Sammanfattning: "Skydd av trådlösa nätverk. trådlös säkerhet
"...Informationssäkerhet och trådlösa nätverk?
Men är inte dessa begrepp ömsesidigt uteslutande?”
Från ett samtal på utställningen Svyazexpocom-2004"
Trådlösa kommunikationsenheter baserade på 802.11x-standarder rör sig mycket aggressivt på marknaden för nätverksutrustning idag. Detta är inte förvånande: användarvänlighet för mobila och kvasimobila användare, organisation av kommersiella och företags hotspots, "last mile", anslutning av lokala nätverk (LAN) med varandra - allt detta är inte en komplett lista över skäl för implementering sådana lösningar. Faktum är att antalet alla typer av fungerande 802.11x-utrustning i världen är imponerande: enligt J"son & Partners översteg bara antalet hotspots i slutet av 2003 43 tusen, och i slutet av 2004 borde det nå 140 tusen. Rysslands andel av dessa indikatorer är liten, men antalet trådlösa kommunikationsnätverk (inklusive hot spots) växer stadigt i vårt land.Vi noterar också att i vårt land är mer än 80% av företagens trådlösa kommunikationsnätverk byggda på "äldsta" och mest använda utrustning - Cisco Aironet.
Men det är inte bara siffrorna som är imponerande; Mycket mer överraskande är antalet missuppfattningar i samband med att säkerställa säker dataöverföring i sådana nätverk. Utbudet av åsikter här är det bredaste: från fullständigt förtroende för all utrustning och alla dess inställningar till föga smickrande egenskaper av det slag som vi citerade som en epigraf.
802.11x - mottaglighet för yttre hot
Själva kärnan i trådlös dataöverföring är fylld med möjligheten till obehöriga anslutningar till åtkomstpunkter, dataavlyssning och andra problem. Frånvaron av en kabel, som är organisatoriskt lätt att skydda, skapar en känsla av obehaglig öppenhet och tillgänglighet.
Det är värt att nämna "icke-protokoll" hot - de är grunden till problemet. När man utvecklar ett trådlöst företagsnätverk bryr sig administratörer i första hand om högkvalitativ täckning av kontorsområdet. Mycket ofta tar ingen bara hänsyn till att lömska hackare kan ansluta till nätverket direkt från en bil parkerad på gatan. Dessutom finns det situationer då det i princip är omöjligt att eliminera själva möjligheten att "höra" den överförda trafiken. Ett exempel är externa antenner. Förresten, i OSS-länderna är det en mycket populär lösning att ansluta LAN-kontor till varandra med hjälp av trådlöst.
Ett lika farligt hot är möjligheten till utrustningsstöld. Om säkerhetspolicyn för ett trådlöst nätverk är baserad på MAC-adresser, öppnar varje komponent (nätverkskort, åtkomstpunkt) som stjäls av en angripare omedelbart detta nätverk.
Och slutligen, problemet med "för smarta" användare. Ofta är obehörig anslutning av åtkomstpunkter till LAN ett arbete för organisationens anställda själva. Dessutom görs detta enbart för att underlätta arbetet, ibland även med goda avsikter. Naturligtvis säkerställer dessa anställda också informationsskydd när de ansluter sådana enheter till nätverket på egen hand och föreställer sig inte alltid konsekvenserna av ett sådant "självförsvar".
Dessa och liknande problem måste åtgärdas på ett omfattande sätt. Låt oss genast notera att organisatoriska åtgärder inte övervägs inom ramen för denna artikel - de väljs oftast utifrån driftsförhållandena för varje specifikt nätverk. När det gäller tekniska åtgärder ger obligatorisk ömsesidig autentisering av enheter och införandet av aktiva (till exempel Observer 8.3, Airopeek NX 2.01, Wireless Sniffer 4.75) och passiva (som APTools 0.1.0, xprobe 0.0.2) kontrollverktyg en mycket bra resultat .
Sårbarhet hos "gamla" säkerhetsmetoder
IEEE 802.11-kommittén har alltid varit involverad i att skydda data i trådlösa nätverk. Tyvärr misslyckades metoderna som användes för att säkerställa säkerheten för 802.11x-nätverk i det första utvecklingsstadiet (1997-1998) milt uttryckt. De inkluderade WEP (Wired Equivalent Privacy)-kryptering och autentisering: MAC-adressbaserad, öppen och fördelad nyckel.
Låt oss överväga de listade metoderna i ordning. Det klassiska WEP-krypteringsprotokollet, utvecklat av RSA Data Security, använder en 40-bitars nyckel som läggs till den genererade initialiseringsvektorn (IV, dess längd är 24 bitar). Med den resulterande nyckeln krypteras användardata och en kontrollsumma med RC4-algoritmen. Vektor IV sänds i klartext.
Den första nackdelen med denna metod är att en 40-bitars nyckel inte räcker för sinnesfrid. Även DES, med sin 56-bitars nyckel, har länge upplevts som opålitlig. Den andra nackdelen är nyckelns oföränderlighet; Att använda en statisk nyckel förenklar hackningsproblemet. Eftersom 40-bitarsnyckeln är opålitlig skulle jag vilja ändra den oftare. Och slutligen är själva metoden för kryptering mycket tveksam. Storleken på IV är 24 bitar, vilket innebär att den kommer att upprepas senast efter 5 timmar (paketlängd 1500 byte, hastighet 11 Mbit/s).
Nikita Borisov, Ian Goldberg och David Wagner var de första som studerade detta problem, och redan 2001 verkade de första implementeringarna av drivrutiner och program klara WEP-kryptering. Ett dokument som beskriver denna sårbarhet publiceras på: http://www.isaac.cs.berkeley.edu/isaac/wep-faq.htm l.
Autentiseringsmetoder är inte heller särskilt tillförlitliga. Till exempel kostar det ingenting att "överhöra" hela autentiseringsproceduren efter MAC-adress - trots allt sänds MAC-adresser i ramen okrypterade. Om en angripare känner till den accepterade autentiseringsmetoden är han nästan redo att gå in i nätverket. Den mest tillförlitliga av de listade metoderna är PreShared Key, men den är bara bra om den är säkert krypterad och regelbundet ersätter högkvalitativa lösenord.
Det är en vanlig missuppfattning att användning av ett unikt Service Set ID (SSID) förhindrar obehöriga anslutningar. Tyvärr är SSID endast lämplig för logisk uppdelning av nätverksenheter i grupper - inget mer. Det enda du kan göra med ett SSID är att förvirra en ung hacker genom att använda "oskrivbara" tecken. Åtkomstpunkter (Access Point, AP), till exempel från Cisco Systems, låter dig göra detta (du kan ange tecknen som ingår i SSID i hexadecimal - \xbd\xba).
Således, om vi också tar hänsyn till mängden "frågvisa" tonåringar med bärbara datorer, står ett trådlöst kommunikationsnätverk oundvikligen inför problemet med att skydda mot nästan garanterade WEP-attacker.
WEP-attacker
Den otillräckliga nyckellängden, avsaknaden av nyckelrotation och själva RC4-krypteringsprincipen, som beskrivs ovan, gör det möjligt att organisera en mycket effektiv passiv attack. Dessutom behöver angriparen inte utföra några åtgärder genom vilka han kan upptäckas, det räcker med att bara lyssna på kanalen. I det här fallet krävs ingen speciell utrustning - ett vanligt WLAN-kort, köpt för 20-25 dollar, kommer att räcka, liksom ett program som kommer att ackumulera paket på hårddisken tills värdena för IV-vektorn sammanfaller. När antalet paket blir tillräckligt (vanligtvis från 1 miljon till 4 miljoner) är det lätt att beräkna WEP-nyckeln. Ett av de mest populära programmen för sådana "övningar" är AirSnort (http://airsnort.shmoo.com). Denna programvara fungerar med nätverkskort från Cisco Systems, kort baserade på NMC Prism-2 (det finns en hel del av dem), samt på Orinoco-kort eller deras kloner.
En hacker som använder aktiva attackmetoder kan uppnå goda resultat. Till exempel kan du skicka känd data utanför LAN, säg från Internet, samtidigt som du analyserar hur åtkomstpunkten krypterade den. Denna metod låter dig både beräkna nyckeln och manipulera data.
En annan aktiv attackmetod är Bit-Flip-attack. Algoritmen för åtgärder här är som följer (fig. 1):
- Vi fångar upp en WEP-krypterad ram.
- Vi ändrar slumpmässigt flera bitar i "data"-fältet och räknar om CRC-32-kontrollsumman.
- Vi skickar den modifierade ramen till åtkomstpunkten.
- Åtkomstpunkten accepterar ramen i länklagret eftersom kontrollsumman är korrekt.
- Åtkomstpunkten kommer att försöka dekryptera data och svara med en känd text, till exempel: "Din krypteringsnyckel är felaktig."
- Genom att jämföra den krypterade och okrypterade texten kan nyckeln beräknas.
I den här artikeln kommer vi inte att överväga en möjlig DOS-attack på utrustning som använder bredbandsmoduleringsmetoden DSSS. Denna typ av utrustning inkluderar 802.11b- och 802.11a-enheter som arbetar vid låga hastigheter.
Interimistiska slutsatser
Allt ovan antyder att gamla metoder för att säkerställa säkerhet i trådlösa nätverk är opålitliga; och om utrustningen inte tillåter implementering av moderna lösningar för informationsskydd, är valet av strategier litet: använd antingen de strängaste administrativa policyerna (se sidofältet "Administrativa åtgärder") eller använd IPSec - ESP-teknik.
IPSec - ESP-teknik kommer säkert att skydda data, men kommer att avsevärt minska LAN-prestandan. Ändå utvecklades denna teknik för globala nätverk, och det är slösaktigt att använda den inom ett trådlöst lokalt nätverk. Dess användning över trådlösa kanaler är motiverad endast i fallet med anslutning av filialer eller andra liknande lösningar.
Moderna säkerhetskrav, eller "Livet med Cisco"
För alla användares sinnesfrid finns det bara tre frågor som måste åtgärdas för deras trafik: konfidentialitet (data måste vara säkert krypterade), integritet (data måste garanteras att inte ändras av en tredje part) och äkthet ( förtroende för att data tas emot från rätt källa).
Autentisering
802.1x-standarden definieras som modernare än 1997-1998-standarderna. en autentiseringsmetod som används flitigt i olika nätverksutrustningar, inklusive trådlösa enheter. Dess grundläggande skillnad från äldre autentiseringsmetoder är följande: tills ömsesidig verifiering har utförts kan användaren varken ta emot eller sända några data. Standarden tillhandahåller också dynamisk hantering av krypteringsnycklar, vilket naturligtvis försvårar en passiv attack mot WEP.
Till exempel använder ett antal utvecklare EAP-TLS- och PEAP-protokollen för autentisering i sina enheter, men Cisco Systems (http://www.cisco.com) närmar sig problemet mer "brett" och erbjuder tillsammans med dessa, följande för sina trådlösa nätverk ett antal protokoll.
Extensible Authentication Protocol - Transportlagersäkerhet(EAP-TLS) är en IETF-standard som tillhandahåller autentisering genom tvåvägsutbyte av digitala certifikat.
Skyddad EAP(PEAP) är fortfarande ett utkast till standard av IETF. Den tillhandahåller utbyte av digitala certifikat och ytterligare verifiering av namn och lösenord genom en speciellt skapad krypterad tunnel.
Lättvikts EAP(LEAP) är ett patentskyddat protokoll från Cisco Systems. Ett "lättviktigt" ömsesidigt autentiseringsprotokoll som liknar CHAP (Two-way Challenge Authentication Protocol). Använder en delad nyckel, så det krävs viss intelligens vid generering av lösenord. Annars, precis som alla andra metoder, är PreShared Key mottaglig för ordboksattacker.
EAP - Flexibel autentisering via säker tunnelering(EAP-FAST) - utvecklad av Cisco baserat på IETF-utkaststandarden för att skydda mot ordboksattacker och är mycket tillförlitlig. Kräver minimal ansträngning från administratören för support. Principen för dess funktion liknar LEAP, men autentiseringen utförs över en säker tunnel. De första implementeringarna dök upp i april 2004. Stöds från programvaruversionerna IOS 12.2(11)JA, VxWorks 12.01T, Cisco Secure ACS 3.2.3.
Alla moderna autentiseringsmetoder (se tabell) innebär stöd för dynamiska nycklar, vilket är goda nyheter. Men om vi jämför alla dessa standarder i andra avseenden verkar EAP-TLS- och PEAP-metoderna mer besvärliga. Och det är det verkligen. De är mer lämpade för användning i nätverk byggda på utrustning från olika tillverkare.
Funktioner för autentiseringsmetoder
| Index | Sätt | |||
| HOPPA | EAP-FAST | PEAP | EAP-TLS | |
| Stöd för modernt OS | Ja | Ja | Inte alla | Inte alla |
| Programvarans komplexitet och resursintensitet för autentisering | Låg | Låg | Genomsnitt | Hög |
| Svårighet att kontrollera | Låg* | Låg | Genomsnitt | Genomsnitt |
| Enkel inloggning (enkel inloggning på Windows) | Ja | Ja | Nej | Ja |
| Dynamiska nycklar | Ja | Ja | Ja | Ja |
| Engångslösenord | Nej | Ja | Ja | Nej |
| Stöd för användardatabaser som inte är i Microsoft Windows-format | Nej | Ja | Ja | Ja |
| Snabb säker roaming | Ja | Ja | Nej | Nej |
| Möjlighet för lokal autentisering | Ja | Ja | Nej | Nej |
Autentiseringsmetoderna som utvecklats av Cisco ser snyggare ut. Det som gör dem extra attraktiva är deras stöd för Fast Secure Roaming-teknik, som gör att du kan växla mellan olika accesspunkter (växlingstiden är cirka 100 ms), vilket är särskilt viktigt vid överföring av rösttrafik. Med EAP-TLS och PEAP tar återautentiseringen betydligt längre tid och kommer att resultera i att konversationen avbryts. Den största nackdelen med LEAP och LEAP-FAST är uppenbar - dessa protokoll stöds endast i Cisco Systems-utrustning.
Kryptering och integritet
Baserat på 802.11i-rekommendationer har Cisco Systems implementerat TKIP-protokollet (Temporal Key Integrity Protocol), som säkerställer ändring av PPK-krypteringsnyckeln (Per Packet Keying) i varje paket och övervakar integriteten hos MIC-meddelanden (Message Integrity Check).
PPK-proceduren innebär att IV i varje paket ändras. Dessutom utförs kryptering med hjälp av hashfunktionsvärdet från IV och själva WEP-nyckeln. Om vi även tar hänsyn till att WEP-nycklar förändras dynamiskt blir krypteringens tillförlitlighet ganska hög.
Att säkerställa integritet är MIC-förfarandets ansvar. MIC- och sekvensnummerfälten läggs till i den genererade ramen; paketets sekvensnummer anges i SEQ-fältet, vilket gör att du kan skydda dig mot attacker baserat på upprepningar och brott mot sekvensen. Ett paket med ett felaktigt sekvensnummer ignoreras helt enkelt. 32-bitars MIC-fältet innehåller hashfunktionsvärdet beräknat från värdena för själva 802.11-pakethuvudet, SEQ-fältet och användardata (fig. 2).
Ett annat lovande krypterings- och integritetsprotokoll som redan har visat sig i trådbundna lösningar är AES (Advanced Encryption Standard). Den utvecklades relativt nyligen - i oktober 2001 och har bättre kryptografisk styrka jämfört med DES och GOST 28147-89. AES-nyckellängden är 128, 192 eller 256 bitar. Som nämnts ger den både kryptering och integritet.
Observera att algoritmen som används i den (Rijndael) inte kräver stora resurser vare sig under implementering eller drift, vilket är mycket viktigt för att minska datalatens och processorbelastning.
AES körs redan på Cisco IOS (k9) som börjar med 12.2(13)T. För närvarande är nästan alla Cisco Systems 802.11g-enheter redo att stödja AES. Nätgemenskapen väntar på tillkännagivandet av lanseringen av denna programvara, men de upprepade angivna tidsfristerna hålls inte. Men nu har viss klarhet kommit fram. Företaget meddelade att alla enheter som fungerar i 802.11g-standarden helt fritt kan utrustas med ny programvara, som säkert kommer att dyka upp snart... Men först efter ratificeringen av 802.11i-standarden. Standarden ratificerades av IEEE i slutet av juni (se sidofältet "802.11i Standard Ratified"). Så vi väntar, sir.
Wi-Fi-skyddad åtkomst
WPA-standarden (Wi-Fi Protected Access) är en uppsättning regler för implementering av dataskydd i 802.11x-nätverk. Sedan augusti 2003 har WPA-överensstämmelse varit en del av kraven för utrustning certifierad som Wi-Fi-certifierad (http://www.wi-fi.org/OpenSection/pdf/Wi-Fi_Protected_Access_Overview.pdf).
Observera att WPA-specifikationen inkluderar ett något modifierat TKIP-PPK-protokoll. Kryptering utförs på en "blandning" av flera nycklar - de nuvarande och efterföljande. I detta fall ökas längden på IV till 48 bitar.
WPA definierar även meddelandeintegritetskontroll enligt en förenklad version av MIC (Michael MIC), som skiljer sig från den som beskrivs genom att hashfunktionen beräknas utifrån färre fält, men själva MIC-fältet är längre - 64 bitar. Detta gör det möjligt att genomföra ytterligare informationsskyddsåtgärder, till exempel skärpa kraven på omassociationer, omautentiseringar m.m.
