hogar / Educación/ Resumen: "Protección de redes inalámbricas. Formas de protegerse contra piratas informáticos de diferentes niveles de habilidad

Resumen: “Protección de redes inalámbricas. Formas de protegerse contra piratas informáticos de diferentes niveles de habilidad

El ritmo increíblemente rápido de adopción en las redes de soluciones inalámbricas actuales le hace pensar en la confiabilidad de la protección de datos.

El principio mismo de la transmisión inalámbrica de datos implica la posibilidad de conexiones no autorizadas a puntos de acceso.

Una amenaza igualmente peligrosa es la probabilidad de robo de equipos. Si la política de seguridad de una red inalámbrica se basa en direcciones MAC, una tarjeta de red o un punto de acceso robado por un atacante puede abrir el acceso a la red.

A menudo, la conexión no autorizada de los puntos de acceso a una LAN la realizan los propios empleados de la empresa, que no piensan en la protección.

La solución a estos problemas debe abordarse de manera integral. Las actividades organizativas se seleccionan en función de las condiciones operativas de cada red específica. En cuanto a las medidas técnicas, se consigue un muy buen resultado con el uso de la autenticación mutua obligatoria de dispositivos y la introducción de controles activos.

En 2001, aparecieron las primeras implementaciones de controladores y programas para hacer frente al cifrado WEP. El más exitoso es PreShared Key. Pero solo es bueno con encriptación confiable y reemplazo regular de contraseñas de alta calidad (Fig. 1).

Figura 1 - Algoritmo para analizar datos cifrados

Requisitos de seguridad modernos

Autenticación

Actualmente, en varios equipos de red, incluidos los dispositivos inalámbricos, se usa ampliamente un método de autenticación más moderno, que se define en el estándar 802.1x: hasta que se realiza la verificación mutua, el usuario no puede recibir ni transmitir ningún dato.

Varios desarrolladores utilizan los protocolos EAP-TLS y PEAP para la autenticación en sus dispositivos, Cisco Systems, ofrece para sus redes inalámbricas, además de los mencionados, los siguientes protocolos: EAP-TLS, PEAP, LEAP, EAP-FAST.

Todos los métodos de autenticación modernos implican compatibilidad con claves dinámicas.

El principal inconveniente de LEAP y EAP-FAST es que estos protocolos se admiten principalmente en equipos de Cisco Systems (Fig. 2).

Figura 2 - Estructura de paquete 802.11x usando encriptación TKIP-PPK, MIC y WEP.

Cifrado e integridad

Basado en las recomendaciones de 802.11i, Cisco Systems implementó el Protocolo de integridad temporal (TKIP), que asegura el cambio de la clave de cifrado PPK (Per Packet Keying) en cada paquete y controla la integridad de los mensajes MIC (Message Integrity Check).

Otro protocolo prometedor de encriptación e integridad es AES (Advanced Encryption Standard). Tiene una mejor resistencia criptográfica en comparación con DES y GOST 28147-89. Proporciona cifrado e integridad.

Tenga en cuenta que el algoritmo (Rijndael) utilizado en él no requiere grandes recursos ni en implementación ni en operación, lo cual es muy importante para reducir la latencia de datos y la carga del procesador.

El estándar de seguridad de LAN inalámbrica es 802.11i.

El estándar de acceso protegido Wi-Fi (WPA) es un conjunto de reglas que brindan seguridad a las redes 802.11x. Desde agosto de 2003, el cumplimiento de WPA ha sido un requisito obligatorio para los equipos con certificación Wi-Fi.

La especificación WPA incluye un protocolo TKOP-PPK modificado. El cifrado se realiza en una combinación de varias claves: actual y siguiente. En este caso, la longitud del IV aumenta a 48 bits. Esto hace posible implementar medidas adicionales para proteger la información, por ejemplo, para endurecer los requisitos para las reasociaciones, la reautenticación.

Las especificaciones incluyen soporte para 802.1x / EAP, autenticación de clave compartida y, por supuesto, administración de claves.

Tabla 3 - Métodos para implementar la política de seguridad

Continuación de la tabla 3

Con el uso de equipos y software modernos, ahora es posible construir una red inalámbrica segura y resistente a los ataques basada en los estándares de la serie 802.11x.

Casi siempre, una red inalámbrica está asociada a una red cableada, y esto, además de la necesidad de proteger los canales inalámbricos, es necesario brindar protección en las redes cableadas. De lo contrario, la red tendrá una protección fragmentada, lo que, de hecho, es una amenaza para la seguridad. Es recomendable utilizar equipos que cuenten con un certificado Wi-Fi Certified, es decir, que confirme el cumplimiento de WPA.

Necesita implementar 802.11x / EAP / TKIP / MIC y administración de claves dinámicas. Para una red mixta, se deben utilizar VLAN; con antenas externas, se utiliza tecnología VPN.

Es necesario combinar métodos de protección de protocolo y software y métodos administrativos.

CAPÍTULO 3 PROTECCIÓN TÉCNICA DE LA INFORMACIÓN

En relación con el rápido desarrollo de las redes informáticas locales y mundiales, también se han desarrollado ampliamente métodos de inteligencia (espionaje industrial) destinados a interceptar información procesada (transmitida, almacenada) en redes locales.

La penetración en la red local de cualquier organización solo es posible con una configuración insuficientemente calificada de todos los elementos de la red local por parte del administrador del sistema. Si se configura correctamente, los atacantes deben buscar métodos para obtener información que no estén asociados con la penetración en la red local. Para ello, se utilizan métodos de interceptación de información a través de los canales de radiación espuria e interferencia (PEMIN) de los elementos de la red local. La metodología para proteger computadoras individuales está bien desarrollada, respaldada por los documentos reglamentarios necesarios. La tarea de proteger la información de fugas a través de los canales PEMIN en una red local es mucho más difícil que para los dispositivos de uso autónomo.

