAC adrese;
- tīkla veids;
- Tīkla ESSID;
- šifrēšanas veids;
- sakaru kanāla numurs.
Mūsu piemērā, ievadot komandu airodump-ng ath1, mēs varējām noteikt visus nepieciešamos tīkla parametrus (2. att.):
Rīsi. 2. Informācijas vākšana par tīklu
izmantojot utilītu airodump-ng
- Piekļuves punkta MAC adrese ir 00:0D:88:56:33:B5;
- Klienta MAC adrese — 00:0E:35:48:C4:76
- tīkla tips - 802.11g;
- Tīkla ESSID - dlinkG;
- šifrēšanas veids - WEP;
- sakaru kanāla numurs - 11.
Ņemiet vērā, ka utilīta airodump-ng ļauj noteikt tīkla identifikatoru (ESSID) neatkarīgi no tā, vai piekļuves punkts ir iestatīts slēptā SSID režīmā vai nē.
Lai savāktu informāciju par tīklu, varat izmantot arī BackTrack diskā iekļauto utilītu Kismet - atšķirībā no airodump-ng tas ļauj savākt daudz vairāk informācijas par bezvadu tīklu un šajā ziņā ir pilnīgs un vislabākais savā klasē. bezvadu tīkla analizators. Šai utilītai ir grafiskais interfeiss (3. att.), kas ievērojami atvieglo darbu ar to.
Rīsi. 3. Informācijas vākšana par tīklu
izmantojot Kismet utilītu
2. posms: pakešu pārtveršana
Kad ir apkopota detalizēta informācija par bezvadu tīklu, varat sākt pakešu pārtveršanu, izmantojot tās pašas utilītas, kuras tika izmantotas informācijas vākšanai par tīklu - airodump-ng vai Kismet. Tomēr šajā gadījumā mums būs nepieciešama nedaudz atšķirīga komandu sintakse.
WEP šifrēšana
Vispirms apskatīsim iespēju, kad tīkls izmanto WEP šifrēšanu. Šajā gadījumā mums ir jāfiltrē tikai paketes ar inicializācijas vektoru (IV paketes) un jāieraksta tās failā, kas vēlāk tiks izmantots atslēgas atlasei.
Piemēram, ja ir zināms, ka uzbrukušais tīkls ir 802.11g tīkls, tas izmanto WEP šifrēšanu un pārraide tiek veikta 11. kanālā, tad pakešu pārtveršanas komandu sintakse varētu būt šāda:
airodump-ng --ivs –w dump --band g --channel 11 ath1
Šajā piemērā mēs ierakstām tikai IV paketes failā, ko sauc par dump. Veiksmīgas atslēgas izvēles iespējamība ir atkarīga no uzkrāto IV pakešu skaita un atslēgas garuma. Parasti ar atslēgas garumu 128 biti ir pietiekami, lai uzkrātu aptuveni 1-2 miljonus IV pakešu, un ar atslēgas garumu 64 biti - aptuveni vairākus simtus tūkstošu pakešu. Tomēr atslēgas garums nav iepriekš zināms, un neviena utilīta to nevar noteikt. Tāpēc analīzei ir vēlams pārtvert vismaz 1,5 miljonus pakešu. Attēlā 4. attēlā parādīts piemērs 1 137 637 IV pakešu uztveršanai utilītprogrammā airodump-ng.
Rīsi. 4. Uztveriet paketes, izmantojot utilītu airodump-ng
Uzņemto pakešu skaits tiek interaktīvi parādīts utilītprogrammā airodump-ng, un, lai apturētu pakešu uztveršanas procesu, jums vienkārši jānospiež taustiņu kombinācija Ctrl+C.
Kismet utilītu var izmantot arī pakešu uztveršanai. Faktiski pārtveršanas process sākas tūlīt pēc utilīta palaišanas, un ierakstīšana tiek veikta failā ar dump paplašinājumu, kas tiek saglabāts programmas darba direktorijā. Tomēr atšķirībā no utilīta airodump-ng, šajā gadījumā nav iespējams filtrēt tikai IV paketes un iestatīt sakaru kanāla numuru. Tāpēc, izmantojot utilītu Kismet, pakešu efektivitāte (akumulācijas ātrums) ir zemāka, un pārtveramo pakešu skaitam jābūt lielākam nekā izmantojot utilītu airodump-ng.
Bieži vien, pārtverot paketes, rodas situācija, kad starp piekļuves punktu un klientu nenotiek intensīva trafika apmaiņa, tāpēc, lai uzkrātu veiksmīgai tīkla uzlaušanai nepieciešamo pakešu skaitu, jāgaida ļoti ilgi. Tomēr šo procesu var paātrināt, liekot klientam sazināties ar piekļuves punktu, izmantojot utilītu aireplay-ng (5. att.). Šī utilīta tiek palaista paralēli utilītai airodump-ng, kurai ir jāuzsāk cita konsoles sesija.
Rīsi. 5. Izmantojot utilītu aireplay-ng, lai inicializētu trafiku
starp piekļuves punktu un klientu
Komandas sintakse ir šāda:
aireplay-ng
Šai komandai ir ļoti daudz dažādu opciju, kuras var atrast, izpildot komandu bez parametriem.
Mūsu vajadzībām komandu sintakse izskatīsies šādi:
aireplay –ng -e dlinkG -a 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 --deauth 20 ath1
Šajā gadījumā parametrs -e dlinkG norāda bezvadu tīkla ID; parametrs -a 00:0d:88:56:33:b5 — piekļuves punkta MAC adrese; parametrs -c 00:0f:ea:91:7d:95 - klienta MAC adrese; opcija --deauth 20 — uzbrukums, lai pārtrauktu savienojumu (20 reizes), kam seko klienta autentifikācija. Kad klients ir autentificēts, trafika starp to un piekļuves punktu strauji palielinās un pārtveramo pakešu skaits palielinās. Ja nepieciešams, varat palielināt savienojuma pārtraukumu skaitu vai atkārtot šo komandu, līdz ir uzkrājies nepieciešamais pakešu skaits.