Specifikationerna inkluderar även stöd för 802.1x/EAP och delad nyckel-autentisering och, naturligtvis, nyckelhantering.
Det är särskilt glädjande att WPA-enheter är redo att fungera med både klienter vars utrustning stödjer moderna standarder och med klienter som är helt oberörda om sin säkerhet och använder gammal utrustning eller mjukvara. Författaren rekommenderar kategoriskt: fördela användare med olika grader av säkerhet över olika virtuella LAN och implementera din säkerhetspolicy i enlighet med detta.
Idag, förutsatt att modern utrustning och mjukvara används, är det fullt möjligt att bygga ett säkert och attacktåligt trådlöst nätverk baserat på 802.11x-standarder. För att göra detta behöver du bara tillämpa flera rimliga postulat på det.
Vi måste komma ihåg att ett trådlöst nätverk nästan alltid är anslutet till ett trådbundet. Förutom behovet av att skydda trådlösa kanaler, tjänar detta faktum som ett incitament att introducera nya säkerhetsmetoder i trådbundna nätverk. Annars kan en situation uppstå där nätverket har fragmenterad säkerhet, vilket i huvudsak skapar ett potentiellt säkerhetshot.
Det är tillrådligt att använda utrustning som har ett Wi-Fi-certifierat certifikat utfärdat senare än augusti 2003, dvs. som bekräftar överensstämmelse med WPA.
Många administratörer sparar tillverkarens standardinställningar när de installerar enheter på LAN. I seriösa trådlösa nätverk är detta absolut oacceptabelt.
Naturligtvis måste vi implementera 802.1x/EAP/TKIP/MIC och dynamisk nyckelhantering. Om nätverket är blandat, använd virtuella lokala nätverk. Nu stöder nästan alla seriösa accesspunktstillverkare denna teknik. Och om han inte stöder det, bör du inte stödja en sådan tillverkare genom att köpa hans utrustning. Om externa antenner används (till exempel vid anslutning av olika LAN) rekommenderas VPN-teknik för virtuellt privat nätverk.
Det är värt att kombinera protokoll- och mjukvaruskyddsmetoder med administrativa. Det är också vettigt att tänka på att implementera IDS-teknik (Intrusion Detection System) för att upptäcka möjliga intrång. Du kan också använda mjukvaruprodukterna som beskrivs ovan.
Slutligen, och viktigast av allt, använd sunt förnuft när du planerar ett säkert trådlöst nätverk. Kom ihåg: all kryptering eller annan manipulering av data introducerar oundvikligen ytterligare förseningar, ökar mängden tjänstetrafik och belastningen på nätverksenheternas processorer. Självklart är säkerhet en viktig faktor i moderna nätverk, men det blir meningslöst om användartrafiken inte får rätt bandbredd. När allt kommer omkring skapas tyvärr alla nätverk i slutändan för användare och inte för administratörer. Ämnet QoS i trådlösa 802.11x-nätverk förtjänar dock en separat artikel.
802.11i standard ratificeradDen 25 juni 2004 ratificerade Institute of Electrical and Electronics Engineers (IEEE) den efterlängtade säkerhetsstandarden för trådlöst LAN, 802.11i. Innan det antogs, redan 2002, föreslog industrikonsortiet Wi-Fi Alliance att WPA-protokollet skulle användas som ett mellanalternativ. Den innehåller några 802.11i-mekanismer, inklusive TKIP-kryptering och möjligheten att använda 802.1x-användarautentiseringssystemet baserat på RADIUS-protokollet. WPA-protokollet finns i två modifieringar: lätt (för hemanvändare) och inklusive 802.1x-autentiseringsstandarden (för företagsanvändare). Den officiella 802.11i-standarden lägger till WPA-protokollet kravet att använda AES-krypteringsstandarden, som ger en säkerhetsnivå som uppfyller kraven i FIPS Class 140-2 (Federal Information Processing Standard) som används av den amerikanska regeringen. Men i många befintliga nätverk kan AES-protokollet kräva ersättningsutrustning om det inte är utrustat med speciella krypterings- och dekrypteringsmöjligheter. Dessutom har den nya standarden förvärvat flera relativt lite kända fastigheter. En av dem - key-caching - registrerar information om honom obemärkt av användaren, vilket gör att han inte kan ange all information om sig själv igen när han lämnar det trådlösa nätverkets täckningsområde och sedan återvänder till det. Den andra innovationen är förautentisering. Dess kärna är följande: från den åtkomstpunkt som användaren för närvarande är ansluten till skickas ett förautentiseringspaket till en annan åtkomstpunkt, vilket ger denna användare förautentisering redan innan han registrerar sig vid den nya punkten och därmed minskar auktoriseringstiden när flytta mellan åtkomstpunkter. Wi-Fi Alliance har för avsikt att börja testa enheter för överensstämmelse med den nya standarden (även kallad WPA2) före september i år. Enligt dess företrädare kommer omfattande utbyte av utrustning inte att behövas. Och medan WPA1-aktiverade enheter kan fungera i miljöer där avancerad kryptering och RADIUS-autentisering inte krävs, kan 802.11i-produkter betraktas som WPA-utrustning som stöder AES. |
Trådlösa nätverk är inte säkra. Låt mig upprepa: trådlösa nätverk är inte säkra. För det mesta är de tillräckligt säkra för de flesta användare, men sådana nätverk kan inte göras helt privata.
Den enkla sanningen är att ett trådlöst nätverk använder radiosignaler med en väldefinierad uppsättning egenskaper, så alla som är villiga att ägna tillräckligt med tid och ansträngning för att övervaka dessa signaler kan sannolikt hitta ett sätt att fånga upp och läsa data som finns i dem. Om du skickar känslig information via en trådlös anslutning kan en angripare kopiera den. Kreditkortsnummer, kontolösenord och annan personlig information är sårbara.
Kryptering och andra säkerhetsmetoder kan göra det lite svårare att fånga upp data, men de ger inte ett fullständigt skydd mot en riktigt sofistikerad spion. Som vilken polis som helst kan berätta kommer lås från ärliga människor, men erfarna tjuvar vet hur de ska hantera dem. Det är lätt att hitta en hel katalog med verktyg för att bryta WEP-kryptering på Internet.
För att göra situationen ännu farligare, lämnar många nätverksadministratörer och trådlösa hemanvändare dörrarna och fönstren i sina nätverk vidöppna utan att dra nytta av krypteringen och andra säkerhetsfunktioner som är integrerade i varje 802.11b trådlös punkt och nätverksnod. Inloggning till osäkra privata nätverk är möjlig i många stadsområden och på ett stort antal lokala nätverk. Våren 2001 rapporterade San Francisco Chronicle att en nätverkssäkerhetsexpert med en riktad antenn monterad på taket av en skåpbil i centrala San Francisco kunde logga in på i genomsnitt ett halvdussin trådlösa nätverk per block. Antalet sådana nätverk växer stadigt. Ett år senare upptäckte en grupp Microsoft-anställda som genomförde ett "informellt test" mer än 200 osäkrade öppna accesspunkter i ett förortsnätverk i Seattle. Och Tully's Coffee-butiker rapporterar att de märker att deras kunder loggar in på Wi-Fi-nätverk via hotspots i Starbucks-butiker tvärs över gatan.
Enkel aritmetik räcker: din åtkomstpunkt har en räckvidd på 100m eller mer i alla riktningar, så signalen kommer sannolikt att sträcka sig utanför din fastighet (eller väggarna i din lägenhet). En nätverksenhet i nästa rum i byggnaden eller tvärs över gatan kan med största sannolikhet upptäcka nätverket. En bärbar dator eller handdator placerad i en bil parkerad på gatan kan också utföra en liknande åtgärd. Om vissa försiktighetsåtgärder inte vidtas kan operatören av den här enheten registrera sig på ditt nätverk, stjäla filer från servrar och infiltrera din internetanslutning för att streama video eller onlinespel.
Det är viktigt att förstå att vi talar om två olika typer av trådlösa säkerhetshot. Den första är risken för att någon annan ansluter till ditt nätverk utan din vetskap eller tillåtelse; den andra är möjligheten att en sofistikerad angripare kan stjäla data när du skickar och tar emot den. Var och en av dem är ett separat potentiellt problem, och var och en kräver en speciell metod för förebyggande och skydd. Även om det kan vara sant att inget av de för närvarande tillgängliga verktygen kan ge fullständigt skydd, kan de göra livet mycket svårare för de flesta tillfälliga angripare.
Trådlösa nätverk representerar en avvägning mellan säkerhet och användbarhet. De uppenbara fördelarna med en trådlös nätverksanslutning - snabb och enkel nätverksåtkomst från en bärbar dator eller isolerad plats - kommer till en kostnad. För de flesta användare uppväger inte dessa kostnader bekvämligheten med ett trådlöst nätverk. Men precis som du låser din bil när du parkerar bör du vidta liknande åtgärder för att skydda ditt nätverk och din data.
Skydda ditt nätverk och data
Vad kan du göra för att skydda dig från utomstående som trådlös nätverksoperatör? Du har två alternativ: du kan acceptera det faktum att 802.11b-nätverk inte är helt säkra, men använd de inbyggda nätverkssäkerhetsfunktionerna för att bromsa dåliga aktörer; Du kan avstå från de inbyggda verktygen och istället använda en brandvägg för isolering.
Det är tydligt att säkerhetsfunktionerna är integrerade i 802.11b-protokollen.
oacceptabelt för absolut skydd av överförda data. Om du har läst artiklar om trådlös nätverkssäkerhet i facktidningar och granskat diskussioner på onlineforum, är det lätt att tro att Wi-Fi-nätverk är lika läckande som det ökända sållet. Men detta kan överdriva det verkliga hotet mot ditt eget nätverk. Kom ihåg att de flesta som är nära att stjäla dina meddelanden eller infiltrera ditt nätverk inte bara kommer att luta sig tillbaka och vänta på att du ska börja överföra data. Och för att vara helt ärlig, de flesta data som skickas via ditt nätverk är faktiskt inte intressanta. Men krypteringsverktyg är tillgängliga på alla Wi-Fi-nätverk, så du borde faktiskt använda dem.
Det allvarligare hotet är inte att din kommunikation kommer att avlyssnas, utan att illegala kopplingar skapas till den. Detta kommer att tillåta en obehörig användare att antingen läsa filer lagrade på andra nätverksanslutna datorer eller använda din bredbandsanslutning till Internet utan din vetskap eller tillåtelse.
Det är vettigt att ta hand om att hantera ditt nätverk. Om du väljer att implementera 802.11b-säkerhet, finns det särskilda steg du måste följa:
Placera din accesspunkt mitt i byggnaden, inte bredvid ett fönster. Detta kommer att minska avståndet som dina signaler måste färdas genom väggar;
Använd WEP-kryptering (Wired Equivalent Privacy), tillgänglig på alla 802.11b-nätverksnoder. Med tillräckligt med tid och rätt utrustning är WEP inte svårt att knäcka, men krypterade paket är fortfarande svårare att läsa än data som skickas utan kryptering. Det här kapitlet ger mer information om WEP-kryptering;
Byt WEP-nycklar ofta. Att extrahera WEP-krypteringsnycklar från en dataström tar tid, och varje gång du byter nycklar måste dåliga aktörer som försöker stjäla din data börja om från början. Att byta nycklar en eller två gånger i månaden är inte alltför ofta;
Förvara inte WEP-nycklar på en lättillgänglig plats. På ett stort nätverk kan ett försök göras att lagra dem på en lokal webbsida eller i en textfil. Gör inte det;
Använd inte e-post för att överföra WEP-nycklar. Om en utomstående stjäl kontonamn och lösenord kommer tjuven att få meddelanden med dina nya nycklar innan dina legitima användare får dem;
Lägg till ytterligare ett lager av kryptering som Kerberos, SSH eller VPN ovanpå WEP-krypteringen integrerad i det trådlösa nätverket;
Använd inte din åtkomstpunkts standard-SSID. Dessa inställningar är välkända för nätverkshackare;
Ändra SSID till något som inte identifierar ditt jobb eller din plats. Om en angripare upptäcker namnet BigCorpNet och ser sig omkring och ser BigCorps huvudkontor tvärs över gatan, kommer de sannolikt att rikta in sig på ditt nätverk. Detsamma gäller ditt hemnätverk. Kalla det inte Perkins om det är namnet på utsidan av din brevlåda. Använd inte ett SSID som låter som att ditt nätverk innehåller någon form av lockande information - använd ett omärkligt namn som ett tomt fält, "nätverk-" eller till och med en sträng med slumpmässiga tecken (W24rnQ);
Ändra IP-adressen och lösenordet för din åtkomstpunkt. Standardlösenorden för de flesta åär lätta att hitta (och upprepas ofta från en leverantör till en annan - tips: använd inte "admin"), så de är inte ens tillräckligt bra för att skydda mot dina egna användare, låt ensamma utomstående som avser att använda ditt nätverk för sina egna syften;
Inaktivera SSID Broadcast-funktionen för en åtkomstpunkt som tillåter anslutningar från klienter utan rätt SSID. Detta garanterar inte att ditt nätverk kommer att vara osynligt, men det kan hjälpa;
Aktivera åtkomstkontrollfunktionen för din åtkomstpunkt. Åtkomstkontroll begränsar anslutningar till nätverksklienter med specificerade MAC-adresser. Åtkomstpunkten kommer att neka anslutning till någon adapter vars adress inte finns i listan. Detta kanske inte är praktiskt om du vill tillåta andra besökare att använda ditt nätverk, men det är ett användbart verktyg för hemnätverk och små kontorsnätverk där du känner alla dina potentiella användare. I likhet med "broadcast SSID"-funktionen är detta ingen garanti, men det skadar inte heller;
Testa ditt nätverks säkerhet genom att försöka hitta det från gatan. Ta en bärbar dator med ett skanningsprogram igång, till exempel Network Stumbler eller ett verktyg som visar statusen för din nätverksadapter, och börja gå bort från byggnaden. Om du kan upptäcka ditt nätverk på ett kvarter bort, så kan en utomstående också. Kom ihåg att illvilliga kan använda riktade antenner med hög förstärkning, som ökar detta avstånd;
Tänk på nätverket som vidöppet för delning. Se till att alla som använder nätverket är medvetna om att de använder ett osäkert system;
Utöka filåtkomst endast till filer du faktiskt vill dela. Öppna inte hela skivan. Använd lösenordsskydd för alla tillgängliga föremål;
Använd samma säkerhetsverktyg som du skulle använda i ett trådbundet nätverk. I bästa fall är den trådlösa delen av ditt LAN inte säkrare än den trådbundna delen, så du måste vidta samma försiktighetsåtgärder. I de flesta fall är den trådlösa delen av nätverket mycket mindre säker än den trådbundna delen;
Överväg att använda ett virtuellt privat nätverk (VPN) för ökad säkerhet.
Vissa experter använder en annan metod för att säkra ett trådlöst nätverk. De accepterar tanken att 802.11b-nätverket är osäkert, så de försöker inte ens använda de inbyggda säkerhetsfunktionerna. Till exempel fann NASA:s Advanced Supercomputing Division nätverkssäkerhetsteam i Kalifornien att "nätverket i sig inte ger stark autentisering och manipuleringsskydd" och att "802.11b säkerhetsfunktioner bara förbrukar resurser utan att ge någon verklig säkerhet i gengäld." Så den inaktiverar alla 802.11b-säkerhetsfunktioner och använder istället sin egen trådlösa brandvägg, Wireless Firewall Gateway (WFG). WFG är en router som sitter mellan det trådlösa och resten av nätverket, så all nätverkstrafik in och ut från trådlösa enheter (inklusive internetåtkomst) måste gå genom gatewayen.
Som en extra fördel håller denna säkerhetsmetod det administrativa fotavtrycket för varje paket till ett minimum, eftersom de inte innehåller autentisering eller kryptering. Detta minskar antalet bitar i varje paket, vilket ökar den effektiva dataöverföringshastigheten för nätverket.
Andra trådlösa nätverksoperatörer använder VPN för att kontrollera åtkomst via sina trådlösa gateways. En VPN lägger till ytterligare ett lager punkt-till-punkt-säkerhet till IP-lagret (istället för det fysiska lagret där kryptering sker i 802.11b) innan användaren kan surfa på nätverket.
Nätverkssäkerhet är nödvändig i två fall - en nätverksadministratör vill inte tillåta obehöriga användare att komma in i deras nätverk, och enskilda användare vill inte att någon ska få tillgång till deras personliga filer. När du loggar in på ett delat nätverk måste du vidta några försiktighetsåtgärder mot att dina filer ska läsas över nätverket.
Att inaktivera Fildelning(Filåtkomst) Innan du ansluter till ett delat nätverk, använd följande procedur i Windows 95, Windows 98 och Windows ME:
1. B Kontrollpanel(Kontrollpanelen) öppna dialogrutan Nätverk(Netto).
2. Välj Fil- och skrivardelning(Tillgång till filer och skrivare).
3. I dialogrutan Fi le och skrivardelning avaktivera funktionen Jag vill ge andra tillgång till mina filer(Ge andra tillgång till mina filer).