Las estaciones de trabajo y los equipos de red activos son fuentes de radiación electromagnética en una red de área local. El blindaje de este equipo se usa para proteger contra la fuga de información a través de canales de emisiones espúreas y captaciones. Para reducir el nivel de radiación de los equipos LAN activos, es mejor colocar equipos y servidores en un gabinete blindado.

Las carcasas están disponibles actualmente para computadoras que cumplen con los requisitos de la Directiva Europea de EMS 89/336 / EEC. Las cajas modernas pueden reducir significativamente la radiación de los elementos de la computadora, pero la mayoría requiere un refinamiento adicional. La calidad del blindaje de la carcasa de la unidad del sistema informático afecta el nivel de radiación de todos los dispositivos conectados a la unidad del sistema (por ejemplo, un teclado). Un teclado estándar suele tener niveles de radiación muy altos. Al mismo tiempo, se ingresan desde el teclado datos muy críticos desde el punto de vista de la seguridad, incluidas las contraseñas de los usuarios y del administrador del sistema. Se puede utilizar un receptor de onda corta simple para interceptar la radiación del teclado. Teniendo en cuenta también que los datos ingresados desde el teclado se ingresan en un código secuencial y, por lo tanto, se pueden interpretar fácilmente, la radiación emitida por el teclado debe considerarse la más peligrosa. Los resultados de medir el nivel de los componentes eléctricos (Fig.3) y magnéticos (Fig.4) mostraron que las computadoras con varias cajas de unidades del sistema disponibles comercialmente tienen el poder de las emisiones espúreas del teclado que pueden diferir en más de 100 veces. .

Figura 3 - Niveles del componente eléctrico

Figura 4 - Niveles del componente magnético

Se obtienen relaciones similares para otros dispositivos incluidos en la PC.

La tarea de finalizar los gabinetes y gabinetes estándar:

En primer lugar, siempre hay ranuras en las uniones de las estructuras de viviendas individuales, lo que perjudica significativamente las propiedades de blindaje.

En segundo lugar, la carcasa de un dispositivo electrónico no se puede sellar, ya que se necesitan orificios de ventilación para disipar el calor.

En tercer lugar, el diseño de la carcasa protectora no se puede calcular de antemano. Por tanto, la modificación de una carcasa estándar para mejorar sus propiedades de apantallamiento es siempre un trabajo experimental.

Ahora hay muchos materiales diseñados para mejorar las propiedades de blindaje de las carcasas: todo tipo de sellos de resorte, elastómeros conductores de electricidad, recubrimientos metalizados autoadhesivos.

La fuente de radiación es la fuente de alimentación. Internamente, la energía se suministra a través de un filtro que evita la propagación de emisiones no esenciales a lo largo de los cables. Pero es prácticamente imposible calcular un filtro para la supresión completa de la radiación, ya que muchos parámetros de la red externa afectan sus características. Ningún filtro disponible comercialmente puede realizar completamente sus funciones en una banda de frecuencia amplia. Los buenos filtros son una solución de compromiso que solo cumple con los requisitos del filtro en la mayoría de los casos.

Dependiendo de esto, las características para proteger la información de fugas a través de los canales PEMIN de una computadora autónoma o una computadora en una red pueden diferir significativamente. Y el factor principal que conduce a la diferencia de características es la conexión a tierra de los dispositivos.

En los dispositivos independientes, la conexión a tierra no mejora ni empeora sus propiedades de blindaje. La conexión a tierra es necesaria solo para los requisitos de seguridad eléctrica. Con una conexión a tierra adecuada, el nivel de emisiones no esenciales se reduce un poco. Pero en algunos casos, cuando se conecta a tierra, el nivel de emisiones no esenciales puede aumentar.

El sistema de cableado no contiene elementos activos, por lo que, por sí solo, no puede ser una fuente de emisiones no esenciales. Sin embargo, el sistema de cable conecta todos los elementos de una red informática. Los datos de la red se transmiten a lo largo de ella y también es un receptor de todas las interferencias y un medio para la transferencia de radiación electromagnética espuria (Fig. 5).

Figura 5 - Emisiones electromagnéticas espurias

Por tanto, conviene distinguir entre:

Emisión espuria causada por señales transmitidas por esta línea (tráfico LAN);

Recepción y posterior reemisión de emisiones no esenciales de localizados cerca de otras líneas y dispositivos;

Radiación por el sistema de cables de vibraciones laterales de elementos de equipos activos de red y ordenadores a los que está conectado el cable.

La mayoría de las veces, al evaluar la seguridad de un sistema de cable, solo están interesados en cuánta radiación espuria causada por las señales transmitidas a través del cable se atenúa en el proceso de intercambio de información de la red.

Si el tráfico en la red local puede restablecerse mediante la emisión de radio del sistema de cable, esto representa un gran peligro. De hecho, el tráfico de la red local está bastante bien protegido contra la fuga de información a través de los canales PEMIN. Los cables LAN modernos tienen emisiones de señal transmitida muy bajas. En estos cables, las señales se transmiten a través de un par de hilos trenzados y el número de trenzados por unidad de longitud es estrictamente constante. En principio, tal sistema no debería irradiar en absoluto. Además, la presencia de un blindaje en un par trenzado tiene muy poco efecto sobre el nivel de radiación de las señales transmitidas por el par trenzado. En un sistema real, siempre hay inhomogeneidades de cables individuales que afectan el nivel de radiación espuria que se produce durante el intercambio de red. En realidad, a una distancia de literalmente unos pocos metros, ya es imposible interceptar la información transmitida a través de él por la radiación electromagnética de un cable moderno. Pero en la mayoría de los casos prácticos, el sistema de cable es una excelente antena para todas las emisiones no esenciales de los equipos conectados a la red. La radiación espuria que surge en los elementos de la computadora se dirige a todos los alambres del cable de red local (Fig. 6).