WPA-PSK šifrēšana
Izmantojot WPA-PSK šifrēšanu bezvadu tīklā, pakešu pārtveršanas algoritms nedaudz atšķiras. Šajā gadījumā mums nav jāfiltrē IV paketes, jo ar WPA-PSK šifrēšanu tās vienkārši nepastāv, taču arī nav jēgas tvert visas paketes pēc kārtas. Patiesībā viss, kas mums nepieciešams, ir neliela daļa no trafika starp piekļuves punktu un bezvadu tīkla klientu, kas satur informāciju par klienta autentifikācijas procedūru tīklā (rokasspiediena procedūra). Bet, lai pārtvertu klienta autentifikācijas procedūru tīklā, tā vispirms ir jāuzsāk piespiedu kārtā, izmantojot utilītu aireplay-ng.
Tāpēc ar WPA-PSK šifrēšanu pakešu pārtveršanas algoritms būs šāds. Mēs atveram divas konsoles sesijas un pirmajā sesijā izpildām komandu, lai piespiestu tīklu atvienoties, kam seko klienta atkārtota identifikācija (utilīta airplay-ng, deautentifikācijas uzbrukums), bet otrajā sesijā ar viena vai divu pauzi. sekundes mēs palaižam komandu, lai pārtvertu paketes (utilīta airodump-ng). Komandu sintakses ir šādas:
aireplay–ng -e dlinkG -a 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 -deauth 10 ath1
airodump-ng –w dump -band g -channel 11 ath1
Kā redzat, komandas aireplay-ng sintakse ir tieši tāda pati kā WEP šifrēšanai, kad šī komanda tika izmantota, lai inicializētu trafiku starp piekļuves punktu un tīkla klientu (vienīgā atšķirība ir tā, ka ir mazāk autentifikācijas pakešu). . Komandas airodump-ng sintaksei trūkst IV pakešu filtra.
Pakešu tveršanas process ir jāturpina tikai dažas sekundes, jo, ja ir aktivizēts autentifikācijas uzbrukums, rokasspiediena pakešu uztveršanas varbūtība ir gandrīz simts procenti.
3. posms: pakešu analīze
Pēdējā posmā pārtvertās paketes tiek analizētas, izmantojot utilītu aircrack-ng, kas tiek palaista konsoles sesijā. Protams, komandas aircrack-ng sintakse WEP un WPA-PSK šifrēšanai atšķiras. Vispārējā komandu sintakse ir šāda:
aircrack-ng
Iespējamās komandu opcijas ir parādītas tabulā. 3. Ņemiet vērā, ka vairākus failus ar paplašinājumu *.cap vai *.ivs var norādīt kā failus, kas satur tvertās paketes (tveršanas failu(s)). Turklāt, uzlaužot tīklus ar WEP šifrēšanu, vienlaikus var palaist utilītas airodump-ng un aircrack-ng (tiek izmantotas divas konsoles sesijas). Šajā gadījumā aircrack-ng automātiski atjauninās IV pakotņu datu bāzi.
3. tabula. Iespējamās komandas aircrack-ng opcijas
|
Iespējamā nozīme |
Apraksts |
|
|
1 = statisks WEP, 2 = WPA-PSK |
Norāda uzbrukuma veidu (WEP vai WPA-PSK) |
|
|
Ja tiek dota opcija, tiks izmantotas visas IV paketes ar vienādu ESSID vērtību. Šī opcija tiek izmantota arī WPA-PSK tīklu uzlaušanai, ja ESSID netiek pārraidīts (slēptā tīkla identifikatora režīms) |
||
|
Piekļuves punkta MAC adrese |
Tīkla izvēle, pamatojoties uz piekļuves punkta MAC adresi |
|
|
Slēpts darbības režīms. Informācija netiek parādīta, kamēr atslēga nav atrasta vai atslēga nav atrodama |
||
|
WEP tīkliem tas ierobežo atslēgas izvēli tikai ar ciparu un burtu kopu |
||
|
WEP tīklos atslēgas minēšana tiek ierobežota līdz tikai heksadecimālo rakstzīmju kopai |
||
|
WEP tīkliem tas ierobežo atslēgas izvēli tikai ar ciparu kopu |
||
|
WEP tīkliem norāda atslēgas sākumu heksadecimālā formātā. Izmanto programmas atkļūdošanai |
||
|
Klienta MAC adrese |
WEP tīkliem iestata pakešu filtru, pamatojoties uz klienta MAC adresi. -m ff:ff:ff:ff:ff:ff tiek izmantots, lai savāktu visas IV paketes |
|
|
64 (40 bitu atslēgai) 128 (104 bitu atslēgai) 152 (128 bitu atslēgai) 256 (232 bitu atslēgai) 512 (488 bitu atslēgai) |
WEP tīkliem norāda atslēgas garumu. Noklusējuma atslēgas garums ir 104 biti |
|
|
WEP tīkliem norāda IV pakešu kolekciju, kurām ir noteikts atslēgas indekss (no 1 līdz 4). Pēc noklusējuma šī opcija tiek ignorēta |
||
|
Parametrs tiek izmantots, uzlaužot WEP tīklus - 104 bitu atslēgai noklusējuma vērtība ir 2, 40 bitu atslēgām - 5. Lielāka šī parametra vērtība ļauj aprēķināt atslēgas ar mazāku pakešu skaitu, bet ilgākā laika periodā. |
||
|
Izmanto WEP tīklu uzlaušanai. Šis parametrs ļauj izslēgt konkrētus korek uzbrukumu veidus (kopā ir 17 korek uzbrukumu veidi) |
||
|
Izmanto WEP tīklu uzlaušanai. Atspējo pēdējās rakstzīmes meklēšanu taustiņā |
||
|
Izmanto WEP tīklu uzlaušanai. Ļauj meklēt pēdējo rakstzīmi taustiņā (noklusējums) |
||
|
Izmanto WEP tīklu uzlaušanai. Ļauj meklēt pēdējās divas rakstzīmes taustiņā |
||
|
Izmanto WEP tīklu uzlaušanai. Aizliedz SMP sistēmās izmantot vairākus procesorus |
||
|
Izmanto WEP tīklu uzlaušanai. Ļauj izmantot īpašu (eksperimentālu) uzbrukuma veidu, lai atlasītu atslēgu. Izmanto, ja standarta uzbrukumi neļauj atrast atslēgu, izmantojot vairāk nekā 1 miljonu IV pakešu |
||
|
Ceļš uz vārdnīcu |
WPA-PSK uzbrukuma laikā norāda ceļu uz izmantoto vārdnīcu |
Izmantojot WEP šifrēšanu, galvenā problēma ir tā, ka mēs iepriekš nezinām šifrēšanai izmantotās atslēgas garumu. Tāpēc varat mēģināt izmēģināt vairākas atslēgas garuma opcijas, ko norāda parametrs -n. Ja šis parametrs nav norādīts, pēc noklusējuma atslēgas garums ir iestatīts uz 104 bitiem (-n 128).