Windows 2000 och Windows XP har ingen central plats för att inaktivera åtkomst till filer, så du måste inaktivera varje åtkomst individuellt.
1. Öppna ett fönster Min dator(Min dator).
2. Ikoner för alla dina tillgängliga enheter och mappar har en handikon. För att inaktivera åtkomst, högerklicka på ikonen och välj Delning och säkerhet(Åtkomst och säkerhet) i menyn.
3. Inaktivera funktionen Dela den här mappen i nätverket(Öppna åtkomst till denna mapp över nätverket).
4. Klicka på knappen OK(Ja) för att stänga dialogrutan.
5. Upprepa processen för varje tillgänglig mapp eller fil. Glöm inte mappen Delade dokument(Allmänna handlingar).
När du återvänder till ditt kontor eller hemmanätverk måste du göra om proceduren för att återfå åtkomst till dina filer.
Ett annat problem är risken för att en spion spårar data som skickas via radiokommunikation och stjäl konfidentiell information i farten. Detta är inte lika vanligt som att ha en spion åtkomst till nätverket och läsa filer, men det är möjligt. Kryptering och andra säkerhetsverktyg kan göra det svårt att avkoda data, men det är bäst att behandla ett Wi-Fi-nätverk som en mobiltelefon: skicka aldrig ett meddelande eller en fil som innehåller känslig information.
802.11b Säkerhetsverktyg
Säkerhetsverktygen i 802.11b-specifikationerna är inte perfekta, men de är bättre än ingenting. Även om du bestämmer dig för att inte använda dem, är det viktigt att förstå vad de är och hur de fungerar innan du stänger av dem.
Nätverksnamn (SSID)
Som diskuteras i kapitel 1 har varje trådlöst nätverk ett namn. På ett nätverk med endast en åtkomstpunkt är namnet Basic Service Set ID (BSSID). När ett nätverk innehåller mer än en åtkomstpunkt blir namnet ett ESSID (Extended Service Set ID). Standardbeteckningen för alla nätverksnamn är SSID - termen du oftast ser i konfigurationsverktyg för trådlösa åtkomstpunkter och klienter.
När du konfigurerar åtkomstpunkter för ett nätverk måste du tilldela det ett SSID. Varje åtkomstpunkt och nätverksklient i nätverket måste använda samma SSID. På Windows-datorer måste SSID för den trådlösa adaptern också vara arbetsgruppens namn.
När två eller flera accesspunkter med samma SSID upptäcks, antar användaren att de alla är en del av samma nätverk (även om accesspunkterna fungerar på olika radiokanaler) och kontaktar den accesspunkt som ger den starkaste eller tydligaste signalen. Om denna signal på grund av störningar eller dämpning försämras kommer klienten att försöka flytta till en annan accesspunkt som den tror tillhör samma nätverk.
Om två olika nätverk med signalöverlappning har samma namn, kommer klienten att anta att de båda är en del av samma nätverk och kan försöka övergå. Ur användarens synvinkel ser en sådan felaktig övergång ut som ett fullständigt avbrott i nätverksanslutningen. Därför måste varje trådlöst nätverk som kan överlappa ett annat ha ett unikt SSID.
Undantag från den unika SSID-regeln är publika nätverk och gruppnätverk, som endast ger åtkomst till Internet och inte till andra datorer eller enheter i det lokala nätverket. Sådana nätverk delar ofta ett gemensamt SSID så att abonnenter kan upptäcka och ansluta till dem från flera platser.
Vissa åtkomstpunkter, inklusive Apples AirPort-basstation och liknande Orinoco-system, har en funktion som låter dig välja mellan "öppen" och "stängd" åtkomst. När en åtkomstpunkt är konfigurerad för allmän åtkomst, accepterar den anslutningar från en klient vars SSID är inställt på Några(Alla), samma som från enheter som är konfigurerade för att kommunicera med åtkomstpunktens eget SSID. När en åtkomstpunkt är inställd på privat (Apple kallar det ett "dolt nätverk"), accepterar den bara anslutningar vars SSID matchar dess SSID. Det här är ett bra sätt att skydda ditt nätverk från utomstående, men det fungerar bara om varje nod i nätverket använder en adapter från Orinoco (Apple AirPort-kortet är en proprietär version av Orinoco-adaptern). Om en adapter tillverkad av någon annan tillverkare försöker ansluta till en stängd åtkomstpunkt kommer den att ignorera den, även om SSID matchar.
Nätverks-SSID ger en mycket begränsad form av åtkomstkontroll eftersom du måste ange SSID när du ställer in din trådlösa anslutning. Åtkomstpunktens SSID-funktion är alltid ett textfält som accepterar vilket namn du än vill ge det. Men många nätverkskonfigurationsprogram (inklusive de trådlösa nätverksverktygen i Windows XP och de som följer med några större märken av nätverkskort) upptäcker och visar automatiskt SSID för varje aktivt nätverk inom sitt signalområde. Därför är det inte alltid nödvändigt att känna till nätverkets SSID innan du ansluter. Ibland visar ett konfigurationsverktyg (en nätverksmonitor eller ett skanningsprogram som liknar Network Stumbler) namnen på varje närliggande nätverk i en lista eller meny.
Som ett exempel i fig. Figur 14.1 visar resultatet av en Network Stumbler-skanner på Seattle-Tacoma Airport, där WayPort betjänar passagerarterminalen och MobileStar tillhandahåller täckning på American Airlines VIP Club. (MobileStar blev en del av en annan tjänst kort efter att jag gjorde den här planen, så nätverksnamnen har ändrats, men tjänsten förblir densamma).
Varje åtkomstpunkt har en standardinställning för SSID. Dessa standardinställningar är välkända och publicerade i snoopande gemenskaper (se till exempel http://www.wi2600.org/mediawhore/nf0/wireless/ssid_defaults). Självklart ska standardinställningarna inte användas på något nätverk.
Ris. 14.1
Många åtkomstpunkter kommer med en SSID-döljningsfunktion, ofta kallad Dolt nätverk eller Dolt nätverk. Den här funktionen hjälper till att förhindra vissa spioner från att upptäcka namnet på ditt nätverk, men närhelst en ny klient ansluter till det eller en befintlig klient tar emot en svag signal, sänds SSID och ett program som Kismet upptäcker det. Att dölja SSID kan sakta ner en och annan gäst, men ger ingen verklig säkerhet.
WEP-kryptering
WEP-kryptering är en funktion i varje 802.11b-system, så det är viktigt att veta hur det fungerar, även om du väljer att inte använda det. Som namnet antyder var det ursprungliga syftet med Wired Equivalent Privacy (WEP) att tillhandahålla en säkerhetsnivå för trådlösa nätverk jämförbar med den för ett trådbundet nätverk. Men det finns ett mycket vanligt påstående att ett nätverk baserat på WEP-kryptering är nästan lika sårbart för intrång som ett nätverk med absolut ingen säkerhet. Det kommer att skydda mot en och annan spion, men kommer inte att vara särskilt effektivt mot en ihållande inbrottstjuv.
WEP utför tre funktioner: det förhindrar obehörig åtkomst till nätverket, verifierar integriteten för varje paket och skyddar data från illvilliga. För att kryptera datapaket använder WEP en hemlig krypteringsnyckel innan nätverksklienten eller åtkomstpunkten överför den, och använder samma nyckel för att avkoda data efter att den har tagits emot.
När en klient försöker kommunicera med nätverket med en annan nyckel, förvrängs resultatet och ignoreras. Därför måste WEP-inställningarna vara exakt desamma på alla åtkomstpunkter och klientadapter i nätverket. Detta låter enkelt nog, men det blir förvirrande eftersom leverantörer använder olika metoder för att bestämma WEP-nyckelns storlek och format. Funktionerna är konsekventa från märke till märke, men samma inställningar har inte alltid samma beteckningar.
Hur många bitar finns i din WEP-nyckel?
För det första kan WEP-nyckeln vara antingen 64 eller 128 bitar. 128-bitars nycklar är svårare att knäcka, men de ökar också den tid det tar att överföra varje paket.
Förvirringen mellan olika leverantörers implementeringar uppstår eftersom 40-bitars WEP är samma som en 64-bitars WEP-nyckel och en 104-bitars nyckel är samma som en 128-bitars nyckel. En standard 64-bitars WEP-nyckel är en sträng som innehåller en internt genererad 24-bitars initieringsvektor och en 40-bitars hemlig nyckel som tilldelas av nätverksadministratören. Vissa tillverkares specifikationer och konfigurationsprogram kallar detta "64-bitars kryptering" och andra kallar det "40-bitars kryptering". I båda fallen förblir krypteringsschemat detsamma, så en adapter som använder 40-bitars kryptering är helt kompatibel med en åtkomstpunkt eller adapter som använder 64-bitars kryptering.
Många nätverkskort och åtkomstpunkter innehåller också en "stark kryptering"-funktion som använder en 128-bitars nyckel (som faktiskt är en 104-bitars hemlig nyckel med en 24-bitars initialiseringsvektor).
Stark kryptering är envägskompatibel med 64-bitars kryptering, men är inte automatisk, så alla komponenter i ett blandat nätverk av enheter med en 128-bitars och 64-bitars nyckel kommer att fungera med 64-bitars kryptering. Om åtkomstpunkten och alla adaptrar stöder 128-bitars kryptering, använd en 128-bitars nyckel. Men om du vill att ditt nätverk ska vara kompatibelt med adaptrar och åtkomstpunkter som bara känner igen 64-bitars kryptering, konfigurera hela ditt nätverk för att använda 64-bitars nycklar.
ASCII eller hexadecimal nyckel?
Men bara nyckellängden är förvirrande när du ställer in WEP-kryptering. Vissa program kräver nyckeln som en sträng av texttecken, medan andra kräver den som ett hexadecimalt tal. Andra kan generera en nyckel från en valfri lösenfras.
Varje ASCII-tecken består av 8 bitar, så en 40-bitars (eller 64-bitars) WEP-nyckel innehåller 5 tecken, och en 104-bitars (eller 128-bitars) nyckel består av 13 tecken. I hexadecimalt format består varje nummer av 4 bitar, så en 40-bitars nyckel innehåller 10 hexadecimala tecken och en 128-bitars nyckel har 26 tecken.
I fig. I figur 14.2, som visar fönstret för trådlös inställning för en D-Link-åtkomstpunkt, använder 40-bitars fältet Shared Key Security hexadecimala tecken och har plats för tio tecken. D-Link-programmet innehåller alla tio tecken på en rad, men några andra delar upp dem i fem grupper om två nummer eller i två grupper om fem nummer.
Ris. 14.2
För en dator ser nyckeln likadan ut i båda riktningarna, men det är lättare att kopiera strängen när den är delad i delar.
Många klientverktyg, som dialogrutan Egenskaper för trådlöst nätverk i Windows XP (visas i figur 14.3), erbjuder antingen hexadecimal kod eller text, så att du kan använda rätt format för åtkomstpunkten.
Lösenfrasen är en textsträng som adaptrar och åtkomstpunkter automatiskt konverterar till en sträng med hexadecimala tecken. Eftersom människor i allmänhet kommer ihåg meningsfulla ord eller fraser lättare än hexadecimal gobbledygook, är en lösenfras lättare att förmedla än en hexadecimal sträng. En lösenordsfras är dock bara användbar när alla adaptrar och åtkomstpunkter i nätverket är gjorda av samma tillverkare.
Ris. 14.3
Vilka funktioner finns?
I likhet med nästan alla inställningar i 802.11b-konfigurationsverktyget är namnen på WEP-funktioner inte konstanta från ett program till ett annat.
Vissa använder en öppen uppsättning funktioner som "aktivera WEP-kryptering", medan andra använder teknisk terminologi hämtad från den officiella 802.11-specifikationen. Open System Authentication är den andra varianten av namnet "WEP Encryption Disabled".
Vissa åtkomstpunkter tillhandahåller även en valfri funktion för autentisering av offentlig nyckel som använder WEP-kryptering, där nätverksklienten har nyckeln men okrypterad data accepteras från andra nätverksnoder.
Kombinera hexadecimala och textnycklar
Att sätta upp ett blandat nätverk blir mer komplicerat när vissa nätverksnoder bara använder hexadecimala nycklar medan andra kräver textnycklar. Om denna situation uppstår på ditt nätverk måste du följa reglerna nedan för att konfigurera dem med WEP:
Konvertera alla textnycklar till hexadecimala. Om konfigurationsprogrammet kräver en textknapp anger du tecknen Åh(en nolla följt av ett gement x) före den hexadecimala strängen. Om du använder Apples AirPort-programvara, istället för Åh I början av den hessadecimala nyckeln måste du ange en dollarsymbol ( $ );
Se till att alla dina krypteringsnycklar har rätt antal tecken;
Om saker fortfarande inte fungerar, läs säkerhetsavsnitten i manualerna för dina nätverkskort och åtkomstpunkter. Det är möjligt att en eller flera av dessa enheter i nätverket har något dolt personlighetsdrag som du inte är medveten om.
Ändra WEP-nycklar
Många åtkomstpunkter och nätverksklientadaptrar kan stödja upp till fyra olika 64-bitars WEP-nycklar, men bara en är aktiv åt gången, som visas i figur 1. 14.4. Andra nycklar är reservnycklar, som kan göra det möjligt för nätverksadministratören att justera nätverkets säkerhet med kort varsel. Adaptrar och åtkomstpunkter som stöder 128-bitars kryptering använder endast en 128-bitars WEP-nyckel åt gången.
Ris. 14.4
På ett nätverk där WEP-kryptering är organiserad på allvar. WEP-nycklar måste ändras regelbundet, enligt ett schema. En månad räcker för ett nätverk som inte överför viktig data, men för ett mer seriöst nätverk måste en ny nyckel installeras en eller två gånger i veckan. Kom ihåg att skriva ner dina nuvarande WEP-nycklar på ett säkert ställe.
På ett hem- eller litet kontorsnätverk kommer du med största sannolikhet att byta alla WEP-nycklar själv. Annars bör nätverksadministratören eller säkerhetspersonalen distribuera de nya WEP-nycklarna på papper, i ett memo, snarare än via e-post. För en ytterligare säkerhetsnivå på nätverk som använder 64-bitars kryptering, instruera dina användare att ändra två nycklar åt gången (inte den nuvarande standarden). Skicka ett separat memo som meddelar användarna vilken nyckel som har blivit den nya standarden och när den bör ändras.
En typisk veckoinstruktion kan se ut så här:
Ange följande nya 64-bitars WEP-nycklar:
Nyckel 1: XX XX XX XX XX
Nyckel 4: ÅÅ YV ÅÅ ÅÅ ÅÅ
En annan anteckning en vecka senare kommer att tillhandahålla koderna för nyckel 2 och nyckel 3.
En separat anteckning kan säga: "Vårt nätverk kommer att byta till nyckel 3 vid midnatt på tisdag. Ändra standardnyckeln för ditt nätverkskort." För att ändra, välj en tidpunkt då det minsta antalet användare använder det trådlösa nätverket, eftersom alla aktiva anslutningar på åtkomstpunkten när nycklarna ändras kommer att brytas och inte kan återställas förrän nycklarna på klientadaptern ändras. Användare kan ange nya nycklar i förväg som alternativ till den nuvarande aktiva nyckeln och ändra dem med några klick när den nya nyckeln träder i kraft.
Är WEP-skydd tillräckligt?
Flera datavetare har publicerat rapporter om WEP-kryptering, och argumenterar mot att den används för att skydda känslig data. Alla pekar på allvarliga brister i teorin och praktiken av kryptografi som används i sammansättningen av WEP-krypteringsalgoritmer. Dessa experter är eniga i sin rekommendation: Alla som använder ett trådlöst 802.11-nätverk bör inte förlita sig på WEP av säkerhetsskäl. Du måste använda andra metoder för att skydda dina nätverk.
Ett team från University of California, Berkeley, har hittat många brister i WEP-algoritmen som gör den sårbar för minst fyra olika typer av attacker:
Passiva attacker med statistisk analys för att avkoda data;
Aktiva attacker med skapandet av krypterade paket som tvingar åtkomstpunkten att acceptera falska kommandon;
Attacker genom att analysera krypterade paket för att skapa en ordbok, som sedan kan användas för att automatiskt avkoda data i realtid;
Attacker som modifierar pakethuvuden för att omdirigera data till en destination som kontrolleras av angriparen.
Berkeley-rapporten avslutas med det otvetydiga uttalandet: "WEP-säkerhet är inte likvärdig med trådbunden säkerhet. Problem med protokollet är resultatet av ett missförstånd av några av grunderna för kryptografi och därför den osäkra användningen av krypteringsmetoder."
Forskare från Rice University och AT&T Labs publicerade sina egna beskrivningar av deras attacker på WEP-krypterade nätverk (http://www.cs.rice.edu/~astubble/wep), vilket ledde dem till en liknande slutsats: "WEP i 802.11 är helt osäker." De kunde beställa och ta emot nödvändig utrustning, sätta upp en testbänk, utveckla sitt attackverktyg och framgångsrikt få en 128-bitars WEP-nyckel på mindre än en vecka.