Figura 6 - Radiación espuria en los elementos de la computadora

Como resultado, para las emisiones no esenciales de los elementos de la computadora, el cable LAN debe considerarse simplemente como un cable de un solo hilo que se extiende más allá del volumen blindado. No es posible instalar un filtro espurio para estos cables. Al suprimir las emisiones espurias, también suprimimos el tráfico de red. Por lo tanto, si una computadora con seguridad de la información está incluida en una red local en un par trenzado sin blindaje, entonces los cables de par trenzado, que desempeñan el papel de una antena, pueden aumentar la intensidad de campo creada, por ejemplo, por un teclado de computadora (Fig. 2, Fig.3), en decenas de miles una vez. Por lo tanto, el par trenzado sin blindaje no se puede utilizar en una red local donde se procesa información con acceso limitado. El uso de un cable de par trenzado blindado mejora significativamente la situación.

En la actualidad, una red informática local ya no puede funcionar de forma autónoma, sin interacción con otras redes. En particular, cualquier organización, ya sea una empresa privada, un organismo gubernamental o un departamento del Ministerio del Interior, debe estar representada activamente en Internet global. Esto incluye su propio sitio web, correo electrónico público y acceso de los empleados a la información en la red global. Esta estrecha interacción entra en conflicto con los requisitos de seguridad. Cuando interactúan varias redes, pueden surgir varias amenazas a la seguridad. Por ejemplo, cuando se conecta a una red global, la más inofensiva de las posibles amenazas es piratear la red por motivos de hooligan. La información de interés para los servicios de inteligencia extranjeros circula en las redes informáticas de las autoridades estatales. La información de interés para los delincuentes circula en las redes informáticas del Ministerio del Interior. Esta información puede no clasificarse como clasificada. Sin embargo, en conjunto, le permite obtener información bastante importante. Por lo tanto, si las redes informáticas de las agencias gubernamentales se combinan con la Internet global, además de los hacks de hooligan, se deben asumir intentos más calificados de penetrar en la red de intrusos. Resistirse a tales intentos es extremadamente difícil. Por tanto, Internet debe estar aislada de la red interna, en la que se concentran los datos generalizados. Hay varias formas de aislar su propia red informática de Internet global para garantizar la seguridad. En redes que no circulan información con acceso limitado, suele ser suficiente utilizar un enrutador para aislar las redes. Pero una protección seria contra la intrusión de la red global solo se puede proporcionar con el uso de firewalls (FireWall). Por lo tanto, para proteger la información corporativa de las firmas comerciales, es necesario el uso de firewalls. Sin embargo, para proteger la información en las agencias gubernamentales, por regla general, un firewall no proporciona el nivel de protección requerido. La seguridad está completamente garantizada solo si Internet está físicamente aislado de su propia red local. Por supuesto, esto crea ciertos inconvenientes en el trabajo y requiere costos adicionales a la hora de crear una red informática. Sin embargo, dada la necesidad de combatir la delincuencia, esta es una medida justificada.

A la hora de construir redes con aislamiento físico, también es necesario tener en cuenta las cuestiones de protección frente a la fuga de información a través de los canales PEMIN. En muchos casos, un empleado que trabaja con información restringida también necesita la capacidad de acceder a Internet. En el lugar de trabajo, se instalan dos computadoras, una de las cuales está conectada a la red local de la empresa (organización) y la segunda a Internet. En este caso, los cables de su propia red con protección de información y los cables de la red abierta de Internet son muy difíciles de extender a una distancia suficiente. Como resultado, la información que circula en la red local, así como toda la radiación lateral de los ordenadores dirigida a los cables de la red local, también puede dirigirse a los cables de la red abierta de Internet. Un cable de red abierta no solo es una antena lo suficientemente larga (especialmente cuando se instala una red abierta con cable sin blindaje). Los cables de red abiertos generalmente van más allá de los límites del área protegida, por lo que la información se puede eliminar no solo interceptando la radiación, sino también mediante la conexión directa a cables de red abiertos. Por lo tanto, los cables de red abiertos también deben colocarse de acuerdo con todas las recomendaciones seguidas al construir una red con seguridad de la información.

CAPÍTULO 4. DESARROLLO DE UNA RED LOCAL CON MAYORES REQUISITOS DE PROTECCIÓN DE LA INFORMACIÓN

Acceso no autorizado: leer, actualizar o destruir información en ausencia de la autoridad adecuada para hacerlo.

El acceso no autorizado se lleva a cabo, por regla general, utilizando el nombre de otra persona, cambiando las direcciones físicas de los dispositivos, utilizando la información que queda después de resolver problemas, modificando el software y el soporte de información, robando soportes de información, instalando equipos de grabación.

Para proteger con éxito su información, el usuario debe tener una idea absolutamente clara de las posibles vías de acceso no autorizado. Las principales formas típicas de obtención no autorizada de información:

· Robo de soportes de información y residuos industriales;

· Copia de soportes de información con superación de medidas de protección;

· Disfrazarse de usuario registrado;

· Engaño (disfrazado para solicitudes del sistema);

· Uso de deficiencias de sistemas operativos y lenguajes de programación;

· Uso de marcadores de software y bloques de software del tipo "caballo de Troya";

· Intercepción de emisiones electrónicas;

· Intercepción de emisiones acústicas;

· Fotografía remota;

· El uso de dispositivos de escucha clandestina;

· Deshabilitación maliciosa de mecanismos de protección, etc.