Ja zināt kādu informāciju par pašu atslēgu (piemēram, tā sastāv tikai no cipariem vai tikai no burtiem, vai tikai no burtu un ciparu kopas, bet nesatur speciālās rakstzīmes), varat izmantot taustiņu -c, -t un -h opcijas.
Mūsu gadījumā mēs izmantojām komandu aircrack-ng ar šādu sintaksi:
aircrack-ng –a 1 –e dlinkG –b 00:0d:88:56:33:b5 –c 00:0f:ea:91:7d:95 –n 128 dump.ivs.
Šeit piekļuves punkta un klienta MAC adreses, kā arī tīkla ESSID norādīšana ir lieka, jo tika izmantots tikai viens piekļuves punkts un viens bezvadu klients. Taču, ja ir vairāki klienti un ir vairāki piekļuves punkti, tad arī šie parametri ir jānorāda.
Rezultātā mēs varējām atrast 128 bitu atslēgu tikai 25 s (6. att.). Kā redzat, tīkla uzlaušana, pamatojoties uz WEP šifrēšanu, nav nopietna problēma, taču tā ne vienmēr beidzas ar panākumiem. Var izrādīties, ka nav uzkrāts pietiekami daudz IV pakešu, lai atlasītu atslēgu.
Rīsi. 6. 128 bitu atslēgas izvēle
izmantojot utilītu aircrack-ng
WPA-PSK šifrēšanai tiek izmantota šāda komandu sintakse:
aircrack-ng –a 2 –e dlinkG–b 00:0d:88:56:33:b5 –w dict dump.cap.
Šajā gadījumā pozitīva rezultāta varbūtība, tas ir, iespēja uzminēt visu paroli, ir atkarīga no izmantotās vārdnīcas. Ja parole ir vārdnīcā, tā tiks atrasta. Programmas aircrack-ng izmantotā vārdnīca vispirms ir jāinstalē programmas darba mapē vai jānorāda pilns ceļš uz vārdnīcu. Labu vārdnīcu izlasi var atrast vietnē www.insidepro.com. Ja tie nepalīdz, visticamāk, parole ir bezjēdzīga rakstzīmju kopa. Galu galā vārdnīcās ir vārdi vai frāzes, kā arī ērti, viegli iegaumējami īsinājumtaustiņi. Ir skaidrs, ka vārdnīcās nav patvaļīgas rakstzīmju kopas. Bet pat šajā gadījumā ir izeja. Dažas utilītas, kas paredzētas paroles uzminēšanai, var ģenerēt vārdnīcas no noteiktas rakstzīmju kopas un maksimālā vārda garuma. Šādas programmas piemērs ir PasswordPro v.2.2.5.0.
Tomēr mēs vēlreiz atzīmējam, ka WPA-PSK paroles uzlaušanas iespējamība ir ļoti zema. Ja parole nav norādīta neviena vārda formā, bet ir nejauša burtu un ciparu kombinācija, tad to ir gandrīz neiespējami uzminēt.
Vispārināšana
Lai apkopotu visu iepriekš teikto par bezvadu tīklu uzlaušanu, mēs vēlreiz uzskaitīsim šī procesa galvenos posmus un katrā no tiem izmantotās komandas.
1. posms. Informācijas vākšana par tīklu:
Airmon-ng start wifi0;
Airodump-ng ath1.
2. posms. Paku savākšana:
- WEP gadījums:
Airodump-ng --ivs -w dump --band g --channel 11 ath1,
Aireplay -ng -e dlinkG -a 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 --deauth 20 ath1
(ja nav pietiekami daudz trafika. Komanda tiek palaista atsevišķā konsoles sesijā);
- WPA-PSC korpuss:
-aireplay-ng -e dlinkG -a 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 --deauth 10 ath1,
Airodump-ng -w dump --band g --channel 11 ath1
(komanda tiek izpildīta atsevišķā konsoles sesijā).
3. posms. Pakešu analīze:
- WEP gadījums:
Aircrack-ng -a 1 -e dlinkG -b 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 -n 128 dump.ivs;
- WPA-PSK korpuss:
Aircrack-ng -a 2 -e dlinkG-b 00:0d:88:56:33:b5 -w dict dump.cap.
Bezvadu tīklu uzlaušana, izmantojot aircrack-ng 0.6.2-win pakotni un Windows XP
Kā mēs jau atzīmējām raksta sākumā, ir aircrack-ng pakotnes 0.6.2-win versija, ko atbalsta operētājsistēma Windows XP. Uzreiz atzīmēsim, ka pakotnes iespējas nav tik plašas, salīdzinot ar tās Linux ekvivalentu, un tāpēc, ja nav izteiktu aizspriedumu pret Linux, tad labāk ir izmantot opciju ar BackTrack disku.
Pirmā lieta, kas jums jāsaskaras, izmantojot aircrack-ng programmas Windows versiju, ir nepieciešamība aizstāt standarta draiverus no bezvadu tīkla adaptera ražotāja ar īpašiem draiveriem, kas atbalsta uzraudzības un pakešu pārtveršanas režīmu. Turklāt, tāpat kā programmas Linux versijas gadījumā, konkrētā draivera versija ir atkarīga no mikroshēmas, uz kuras ir izveidots tīkla adapteris. Piemēram, izmantojot mūsu Gigabyte GN-WMAG bezvadu PCMCIA adapteri, kura pamatā ir Atheros AR5004 mikroshēma, mēs izmantojām draivera versiju 5.2.1.1 no WildPackets.