Både Berkeley- och AT&T Labs-rapporterna är skrivna av tekniska experter, för tekniska experter, och analyserar kryptografi. Deras argument är förståeliga, men deras metoder förutsätter att den som inte vill har några seriösa tekniska kunskaper. Verktyg för mindre sofistikerade kodbrytare kan dock hittas lika enkelt. Både AirSnort (http://airsnort.shmoo.com) och WEPCrack() är Linux-program som övervakar trådlösa nätverkssignaler och utnyttjar svagheter i WEP-algoritmen för att erhålla krypteringsnyckeln.
Utvecklarna av AirSnort hävdar att deras program framgångsrikt kan hacka de flesta nätverk inom två veckor. Denna teknik övervakar nätverkssignaler utan att påverka dem, så nätverksadministratören kan inte upptäcka närvaron av en attack. Programmet släpps för att förvärra problemet. Om WEP-kryptering är lätt att bryta, tvingas standardgrupper att antingen hitta ett sätt att göra det säkrare eller ersätta det med ett mer svårbrytbart alternativ.
För att sammanfatta det: håll det enkelt och kryptera din nätverksdata.
Krypterad data är säkrare än klartextöverföring, och att knäcka en WEP-nyckel tar tid, så WEP lägger till ytterligare ett (förmodligen svagt) säkerhetslager, särskilt om du byter nycklar ofta. WEP-kryptering kan inte göra mycket för att skydda dig från allvarliga fiender, men det kommer att skydda dig från slumpmässiga illvilliga. Det är mycket lättare att bryta sig in i ett nätverk som inte använder kryptering (vilket är vad de flesta gör), så en hackare som upptäcker en krypterad signal kommer sannolikt att gå vidare till ett mål med mindre säkerhet.
Hjälp är på väg
Uppenbarligen är en säkerhetsdesign med hål som är tillräckligt stora för att passa en gigantisk digital lastbil nästan lika dålig som ingen säkerhet alls. Framgångsrika attacker på WEP-kryptering och lättillgängliga verktyg för att utnyttja säkerhetsprotokollsbrister får Wi-Fi Alliance-medlemmar att seriöst överväga att stödja sin licens som de facto-standarden för trådlöst nätverk. Ord som "kris" används av dem för att beskriva uppmärksamheten på dessa frågor.
De vill hitta en lösning innan ryktet om säkerhetsintrång uppväger efterfrågan på den trådlösa Ethernet-utrustning som de noggrant skapat och annonserat om.
De nya standarderna som kommer att lösa detta problem kommer att kallas 802.11i.IEEE. 802.11 Standards Committee började diskutera problemet flera månader innan det blev allmänt känt. En kommitté som heter Task Group i (TGi) arbetar på en ny, förbättrad säkerhetsspecifikation som (förhoppningsvis) kommer att ta itu med alla kända svagheter i WEP-krypteringsstandarder. Gruppen lovar att de nya säkerhetsverktygen kommer att fungera automatiskt och kommer att vara kompatibla med äldre utrustning som inte använder de nya verktygen. Forskargruppen har en webbplats på http://grouper.ieee.Org/groups/802/11/Reports, där du kan hitta mötesinformation och läsa några av de tekniska dokumenten.
Wi-Fi Alliance vill att dess medlemmar ska börja använda TGi-produkten så snabbt som möjligt. Detta kan oskadliggöra situationen innan det blir en kommersiell katastrof. När ingenjörer rapporterar en lösning kommer alla tillverkare av åtkomstpunkter och nätverkskort att integrera de nya säkerhetsmetoderna i sina produkter, och alliansen kommer att lägga till dem i testsviten för Wi-Fi-certifiering. Uppdaterad programvara och firmware kommer att säkerställa kompatibilitet för befintliga 802.11b-produkter med de nya 802.11i-protokollen.
Åtkomstkontroll
De flesta åtkomstpunkter har en funktion som gör att nätverksadministratören kan begränsa åtkomsten till klientadaptrar från en angiven lista. Om en nätverksenhet vars MAC-adress inte finns i listan över auktoriserade användare försöker ansluta, ignorerar åtkomstpunkten begäran om att associera med nätverket. Denna metod kan vara effektiv för att förhindra främlingar från att ansluta till ett trådlöst nätverk, men den tvingar nätverksadministratören att föra en komplett lista över användarnas adaptrar och deras MAC-adresser. Varje gång en ny användare vill ansluta till nätverket och varje gång en legitim användare byter adapter måste någon lägga till en annan MAC-adress i listan. Detta är möjligt i ett hem- eller litet kontorsnätverk, men kan vara ett stort problem för ett stort företag eller campussystem.
Varje konfigurationsverktyg för åtkomstpunkt använder olika format för åtkomstlistor. Manualen och onlinedokumentationen som medföljer din åtkomstpunkt bör ge detaljerade instruktioner om hur du skapar och använder en åtkomstkontrolllista. 802.11b-standarden definierar inte en maximal ACL-storlek för en åtkomstpunkt, så numren är fördelade över hela kortet. Vissa åtkomstpunkter begränsar listan till flera dussin parametrar. Andra, såsom Proxim Harmony AP Controller, kommer att stödja upp till 10 000 individuella adresser. Resten tillåter ett obegränsat antal. Om du planerar att använda en adresslista för att kontrollera åtkomsten till ditt nätverk, se till att åtkomstpunkten kommer att hantera en lista som är tillräckligt stor för att stödja alla användare med tillräckligt utrymme för framtiden. En tumregel är att åtkomstpunkten måste tillåta minst dubbelt så många MAC-adresser jämfört med det nuvarande antalet användare på ditt nätverk.
MAC-autentisering kan inte skydda mot alla intrång, eftersom att ändra MAC-adressen är trivialt på de flesta nätverkskort: allt en angripare behöver göra är att övervaka din nätverkstrafik tillräckligt länge för att hitta en giltig användare och kopiera hans MAC-adress.
Detta kan dock vara ett mycket effektivt sätt att bromsa en och annan spion.
Autentisering: 802.1x standard
På grund av säkerhetshål i WEP-krypteringsspecifikationen har många tillverkare av trådlös nätverksutrustning och mjukvaruutvecklare redan anpassat den nya IEEE-standarden - 802.1x - för att lägga till ytterligare ett lager av säkerhet till sina nätverk. Standarden 802.1x definierar ett ramverk som kan stödja flera olika former av autentisering, inklusive certifikat, smartkort och engångslösenord, som alla ger större säkerhet än åtkomstkontrollerna som är integrerade i 802.11.
I trådlösa 802.11-nätverk är en teknik som kallas Robust Security Network byggd ovanpå ramverket 802.1x för att begränsa nätverksåtkomst till auktoriserade enheter.
De flesta slutanvändare bör veta två saker om 802.1x: för det första är den integrerad i viss (men inte all) 802.11b-hårdvara och mjukvara, inklusive det trådlösa konfigurationsverktyget som följer med Windows XP och många moderna åtkomstpunkter, så det kan ge en annan potentiellt skyddslager; och för det andra har den fortfarande allvarliga brister som en skicklig nätverkshackare kan utnyttja för att infiltrera ett trådlöst nätverk. De otäcka tekniska detaljerna, analyserade av två forskare från University of Maryland, finns tillgängliga online på http://www.cs.umd.edu/~waa/1x.pdf.
Det verkar som om ett landmärke har dykt upp, eller hur? Ingenjörer från intresserade hård- och mjukvaruföretag slår sig samman under en forskargrupps fana
Vad ska man göra? Är ett säkert trådlöst nätverk ett ouppnåeligt ideal? Om man ser på trådlös säkerhet som ett katt- och råttspel är det ganska tydligt att mössen (spioner och nätverksknäckare) är vinnarna. Men dessa möss kräver avancerad kunskap och hårdvara för att övervinna befintliga krypterings- och autentiseringsverktyg.
Tänk på det som ytterdörren till ditt hem: om du lämnar den vidöppen kan vem som helst komma in och stjäla dina saker, men om du låser dörren och låser fönstren blir det mycket svårare för en inbrottstjuv att ta sig in. . En specialist kan öppna låset, men det kommer att ta mycket tid och ansträngning.
Brandväggar
Om du accepterar att WEP-kryptering och 802.1x inte ger tillräcklig trådlös säkerhet, är nästa logiska steg att hitta ett annat sätt att förhindra utomstående från att komma åt ditt nätverk. Du behöver en brandvägg.
En brandvägg är en proxyserver som filtrerar all data som passerar genom den till eller från nätverket, beroende på en uppsättning regler som ställts in av nätverksadministratören. Till exempel kan en brandvägg filtrera bort data från en okänd källa eller filer associerade med en specifik källa (virus). Eller det kan tillåta all data som skickas från det lokala nätverket till Internet, men bara tillåta specifika typer av data från Internet. Den vanligaste användningen av en nätverksbrandvägg är som en gateway till Internet, som visas i figuren. 14.5. Brandväggen övervakar all data som kommer och går mellan det lokala nätverket på ena sidan och Internet på den andra. Denna typ av brandvägg är utformad för att skydda datorer i ett nätverk från obehörig åtkomst från Internet.
Ris. 14.5
I ett trådlöst nätverk kan brandväggen också vara placerad vid gatewayen mellan de trådlösa åtkomstpunkterna och det trådbundna nätverket. En sådan brandvägg isolerar den trådlösa delen av nätverket från det trådbundna nätverket, så illvilliga som ansluter sina datorer till nätverket utan tillstånd kan inte använda den trådlösa anslutningen för att komma åt Internet eller den trådbundna delen av nätverket. I fig. Figur 14.6 visar platsen för brandväggen i ett trådlöst nätverk.
Ris. 14.6
Ge inte trådlösa nätverksinkräktare en chans
De flesta som försöker ansluta sig till ett trådlöst nätverk oroar sig inte för andra datorer; de är intresserade av gratis höghastighetsinternet. Om de inte kan använda ditt nätverk för att ladda ner filer eller ansluta till sina favoritwebbsidor, kommer de sannolikt att försöka hitta någon annan osäkrad trådlös punkt. Detta betyder inte att du ska lagra känsliga data i tillgängliga filer på osäkra datorer, men om du kan begränsa eller neka åtkomst till Internet kommer du att göra ditt nätverk mycket mindre attraktivt för belackare. En brandvägg på ett trådlöst nätverk kan utföra flera funktioner: den fungerar som en router mellan det trådlösa och trådbundna nätverket eller som en brygga mellan nätverket och internet, och blockerar all trafik från den trådlösa till den trådbundna sidan som inte kommer från en autentiserad användare. Men det stör inte kommandon, meddelanden eller filöverföringar som görs av betrodda användare.
Eftersom både auktoriserade användare och utomstående befinner sig på den osäkra sidan av brandväggen, isolerar detta inte de trådlösa noderna från varandra. En angripare kan fortfarande komma åt en annan dator på samma trådlösa nätverk och läsa tillgängliga filer, så det är bättre att inaktivera Fildelning(Åtkomst till filer) på vilken dator som helst som är ansluten till ett trådlöst nätverk.
En trådlös brandvägg måste använda någon typ av autentisering för att tillåta auktoriserade användare genom gatewayen och filtrera bort alla andra. Om MAC-adressbaserad åtkomstkontroll är inbyggd i 802.11b-system och den ytterligare autentiseringen i 802.1x inte är acceptabel, bör den externa brandväggen kräva att varje användare anger en inloggning och ett lösenord innan de ansluter till Internet.
Om ditt trådlösa nätverk innehåller datorer som kör flera operativsystem måste brandväggen använda en inloggning som fungerar på vilken plattform som helst. Det enklaste sättet att åstadkomma detta är att använda en webbaserad autentiseringsserver, till exempel den som ingår i Apache webbserver (http://httpd.apache.org).
NASA använder Apache på en dedikerad server för att skapa en webbplats som meddelar användare när de anger ett kontonamn och lösenord.
Servern använder ett Perl/CGI-skript för att jämföra inloggning och lösenord med databasen. Om de är korrekta, instruerar den servern att acceptera kommandon och data från användarens IP-adress. Om det inte finns någon inloggning i databasen eller om lösenordet är felaktigt visar Apache-servern webbsidan "Ogiltigt användarnamn och lösenord".
Apache-webbservern är tillgänglig som en Unix-applikation som körs på en gammal, långsam dator med en tidig Pentium eller till och med 486 CPU, så det är ofta möjligt att återanvända en gammal dator som inte längre är i daglig användning som brandvägg. Både Apache-applikationen och Unix-operativsystemet finns som öppen källkod, så det borde vara möjligt att bygga en Apache-baserad brandvägg till extremt låg kostnad.
Om du föredrar att använda Windows istället för Unix har du flera alternativ. Du kan använda Windows NT/2000-versionen av Apache eller ett kommersiellt verktyg som Wireless Enforcer från Sygate (http://www.sygate.com/prodacls/sse/sse_swe_securjty.htm) - Wireless Enforcer fungerar med andra delar av Sygate Secure Enterprise Suite Sygate Security) för att tilldela och verifiera ett unikt fingeravtryck till varje auktoriserad användare. Om utomstående försöker ansluta till åtkomstpunkten utan det nödvändiga fingeravtrycket, blockerar nätverket dem.
Isolera ditt nätverk från Internet
Alla attacker på ett trådlöst nätverk utförs inte trådlöst. Ett trådlöst nätverk kräver samma typ av brandväggsstöd mot Internetattacker som alla andra nätverk. Många åtkomstpunkter innehåller konfigurerbar brandväggsfunktion, men om din inte gör det måste ditt nätverk innehålla en eller flera av följande brandväggar:
Brandväggsprogram på varje dator;
En separat router eller dedikerad dator för att fungera som en nätverksbrandvägg;
Ett integrerat säkerhetspaket, såsom Sygate-paketet som beskrivs i föregående avsnitt.
Brandväggsklientprogram ger en annan försvarslinje mot attacker på ditt nätverk över Internet. En del av dem kommer från illvilliga som letar efter ett sätt att läsa dina filer och andra resurser som du vill dölja från omvärlden. Andra kanske vill använda din dator som en distributionsplats för skräppost eller infiltrationsförsök på en dator någon annanstans i världen för att göra den faktiska resursen svårare att spåra. Andra distribuerar virus eller använder oönskade program som tar över kontrollen över datorn och visar skrämmande eller reklammeddelanden. Dessutom kan en osäkrad maskin med mycket oanvänt lagringsutrymme vara ett attraktivt mål för hackare som vill distribuera piratkopierad programvara, musik eller videofiler (tror du inte att de kanske lagrar skiten på sina egna datorer?).
Om du konfigurerar en brandvägg som meddelar dig när en extern dator försöker ansluta till ditt nätverk, kommer du sannolikt att se flera intrångsförsök varje dag.
Åtkomstpunkter med brandväggar
Det enklaste alternativet för att använda en trådlös brandvägg är att använda den som är inbyggd i åtkomstpunkten. Vissa kombinerar funktionerna hos en trådlös åtkomstpunkt med en bredbandsrouter och en Ethernet-switch, så de stöder både trådbundna och trådlösa nätverksklienter.
Som du vet tillhandahåller en nätverksrouter översättning mellan en numerisk IP-adress som definierar gatewayen för ett lokalt nätverk och interna IP-adresser som definierar enskilda datorer inom det. En brandvägg blockerar vanligtvis alla inkommande dataförfrågningar till lokala nätverksvärdar, men detta skapar problem när du vill använda en eller flera lokala nätverksdatorer som filservrar. För att lösa detta problem innehåller brandväggen en virtuell server som omdirigerar förfrågningar av en viss typ till lämplig dator inom nätverket.
Varje begäran att ansluta till en server innehåller ett specifikt portnummer som bestämmer typen av server. Till exempel använder webbservrar port 80 och FTP använder port 21, så dessa portnummer är en del av åtkomstbegäran. När du accepterar förfrågningar om åtkomst till servern måste du aktivera funktionen för översättning av nätverksadress (NAT) i brandväggen för att dirigera dessa förfrågningar till en angiven dator inom det lokala nätverket. I fig. 14.7 den virtuella servern är konfigurerad att använda en dator med lokal IP-adress 192.168.0.177 som webbserver och 192.168.0.164 som FTP-filserver. I tabell Tabell 14.1 visar de vanligaste tjänstportnumren.
Tabell 14.1 Vanliga TCP/IP-tjänstportnummer
Det finns hundratals andra portnummer som används i olika nätverk, men de flesta av dem kommer du aldrig att se i verklig användning. Den officiella listan över tilldelade portar finns på http://www.iana.org/assignments/port-numbers.
Ris. 14.7
NAT-översättning förutsätter att IP-adresserna för varje virtuell server inte bör ändras från en begäran till nästa. En webbserver med nuvarande nummer 192.168.0.23 bör inte byta till 192.168.0.47 på en vecka. Detta är vanligtvis inte ett problem på ett trådbundet nätverk, utan på ett trådlöst, där nätverksklienter ansluter och lämnar kontinuerligt. DHCP-servern tilldelar automatiskt nästa tillgängliga nummer till varje ny klient. Om en av dessa användare är platsen för en av nätverkstjänstportarna kanske NAT inte upptäcker den. Detta problem är inte särskilt vanligt, eftersom de flesta nätverk inte använder bärbara datorer som servrar, men det händer ibland. Lösningen är att antingen inaktivera DHCP-servern och tilldela en permanent IP-adress till varje klient, eller flytta serviceporten till en dator som har en trådbunden anslutning till nätverket.