Para proteger la información del acceso no autorizado, se utilizan los siguientes:

1) medidas organizativas;

2) medios técnicos;

3) software;

4) cifrado.

Las actividades organizativas incluyen:

· Control de acceso;

· Almacenamiento de medios y dispositivos en una caja fuerte (disquetes, monitor, teclado, etc.);

· Restricción de acceso de personas a salas de informática, etc.

Los medios técnicos incluyen:

· Filtros, pantallas para equipos;

· Llave para bloquear el teclado;

· Dispositivos de autenticación: para leer huellas dactilares, forma de la mano, iris, velocidad y técnicas de impresión, etc.;

Llaves electrónicas en microcircuitos, etc.

Las herramientas de software incluyen:

· Acceso con contraseña: configuración de derechos de usuario;

· Bloquear la pantalla y el teclado usando un atajo de teclado en la utilidad Diskreet del paquete Norton Utilites;

· Uso de herramientas de protección con contraseña de BIOS: en el propio BIOS y en la PC en su conjunto, etc.

El cifrado es la transformación (codificación) de información abierta en información cifrada que no es accesible para personas ajenas. Los métodos de cifrado y descifrado de mensajes son estudiados por la ciencia de la criptología, que tiene una historia de unos cuatro mil años.

2.5. Protección de la información en redes inalámbricas

El ritmo increíblemente rápido de adopción en las redes de soluciones inalámbricas actuales le hace pensar en la confiabilidad de la protección de datos.

El principio mismo de la transmisión inalámbrica de datos implica la posibilidad de conexiones no autorizadas a puntos de acceso.

A menudo, la conexión no autorizada de los puntos de acceso a una LAN la realizan los propios empleados de la empresa, que no piensan en la protección.

La solución de tales problemas debe abordarse de manera integral. Las medidas organizativas se seleccionan en función de las condiciones operativas de cada red específica. En cuanto a las medidas técnicas, se consigue un muy buen resultado con el uso de la autenticación mutua obligatoria de dispositivos y la introducción de controles activos.

Figura 1 - Algoritmo para analizar datos cifrados

Requisitos de seguridad modernos

Autenticación

Actualmente, en varios equipos de red, incluidos los dispositivos inalámbricos, se usa ampliamente un método de autenticación más moderno, que se define en el estándar 802.1x: hasta que se lleve a cabo la verificación mutua, el usuario no puede recibir ni transmitir ningún dato.

Todos los métodos de autenticación modernos implican soporte para claves dinámicas.

El principal inconveniente de LEAP y EAP-FAST es que estos protocolos se admiten principalmente en equipos de Cisco Systems (Fig. 2).

Figura 2 - Estructura de paquete 802.11x usando encriptación TKIP-PPK, MIC y WEP.

Cifrado e integridad

El estándar de seguridad de la LAN inalámbrica es 802.11i.

La especificación WPA incluye un protocolo TKOP-PPK modificado. El cifrado se realiza en una combinación de varias claves: actual y siguiente. En este caso, la longitud del IV se incrementa a 48 bits. Esto hace posible implementar medidas adicionales para proteger la información, por ejemplo, para endurecer los requisitos para las reasociaciones, la reautenticación.

Las especificaciones incluyen soporte para 802.1x / EAP, autenticación de clave compartida y, por supuesto, administración de claves.

Tabla 3 - Métodos para implementar la política de seguridad

Índice
Índice
Soporte para sistemas operativos modernos
Complejidad del software e intensidad de recursos de la autenticación
Complejidad de manejo
Inicio de sesión único
Claves dinámicas
Contraseñas de un solo uso

Continuación de la tabla 3

Con el uso de equipos y software modernos, ahora es posible construir una red inalámbrica segura y resistente a los ataques basada en los estándares de la serie 802.11x.

Necesita implementar 802.11x / EAP / TKIP / MIC y administración de claves dinámicas. Para una red mixta, se deben utilizar VLAN; con antenas externas, se utiliza tecnología VPN.

Es necesario combinar métodos de protección de protocolo y software y métodos administrativos.

Las redes inalámbricas no son seguras. Repito: las redes inalámbricas no son seguras. La mayoría de las veces son lo suficientemente seguras para la mayoría de los usuarios, pero estas redes no pueden convertirse en completamente privadas.

La simple verdad es que una red inalámbrica usa señales de radio con un conjunto de características bien definidas, por lo que cualquiera que desee dedicar suficiente tiempo y esfuerzo al seguimiento de estas señales probablemente podrá encontrar una manera de interceptar y leer los datos que contienen. . Si envía información confidencial a través de una conexión inalámbrica, un malhechor puede copiarla. Los números de tarjetas de crédito, contraseñas de cuentas y otra información personal son vulnerables.

El cifrado y otros métodos de protección pueden dificultar un poco la interceptación, pero no brindan una protección completa contra un espía verdaderamente experimentado. Como cualquier oficial de policía puede decirle, las cerraduras son buenas para las personas honestas, pero los ladrones experimentados saben cómo tratar con ellas. Es fácil encontrar un catálogo completo de herramientas para descifrar el cifrado WEP en Internet.

Para hacer la situación aún más peligrosa, muchos administradores de red y usuarios inalámbricos domésticos dejan las puertas y ventanas de su red abiertas de par en par, sin el cifrado y otras funciones de seguridad integradas en cada punto inalámbrico 802.11by nodo de red. El inicio de sesión en redes privadas no seguras es posible en muchas áreas urbanas y en una amplia variedad de redes locales. En la primavera de 2001, el San Francisco Chronicle informó que un experto en seguridad de redes con una antena direccional montada en el techo de una camioneta en el centro de San Francisco pudo registrar un promedio de media docena de redes inalámbricas por trimestre. El número de estas redes crece constantemente. Un año después, un grupo de empleados de Microsoft que realizaba una "prueba informal" descubrió más de 200 puntos de acceso abiertos no seguros en la red suburbana de Seattle. Las tiendas de Tully's Coffee dicen que notan que sus clientes inician sesión en redes Wi-Fi a través de puntos de acceso en las tiendas Starbucks al otro lado de la calle.