Bezvadu tīkla uzlaušanas procedūra, izmantojot aircrack-ng pakotnes Windows versiju, ir diezgan vienkārša un konceptuāli atkārto bezvadu tīklu uzlaušanas procedūru, izmantojot pakotnes Linux versiju. Tradicionāli tas tiek veikts trīs posmos: informācijas vākšana par tīklu, pakešu pārtveršana un to analīze.
Lai sāktu darbu ar utilītu, jums ir jāpalaiž Aircrack-ng GUI.exe fails, kuram ir ērts grafiskais interfeiss un kas faktiski ir grafiskais apvalks visām utilītprogrammām, kas iekļautas aircrack-ng 0.6.2-win. iepakojums. Programmas galvenajā logā (7. att.) ir vairākas cilnes, starp kurām pārslēdzoties var aktivizēt nepieciešamās utilītas.
Rīsi. 7. Aircrack-ng GUI utilīta galvenais logs
Lai savāktu nepieciešamo informāciju par tīklu, jums jāiet uz cilni airdump-ng, pēc tam atsevišķā logā tiks palaists utilīta airdump-ng 0.6.2.
Palaižot programmu airdump-ng 0.6.2 (8. att.), tiks atvērts dialoglodziņš, kurā būs jānorāda bezvadu tīkla adapteris (tīkla interfeisa indeksa numurs), tīkla interfeisa veids (o/a) mikroshēma, bezvadu kanāla numura sakari (kanāls(-i): 1 līdz 14, 0=visi) (ja kanāla numurs nav zināms, varat skenēt visus kanālus). Turklāt tiek norādīts izvades faila nosaukums, kurā tiek glabātas uzņemtās paketes (Izvades faila nosaukuma prefikss), un norādīts, vai ir nepieciešams tvert visas paketes (CAP faili) vai tikai daļu no paketēm ar inicializācijas vektoriem. (IVS faili) (Rakstiet tikai WEP IV (y/n)). Izmantojot WEP šifrēšanu, lai izvēlētos slepeno atslēgu, pietiek tikai ģenerēt IVS failu, bet, izmantojot WPA-PSK šifrēšanu, būs nepieciešams cap fails. Pēc noklusējuma IVS vai CAP faili tiek izveidoti tajā pašā direktorijā, kur programma airdump-ng 0.6.2.
Rīsi. 8. Lietderības airdump-ng 0.6.2 iestatīšana
Pēc visu utilītas airodump-ng 0.6.2 opciju konfigurēšanas tiks atvērts informācijas logs, kurā tiek parādīta informācija par atklātajiem bezvadu piekļuves punktiem, informācija par tīkla klientiem un pārtverto pakešu statistika (9. att.).
Rīsi. 9. Lietderības airodump-ng 0.6.2 informācijas logs
Ja ir vairāki piekļuves punkti, statistika tiks parādīta katram no tiem.
Vispirms ir jāpieraksta piekļuves punkta MAC adrese, bezvadu tīkla SSID un viena tam pievienotā klienta MAC adrese (ja tādi ir vairāki). Tad jums jāgaida, līdz tiek pārtverts pietiekams skaits pakešu. Lai apturētu pakešu uztveršanas procesu (utilīta darbību), izmantojiet taustiņu kombināciju Ctrl+C. Ņemiet vērā, ka pakotnes Windows versija nenodrošina metodes, lai piespiedu kārtā palielinātu trafiku starp piekļuves punktu un tīkla klientu (atcerieties, ka pakotnes Linux versijā šim nolūkam ir nodrošināta utilīta aireplay-ng).
Galvenā problēma, uzlaužot WPA-PSK tīklus, izmantojot programmas Aircrack-ng GNU 0.6.2 Windows versiju, ir tāda, ka klienta inicializācijas procedūra tīklā ir jāietver CAP failā, tas ir, jums būs jāsēž slazdā. ar darbojošos programmu airodump-ng. Kad tīkla klienta inicializācijas procedūra ir tverta CAP failā, varat apturēt airodump programmu un sākt atšifrēšanas procesu. Faktiski šajā gadījumā nav nepieciešams uzkrāt pārtvertās paketes, jo slepenās atslēgas aprēķināšanai tiek izmantotas tikai paketes, kas inicializācijas laikā pārsūtītas starp piekļuves punktu un klientu.
WEP šifrēšanas gadījumā pēc izvades IVS faila ģenerēšanas varat sākt to analizēt, izmantojot utilītu aircrack-ng 0.6.2, kuras palaišanai vēlreiz ir jāatver programmas Aircrack-ng GUI galvenais logs. atbilstošo cilni un konfigurējiet aircrack-ng utilītu. Izmantojot WEP šifrēšanu, utilīta iestatīšana sastāv no WEP atslēgas garuma iestatīšanas, bezvadu tīkla ESSID norādīšanas, piekļuves punkta MAC adreses iestatīšanas, izslēdzot noteikta veida uzbrukumus (RoreK uzbrukumus), nepieciešamības gadījumā iestatot, taustiņam izmantotā rakstzīmju kopa utt. Šeit ir sniegti visi tie paši iestatījumi kā šīs utilītas Linux versijas gadījumā. Vienīgā atšķirība ir tāda, ka Linux versijā visi iestatījumi ir norādīti kā opcijas komandrindā, savukārt Windows versijā utilīta konfigurēšanai tiek izmantots ērts grafiskais interfeiss (10. att.).
Rīsi. 11. IVS failu analīzes rezultāts
aircrack-ng 0.6.2 lietderība
IVS failu analīzes rezultāts ir parādīts attēlā. 11. Maz ticams, ka līnija ATRASTĀS! vajag komentārus. Lūdzu, ņemiet vērā: slepenā atslēga tika aprēķināta tikai 1 sekundē!
Izmantojot WPA-PSK šifrēšanu utilīta aircrack-ng 0.6.2 iestatījumos, kā izvades fails ir jāizmanto CAP fails, nevis IVS fails. Turklāt ir jānorāda ceļš uz uzlaušanai izmantoto vārdnīcu, kas ir iepriekš instalēta direktorijā ar programmu aircrack-ng 0.6.2 (12. att.).
Rīsi. 12. IVS failu analīzes rezultāts
aircrack-ng 0.6.2 lietderība
CAP faila analīzes rezultāts ir parādīts attēlā. 13. Tomēr jāpatur prātā, ka pozitīvs atslēgas meklēšanas rezultāts ir iespējams tikai tad, ja analizētajā vārdnīcā ir parole.