Brandväggsprogram
En trådlös gateway-brandvägg i gränssnittet mellan åtkomstpunkten och den trådbundna delen av ditt LAN kommer att förhindra utomstående från att använda nätverket för att komma åt Internet, och en Internetanslutningsbrandvägg kommer att avvisa försök att ansluta till nätverket från Internet, men en annan form säkerhet behövs för ett trådlöst nätverk. Om någon ansluter till ditt trådlösa nätverk utan tillåtelse, vill du ta bort andra legitima datorer i samma nätverk från det. Det betyder att du behöver ett klientbrandväggsprogram för varje nätverksnod.
En klientbrandvägg utför samma funktioner på en dators nätverksgränssnitt som en nätverks- eller företagsbrandvägg utför för hela nätverket. Den upptäcker anslutningsförsök på TCP-portar och ignorerar dem om de inte matchar en eller flera konfigurationsinställningar för brandväggsprogram.
Vissa brandväggar finns som testversion, medan andra är gratis för icke-kommersiella användare, så du kan enkelt prova dem på ditt eget system och se vilken du gillar bäst.
Nedan finns några program för Windows:
Unix- och Linux-användare har också många brandväggsfunktioner. De flesta av dem är skrivna för användning på fristående brandväggsdatorer, som ofta används som nätverksgateways, men de kan också fungera som skydd för enskilda nätverksklienter.
I Linux är brandväggen en del av kärnan, användaren arbetar med den genom konsolverktyg - antingen ipchains eller iptables. Båda finns dokumenterade på http:// linuxdoc.org/HOWTO/IPCHAINS-HOWVTO.html respektive http:// www.netfilter.org/unreliable-guides/packet-filtering-HOWTO. IP Filter är ett mjukvarupaket som tillhandahåller brandväggstjänster för FreeBSD- och NetBSD-system. Den officiella IP-filterwebbplatsen finns på http://coombs.anu.edu.au/-avalon, och http://www.obfuscation.org/ipf/ipf-howto.txt har ett utmärkt dokument om dess användning. Programmet kan avvisa eller tillåta vilket paket som helst som passerar genom brandväggen, samt filtrera efter nätmask eller värdadress, implementera serviceportrestriktioner och tillhandahålla NAT-översättningstjänster.
NetBSD/i386 Firewall är en annan gratis Unix-brandvägg.
Den körs på vilken dator som helst med en 486 eller högre CPU med minst 8 MB minne. Hemsidan för NetBSD/i386 Firewall Project finns på http://www.dubbele.com.
PortSentry är ett portskanningsverktyg som integreras i flera allmänt använda versioner av Linux, inklusive Red Hat, Caldera, Debian och Turbo Linux. Den är tillgänglig för nedladdning på http://www.psionic.com/products/portsentry.html.
Virtuella privata nätverk
Genom att isolera anslutningen mellan nätverksnoder från annan nätverkstrafik kan en VPN lägga till ytterligare ett lager av skydd. En VPN är en krypterad överföringskanal som kopplar samman två nätverksändpunkter genom en "datatunnel". Många nätverkssäkerhetsexperter rekommenderar VPN som ett effektivt sätt att skydda ett trådlöst nätverk från illvilliga och obehöriga användare. Du kan hitta mer information om att ställa in och använda ett VPN i nästa kapitel.
Fysiskt skydd
Hittills har vi pratat om att förhindra elektroniska tjuvar från att få tillgång till ditt nätverk. Det är lätt nog att komma åt nätverket med hjälp av befintlig hårdvara som ännu inte har konfigurerats för det. Detta är ännu enklare om angriparen får en dator stulen från en auktoriserad användare.
Att förlora en bärbar dator är inte trevligt. Det är ännu värre att låta en tjuv använda en stulen dator för att spåra nätverket. Som nätoperatör bör du påminna dina användare om att deras bärbara enheter är attraktiva mål för tjuvar och ge några tips om hur man skyddar dem. Som användare måste du själv följa samma regler.
Den första regeln är enkel - glöm inte att du bär en dator. Det verkar uppenbart, men taxichaufförer i London hittade cirka 2 900 bärbara datorer (och 62 000 mobiltelefoner!) kvar i bilar under en sexmånadersperiod. Otaliga andra har övergivits i flygplan, hotellrum, pendeltåg och konferensrum. Annonsera inte att du bär en dator. Nylonväskor med en stor "IBM" eller "COMPAQ"-logga på sidan kan se moderiktiga ut, men de är inte lika säkra som en vanlig portfölj eller shoppingväska.
Bär alltid datorn i händerna eller på axeln när den inte är inlåst i en garderob eller förråd. Bli distraherad i en minut och en erfaren tjuv kan stjäla den. Flygplatsterminaler, tågstationer och hotelllobbyer är vanliga platser för stöld. Lämna inte en osäker persondator på kontoret över natten. Låt det inte gå genom flygplatsskannrar. Be inspektören att inspektera den personligen eller se till att du kan lämna tillbaka datorn omedelbart efter att den slutat färdas längs med transportbandet. Två personer som arbetar tillsammans kan enkelt kvarhålla dig och stjäla din dator innan du har den. Om någon försöker stjäla din dator under bagagekontrollen, gör väsen och ring säkerhetsvakten för att få hjälp. Se till att dina datorer och enskilda komponenter som PC-kort har ägandeetiketter på insidan och utsidan.
Säkerhetsspårning av kontorsegendom (http://www.stoptheft.com) erbjuder inspelningsbara, tryckta cyanoakrylat självhäftande säkerhetsetiketter som kräver 360 kg kraft för att ta bort, med en permanent "Stulen egendom" kemisk märkning som visas om någon... eller radera genvägen.
Om du kan övertyga dina kunder att använda larmenheter på sina datorer kan det öka chanserna att de kommer tillbaka. Trackit (http://www.trackit-corp.co m) är en tvådelad larmenhet som använder en clip-on sändare och en miniatyrmottagare som finns i en datorväska. När sändaren är mer än 12 m från mottagaren avger mottagaren en siren på 110 dB, vilket vanligtvis gör att en tjuv tappar en stulen väska.
Håll slutligen en lista över modell- och serienummer åtskilda från själva enheterna. Du behöver denna information för ditt försäkringskrav.
När du upptäcker att en av datorerna som är anslutna till ditt nätverk har förlorats eller blivit stulen är det viktigt att skydda resten av nätverket. Om möjligt, ändra nätverkets SSID, lösenord och WEP-nycklar så snart som möjligt. Om ditt nätverk använder en lista med MAC-adresser för att kontrollera åtkomst, ta bort den stulna enhetens MAC-adress från listan över auktoriserade anslutningar.
Anslut ditt nätverk till världen
Om du använder ett trådlöst nätverk för att dela internetåtkomst till ett grannnätverk eller campus, eller vill tillåta kunder och andra besökare att ansluta till ditt trådlösa nätverk, bör du inte använda WEP eller andra säkerhetsverktyg för att begränsa åtkomsten till kända användare, men du bör ändå tillhandahålla några säkerhetsåtgärder.
Din önskan att ge människor en direkt anslutning till Internet betyder inte att du vill låta dem roama andra datorer i ditt nätverk, du vill isolera de trådlösa åtkomstpunkterna från resten av ditt nätverk.
Om alla lokala värdar i ditt nätverk är anslutna är det bästa sättet att placera en brandvägg mellan den trådlösa åtkomstpunkten och det trådbundna LAN-nätverket, så att åtkomstpunkten (och datorer som är anslutna till den via trådlösa anslutningar) endast kan ansluta till Internet och inte till någon av de lokala värdarnas trådbundna nätverk, som visas i Fig. 14.8.
Men om några av dina hemdatorer använder trådlösa anslutningar måste du skydda dem från åtkomst av andra som använder den delade delen av ditt nätverk. Det finns ett par sätt att genomföra denna plan: i fig. Figur 14.9 visar ett trådlöst nätverk med en mjukvarubrandvägg på varje hemdator, och Fig. 14.10 - ett system som använder två separata trådlösa nätverk med olika SSID anslutna till samma Internetnod. Den allmänna regeln är att använda en eller flera brandväggar för att isolera den offentliga delen av ditt nätverk från datorer som du inte vill ska exponeras för resten av världen.
Ris. 14.8
Ris. 14.9
Ris. 14.10
Anmärkningar:
För att centralt kontrollera åtkomsten till filer i Windows XP och Windows 2000, högerklicka på snabbmenyn Min dator och välj Hantera. Välj ett bokmärke i den högra rutan Delade mappar, då Aktier. - Notera vetenskaplig ed.
De senaste åren har den trådlösa tekniken ökat. Wi-Fi-nätverk (802.11a/b/g standardnätverk) blir allt mer populära, och om det tidigare främst handlade om användningen av trådlösa nätverk på kontor och hotspots, används de nu flitigt både hemma och för att distribuera mobiltelefoner kontor (kontor under affärsresor). Trådlösa åtkomstpunkter och trådlösa routrar i SOHO-klass säljs speciellt för hemanvändare och små kontor, och trådlösa routrar i fickor säljs för mobila användare. Men när man bestämmer sig för att byta till ett trådlöst nätverk, bör man komma ihåg att det i det nuvarande utvecklingsstadiet har en betydande nackdel - ofullkomlighet när det gäller säkerhet. I den här artikeln kommer vi att prata om de mest sårbara områdena av trådlösa nätverk och visa med praktiska exempel hur de hackas. Den kunskap som erhållits kan framgångsrikt användas för att granska säkerheten för trådlösa nätverk, vilket gör att du kan undvika traditionella misstag som görs när du distribuerar trådlösa nätverk. Vi ska först titta på de grundläggande säkerhetsåtgärderna som används för att skydda trådlösa nätverk idag, och sedan prata om hur de kan övervinnas av angripare.
Trådlösa säkerhetsmetoder
802.11a/b/g trådlösa nätverksstandarder tillhandahåller flera säkerhetsmekanismer:
- autentisering och datakryptering med WEP-protokollet (Wired Equivalent Privacy);
- autentisering och datakryptering med WPA-protokollet (Wi-Fi Protected Access);
- filtrering efter MAC-adresser;
- använder läget för dold nätverksidentifierare.
WEP-protokoll
Alla moderna trådlösa enheter (åtkomstpunkter, trådlösa adaptrar och routrar) stöder WEP-säkerhetsprotokollet, som ursprungligen ingick i IEEE 802.11-specifikationen för trådlöst nätverk.
WEP-protokollet låter dig kryptera den överförda dataströmmen baserat på RC4-algoritmen med en nyckelstorlek på 64 eller 128 bitar. Vissa enheter stöder också nycklar på 152, 256 och 512 bitar, men detta är snarare undantaget från regeln. Nycklarna har en så kallad statisk komponent på 40 respektive 104 bitars längd för 64- respektive 128-bitars nycklar, samt en ytterligare dynamisk komponent på 24 bitars storlek, kallad Initialization Vector (IV).
På den enklaste nivån är WEP-krypteringsproceduren följande. Initialt kontrolleras data som sänds i paketet med avseende på integritet (CRC-32-algoritm), varefter kontrollsumman (Integrity Check Value, ICV) läggs till i servicefältet för pakethuvudet. Därefter genereras en 24-bitars initialiseringsvektor (IV), till vilken en statisk (40- eller 104-bitars) hemlig nyckel läggs till. Den sålunda erhållna 64- eller 128-bitarsnyckeln är den initiala nyckeln för att generera det pseudoslumptal som används för att kryptera data. Därefter blandas (krypteras) data med den logiska XOR-operationen med en pseudo-slumpmässig nyckelsekvens, och initialiseringsvektorn läggs till i ramtjänstfältet.
På den mottagande sidan kan data dekrypteras, eftersom information om initialiseringsvektorn överförs tillsammans med den, och den statiska komponenten av nyckeln lagras av användaren till vilken data överförs.
WEP-protokollet tillhandahåller två metoder för användarautentisering: Öppet system (öppet) och delad nyckel (delad). Med öppen autentisering sker faktiskt ingen autentisering, vilket innebär att alla användare kan få tillgång till det trådlösa nätverket. Men även i fallet med ett öppet system är WEP-datakryptering tillåten.
WAP-protokoll
2003 introducerades en annan säkerhetsstandard - WPA, vars huvudfunktion är tekniken för dynamisk generering av datakrypteringsnycklar, byggd på basis av TKIP (Temporal Key Integrity Protocol), som är en vidareutveckling av RC4-krypteringen algoritm. Under TKIP-protokollet arbetar nätverksenheter med en 48-bitars initialiseringsvektor (till skillnad från 24-bitars WEP-vektor) och implementerar regler för att ändra sekvensen av dess bitar, vilket eliminerar nyckelåteranvändning. TKIP-protokollet tillhandahåller generering av en ny 128-bitars nyckel för varje överfört paket. Dessutom beräknas kryptografiska kontrollsummor i WPA med en ny metod - MIC (Message Integrity Code). Varje ram innehåller en speciell åtta-byte meddelandeintegritetskod, vars verifiering gör att du kan avvärja attacker med förfalskade paket. Som ett resultat visar det sig att varje datapaket som överförs över nätverket har sin egen unika nyckel, och varje trådlös nätverksenhet är utrustad med en dynamiskt föränderlig nyckel.
Dessutom stöder WPA-protokollet kryptering med den avancerade AES-standarden (Advanced Encryption Standard), som har en säkrare kryptografisk algoritm jämfört med WEP- och TKIP-protokollen.
När du distribuerar trådlösa nätverk hemma eller på små kontor, används vanligtvis en variant av WPA-säkerhetsprotokollet baserat på delade nycklar - WPA-PSK (Pre Shared Key) -. I framtiden kommer vi bara att överväga WPA-PSK-alternativet, utan att beröra WPA-protokollalternativen riktade mot företagsnätverk, där användarauktorisering utförs på en separat RADIUS-server.
När du använder WPA-PSK anges ett lösenord på 8 till 63 tecken i åtkomstpunktsinställningarna och klientens trådlösa anslutningsprofiler.
MAC-adressfiltrering
MAC-adressfiltrering, som stöds av alla moderna accesspunkter och trådlösa routrar, även om den inte ingår i 802.11-standarden, anses ändå förbättra säkerheten för ett trådlöst nätverk. För att implementera denna funktion skapas en tabell med MAC-adresser för trådlösa adaptrar för klienter som är auktoriserade att arbeta i detta nätverk i åtkomstpunktsinställningarna.
Dolt SSID-läge
En annan försiktighetsåtgärd som ofta används i trådlösa nätverk är läget för dolda nätverksidentifierare. Varje trådlöst nätverk tilldelas en unik identifierare (SSID), som är namnet på nätverket. När en användare försöker logga in på ett nätverk, skannar drivrutinen för den trådlösa adaptern först av etern efter förekomsten av trådlösa nätverk. När du använder det dolda identifierarläget (som regel kallas detta läge Hide SSID) visas inte nätverket i listan över tillgängliga och du kan bara ansluta till det om, för det första, dess SSID är exakt känt, och för det andra, en profil har skapats i förväg anslutning till detta nätverk.
Hacka trådlösa nätverk
Efter att ha bekantat oss med de viktigaste metoderna för att skydda 802.11a/b/g-nätverk kommer vi att överväga sätt att övervinna dem. Observera att samma verktyg används för att hacka WEP- och WPA-nätverk, så först kommer vi att berätta vad som ingår i angriparens arsenal.
Först och främst behöver vi en bärbar dator med en trådlös adapter. Det största problemet som uppstår i processen att välja trådlösa hackningsverktyg är att säkerställa kompatibilitet mellan det trådlösa adapterchippet som används av programvaran och operativsystemet.
Välja en trådlös adapter
Faktum är att de flesta verktyg som låter dig hacka trådlösa nätverk är "skräddarsydda" för Linux-system. Det finns versioner av vissa verktyg för Windows XP. Men beroende på det trådlösa adapterchippet kan vissa trådlösa kort användas med verktyg för både Linux- och Windows XP-system, och vissa trådlösa adaptrar kan användas med verktyg endast för Linux eller endast för Windows XP-system. Det finns trådlösa adaptrar som inte stöds av vare sig Linux- eller Windows XP-verktyg. Dessutom finns det chips som, även om de stöds av verktyg, fungerar extremt långsamt (när det gäller att fånga och analysera paket).
Faktum är att för att utföra uppgiften att hacka trådlösa nätverk krävs speciella (icke-standardiserade) drivrutiner för trådlösa nätverkskort. Standardlägena för alla trådlösa adaptrar är Infrastructure (Basic Service Set, BSS) och ad-hoc (Independent Basic Service Set, IBSS). I infrastrukturläge är varje klient ansluten till nätverket via en åtkomstpunkt, och i ad-hoc-läge kan trådlösa adaptrar kommunicera med varandra direkt, utan att använda en åtkomstpunkt. Båda dessa lägen tillåter dock inte den trådlösa adaptern att lyssna i luften och fånga upp paket. I båda fallen kommer nätverksadaptern att fånga paket som endast är avsedda för det nätverk som det är konfigurerat för. För att kunna se andra nätverk (som har ett dolt ESSID) och fånga paket, finns det ett speciellt övervakningsläge (Monitor-läge), vid omkoppling till vilket adaptern inte är associerad med något specifikt nätverk och fångar upp alla tillgängliga paket. Vanligtvis stöder inte drivrutinerna som tillhandahålls av tillverkaren av den trådlösa adaptern övervakningsläge, och för att aktivera det måste du installera speciella drivrutiner, ofta skrivna av en grupp tredjepartsutvecklare. Det bör omedelbart noteras att för Windows-operativsystem finns sådana speciella drivrutiner endast för trådlösa adaptrar baserade på Hermes, Realtek, Aironet och Atheros-chips. Drivrutinsstöd för detta läge för operativsystem i Linux/BSD-familjen bestäms till stor del av öppenheten i specifikationerna för kortet, men listan över enheter som stöds är mycket bredare än för Windows-familjen. Drivrutiner för Linux/BSD-system med stöd för övervakningsläge kan hittas för trådlösa adaptrar baserade på följande styrkretsar: Prism, Orinoco, Atheros, Ralink, Aironet, Realtek, Hermes och Intel, även om drivrutiner baserade på Intel-chips inte är lämpliga för alla enheter.