La aritmética simple es suficiente: su punto de acceso tiene un alcance de 100 metros o más en todas las direcciones, por lo que es probable que la señal viaje fuera de su propiedad (o las paredes de su apartamento). Es probable que un dispositivo de red en la habitación contigua de un edificio o al otro lado de la calle pueda detectar la red. Una computadora portátil o PDA colocada en un automóvil estacionado en la calle es capaz de tal acción. Si no sigue algunas precauciones, el operador de este dispositivo puede iniciar sesión en su red, robar archivos de servidores e infiltrarse en su conexión a Internet con transmisión de video o juegos en red.

Es importante comprender que estamos hablando de dos tipos diferentes de amenazas a la seguridad inalámbrica. El primero es el peligro de que un tercero se conecte a su red sin su conocimiento o permiso; el segundo es la posibilidad de que un cracker experto pueda robar datos mientras los transmite y los recibe. Cada uno de ellos es un problema potencial separado y cada uno requiere un método específico de prevención y protección. Si bien puede ser cierto que ninguna de las herramientas disponibles en la actualidad puede brindar una protección completa, pueden hacer la vida mucho más difícil para la mayoría de los malhechores ocasionales.

Las redes inalámbricas representan un compromiso entre seguridad y facilidad de uso. Los beneficios obvios de las redes inalámbricas (acceso rápido y fácil a la red desde una computadora portátil o una ubicación aislada) son costosos. Para la mayoría de los usuarios, estos costos no superan la conveniencia de una red inalámbrica. Pero así como cierra las puertas de su automóvil cuando estaciona, debe tomar medidas similares para proteger su red y sus datos.

Protegiendo su red y sus datos

¿Qué puede hacer para protegerse de los extraños como operador de red inalámbrica? Tiene dos opciones: puede aceptar el hecho de que las redes 802.11b no son completamente seguras, pero utilizar cortafuegos integrados para ralentizar a los detractores. puede optar por no utilizar las herramientas integradas y, en su lugar, utilizar un cortafuegos para aislar.

Se entiende que las funciones de seguridad están integradas en los protocolos 802.11b.

inaceptable para la protección absoluta de los datos transmitidos. Si ha leído artículos sobre seguridad inalámbrica en revistas especializadas y la discusión en foros de redes, es fácil creer que las redes Wi-Fi tienen tantas fugas como el proverbial tamiz. Pero tal vez esto exagere la amenaza real para su propia red. Recuerde, la mayoría de las personas cercanas a robar sus mensajes o infiltrarse en su red no se quedarán sentados esperando a que usted comience a enviar datos. Y, francamente, la mayoría de los datos enviados a través de su red no son realmente de interés. Pero las herramientas de cifrado están disponibles en todas las redes Wi-Fi, por lo que realmente debería usarlas.

La amenaza más seria no es que sus mensajes sean interceptados, sino que se crearán conexiones ilegales con ellos. Esto permite que un usuario no autorizado lea archivos almacenados en otras computadoras en red o use su conexión a Internet de banda ancha sin su conocimiento o permiso.

Tiene sentido ocuparse de la gestión de su red. Si ha optado por implementar la seguridad 802.11b, debe seguir unos pasos especiales:

Coloque su punto de acceso en el medio del edificio, no al lado de una ventana. Esto reducirá la distancia que sus señales deben viajar a través de las paredes;

Utilice el cifrado Wired Equivalent Privacy (WEP), que está disponible en todos los nodos de red 802.11b. Con suficiente tiempo y el hardware adecuado, WEP es fácil de descifrar, pero los paquetes cifrados son aún más difíciles de leer que los datos no cifrados. Este capítulo proporciona más información sobre el cifrado WEP;

Cambie sus claves WEP con frecuencia. Se necesita tiempo para extraer las claves de cifrado WEP del flujo de datos, y cada vez que cambia las claves, los detractores que intentan robar sus datos tienen que empezar de nuevo. Cambiar de clave una o dos veces al mes no es muy frecuente;

No guarde las claves WEP en un lugar de fácil acceso. En una red grande, se puede intentar guardarlos en una página web local o en un archivo de texto. No hagas eso;

No utilice el correo electrónico para transferir claves WEP. Si un extraño roba nombres de cuentas y contraseñas, el ladrón recibirá mensajes con sus nuevas claves antes de que sus usuarios legítimos las reciban;

Agregue otra capa de cifrado, como Kerberos, SSH o VPN sobre cifrado WEP integrado en la red inalámbrica;

No utilice el SSID predeterminado de su punto de acceso. Estos ajustes son bien conocidos por los piratas informáticos de la red;

Cambie el SSID a algo que no identifique su trabajo o ubicación. Si un mal intencionado descubre el nombre BigCorpNet y mira a su alrededor y ve la sede de BigCorp al otro lado de la calle, lo más probable es que se infiltre a propósito en su red. Lo mismo ocurre con la red doméstica. No la llame Perkins si ese nombre está escrito en el exterior de su buzón. No utilice un SSID que parezca que su red contiene algún tipo de información tentadora; utilice un nombre poco llamativo, como un campo en blanco, "red" o incluso una cadena aleatoria (W24rnQ);

Cambie la dirección IP y la contraseña de su punto de acceso. Las contraseñas predeterminadas para la mayoría de las herramientas de configuración de puntos de acceso son fáciles de encontrar (y a menudo se repiten de un fabricante a otro - consejo: no use "admin"), por lo que no son lo suficientemente buenas ni siquiera para proteger contra sus propios usuarios, deje los detractores externos solos que pretenden utilizar su red para sus propios fines;