Rīsi. 13. CAP failu analīzes rezultāts
Apejot MAC adreses filtra aizsardzību
Raksta pašā sākumā mēs atzīmējām, ka papildus WEP un WPA-PSK šifrēšanai bieži tiek izmantotas tādas funkcijas kā slēptā tīkla identifikatora režīms un MAC adrešu filtrēšana. Tos tradicionāli klasificē kā bezvadu drošības līdzekļus.
Kā mēs jau esam pierādījuši ar aircrack-ng pakotni, jūs nevarat paļauties uz slēpto tīkla identifikatora režīmu. Mūsu pieminētā utilīta airodump-ng joprojām parādīs tīkla SSID, ko vēlāk var izmantot, lai izveidotu savienojuma profilu (nesankcionētu!) ar tīklu.
Nu, ja mēs runājam par tādu drošības pasākumu kā filtrēšana pēc MAC adresēm, tad šeit viss ir ļoti vienkārši. Internetā var atrast diezgan daudz dažādu utilītu gan Linux, gan Windows, kas ļauj nomainīt tīkla interfeisa MAC adresi. Kā piemēru varam minēt šādas Windows utilītas: SMAC 2.0 (maksas utilīta, http://www.klcconsulting.net/smac), MAC MakeUP (bezmaksas utilīta, www.gorlani.com/publicprj/macmakeup/macmakeup.asp - 14. att.) vai MAC Spoofer 2006 (bezmaksas utilīta).
Rīsi. 14. MAC adreses viltošana, izmantojot utilītu MAC MakeUP
Pēc šādas aizstāšanas varat izlikties par savu un ieviest nesankcionētu piekļuvi bezvadu tīklam. Turklāt abi klienti (īstie un nelūgtie) diezgan mierīgi eksistēs vienā tīklā ar vienu un to pašu MAC adresi, turklāt šajā gadījumā nelūgtajam viesim tiks piešķirta tieši tāda pati IP adrese kā reālajam tīkla klientam.
secinājumus
Tātad, nav grūti pārvarēt visu bezvadu tīkla drošības sistēmu, kuras pamatā ir WEP šifrēšana. Varbūt daudzi teiks, ka tam nav nozīmes, jo WEP protokols jau sen ir miris - tas netiek izmantots. Tas tika aizstāts ar izturīgāku WPA protokolu. Tomēr nesteigsimies ar secinājumiem. Tā ir taisnība, bet tikai daļēji. Fakts ir tāds, ka dažos gadījumos, lai palielinātu bezvadu tīkla diapazonu, tiek izvietoti tā sauktie izplatītie bezvadu tīkli (WDS), pamatojoties uz vairākiem piekļuves punktiem. Interesantākais ir tas, ka šādi tīkli neatbalsta WPA protokolu un vienīgais pieņemamais drošības pasākums šajā gadījumā ir WEP šifrēšanas izmantošana. Šajā gadījumā WDS tīkli tiek uzlauzti tieši tāpat kā tīkli, kuru pamatā ir viens piekļuves punkts. Turklāt plaukstdatori, kas aprīkoti ar bezvadu moduli, arī neatbalsta WPA protokolu, tāpēc, lai bezvadu tīklā iekļautu uz PDA balstītu klientu, tajā ir jāizmanto WEP protokols. Līdz ar to WEP protokols bezvadu tīklos būs pieprasīts ilgu laiku.
Mūsu aplūkotie bezvadu tīklu uzlaušanas piemēri ļoti skaidri parāda to ievainojamību. Ja mēs runājam par WEP protokolu, to var salīdzināt ar nepārprotamu aizsardzību. Tas ir apmēram tas pats, kas automašīnas signalizācija – tikai tā paglābj no huligāniem. Kas attiecas uz tādiem piesardzības pasākumiem kā MAC adrešu filtrēšana un slēptā tīkla identifikatora režīms, tos vispār nevar uzskatīt par aizsardzību. Tomēr pat šādus līdzekļus nevajadzētu atstāt novārtā, lai gan tikai kopā ar citiem pasākumiem.
WPA protokols, lai arī daudz grūtāk uzlauzt, arī ir neaizsargāts. Tomēr nezaudējiet drosmi - ne viss ir tik bezcerīgi. Fakts ir tāds, ka WPA slepenās atslēgas uzlaušanas panākumi ir atkarīgi no tā, vai tā atrodas vārdnīcā vai nav. Mūsu izmantotā standarta vārdnīca ir tikai nedaudz lielāka par 40 MB, kas parasti nav tik daudz. Pēc trim mēģinājumiem mums izdevās atrast atslēgu, kuras vārdnīcā nebija, un tīkla uzlaušana izrādījās neiespējama. Vārdu skaits šajā vārdnīcā ir tikai 6 475 760, kas, protams, ir ļoti maz. Var izmantot lielākas ietilpības vārdnīcas, piemēram, internetā var pasūtīt vārdnīcu trīs kompaktdiskos, tātad gandrīz 2 GB apjomā, taču pat tajā nav visas iespējamās paroles. Patiešām, aptuveni aprēķināsim paroļu skaitu no 8 līdz 63 rakstzīmēm, kuras var izveidot, izmantojot 26 angļu alfabēta burtus (reģistrjutīgs), desmit ciparus un 32 krievu alfabēta burtus. Izrādās, ka katru simbolu var izvēlēties 126 veidos. Attiecīgi, ja ņemam vērā tikai paroles, kuru garums ir 8 rakstzīmes, tad iespējamo kombināciju skaits būs 1268=6,3·1016. Ja katra vārda izmērs no 8 rakstzīmēm ir 8 baiti, tad šādas vārdnīcas izmērs būs 4,5 miljoni terabaitu. Bet tās ir tikai astoņu simbolu kombinācijas! Kādu vārdnīcu iegūsi, ja iziesi cauri visām iespējamām kombinācijām no 8 līdz 63 rakstzīmēm?! Nav jābūt matemātiķim, lai aprēķinātu, ka šādas vārdnīcas izmērs būs aptuveni 1,2·10119 TB.