För närvarande har alla bärbara datorer baserade på Intel Centrino mobilteknologi inbyggda trådlösa adaptrar baserade på Intel-chips (IPW2100, IPW2200, IPW2915, IPW3945-chips), men för våra ändamål är dessa adaptrar inte lämpliga - även om de är kompatibla med Linux-verktyg. för hackning fungerar dessa chips extremt långsamt och är i allmänhet inkompatibla med Windows-verktyg.
Välja ett operativsystem
När det gäller val av operativsystem kan följande rekommendationer ges. Linux-system är mer att föredra för dessa ändamål, eftersom när du använder Linux är utbudet av möjliga verktyg mycket bredare, och Linux-verktyg fungerar mycket snabbare. Men detta betyder inte att du inte kan använda Windows XP tillsammans med Windows-verktyg. I framtiden kommer vi att överväga båda alternativen för att hacka trådlösa nätverk - det vill säga att använda både Linux- och Windows-verktyg. Samtidigt förstår vi mycket väl att inte alla användare har bråttom att byta från Windows till Linux. Trots alla dess brister är Windows OS mycket mer utbrett, och det är mycket lättare att lära sig för en nybörjare. Därför, enligt vår åsikt, är det optimala alternativet att använda Windows XP som huvudoperativsystem på en bärbar dator, och för uppgifter att hacka ett trådlöst nätverk - Linux Live CD, som körs från en CD och inte kräver installation på datorns hårda kör. Den bästa lösningen i vårt fall skulle vara BackTrack-disken, som är byggd på Linux OS (kärnversion 2.6.18.3) och innehåller alla nödvändiga verktygspaket för att hacka nätverk. En bild av denna disk kan laddas ner från webbplatsen med hjälp av länken: http://www.remote-exploit.org/backtrack.html.
Mjukvaruuppsättning
Traditionellt, för att hacka trådlösa nätverk, används mjukvarupaketet aircrack, som finns i versioner för både Windows XP (aircrack-ng 0.6.2-win) och Linux (aircrack-ng 0.7). Detta paket distribueras helt gratis och kan laddas ner från den officiella webbplatsen www.aircrack-ng.org. Det är helt enkelt ingen idé att leta efter andra verktyg, eftersom detta paket är den bästa lösningen i sin klass. Dessutom ingår den (naturligtvis Linux-versionen) i BackTrack-skivan.
Hacka trådlösa nätverk med hjälp av en BackTrack Live CD
Så, oavsett vilket operativsystem du har installerat på din bärbara dator, kommer vi att använda BackTrack-startskivan för att hacka det trådlösa nätverket. Observera att förutom de verktyg vi behöver för att hacka ett trådlöst nätverk, innehåller den här disken många andra verktyg som låter oss granska nätverk (portskannrar, sniffers, etc.). Förresten, en sådan disk är användbar för alla systemadministratörer som är involverade i nätverksrevision.
Att hacka ett trådlöst nätverk med hjälp av BackTrack-disken utförs i tre steg (tabell 1):
- samla in information om det trådlösa nätverket;
- paketfångst;
- paketanalys.
Det första steget är att samla in detaljerad information om det trådlösa nätverket som hackas: MAC-adresserna för åtkomstpunkten och den aktiva klienten för det trådlösa nätverket, namnet på nätverket (nätverks-ID) och vilken typ av kryptering som används. För att göra detta, använd verktygen airmon-ng, airodump-ng och Kismet - den första av dem är nödvändig för att konfigurera drivrutinen för trådlös nätverksadapter för att övervaka det trådlösa nätverket, och de andra två låter dig få nödvändig information om det trådlösa nätverket nätverk. Alla dessa verktyg finns redan på BackTrack-skivan.
Tabell 1. Steg för att hacka ett trådlöst nätverk med BackTrack Live CD
|
Etappnummer |
Beskrivning |
Verktyg som används |
Resultat |
|
|
Samla information om trådlöst nätverk |
airmon-ng airodump-ng Kismet |
Accesspunkts MAC-adress, aktiv klient-MAC-adress, nätverkstyp, nätverks-ID, krypteringstyp (WEP, WPA-PSK), kommunikationskanalnummer |
||
|
Paketavlyssning |
airodump-ng Kismet airoplay-ng |
|||
|
Paketanalys |
Nyckelval |
Val av lösenord |
||
Nästa steg är att fånga paket med hjälp av verktyget airodump-ng. I de fall där WEP-kryptering används i nätverket är det nödvändigt att samla in IV-paket som innehåller initialiseringsvektorer. Om trafiken på nätverket är låg (till exempel klienten är inaktiv) kan du dessutom använda verktyget airoplay-ng för att öka trafiken mellan klienten och åtkomstpunkten.
Om nätverket använder WPA-PSK-kryptering är det nödvändigt att samla in paket som innehåller information om klientautentiseringsproceduren på nätverket (handskakningsprocedur). För att tvinga klienten att genomgå autentiseringsproceduren på nätverket kan du använda verktyget airoplay-ng för att initiera processen att tvångsavbryta den från nätverket och sedan återställa anslutningen.
I det sista steget analyseras den fångade informationen med hjälp av aircrack-ng-verktyget. När det gäller WEP-kryptering beror sannolikheten för att gissa nyckeln på antalet insamlade IV-paket, och WPA-PSK-kryptering beror på den ordbok som används för att gissa lösenordet.
Praktiska exempel
Efter en kort beskrivning av proceduren för att hacka ett trådlöst nätverk, kommer vi att överväga praktiska exempel med en detaljerad beskrivning av varje steg och de verktyg som används.
I vårt fall hade vi att göra med ett experimentellt nätverk bestående av en D-Link DWL-7000AP accesspunkt och en nätverksklient med en Gigabyte GN-WPEAG trådlös PCI-adapter.
För att hacka nätverket använde vi en bärbar dator med en Gigabyte GN-WMAG trådlös PCMCIA-adapter baserad på Atheros-chippet. Observera att när du använder BackTrack-disken krävs inga ytterligare drivrutiner för Gigabyte GN-WPEAG-adaptern - allt finns redan på disken.
Steg 1. Samla information om det trådlösa nätverket
Så i det första skedet måste vi samla in information om det trådlösa nätverket. Vi sätter in den trådlösa adaptern i den bärbara datorn och laddar operativsystemet från CD:n. Ring sedan konsolen och starta airmon-ng-verktyget, som ingår i aircrack-ng-paketet.
Detta verktyg låter dig bestämma tillgängliga trådlösa gränssnitt och tilldela nätverksövervakningsläget till ett av de tillgängliga gränssnitten.
Syntaxen för att använda kommandot airmon-ng är följande:
luftmon-ng
var finns alternativen
Inledningsvis anges airmon-ng-kommandot utan parametrar, vilket gör att du kan få en lista över tillgängliga trådlösa gränssnitt. Till exempel, i vårt fall, var svaret på kommandot airmon-ng följande:
Användning: airmon-ng
Gränssnitt Chipset Drivrutin
wifi0 Atheros madwifi-ng
ath0 Atheros madwifi-ng VAP (förälder: wifi0)
Välj wifi0 som trådlöst gränssnitt, ange kommandot airmon-ng start wifi0. Som ett resultat får vi ett annat gränssnitt ath1, som är i övervakningsläge (Fig. 1).
Ris. 1. Ställa in det trådlösa nätverksövervakningsläget
Därefter måste du köra verktyget airodump-ng, som används både för att fånga paket i 802.11 trådlösa nätverk och för att samla in information om det trådlösa nätverket. Syntaxen för att använda kommandot är följande:
airodump-ng
Möjliga kommandoalternativ visas i tabellen. 2.
Tabell 2. Möjliga alternativ för kommandot airodump-ng
|
Möjlig betydelse |
Beskrivning |
|
|
Spara endast IV-paket |
||
|
Använd GPS-demonen. I detta fall kommer även koordinaterna för mottagningspunkten att registreras |
||
|
Skriv (eller -w) |
Filnamn |
Ange namnet på filen som ska spelas in. Om du bara anger filnamnet kommer det att sparas i programmets arbetskatalog |
|
Spela in alla paket utan filtrering |
||
|
Kanalnummer (1 till 11) |
Ange kanalnummer. Som standard lyssnas alla kanaler på. |
|
|
Specificering av 802.11a/b/g-protokollet |
I vårt fall är ath1-gränssnittet inställt på övervakningsläge.
Än så länge har vi dock ingen information om typen av nätverk (802.11a/b/g), typen av kryptering på nätverket, och därför vet vi inte vilka paket som behöver fångas upp (alla eller endast IV-paket) . Därför bör du initialt inte använda alternativ i kommandot airodump-ng, utan bara behöva ange gränssnittet - detta gör att vi kan samla in nödvändig information om nätverket.
I det första skedet startar vi alltså kommandot airodump-ng med följande syntax:
airodump-ng-ath1
Detta gör att vi kan få den nödvändiga informationen om nätverket, nämligen:
- MAC-adress för åtkomstpunkten;
- klientens MAC-adress;
- nätverkstyp;
- Nätverk ESSID;
- krypteringstyp;
- kommunikationskanalnummer.
I vårt exempel, genom att ange kommandot airodump-ng ath1, kunde vi bestämma alla nödvändiga nätverksparametrar (Fig. 2):
Ris. 2. Samla information om nätverket
med hjälp av verktyget airodump-ng
- MAC-adressen för åtkomstpunkten är 00:0D:88:56:33:B5;
- Klientens MAC-adress - 00:0E:35:48:C4:76
- nätverkstyp - 802.11g;
- Nätverk ESSID - dlinkG;
- krypteringstyp - WEP;
- kommunikationskanalnummer - 11.
Observera att verktyget airodump-ng låter dig bestämma nätverksidentifieraren (ESSID) oavsett om åtkomstpunkten är inställd på Hidden SSID-läge eller inte.
För att samla in information om nätverket kan du också använda Kismet-verktyget som ingår i BackTrack-skivan - till skillnad från airodump-ng låter det dig samla in mycket mer information om det trådlösa nätverket och är i denna mening en komplett och bäst i klassen trådlös nätverksanalysator. Detta verktyg har ett grafiskt gränssnitt (fig. 3), vilket avsevärt underlättar arbetet med det.
Ris. 3. Samla information om nätverket
med hjälp av Kismet-verktyget
Steg 2: Paketavlyssning
När detaljerad information om det trådlösa nätverket har samlats in kan du börja avlyssna paket med samma verktyg som användes för att samla in information om nätverket - airodump-ng eller Kismet. Men i det här fallet kommer vi att behöva en något annorlunda kommandosyntax.
WEP-kryptering
Låt oss först överväga alternativet när nätverket använder WEP-kryptering. I det här fallet behöver vi bara filtrera paket med en initialiseringsvektor (IV-paket) och skriva dem till en fil, som senare kommer att användas för att välja en nyckel.
Till exempel, om det är känt att det attackerade nätverket är ett 802.11g-nätverk, det använder WEP-kryptering och överföringen utförs på kanal 11, då kan kommandosyntaxen för att avlyssna paket vara som följer:
airodump-ng --ivs –w dump --band g --kanal 11 ath1
I det här exemplet skriver vi endast IV-paket till en fil som heter dump. Sannolikheten för lyckat nyckelval beror på antalet ackumulerade IV-paket och nyckelns längd. Som regel, med en nyckellängd på 128 bitar, räcker det att ackumulera cirka 1-2 miljoner IV-paket och med en nyckellängd på 64 bitar - i storleksordningen flera hundra tusen paket. Längden på nyckeln är dock okänd i förväg och inget verktyg kan fastställa den. För analys är det därför önskvärt att fånga upp minst 1,5 miljoner paket. I fig. Figur 4 visar ett exempel på att fånga 1 137 637 IV-paket i airodump-ng-verktyget.
Ris. 4. Fånga paket med hjälp av verktyget airodump-ng
Antalet infångade paket visas interaktivt i airodump-ng-verktyget, och för att stoppa paketinsamlingsprocessen behöver du bara trycka på tangentkombinationen Ctrl+C.
Kismet-verktyget kan också användas för att fånga paket. Egentligen börjar avlyssningsprocessen omedelbart efter att verktyget har startat, och inspelning görs till en fil med dumptillägget, som sparas i programmets arbetskatalog. Men till skillnad från verktyget airodump-ng är det i det här fallet omöjligt att filtrera endast IV-paket och ställa in kommunikationskanalnumret. Därför, när du använder verktyget Kismet, är effektiviteten (ackumuleringshastigheten) för paket lägre, och antalet paket som måste fångas upp bör vara större än när du använder verktyget airodump-ng.
Ofta, när man avlyssnar paket, uppstår en situation när det inte finns något intensivt trafikutbyte mellan åtkomstpunkten och klienten, därför måste du vänta väldigt länge för att ackumulera antalet paket som krävs för framgångsrik nätverkshackning. Denna process kan dock påskyndas genom att tvinga klienten att kommunicera med åtkomstpunkten med hjälp av aireplay-ng-verktyget (fig. 5). Det här verktyget startas parallellt med verktyget airodump-ng, för vilket du måste starta en annan konsolsession.
Ris. 5. Använda aireplay-ng-verktyget för att initiera trafik
mellan åtkomstpunkt och klient
Kommandosyntaxen är som följer:
aireplay-ng
Detta kommando har ett mycket stort antal olika alternativ, som kan hittas genom att köra kommandot utan parametrar.
För våra ändamål kommer kommandosyntaxen att se ut så här:
aireplay –ng -e dlinkG -a 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 --deauth 20 ath1
I det här fallet anger parametern -e dlinkG det trådlösa nätverkets ID; parameter -a 00:0d:88:56:33:b5 - MAC-adress för åtkomstpunkten; parameter -c 00:0f:ea:91:7d:95 - klientens MAC-adress; option --deauth 20 - attack för att bryta anslutningen (20 gånger) följt av klientautentisering. När en klient är autentiserad ökar trafiken mellan den och åtkomstpunkten kraftigt och antalet paket som kan fångas upp ökar. Om det behövs kan du öka antalet anslutningsavbrott eller upprepa detta kommando tills det erforderliga antalet paket har ackumulerats.
WPA-PSK-kryptering
Med WPA-PSK-kryptering på ett trådlöst nätverk är algoritmen för paketavlyssning något annorlunda. I det här fallet behöver vi inte filtrera bort IV-paket, eftersom de med WPA-PSK-kryptering helt enkelt inte existerar, men det är inte heller meningsfullt att fånga alla paket i rad. Egentligen behöver vi bara en liten del av trafiken mellan åtkomstpunkten och den trådlösa nätverksklienten, som skulle innehålla information om klientautentiseringsproceduren på nätverket (handskakningsprocedur). Men för att avlyssna klientautentiseringsproceduren på nätverket måste den först tvångsinitieras med hjälp av aireplay-ng-verktyget.
Därför, med WPA-PSK-kryptering, kommer paketuppfångningsalgoritmen att vara som följer. Vi öppnar två konsolsessioner och i den första sessionen kör vi ett kommando för att tvinga nätverket att koppla från följt av omidentifiering av klienten (aireplay-ng-verktyg, avautentiseringsattack) och i den andra sessionen med en paus på en eller två sekunder kör vi ett kommando för att fånga upp paket (airodump-ng utility ). Kommandosyntaxerna är följande:
aireplay–ng -e dlinkG -a 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 -deauth 10 ath1
airodump-ng –w dump -band g -kanal 11 ath1
Som du kan se är syntaxen för kommandot aireplay-ng exakt densamma som för WEP-kryptering, när detta kommando användes för att initiera trafik mellan åtkomstpunkten och nätverksklienten (den enda skillnaden är att det finns färre avautentiseringspaket) . Kommandosyntaxen för airodump-ng saknar ett IV-paketfilter.
Processen att fånga paket behöver bara fortsätta i några sekunder, eftersom med avautentiseringsattacken aktiverad är sannolikheten att fånga handskakningspaket nästan hundra procent.
Steg 3: Paketanalys
I det sista steget analyseras de avlyssnade paketen med hjälp av aircrack-ng-verktyget, som startas i en konsolsession. Naturligtvis är syntaxen för kommandot aircrack-ng annorlunda för WEP- och WPA-PSK-kryptering. Den allmänna kommandosyntaxen är som följer:
aircrack-ng
Möjliga kommandoalternativ presenteras i tabellen. 3. Observera att flera filer med tillägget *.cap eller *.ivs kan specificeras som filer som innehåller infångade paket (infångningsfil(er)). Vid hackning av nätverk med WEP-kryptering kan dessutom airodump-ng och aircrack-ng-verktygen startas samtidigt (två konsolsessioner används). I det här fallet kommer aircrack-ng automatiskt att uppdatera databasen med IV-paket.