Desactive la función "SSID de difusión" para el punto de acceso, que permite conexiones de clientes sin el SSID correcto. Esto no garantiza que su red sea invisible, pero puede ayudar;

Active la función de control de acceso para su punto de acceso. El control de acceso restringe las conexiones a los clientes de la red con direcciones MAC específicas. El punto de acceso se negará a conectarse a cualquier adaptador cuya dirección no esté en la lista. Esto puede no ser práctico si desea permitir que otros visitantes usen su red, pero es una herramienta útil para redes domésticas y de oficinas pequeñas donde conoce a todos sus usuarios potenciales. Similar a la función Broadcast SSID, esto no está garantizado, pero no hará daño;

Pruebe la protección de su red intentando encontrarla en la calle. Obtenga una computadora portátil que ejecute un programa de escaneo como Network Stumbler o la utilidad de estado de su adaptador de red y comience a alejarse del edificio. Si puede encontrar su red a una cuadra de distancia, también puede hacerlo un extraño. Recuerde que los malvados pueden usar antenas direccionales con alta ganancia, lo que aumentará esta distancia;

Piense en la red como algo ampliamente compartido. Asegúrese de que todos los que usan la red sepan que están usando sistemas inseguros;

Extienda el acceso a los archivos solo a los archivos que realmente desea que estén disponibles. No abra todo el disco. Utilice protección con contraseña para cada artículo disponible;

Utilice las mismas herramientas de seguridad que utilizaría en una red cableada. En el mejor de los casos, la parte inalámbrica de su red local no es más segura que la parte cableada, por lo que debe seguir las mismas precauciones. En la mayoría de los casos, la parte inalámbrica de la red es mucho menos segura que la parte cableada;

Considere usar una red privada virtual (VPN) para mayor protección.

Algunos expertos utilizan un método diferente para proteger la red inalámbrica. Aceptan la idea de que la red 802.11b es insegura, por lo que ni siquiera intentan utilizar las funciones de seguridad integradas. Por ejemplo, el grupo de cortafuegos de la División de Supercomputación Avanzada de la NASA en California descubrió que "la red en sí no proporciona una autenticación sólida y protección contra manipulaciones" y que "las características de seguridad 802.11b solo consumen recursos, sin proporcionar una protección real a cambio". Por lo tanto, ha desactivado todas las funciones de seguridad 802.11by en su lugar utiliza su propia puerta de enlace de firewall inalámbrica (WFG). El WFG es un enrutador que se encuentra entre la red inalámbrica y el resto de la red, por lo que todo el tráfico de red entrante y saliente de los dispositivos inalámbricos (incluido el acceso a Internet) debe pasar por la puerta de enlace.

Como beneficio adicional, este método de protección mantiene la participación del administrador en cada paquete al mínimo, ya que no contienen autenticación ni encriptación. Esto reduce la cantidad de bits en cada paquete, lo que aumenta la tasa de transferencia de datos efectiva a través de la red.

Otros operadores inalámbricos usan VPN para controlar el acceso a través de sus puertas de enlace inalámbricas. VPN agrega otra capa de protección punto a punto a la capa IP (en lugar de la capa física, donde se realiza el cifrado en 802.11b) antes de que el usuario pueda navegar por la red.

La protección de la red es necesaria en dos casos: el administrador de la red no desea permitir que usuarios no autorizados ingresen a su red y los usuarios individuales no quieren que nadie tenga acceso a sus archivos personales. Cuando inicia sesión en una red comunitaria, debe tomar algunas precauciones para no leer sus archivos a través de la red.

Deshabilitar Compartición de archivos(Acceso a archivos) Antes de conectarse a una red compartida, utilice el siguiente procedimiento en Windows 95, Windows 98 y Windows ME:

1 en Panel de control(Panel de control) abre el cuadro de diálogo La red(La red).

2. Seleccione Uso compartido de archivos e impresoras(Acceso a archivos e impresoras).

3. En el cuadro de diálogo Fi Compartir impresoras y archivos deshabilitar la función Quiero dar acceso a otros a mis archivos(Compartir mis archivos con otros).

Windows 2000 y Windows XP no tienen un lugar central para deshabilitar el acceso a archivos, por lo que debe deshabilitar cada acceso por separado.

1. Abra una ventana Mi computadora(Mi computadora).

2. Los iconos de todas las unidades y carpetas disponibles están dibujados a mano. Para deshabilitar el acceso, haga clic con el botón derecho en el icono y seleccione Compartir y seguridad(Acceso y seguridad) en el menú.

3. Deshabilite la función Comparta esta carpeta en la red(Comparta esta carpeta a través de la red).

4. Haga clic en el botón OK(Sí) para cerrar el cuadro de diálogo.

5. Repita el proceso para cada carpeta o archivo disponible. No te olvides de la carpeta Documentos compartidos(Documentos generales).

Cuando regrese a su oficina o red doméstica, debe invertir el procedimiento para reanudar el acceso a los archivos.

Otro problema es el peligro de que un espía rastree datos enviados por radio y robe información confidencial sobre la marcha. No está tan extendido como obtener acceso a la red y leer archivos por parte de un espía, pero es posible. El cifrado y otras herramientas de seguridad pueden dificultar la decodificación de datos, pero es mejor tratar una red Wi-Fi como un teléfono celular: nunca envíe un mensaje o archivo con información confidencial.

Herramientas de seguridad 802.11b

Las herramientas de seguridad de las especificaciones 802.11b no son perfectas, pero son mejores que nada. Incluso si elige no usarlos, es importante comprender qué son y cómo funcionan antes de desactivarlos.