Tāpēc nevajag izmisumā. Pastāv liela iespēja, ka parole, kuru izmantojat, nav vārdnīcā. Vienkārši, izvēloties paroli, nevajadzētu lietot vārdus, kuriem ir jēga. Vislabāk, ja tā ir nejauša rakstzīmju kopa — kaut kas līdzīgs “FGproukqweRT4j563app”.
Nesankcionēta piekļuve – informācijas lasīšana, atjaunināšana vai iznīcināšana bez attiecīgas pilnvaras.
Neatļauta piekļuve parasti tiek veikta, izmantojot svešu vārdu, mainot ierīču fiziskās adreses, izmantojot informāciju, kas palikusi pēc problēmu risināšanas, pārveidojot programmatūru un informāciju, nozogot datu nesējus, uzstādot ierakstīšanas iekārtas.
Lai veiksmīgi aizsargātu jūsu informāciju, lietotājam ir jābūt pilnīgi skaidrai izpratnei par iespējamiem nesankcionētas piekļuves veidiem. Galvenie tipiski nesankcionētas informācijas iegūšanas veidi:
· datu nesēju un ražošanas atkritumu zādzība;
· datu nesēju kopēšana, pārvarot drošības pasākumus;
· maskēties par reģistrētu lietotāju;
· mānīšana (maskēties kā sistēmas pieprasījumi);
· operētājsistēmu un programmēšanas valodu nepilnību izmantošana;
· programmatūras grāmatzīmju un “Trojas zirga” tipa programmatūras bloku izmantošana;
· elektroniskā starojuma pārtveršana;
· akustiskā starojuma pārtveršana;
· attālināta fotografēšana;
· noklausīšanās ierīču lietošana;
· ļaunprātīga aizsardzības mehānismu atspējošana u.c.
Lai aizsargātu informāciju no nesankcionētas piekļuves, tiek izmantoti šādi:
1) organizatoriskie pasākumi;
2) tehniskie līdzekļi;
3) programmatūra;
4) šifrēšana.
Organizatoriskie pasākumi ietver:
· piekļuves režīms;
· datu nesēju un ierīču uzglabāšana seifā (disketes, monitors, tastatūra utt.);
· personu piekļuves ierobežošana datortelpām u.c.
Tehniskie līdzekļi ietver:
· filtri, ekrāni aprīkojumam;
· taustiņš tastatūras bloķēšanai;
· autentifikācijas ierīces – pirkstu nospiedumu, rokas formas, varavīksnenes, mašīnrakstīšanas ātruma un tehnikas u.c. nolasīšanai;
· elektroniskās atslēgas uz mikroshēmām u.c.
Programmatūras rīki ietver:
· piekļuve parolei – lietotāja atļauju iestatīšana;
· bloķēt ekrānu un tastatūru, izmantojot taustiņu kombināciju Diskreet utilītprogrammā no Norton Utilites pakotnes;
· BIOS paroles aizsardzības rīku izmantošana - pašā BIOS un datorā kopumā utt.
Šifrēšana ir atvērtas informācijas pārveidošana (kodēšana) šifrētā informācijā, kas nepieejama nepiederošām personām. Ziņojumu šifrēšanas un atšifrēšanas metodes pēta kriptoloģijas zinātne, kuras vēsture sniedzas aptuveni četrus tūkstošus gadu senā pagātnē.
2.5. Informācijas aizsardzība bezvadu tīklos
Neticami straujais bezvadu risinājumu ieviešanas temps mūsdienu tīklos liek aizdomāties par datu aizsardzības uzticamību.
Pats bezvadu datu pārraides princips ietver nesankcionētu savienojumu iespēju ar piekļuves punktiem.
Tikpat bīstams drauds ir aprīkojuma zādzības iespēja. Ja bezvadu tīkla drošības politika ir balstīta uz MAC adresēm, uzbrucēja nozagta tīkla karte vai piekļuves punkts var atvērt piekļuvi tīklam.
Bieži vien nesankcionētu piekļuves punktu pieslēgšanu LAN veic paši uzņēmuma darbinieki, kuri par aizsardzību nedomā.
Šādas problēmas ir jārisina visaptveroši. Organizatoriskie pasākumi tiek izvēlēti, pamatojoties uz katra konkrētā tīkla darbības apstākļiem. Runājot par tehniskajiem pasākumiem, ļoti labi rezultāti tiek sasniegti, izmantojot obligātu ierīču savstarpējo autentifikāciju un ieviešot aktīvās kontroles.
2001. gadā parādījās pirmās draiveru un programmu ieviešanas iespējas, kas varēja tikt galā ar WEP šifrēšanu. Visveiksmīgākā ir PreShared Key. Bet tas ir tikai labi, ja ir uzticama šifrēšana un regulāra augstas kvalitātes paroļu nomaiņa (1. att.).
1. attēls. Algoritms šifrētu datu analīzei
Mūsdienu aizsardzības prasības
Autentifikācija
Šobrīd dažādās tīkla iekārtās, tostarp bezvadu ierīcēs, plaši tiek izmantota modernāka autentifikācijas metode, kas noteikta 802.1x standartā - kamēr nav veikta savstarpēja pārbaude, lietotājs nevar ne saņemt, ne pārsūtīt nekādus datus.
Vairāki izstrādātāji izmanto EAP-TLS un PEAP protokolus autentifikācijai savās ierīcēs.Cisco Systems saviem bezvadu tīkliem papildus jau minētajiem piedāvā šādus protokolus: EAP-TLS, PEAR, LEAP, EAP-FAST.
Visām mūsdienu autentifikācijas metodēm ir nepieciešams dinamisko atslēgu atbalsts.
Galvenais LEAP un EAP-FAST trūkums ir tas, ka šie protokoli tiek atbalstīti galvenokārt Cisco Systems iekārtās (2. att.).
2. attēls - 802.11x pakešu struktūra, izmantojot TKIP-PPK, MIC un WEP šifrēšanu.
Šifrēšana un integritāte
Pamatojoties uz Cisco Systems 802.11i rekomendācijām, ir ieviests TCIP (Temporal Integrity Protocol) protokols, kas nodrošina PPK šifrēšanas atslēgas (Per Packet Keying) maiņu katrā paketē un MIC ziņojumu integritātes uzraudzību (Message Integrity Check).