Tabell 3. Möjliga alternativ för kommandot aircrack-ng
|
Möjlig betydelse |
Beskrivning |
|
|
1 = statisk WEP, 2 = WPA-PSK |
Anger typen av attack (WEP eller WPA-PSK) |
|
|
Om alternativet ges kommer alla IV-paket med samma ESSID-värde att användas. Det här alternativet används också för att hacka WPA-PSK-nätverk om ESSID inte sänds (dold nätverksidentifieringsläge) |
||
|
MAC-adress för åtkomstpunkt |
Välja ett nätverk baserat på åtkomstpunktens MAC-adress |
|
|
Dolt driftläge. Information visas inte förrän nyckeln hittas eller nyckeln inte kan hittas |
||
|
För WEP-nätverk begränsas nyckelvalet till endast en uppsättning siffror och bokstäver |
||
|
För WEP-nätverk begränsas nyckelgissning till endast en uppsättning hexadecimala tecken |
||
|
För WEP-nätverk begränsas nyckelvalet till endast en uppsättning nummer |
||
|
För WEP-nätverk, anger början av nyckeln i hexadecimalt format. Används för att felsöka programmet |
||
|
Klientens MAC-adress |
För WEP-nätverk, ställer in ett paketfilter baserat på klientens MAC-adress. -m ff:ff:ff:ff:ff:ff används för att samla in alla IV-paket |
|
|
64 (för 40-bitars nyckel) 128 (för 104-bitars nyckel) 152 (för 128-bitars nyckel) 256 (för 232-bitars nyckel) 512 (för 488-bitars nyckel) |
För WEP-nätverk, anger nyckellängden. Standardnyckellängden är 104 bitar |
|
|
För WEP-nätverk indikerar samlingen av IV-paket som har ett givet nyckelindex (från 1 till 4). Som standard ignoreras detta alternativ |
||
|
Parametern används vid knäckning av WEP-nätverk - för en 104-bitars nyckel är standardvärdet 2, för 40-bitars nycklar - 5. Ett högre värde på denna parameter gör att du kan beräkna nycklar med färre paket, men över en längre tid |
||
|
Används vid hackning av WEP-nätverk. Den här parametern låter dig utesluta specifika typer av korek-attacker (det finns totalt 17 typer av korek-attacker) |
||
|
Används vid hackning av WEP-nätverk. Inaktiverar sökning efter det sista tecknet i en tangent |
||
|
Används vid hackning av WEP-nätverk. Tillåter sökning efter det sista tecknet i en nyckel (standard) |
||
|
Används vid hackning av WEP-nätverk. Tillåter sökning efter de två sista tecknen i en nyckel |
||
|
Används vid hackning av WEP-nätverk. Förbjuder användning av flera processorer i SMP-system |
||
|
Används vid hackning av WEP-nätverk. Låter dig använda en speciell (experimentell) typ av attack för att välja en nyckel. Används när standardattacker inte tillåter att hitta nyckeln vid användning av mer än 1 miljon IV-paket |
||
|
Vägen till ordboken |
Under en WPA-PSK-attack, anger sökvägen till den använda ordboken |
När man använder WEP-kryptering är huvudproblemet att vi inte i förväg vet längden på nyckeln som används för kryptering. Därför kan du prova flera alternativ för nyckellängden, som anges av parametern -n. Om denna parameter inte anges är nyckellängden som standard inställd på 104 bitar (-n 128).
Om du känner till viss information om själva nyckeln (t.ex. består den bara av siffror, eller endast av bokstäver, eller bara av en uppsättning bokstäver och siffror, men inte innehåller specialtecken), så kan du använda -c, -t och -h alternativ.
I vårt fall använde vi kommandot aircrack-ng med följande syntax:
aircrack-ng –a 1 –e dlinkG –b 00:0d:88:56:33:b5 –c 00:0f:ea:91:7d:95 –n 128 dump.ivs.
Här är det redundant att ange MAC-adressen för åtkomstpunkten och klienten, samt nätverkets ESSID, eftersom endast en åtkomstpunkt och en trådlös klient användes. Men om det finns flera klienter och det finns flera åtkomstpunkter måste dessa parametrar också anges.
Som ett resultat kunde vi hitta en 128-bitars nyckel på bara 25 s (Fig. 6). Som du kan se är att hacka ett nätverk baserat på WEP-kryptering inte ett allvarligt problem, men det slutar inte alltid med framgång. Det kan visa sig att inte tillräckligt många IV-paket har samlats för att välja en nyckel.
Ris. 6. Val av en 128-bitars nyckel
med hjälp av aircrack-ng-verktyget
WPA-PSK-kryptering använder följande kommandosyntax:
aircrack-ng –a 2 –e dlinkG–b 00:0d:88:56:33:b5 –w dict dump.cap.
I det här fallet beror sannolikheten för ett positivt resultat, det vill säga sannolikheten för att gissa hela lösenordet, på vilken ordbok som används. Om lösenordet finns i ordboken kommer det att hittas. Ordboken som används av aircrack-ng-programmet måste först monteras i programmets arbetsmapp eller så måste hela sökvägen till ordboken anges. Ett urval av bra ordböcker finns på hemsidan www.insidepro.com. Om de inte hjälper är lösenordet troligen en meningslös uppsättning tecken. Ordböcker innehåller trots allt ord eller fraser, samt bekväma, lätta att komma ihåg kortkommandon. Det är tydligt att det inte finns någon godtycklig uppsättning tecken i ordböcker. Men även i det här fallet finns det en väg ut. Vissa verktyg utformade för att gissa lösenord kan generera ordböcker från en given uppsättning tecken och maximal ordlängd. Ett exempel på ett sådant program är PasswordPro v.2.2.5.0.
Men vi noterar än en gång att sannolikheten för att hacka ett WPA-PSK-lösenord är mycket låg. Om lösenordet inte anges i form av något ord, utan är en slumpmässig kombination av bokstäver och siffror, är det nästan omöjligt att gissa det.
Generalisering
För att sammanfatta allt som sades ovan om att hacka trådlösa nätverk, kommer vi återigen att lista de viktigaste stegen i denna process och de kommandon som används vid var och en av dem.
Steg 1. Samla information om nätverket:
Airmon-ng starta wifi0;
Airodump-ng ath1.
Steg 2. Samla paket:
- WEP fall:
Airodump-ng --ivs -w dump --band g --kanal 11 ath1,
Aireplay -ng -e dlinkG -a 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 --deauth 20 ath1
(om det inte finns tillräckligt med trafik. Kommandot startas i en separat konsolsession);
- WPA-PSC fodral:
-aireplay-ng -e dlinkG -a 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 --deauth 10 ath1,
Airodump-ng -w dump --band g --kanal 11 ath1
(Kommandot körs i en separat konsolsession).
Steg 3. Paketanalys:
- WEP fall:
Aircrack-ng -a 1 -e dlinkG -b 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 -n 128 dump.ivs;
- WPA-PSK-fodral:
Aircrack-ng -a 2 -e dlinkG-b 00:0d:88:56:33:b5 -w dict dump.cap.
Hacka trådlösa nätverk med hjälp av aircrack-ng 0.6.2-win-paketet och Windows XP
Som vi redan noterade i början av artikeln finns det en version av aircrack-ng-paketet 0.6.2-win som stöds av operativsystemet Windows XP. Låt oss omedelbart notera att paketets funktioner inte är lika omfattande jämfört med dess Linux-motsvarighet, och därför, om det inte finns några starka fördomar mot Linux, är det bättre att använda alternativet med BackTrack-disken.
Det första du måste möta när du använder Windows-versionen av aircrack-ng-programmet är behovet av att ersätta standarddrivrutinerna från tillverkaren av trådlösa nätverkskort med speciella drivrutiner som stöder övervaknings- och paketavlyssningsläge. Dessutom, som i fallet med Linux-versionen av programmet, beror den specifika versionen av drivrutinen på vilket chip som nätverksadaptern är byggd på. Till exempel, när vi använde vår Gigabyte GN-WMAG trådlösa PCMCIA-adapter baserad på Atheros AR5004-chippet, använde vi drivrutinsversion 5.2.1.1 från WildPackets.
Proceduren för att hacka ett trådlöst nätverk med Windows-versionen av aircrack-ng-paketet är ganska enkel och upprepar konceptuellt proceduren för att hacka trådlösa nätverk med Linux-versionen av paketet. Det utförs traditionellt i tre steg: samla in information om nätverket, avlyssna paket och analysera dem.
För att börja arbeta med verktyget måste du köra filen Aircrack-ng GUI.exe, som har ett bekvämt grafiskt gränssnitt och i själva verket är ett grafiskt skal för alla verktyg som ingår i aircrack-ng 0.6.2-win paket. Huvudprogramfönstret (fig. 7) har flera flikar, genom att växla mellan vilka du kan aktivera nödvändiga verktyg.
Ris. 7. Huvudfönster för Aircrack-ng GUI-verktyget
För att samla in nödvändig information om nätverket måste du gå till airdump-ng-fliken, varefter airdump-ng 0.6.2-verktyget startas i ett separat fönster.
När du kör programmet airdump-ng 0.6.2 (fig. 8) öppnas en dialogruta där du måste ange den trådlösa nätverksadaptern (indexnummer för nätverksgränssnitt), nätverksgränssnittstyp (o/a) chip, trådlös kanalnummerkommunikation (Kanal(er): 1 till 14, 0=alla) (om kanalnumret är okänt kan du skanna alla kanaler). Dessutom anges namnet på utdatafilen i vilken de fångade paketen lagras (utgångsfilnamnsprefix), och det anges om det är nödvändigt att fånga alla hela paket (CAP-filer) eller endast en del av paketen med initialiseringsvektorer (IVS-filer) (Skriv endast WEP IVs (y/n)). Med WEP-kryptering, för att välja en hemlig nyckel, räcker det att generera endast en IVS-fil, men när du använder WPA-PSK-kryptering behöver du en cap-fil. Som standard skapas IVS- eller CAP-filer i samma katalog som airdump-ng 0.6.2-programmet.
Ris. 8. Ställa in verktyget airdump-ng 0.6.2
Efter att ha konfigurerat alla alternativ för verktyget airodump-ng 0.6.2 öppnas ett informationsfönster som visar information om upptäckta trådlösa åtkomstpunkter, information om nätverksklienter och statistik över avlyssnade paket (fig. 9).
Ris. 9. Informationsfönster för verktyget airodump-ng 0.6.2
Om det finns flera åtkomstpunkter kommer statistik att visas för var och en av dem.
Det första steget är att skriva ner MAC-adressen för åtkomstpunkten, SSID för det trådlösa nätverket och MAC-adressen för en av klienterna som är anslutna till den (om det finns flera av dem). Sedan måste du vänta tills ett tillräckligt antal paket har fångats upp. Använd tangentkombinationen Ctrl+C för att stoppa paketinsamlingsprocessen (hjälpfunktion). Observera att Windows-versionen av paketet inte tillhandahåller metoder för att kraftfullt öka trafiken mellan åtkomstpunkten och nätverksklienten (kom ihåg att Linux-versionen av paketet tillhandahåller aireplay-ng-verktyget för detta).
Huvudproblemet när man hackar WPA-PSK-nätverk med Windows-versionen av Aircrack-ng GNU 0.6.2-programmet är att klientinitieringsproceduren på nätverket måste fångas i CAP-filen, det vill säga att du måste sitta i bakhåll med det körande airodump-ng-programmet. När nätverksklientens initieringsprocedur har registrerats i CAP-filen kan du stoppa airodump-programmet och påbörja dekrypteringsprocessen. I själva verket finns det i detta fall inget behov av att ackumulera uppfångade paket, eftersom endast paket som överförs mellan åtkomstpunkten och klienten under initiering används för att beräkna den hemliga nyckeln.
När det gäller WEP-kryptering, efter att ha genererat utdata-IVS-filen, kan du börja analysera den med hjälp av verktyget aircrack-ng 0.6.2, för att starta det igen för att öppna huvudfönstret för Aircrack-ng GUI-programmet på lämplig flik och konfigurera aircrack-ng-verktyget. Med WEP-kryptering består inställningen av verktyget av att ställa in längden på WEP-nyckeln, ange ESSID för det trådlösa nätverket, ställa in MAC-adressen för åtkomstpunkten, exklusive vissa typer av attacker (RoreK-attacker), ställa in, om nödvändigt, teckenuppsättningen som används för nyckeln osv. Alla samma inställningar tillhandahålls här som i fallet med Linux-versionen av detta verktyg. Den enda skillnaden är att i Linux-versionen anges alla inställningar som alternativ på kommandoraden, medan i Windows-versionen används ett bekvämt grafiskt gränssnitt för att konfigurera verktyget (fig. 10).
Ris. 11. Resultat av IVS-filanalys
aircrack-ng 0.6.2 verktyg
Resultatet av IVS-filanalysen visas i fig. 11. Det är osannolikt att raden NYCKEL HITTAT! behöver kommentarer. Observera: den hemliga nyckeln beräknades på bara 1 sekund!
När du använder WPA-PSK-kryptering i inställningarna för aircrack-ng 0.6.2-verktyget är det nödvändigt att använda CAP-filen som utdatafil och inte IVS-filen. Dessutom måste du ange sökvägen till ordboken som används för hackning, som är förinstallerad i katalogen med programmet aircrack-ng 0.6.2 (Fig. 12).
Ris. 12. Resultat av ivs-filanalys
aircrack-ng 0.6.2 verktyg
Resultatet av CAP-filanalysen visas i fig. 13. Man bör dock komma ihåg att ett positivt resultat av nyckelsökningen endast är möjligt om lösenordet finns i den analyserade ordboken.
Ris. 13. Resultat av CAP-filanalys
Förbikoppling av MAC-adressfilterskydd
Allra i början av artikeln noterade vi att förutom WEP- och WPA-PSK-kryptering, används ofta funktioner som dolt nätverksidentifieringsläge och MAC-adressfiltrering. Dessa klassificeras traditionellt som trådlösa säkerhetsfunktioner.
Som vi redan har visat med aircrack-ng-paketet kan du inte lita på det dolda nätverksidentifieringsläget alls. Verktyget airodump-ng vi nämnde kommer fortfarande att visa dig nätverkets SSID, som senare kan användas för att skapa en anslutningsprofil (obehörig!) till nätverket.
Tja, om vi pratar om en sådan säkerhetsåtgärd som att filtrera efter MAC-adresser, så är allt väldigt enkelt här. På Internet kan du hitta en hel del olika verktyg för både Linux och Windows som låter dig byta ut MAC-adressen för ett nätverksgränssnitt. Som ett exempel kan vi nämna följande Windows-verktyg: SMAC 2.0 (betalt verktyg, http://www.klcconsulting.net/smac), MAC MakeUP (gratis verktyg, www.gorlani.com/publicprj/macmakeup/macmakeup.asp - fig 14) eller MAC Spoofer 2006 (gratis verktyg).
Ris. 14. MAC-adressförfalskning med hjälp av MAC MakeUP-verktyget
Efter att ha utfört en sådan substitution kan du låtsas vara din egen och implementera obehörig åtkomst till det trådlösa nätverket. Dessutom kommer båda klienterna (riktiga och objudna) att existera ganska lugnt på samma nätverk med samma MAC-adress, dessutom kommer i detta fall den objudna gästen att tilldelas exakt samma IP-adress som den riktiga nätverksklienten.
Slutsatser
Så det är inte svårt att övervinna hela säkerhetssystemet i ett trådlöst nätverk baserat på WEP-kryptering. Kanske kommer många att säga att detta är irrelevant, eftersom WEP-protokollet för länge sedan har dött - det används inte. Det ersattes av det mer robusta WPA-protokollet. Men låt oss inte dra några slutsatser. Detta är sant, men bara delvis. Faktum är att i vissa fall, för att öka räckvidden för ett trådlöst nätverk, så distribueras så kallade distribuerade trådlösa nätverk (WDS) baserat på flera accesspunkter. Det mest intressanta är att sådana nätverk inte stöder WPA-protokollet och den enda acceptabla säkerhetsåtgärden i detta fall är användningen av WEP-kryptering. I det här fallet hackas WDS-nätverk på exakt samma sätt som nätverk baserat på en enda åtkomstpunkt. Dessutom stöder inte heller handdatorer utrustade med en trådlös modul WPA-protokollet, så för att inkludera en handdator-baserad klient i ett trådlöst nätverk måste du använda WEP-protokollet i det. Följaktligen kommer WEP-protokollet att vara efterfrågat i trådlösa nätverk under lång tid.
De exempel på hackning av trådlösa nätverk som vi har övervägt visar mycket tydligt deras sårbarhet. Om vi pratar om WEP-protokollet kan det jämföras med idiotsäkert skydd. Det här är ungefär detsamma som ett billarm - bara det räddar dig från huliganer. När det gäller sådana försiktighetsåtgärder som MAC-adressfiltrering och dolt nätverksidentifieringsläge kan de inte betraktas som skydd alls. Ändå bör inte ens sådana medel försummas, om än endast i kombination med andra åtgärder.