Nombre de red (SSID)

Como se discutió en el Capítulo 1, cada red inalámbrica tiene un nombre. En una red con un solo punto de acceso, el nombre es el ID del conjunto de servicios básicos (BSSID). Cuando la red contiene más de un punto de acceso, el nombre se convierte en el ID de conjunto de servicio extendido (ESSID). La designación estándar para todos los nombres de red es SSID, el término que verá con mayor frecuencia en los programas de utilidad de configuración para puntos de acceso inalámbricos y clientes.

Al configurar puntos de acceso para una red, debe asignarle un SSID. Cada punto de acceso y cliente de red de la red debe utilizar el mismo SSID. En computadoras con Windows, el SSID del adaptador inalámbrico también debe ser el nombre del grupo de trabajo.

Cuando se encuentran dos o más puntos de acceso con el mismo SSID, el usuario asume que todos son parte de la misma red (incluso si los puntos de acceso operan en diferentes canales de radio) y se asocia con el punto de acceso que proporciona la señal más fuerte o más clara. . Si esta señal se deteriora debido a interferencias o desvanecimiento, el cliente intentará moverse a otro punto de acceso, que crea que pertenece a la misma red.

Si dos redes superpuestas diferentes tienen el mismo nombre, el cliente asumirá que ambas son parte de la misma red y puede intentar realizar la transición. Desde el punto de vista del usuario, una transición tan errónea parece una interrupción completa de la conexión de red. Por lo tanto, cada red inalámbrica que pueda superponerse a otra debe tener un SSID único.

Las excepciones a la regla SSID única son las redes colectivas y de grupo, que brindan acceso solo a Internet y no a otras computadoras o dispositivos en la red local. Estas redes a menudo comparten un SSID común, por lo que los suscriptores pueden descubrirlas y conectarse a ellas desde múltiples ubicaciones.

Algunos puntos de acceso, incluida la estación base Apple AirPort y sistemas Orinoco similares, tienen una función que le permite elegir entre acceso "abierto" y "cerrado". Cuando el punto de acceso está configurado para acceso público, acepta una conexión de un cliente cuyo SSID está configurado en Alguna(Cualquiera), así como desde dispositivos configurados para comunicarse en el propio SSID del punto de acceso. Cuando un punto de acceso está configurado para acceso privado (Apple llama a esto una "red oculta"), solo aceptará conexiones cuyo SSID coincida con su SSID. Esta es una buena manera de mantener a los forasteros fuera de su red, pero solo funciona si todos los nodos de la red utilizan un adaptador Orinoco (la tarjeta AirPort de Apple es una versión propietaria del adaptador Orinoco). Si un adaptador fabricado por otro fabricante intenta conectarse a un punto de acceso cerrado, lo ignorará, incluso si el SSID coincide.

El SSID de la red proporciona una forma muy limitada de control de acceso, ya que el SSID debe especificarse al configurar la conexión inalámbrica. La función SSID de un punto de acceso es siempre un campo de texto, tomando el nombre que desee. Sin embargo, muchos programas de configuración de red (incluidas las herramientas de red inalámbrica en Windows XP y las que se proporcionan con algunas marcas importantes de adaptadores de red) detectan y muestran automáticamente el SSID de cada red activa dentro del rango de sus señales. Por lo tanto, no siempre es necesario conocer el SSID de la red antes de conectarse. A veces, una utilidad de configuración (un monitor de red o un programa de escaneo similar a Network Stumbler) le mostrará los nombres de cada red cercana en una lista o menú.

Como ejemplo, la Fig. La Figura 14.1 muestra el resultado del escáner Network Stumbler en el aeropuerto de Seattle-Tacoma, donde la terminal de pasajeros da servicio a WayPort y MobileStar brinda cobertura en el VIP Club de American Airlines. (MobileStar se convirtió en parte de otro servicio poco después de que elaboré este plan, por lo que los nombres de las redes cambiaron, pero el servicio se mantuvo).

Cada punto de acceso viene con una configuración SSID predeterminada. Estos valores predeterminados son bien conocidos y están publicados en las comunidades de espías de la red (consulte, por ejemplo, http://www.wi2600.org/mediawhore/nf0/wireless/ssid_defaults). Obviamente, la configuración predeterminada no debe usarse en ninguna red.

Arroz. 14,1

Muchos puntos de acceso vienen con una función de ocultación de SSID, a menudo denominada Red oculta o Red oculta... Esta función ayuda a evitar que algunos fisgones descubran el nombre de su red, pero cada vez que un nuevo cliente se conecta a ella o un cliente existente recibe una señal débil, el SSID se transmite y un programa como Kismet lo detecta. Ocultar el SSID puede ralentizar a un invitado accidental, pero no proporciona una seguridad real.

Encriptación WEP

El cifrado WEP es una característica de todos los sistemas 802.11b, por lo que es importante saber cómo funciona, incluso si decide no usarlo. Como sugiere el nombre, el objetivo original de Wired Equivalent Privacy (WEP) era proporcionar un nivel de seguridad para las redes inalámbricas comparable al de una red cableada. Pero existe una afirmación muy común de que una red basada en cifrado WEP es casi tan vulnerable a la intrusión como una red sin absolutamente ninguna seguridad. Protegerá contra espías al azar, pero no será particularmente eficaz contra un ladrón obstinado.

WEP tiene tres funciones: evita el acceso no autorizado a la red, verifica la integridad de cada paquete y protege los datos de los malvados. Para cifrar paquetes de datos, WEP utiliza la clave de cifrado secreta antes de que el cliente de red o el punto de acceso los transmita, y utiliza la misma clave para decodificar los datos después de que se reciben.