Vēl viens daudzsološs šifrēšanas un integritātes protokols ir AES (Advanced Encryption Standard). Tam ir labāka kriptogrāfijas izturība salīdzinājumā ar DES un GOST 28147-89. Tas nodrošina gan šifrēšanu, gan integritāti.
Ņemiet vērā, ka tajā izmantotais algoritms (Rijndael) neprasa lielus resursus ne ieviešanas, ne darbības laikā, kas ir ļoti svarīgi datu latentuma un procesora slodzes samazināšanai.
Bezvadu lokālo tīklu drošības standarts ir 802.11i.
Wi-Fi aizsargātās piekļuves (WPA) standarts ir noteikumu kopums, kas nodrošina datu aizsardzības ieviešanu 802.11x tīklos. Kopš 2003. gada augusta atbilstība WPA standartiem ir obligāta prasība iekārtām, kas sertificētas kā Wi-Fi sertificētas.
WPA specifikācijā ir iekļauts modificēts TKOP-PPK protokols. Šifrēšana tiek veikta, izmantojot vairāku atslēgu kombināciju - pašreizējo un nākamo. Šajā gadījumā IV garums tiek palielināts līdz 48 bitiem. Tas ļauj īstenot papildu pasākumus informācijas aizsardzībai, piemēram, pastiprināt prasības atkārtotai saistīšanai un atkārtotai autentifikācijai.
Specifikācijās ir iekļauts atbalsts 802.1x/EAP, koplietotās atslēgas autentifikācija un, protams, atslēgu pārvaldība.
3. tabula. Drošības politikas īstenošanas metodes
|
Rādītājs | ||||
|
Atbalsts mūsdienu OS | ||||
|
Programmatūras sarežģītība un autentifikācijas resursu intensitāte | ||||
|
Kontroles grūtības | ||||
|
Viena pierakstīšanās (viena pieteikšanās operētājsistēmā Windows) | ||||
|
Dinamiskās atslēgas | ||||
|
Vienreizējas paroles | ||||
3. tabulas turpinājums
Ja tiek izmantots moderns aprīkojums un programmatūra, tagad ir pilnīgi iespējams izveidot drošu un uzbrukumiem izturīgu bezvadu tīklu, kura pamatā ir 802.11x sērijas standarti.
Gandrīz vienmēr bezvadu tīkls ir savienots ar vadu, un tas papildus nepieciešamībai aizsargāt bezvadu kanālus ir nepieciešams nodrošināt aizsardzību vadu tīklos. Pretējā gadījumā tīklam būs sadrumstalota drošība, kas būtībā ir drošības risks. Ieteicams izmantot aprīkojumu, kam ir Wi-Fi Certified sertifikāts, tas ir, kas apliecina atbilstību WPA.
Mums ir jāievieš 802.11x/EAP/TKIP/MIC un dinamiska atslēgu pārvaldība. Jaukta tīkla gadījumā jāizmanto VLAN; Ja ir ārējās antenas, tiek izmantota VPN virtuālā privātā tīkla tehnoloģija.
Nepieciešams apvienot gan protokolu un programmatūras aizsardzības metodes, gan administratīvās.
Kas gan var būt mūsu laikos svarīgāks par mājas Wi-Fi tīkla aizsardzību :) Šī ir ļoti populāra tēma, par kuru šajā vietnē vien ir tapis ne viens vien raksts. Es nolēmu apkopot visu nepieciešamo informāciju par šo tēmu vienā lapā. Tagad mēs detalizēti aplūkosim jautājumu par Wi-Fi tīkla aizsardzību. Es jums pastāstīšu un parādīšu, kā aizsargāt Wi-Fi ar paroli, kā to pareizi izdarīt dažādu ražotāju maršrutētājos, kādu šifrēšanas metodi izvēlēties, kā izvēlēties paroli un kas jums jāzina, ja esat plānojat mainīt bezvadu tīkla paroli.
Šajā rakstā mēs runāsim tieši par mājas bezvadu tīkla aizsardzību. Un tikai par paroles aizsardzību. Ja ņemam vērā dažu lielu tīklu drošību birojos, tad tur labāk pieiet drošībai nedaudz savādāk (vismaz cits autentifikācijas režīms). Ja uzskatāt, ka ar vienu paroli nepietiek, lai aizsargātu savu Wi-Fi tīklu, tad iesaku nesatraukties. Iestatiet labu, sarežģītu paroli, izmantojot šos norādījumus, un neuztraucieties. Maz ticams, ka kāds tērēs laiku un pūles, lai uzlauztu jūsu tīklu. Jā, jūs varat, piemēram, paslēpt tīkla nosaukumu (SSID) un iestatīt filtrēšanu pēc MAC adresēm, taču tās ir liekas grūtības, kas patiesībā radīs tikai neērtības, pieslēdzoties un izmantojot bezvadu tīklu.
Ja domājat par sava Wi-Fi aizsardzību vai tīkla atstāšanu atvērtu, risinājums var būt tikai viens — aizsargāt to. Jā, internets ir neierobežots, un gandrīz katram mājās ir savs maršrutētājs, taču galu galā kāds pieslēgsies jūsu tīklam. Kāpēc mums tas ir vajadzīgs, jo papildu klienti ir papildu slodze maršrutētājam. Un, ja tas nav dārgs, tas vienkārši neizturēs šo slodzi. Turklāt, ja kāds izveidos savienojumu ar jūsu tīklu, viņš varēs piekļūt jūsu failiem (ja ir konfigurēts vietējais tīkls) un piekļūt maršrutētāja iestatījumiem (galu galā jūs, visticamāk, nemainījāt standarta administratora paroli, kas aizsargā vadības paneli).
Noteikti aizsargājiet savu Wi-Fi tīklu ar labu paroli ar pareizo (mūsdienu) šifrēšanas metodi. Iesaku nekavējoties uzstādīt aizsardzību, iestatot maršrutētāju. Tāpat būtu ieteicams laiku pa laikam mainīt paroli.
Ja jūs uztraucaties, ka kāds uzlauzīs jūsu tīklu vai jau ir to izdarījis, vienkārši nomainiet paroli un dzīvojiet mierā. Starp citu, tā kā jūs joprojām piesakāties maršrutētāja vadības panelī, es ieteiktu arī , ko izmanto maršrutētāja iestatījumu ievadīšanai.