Även om WPA-protokollet är mycket svårare att knäcka, är det också sårbart. Tappa dock inte modet - allt är inte så hopplöst. Faktum är att framgången med att hacka en hemlig WPA-nyckel beror på om den finns i ordboken eller inte. Standardordboken vi använde är drygt 40 MB stor, vilket i allmänhet inte är så mycket. Efter tre försök lyckades vi hitta en nyckel som inte fanns i ordboken och att hacka nätverket visade sig vara omöjligt. Antalet ord i denna ordbok är bara 6 475 760, vilket naturligtvis är mycket litet. Du kan använda ordböcker med större kapacitet, till exempel på Internet kan du beställa en ordbok på tre CD-skivor, det vill säga nästan 2 GB i storlek, men även den innehåller inte alla möjliga lösenord. Låt oss faktiskt ungefär beräkna antalet lösenord från 8 till 63 tecken långa som kan skapas med 26 bokstäver i det engelska alfabetet (skiftlägeskänsligt), tio siffror och 32 bokstäver i det ryska alfabetet. Det visar sig att varje symbol kan väljas på 126 sätt. Följaktligen, om vi endast tar hänsyn till lösenord med en längd på 8 tecken, kommer antalet möjliga kombinationer att vara 1268=6,3·1016. Om storleken på varje ord med 8 tecken är 8 byte, kommer storleken på en sådan ordbok att vara 4,5 miljoner terabyte. Men det här är bara kombinationer av åtta symboler! Vilken typ av ordbok får du om du går igenom alla möjliga kombinationer från 8 till 63 tecken?! Du behöver inte vara matematiker för att beräkna att storleken på en sådan ordbok kommer att vara ungefär 1,2·10119 TB.
Så misströsta inte. Det finns en god chans att lösenordet du använder inte finns i ordboken. Helt enkelt, när du väljer ett lösenord, bör du inte använda ord som är vettiga. Det är bäst om det är en slumpmässig uppsättning tecken - något som "FGproukqweRT4j563app".
Obehörig åtkomst - läsa, uppdatera eller förstöra information utan lämplig behörighet att göra det.
Obehörig åtkomst utförs som regel genom att använda någon annans namn, ändra de fysiska adresserna på enheter, använda information som finns kvar efter problemlösning, modifiera programvara och information, stjäla lagringsmedia, installera inspelningsutrustning.
För att framgångsrikt skydda din information måste användaren ha en absolut klar förståelse för möjliga sätt för obehörig åtkomst. De viktigaste typiska sätten att få obehörig information:
· stöld av lagringsmedia och produktionsavfall;
· kopiera lagringsmedia genom att övervinna säkerhetsåtgärder;
· förklädd till en registrerad användare;
· bluff (förklädd som systemförfrågningar);
· utnyttja bristerna hos operativsystem och programmeringsspråk;
· användning av programvarubokmärken och programvarublock av typen "trojansk häst";
· avlyssning av elektronisk strålning;
· avlyssning av akustisk strålning;
· fjärrfotografering;
· användning av avlyssningsanordningar;
· skadlig inaktivering av skyddsmekanismer etc.
För att skydda information från obehörig åtkomst används följande:
1) organisatoriska evenemang;
2) tekniska medel;
3) programvara;
4) kryptering.
Organisationsevenemang inkluderar:
· åtkomstläge;
· lagring av media och enheter i ett kassaskåp (disketter, bildskärm, tangentbord, etc.);
· begränsning av personers tillträde till datorrum m.m.
Tekniska medel inkluderar:
· filter, skärmar för utrustning;
· nyckel för att låsa tangentbordet;
· autentiseringsenheter – för att läsa fingeravtryck, handform, iris, skrivhastighet och tekniker etc.;
· elektroniska nycklar på mikrokretsar m.m.
Programvaruverktyg inkluderar:
· lösenordsåtkomst – ställa in användarbehörigheter;
· låsa skärmen och tangentbordet med en tangentkombination i Diskreet-verktyget från Norton Utiltes-paketet;
· användning av BIOS-lösenordsskyddsverktyg - på själva BIOS och på datorn som helhet, etc.
Kryptering är omvandlingen (kodningen) av öppen information till krypterad information som är otillgänglig för utomstående. Metoder för att kryptera och dekryptera meddelanden studeras av vetenskapen om kryptologi, vars historia går tillbaka omkring fyra tusen år.
2.5. Skydda information i trådlösa nätverk
Den otroligt snabba implementeringstakten av trådlösa lösningar i moderna nätverk får oss att tänka på dataskyddets tillförlitlighet.
Själva principen för trådlös dataöverföring inkluderar möjligheten till obehöriga anslutningar till accesspunkter.
Ett lika farligt hot är möjligheten till utrustningsstöld. Om säkerhetspolicyn för trådlöst nätverk är baserad på MAC-adresser, kan ett nätverkskort eller en åtkomstpunkt som stulits av en angripare öppna åtkomst till nätverket.
Ofta utförs obehörig anslutning av åtkomstpunkter till ett LAN av företagsanställda själva, som inte tänker på skydd.
Sådana problem måste lösas på ett övergripande sätt. Organisatoriska åtgärder väljs utifrån driftsförhållandena för varje specifikt nätverk. När det gäller tekniska åtgärder uppnås mycket goda resultat genom att använda obligatorisk ömsesidig autentisering av enheter och införa aktiva kontroller.
2001 dök de första implementeringarna av drivrutiner och program upp som kunde hantera WEP-kryptering. Den mest framgångsrika är PreShared Key. Men det är bara bra om det finns pålitlig kryptering och regelbundet utbyte av högkvalitativa lösenord (Fig. 1).
Figur 1 - Algoritm för analys av krypterad data
Moderna skyddskrav
Autentisering
För närvarande, i olika nätverksutrustning, inklusive trådlösa enheter, används en mer modern autentiseringsmetod i stor utsträckning, som definieras i 802.1x-standarden - tills ömsesidig verifiering utförs kan användaren varken ta emot eller överföra någon data.
Ett antal utvecklare använder protokollen EAP-TLS och PEAP för autentisering i sina enheter Cisco Systems erbjuder följande protokoll för sina trådlösa nätverk, utöver de som nämns: EAP-TLS, PEAR, LEAP, EAP-FAST.
Alla moderna autentiseringsmetoder kräver stöd för dynamiska nycklar.
Den största nackdelen med LEAP och EAP-FAST är att dessa protokoll huvudsakligen stöds i Cisco Systems utrustning (Fig. 2).
Figur 2 - 802.11x-paketstruktur med TKIP-PPK-, MIC- och WEP-kryptering.
Kryptering och integritet
Baserat på Cisco Systems 802.11i-rekommendationer har TCIP-protokollet (Temporal Integrity Protocol) implementerats, vilket säkerställer ändring av PPK-krypteringsnyckeln (Per Packet Keying) i varje paket och övervakar integriteten hos MIC-meddelanden (Message Integrity Check).
Ett annat lovande krypterings- och integritetsprotokoll är AES (Advanced Encryption Standard). Den har bättre kryptografisk styrka jämfört med DES och GOST 28147-89. Det ger både kryptering och integritet.
Observera att algoritmen som används i den (Rijndael) inte kräver stora resurser vare sig under implementering eller drift, vilket är mycket viktigt för att minska datalatens och processorbelastning.
Säkerhetsstandarden för trådlösa lokala nätverk är 802.11i.
WPA-standarden (Wi-Fi Protected Access) är en uppsättning regler som säkerställer implementeringen av dataskydd i 802.11x-nätverk. Sedan augusti 2003 har efterlevnad av WPA-standarder varit ett obligatoriskt krav för utrustning som är certifierad som Wi-Fi-certifierad.
WPA-specifikationen inkluderar ett modifierat TKOP-PPK-protokoll. Kryptering utförs med en kombination av flera nycklar - de nuvarande och efterföljande. I detta fall ökas längden på IV till 48 bitar. Detta gör det möjligt att genomföra ytterligare åtgärder för att skydda information, till exempel för att skärpa kraven på omassociationer och omautentisering.
Specifikationerna inkluderar stöd för 802.1x/EAP, delad nyckelautentisering och, naturligtvis, nyckelhantering.
Tabell 3 - Metoder för implementering av säkerhetspolicy
|
Index | ||||
|
Stöd för modernt OS | ||||
|
Programvarans komplexitet och resursintensitet för autentisering | ||||
|
Svårighet att kontrollera | ||||
|
Enkel inloggning (enkel inloggning på Windows) | ||||
|
Dynamiska nycklar | ||||
|
Engångslösenord | ||||
Fortsättning av tabell 3
Förutsatt att modern utrustning och mjukvara används är det nu fullt möjligt att bygga ett säkert och attacktåligt trådlöst nätverk baserat på 802.11x-seriens standarder.
Nästan alltid är ett trådlöst nätverk anslutet till ett trådbundet, och detta, förutom behovet av att skydda trådlösa kanaler, är det nödvändigt att tillhandahålla skydd i trådbundna nätverk. Annars kommer nätverket att ha fragmenterad säkerhet, vilket i grunden är en säkerhetsrisk. Det är tillrådligt att använda utrustning som har ett Wi-Fi-certifierat certifikat, det vill säga som bekräftar överensstämmelse med WPA.
Vi behöver implementera 802.11x/EAP/TKIP/MIC och dynamisk nyckelhantering. I fallet med ett blandat nätverk bör VLAN användas; Om det finns externa antenner används VPN virtuell privat nätverksteknik.
Det är nödvändigt att kombinera både protokoll- och mjukvaruskyddsmetoder, såväl som administrativa.
Vad kan vara viktigare i vår tid än att skydda ditt hem Wi-Fi-nätverk :) Detta är ett mycket populärt ämne, som mer än en artikel har skrivits om på den här webbplatsen ensam. Jag bestämde mig för att samla all nödvändig information om detta ämne på en sida. Nu kommer vi att titta i detalj på frågan om att skydda ett Wi-Fi-nätverk. Jag ska berätta och visa dig hur du skyddar Wi-Fi med ett lösenord, hur du gör det korrekt på routrar från olika tillverkare, vilken krypteringsmetod du ska välja, hur du väljer ett lösenord och vad du behöver veta om du är planerar att ändra lösenordet för ditt trådlösa nätverk.
I den här artikeln kommer vi att prata exakt om att skydda ditt trådlösa hemnätverk. Och bara om lösenordsskydd. Om vi tänker på säkerheten i vissa stora nätverk på kontor, så är det bättre att närma sig säkerheten där lite annorlunda (åtminstone ett annat autentiseringsläge). Om du tror att ett lösenord inte räcker för att skydda ditt Wi-Fi-nätverk, skulle jag råda dig att inte bry dig. Ange ett bra, komplext lösenord med hjälp av dessa instruktioner och oroa dig inte. Det är osannolikt att någon kommer att lägga tid och ansträngning på att hacka ditt nätverk. Ja, du kan till exempel dölja nätverksnamnet (SSID) och ställa in filtrering efter MAC-adresser, men det är onödigt krångel som i verkligheten bara kommer att orsaka besvär vid anslutning och användning av ett trådlöst nätverk.
Om du funderar på att skydda ditt Wi-Fi, eller lämna nätverket öppet, så kan det bara finnas en lösning - skydda det. Ja, internet är obegränsat, och nästan alla hemma har sin egen router, men så småningom kommer någon att ansluta till ditt nätverk. Varför behöver vi detta, eftersom extra klienter är en extra belastning på routern. Och om det inte är dyrt, så tål det helt enkelt inte denna belastning. Dessutom, om någon ansluter till ditt nätverk, kommer de att kunna komma åt dina filer (om det lokala nätverket är konfigurerat) och åtkomst till din routerinställningar (trots allt, du har troligen inte ändrat standardadminlösenordet som skyddar kontrollpanelen).
Se till att skydda ditt Wi-Fi-nätverk med ett bra lösenord med rätt (modern) krypteringsmetod. Jag rekommenderar att du installerar skydd omedelbart när du ställer in routern. Det skulle också vara en bra idé att ändra ditt lösenord då och då.
Om du är orolig för att någon ska hacka ditt nätverk, eller redan har gjort det, ändra helt enkelt ditt lösenord och lev i fred. Förresten, eftersom du fortfarande kommer att logga in på kontrollpanelen på din router, skulle jag också rekommendera , som används för att ange routerinställningarna.
Korrekt skydd av ditt Wi-Fi-hemnätverk: vilken krypteringsmetod ska du välja?
Under lösenordsinställningsprocessen måste du välja en krypteringsmetod för Wi-Fi-nätverk (autentiseringsmetod). Jag rekommenderar endast att installera WPA2 - Personligt, med krypteringsalgoritm AES. För ett hemnätverk är detta den bästa lösningen, för närvarande den senaste och mest pålitliga. Detta är den typ av skydd som routertillverkare rekommenderar att installera.
Endast under ett villkor att du inte har gamla enheter som du vill ansluta till Wi-Fi. Om några av dina gamla enheter efter installationen vägrar att ansluta till det trådlösa nätverket kan du installera ett protokoll WPA (med TKIP-krypteringsalgoritm). Jag rekommenderar inte att du installerar WEP-protokollet, eftersom det redan är föråldrat, inte säkert och enkelt kan hackas. Ja, och det kan finnas problem med att ansluta nya enheter.
Protokollkombination WPA2 - Personlig med AES-kryptering, detta är det bästa alternativet för ett hemnätverk. Själva nyckeln (lösenordet) måste bestå av minst 8 tecken. Lösenordet måste bestå av engelska bokstäver, siffror och symboler. Lösenordet är skiftlägeskänsligt. Det vill säga "111AA111" och "111aa111" är olika lösenord.
Jag vet inte vilken router du har, så jag ska förbereda korta instruktioner för de mest populära tillverkarna.
Om du efter att ha ändrat eller ställt in ett lösenord har problem med att ansluta enheter till det trådlösa nätverket, se rekommendationerna i slutet av den här artikeln.
Jag råder dig att omedelbart skriva ner lösenordet som du kommer att ange. Om du glömmer det måste du installera en ny, eller .
Skyddar Wi-Fi med ett lösenord på Tp-Link-routrar
Ansluter till routern (via kabel eller Wi-Fi), starta valfri webbläsare och öppna adressen 192.168.1.1 eller 192.168.0.1 (adressen till din router, samt standardanvändarnamn och lösenord anges på dekalen längst ner på själva enheten). Ange ditt användarnamn och lösenord. Som standard är dessa admin och admin. I beskrev jag mer detaljerat hur man går in i inställningarna.
Gå till fliken i inställningar Trådlös(Trådlöst läge) - trådlös säkerhet(Trådlös säkerhet). Markera rutan bredvid skyddsmetoden WPA/WPA2 – personligt (rekommenderas). I rullgardinsmenyn Version(version) välj WPA2-PSK. På menyn Kryptering(kryptering) installera AES. I fält Trådlöst lösenord(PSK-lösenord) Ange ett lösenord för att skydda ditt nätverk.
Ställa in ett lösenord på Asus-routrar
I inställningarna måste vi öppna fliken Trådlöst nätverk, och gör följande inställningar:
- I rullgardinsmenyn "Autentiseringsmetod" väljer du WPA2 - Personal.
- "WPA-kryptering" - installera AES.
- I fältet "WPA Pre-Shared Key" skriver du ner lösenordet för vårt nätverk.
För att spara inställningarna, klicka på knappen Tillämpa.
Anslut dina enheter till nätverket med ett nytt lösenord.
Skyddar din D-Link-routers trådlösa nätverk
Gå till inställningarna för din D-Link-router på 192.168.0.1. Du kan se detaljerade instruktioner. Öppna fliken i inställningarna WiFi - Säkerhetsinställningar. Ställ in säkerhetstyp och lösenord enligt skärmdumpen nedan.
Ange ett lösenord på andra routrar
Vi har även detaljerade instruktioner för ZyXEL och Tenda routrar. Se länkarna:
Om du inte har hittat instruktioner för din router kan du ställa in Wi-Fi-nätverksskydd i kontrollpanelen på din router, i avsnittet inställningar som heter: säkerhetsinställningar, trådlöst nätverk, Wi-Fi, Trådlöst, etc. I tror jag kan hitta det kommer det inte att vara svårt. Och jag tror att du redan vet vilka inställningar du ska ställa in: WPA2 - Personlig och AES-kryptering. Tja, det är nyckeln.
Om du inte kan lista ut det, fråga i kommentarerna.
Vad ska man göra om enheter inte ansluter efter installation eller lösenordsändring?
Mycket ofta, efter installationen, och särskilt efter att ha ändrat lösenordet, vill enheter som tidigare var anslutna till ditt nätverk inte ansluta till det. På datorer är dessa vanligtvis fel "Nätverksinställningarna som sparats på den här datorn uppfyller inte kraven för detta nätverk" och "Windows kunde inte ansluta till...". På surfplattor och smartphones (Android, iOS) kan även fel som "Kunde inte ansluta till nätverket", "Ansluten, skyddad" etc. dyka upp.
Dessa problem kan lösas genom att helt enkelt ta bort det trådlösa nätverket och återansluta med ett nytt lösenord. Jag skrev hur man tar bort ett nätverk i Windows 7. Om du har Windows 10 måste du "glömma nätverket" med . På mobila enheter, tryck och håll ned ditt nätverk och välj "Radera".
Om anslutningsproblem uppstår på äldre enheter ställer du in WPA-säkerhetsprotokollet och TKIP-kryptering i routerinställningarna.