Pareiza mājas Wi-Fi tīkla aizsardzība: kādu šifrēšanas metodi izvēlēties?
Paroles iestatīšanas procesa laikā jums būs jāizvēlas Wi-Fi tīkla šifrēšanas metode (autentifikācijas metode). Iesaku tikai instalēt WPA2 — personisks, ar šifrēšanas algoritmu AES. Mājas tīklam tas ir labākais risinājums, šobrīd jaunākais un uzticamākais. Šāda veida aizsardzību maršrutētāju ražotāji iesaka uzstādīt.
Tikai ar vienu nosacījumu, ka jums nav vecu ierīču, kuras vēlaties izveidot savienojumu ar Wi-Fi. Ja pēc iestatīšanas dažas vecās ierīces atsakās izveidot savienojumu ar bezvadu tīklu, varat instalēt protokolu WPA (ar TKIP šifrēšanas algoritmu). Es neiesaku instalēt WEP protokolu, jo tas jau ir novecojis, nav drošs un to var viegli uzlauzt. Jā, un var rasties problēmas, savienojot jaunas ierīces.
Protokolu kombinācija WPA2 — personisks ar AES šifrēšanu, tas ir labākais risinājums mājas tīklam. Pašai atslēgai (parolei) jābūt vismaz 8 rakstzīmēm. Parolei jāsastāv no angļu valodas burtiem, cipariem un simboliem. Parole ir reģistrjutīga. Tas nozīmē, ka “111AA111” un “111aa111” ir dažādas paroles.
Es nezinu, kāds maršrutētājs jums ir, tāpēc es sagatavošu īsas instrukcijas populārākajiem ražotājiem.
Ja pēc paroles maiņas vai iestatīšanas rodas problēmas ar ierīču pievienošanu bezvadu tīklam, skatiet ieteikumus šī raksta beigās.
Es iesaku nekavējoties pierakstīt paroli, kuru iestatīsit. Ja to aizmirsīsit, jums būs jāinstalē jauns vai .
Wi-Fi aizsardzība ar paroli Tp-Link maršrutētājos
Savienojuma izveide ar maršrutētāju (izmantojot kabeli vai Wi-Fi), palaidiet jebkuru pārlūkprogrammu un atveriet adresi 192.168.1.1 vai 192.168.0.1 (jūsu maršrutētāja adrese, kā arī standarta lietotājvārds un parole ir norādīti uz uzlīmes pašas ierīces apakšā). Norādiet savu lietotājvārdu un paroli. Pēc noklusējuma tie ir admin un admin. Sīkāk aprakstīju iestatījumu ievadīšanu.
Iestatījumos dodieties uz cilni Bezvadu(Bezvadu režīms) - Bezvadu drošība(Bezvadu drošība). Atzīmējiet izvēles rūtiņu blakus aizsardzības metodei WPA/WPA2 — personisks (ieteicams). Nolaižamajā izvēlnē Versija(versija) atlasiet WPA2-PSK. Izvēlnē Šifrēšana(šifrēšanas) instalēšana AES. Laukā Bezvadu parole(PSK parole) Ievadiet paroli, lai aizsargātu savu tīklu.
Paroles iestatīšana Asus maršrutētājiem
Iestatījumos mums ir jāatver cilne Bezvadu tīkls un veiciet šādus iestatījumus:
- Nolaižamajā izvēlnē "Autentifikācijas metode" atlasiet WPA2 — Personisks.
- "WPA šifrēšana" - instalējiet AES.
- Laukā "WPA iepriekš koplietotā atslēga" ierakstiet mūsu tīkla paroli.
Lai saglabātu iestatījumus, noklikšķiniet uz pogas Pieteikties.
Savienojiet ierīces ar tīklu, izmantojot jaunu paroli.
D-Link maršrutētāja bezvadu tīkla aizsardzība
Dodieties uz sava D-Link maršrutētāja iestatījumiem vietnē 192.168.0.1. Jūs varat redzēt detalizētus norādījumus. Iestatījumos atveriet cilni Bezvadu internets - Drošības iestatījumi. Iestatiet drošības veidu un paroli, kā parādīts zemāk esošajā ekrānuzņēmumā.
Paroles iestatīšana citiem maršrutētājiem
Mums ir arī detalizētas instrukcijas ZyXEL un Tenda maršrutētājiem. Skatiet saites:
Ja neesat atradis norādījumus savam maršrutētājam, varat iestatīt Wi-Fi tīkla aizsardzību maršrutētāja vadības panelī, iestatījumu sadaļā ar nosaukumu: drošības iestatījumi, bezvadu tīkls, Wi-Fi, bezvadu utt. I domāju, ka varu atrast, tas nebūs grūti. Un es domāju, ka jūs jau zināt, kādus iestatījumus iestatīt: WPA2 - Personal un AES šifrēšana. Nu, tas ir galvenais.
Ja nevarat izdomāt, jautājiet komentāros.
Ko darīt, ja ierīces pēc instalēšanas vai paroles maiņas nepievienojas?
Ļoti bieži pēc instalēšanas un jo īpaši pēc paroles maiņas ierīces, kas iepriekš bija savienotas ar jūsu tīklu, nevēlas ar to izveidot savienojumu. Datoros tās parasti ir kļūdas “Šajā datorā saglabātie tīkla iestatījumi neatbilst šī tīkla prasībām” un “Windows nevarēja izveidot savienojumu ar...”. Planšetdatoros un viedtālruņos (Android, iOS) var parādīties arī tādas kļūdas kā “Nevarēja izveidot savienojumu ar tīklu”, “Savienots, aizsargāts” utt.
Šīs problēmas var atrisināt, vienkārši izdzēšot bezvadu tīklu un atkārtoti izveidojot savienojumu ar jaunu paroli. Es rakstīju, kā izdzēst tīklu operētājsistēmā Windows 7. Ja jums ir Windows 10, jums ir nepieciešams “aizmirst tīklu”, izmantojot . Mobilajās ierīcēs nospiediet un turiet savu tīklu un atlasiet "Dzēst".
Ja vecākām ierīcēm rodas savienojuma problēmas, maršrutētāja iestatījumos iestatiet WPA drošības protokolu un TKIP šifrēšanu.