Cuando un cliente intenta comunicarse con la red utilizando una clave diferente, el resultado se distorsiona y se ignora. Por lo tanto, la configuración WEP debe ser exactamente la misma en cada punto de acceso y adaptador de cliente en la red. Esto suena bastante simple, pero es difícil ya que los fabricantes utilizan diferentes métodos para determinar el tamaño y formato de la clave WEP. Las funciones son las mismas de una marca a otra, pero los mismos ajustes no siempre tienen las mismas designaciones.

¿Cuántos bits hay en su clave WEP?

Primero, la clave WEP puede ser de 64 o 128 bits. Las claves de 128 bits son más difíciles de descifrar, pero también aumentan la cantidad de tiempo que tarda en transmitirse cada paquete.

La confusión en las implementaciones de diferentes proveedores surge porque WEP de 40 bits es lo mismo que WEP de 64 bits, y 104 bits es lo mismo que 128 bits. La clave WEP estándar de 64 bits es una cadena que contiene un vector de inicialización de 24 bits generado internamente y una clave secreta de 40 bits asignada por el administrador de la red. Las especificaciones de algunos fabricantes y los programas de configuración se refieren a esto como "cifrado de 64 bits" y otros se refieren a él como "cifrado de 40 bits". En cualquier caso, el esquema de cifrado sigue siendo el mismo, por lo que un adaptador que utiliza cifrado de 40 bits es totalmente compatible con un punto de acceso o adaptador que utiliza cifrado de 64 bits.

Muchos adaptadores de red y puntos de acceso también incluyen una función de "cifrado fuerte" que utiliza una clave de 128 bits (que en realidad es una clave secreta de 104 bits con un vector de inicialización de 24 bits).

El cifrado fuerte es compatible unidireccionalmente con el cifrado de 64 bits, pero no es automático, por lo que todas las partes de una red mixta de dispositivos con claves de 128 y 64 bits funcionarán con cifrado de 64 bits. Si el punto de acceso y todos los adaptadores admiten el cifrado de 128 bits, utilice una clave de 128 bits. Pero si desea que su red sea compatible con adaptadores y puntos de acceso que solo reconocen el cifrado de 64 bits, configure toda su red para usar claves de 64 bits.

¿ASCII o clave hexadecimal?

Pero la longitud de la clave por sí sola es confusa al configurar el cifrado WEP. Algunos programas requieren una clave como una cadena de caracteres de texto, mientras que otros requieren una clave como un número hexadecimal. Otros pueden generar una clave a partir de una frase de contraseña opcional.

Cada carácter ASCII tiene una longitud de 8 bits, por lo que una clave WEP de 40 bits (o 64 bits) contiene 5 caracteres y una clave de 104 bits (o 128 bits) contiene 13 caracteres. En hexadecimal, cada número tiene 4 bits, por lo que una clave de 40 bits contiene 10 caracteres hexadecimales y una clave de 128 bits contiene 26 caracteres.

En la Fig. 14.2, que muestra la ventana Configuración inalámbrica para el punto de acceso D-Link, el campo Seguridad de clave compartida de 40 bits utiliza caracteres hexadecimales y tiene un espacio para diez caracteres. D-Link contiene los diez caracteres en una línea, pero algunos otros los dividen en cinco grupos de dos números o dos grupos de cinco números.

Arroz. 14,2

Para una computadora, la clave se ve igual de todos modos, pero es más fácil copiar la cadena cuando está dividida en pedazos.

Muchas utilidades de cliente, como el cuadro de diálogo Propiedades de la red inalámbrica de Windows XP (que se muestra en la Figura 14.3), ofrecen una opción entre hexadecimal o texto, para que pueda usar el formato apropiado para el punto de acceso.

La frase de contraseña es una cadena de texto que los adaptadores y puntos de acceso convierten automáticamente en una cadena hexadecimal. Dado que los humanos tienden a memorizar palabras o frases significativas más fácilmente que el galimatías hexadecimal, la frase de contraseña es más fácil de transmitir que una cadena hexadecimal. Sin embargo, la frase de contraseña solo es útil cuando todos los adaptadores y puntos de acceso de la red están hechos por el mismo fabricante.

Arroz. 14.3

Que funciones estan presentes

Al igual que en casi todas las configuraciones de la utilidad de configuración 802.11b, los nombres de las funciones WEP no son constantes de un programa a otro.

Algunos utilizan un conjunto abierto de funciones como "habilitar el cifrado WEP", mientras que otros utilizan terminología técnica extraída de la especificación oficial 802.11. Autenticación de sistema abierto es el segundo nombre para el cifrado WEP desactivado.

Algunos puntos de acceso también proporcionan una función de autenticación de clave pública opcional que utiliza encriptación WEP donde el cliente de la red tiene la clave pero se reciben datos no encriptados de otros nodos de la red.

Combinar claves hexadecimales y de texto

Configurar una red mixta es complicado cuando algunos nodos de red solo usan claves hexadecimales y otros requieren claves de texto. Si esta situación ocurre en su red, debe seguir las reglas a continuación para configurarlas con WEP:

Convierta todas las claves de texto a hexadecimal. Si el programa de configuración requiere una clave de texto, ingrese los caracteres Oh(cero seguido de una x minúscula) antes de una cadena hexadecimal. Si está utilizando el software AirPort de Apple, en su lugar Oh al comienzo de la clave hexadecimal, debe ingresar el símbolo del dólar ( $ );

Asegúrese de que todas sus claves de cifrado tengan el número correcto de caracteres;

Si todo sigue sin funcionar, lea las secciones de seguridad en los manuales de sus adaptadores de red y puntos de acceso. Es posible que uno o más de estos dispositivos en la red tengan alguna identidad oculta de la que no tenga conocimiento.

Cambio de claves WEP

Muchos puntos de acceso y adaptadores de clientes de red pueden admitir hasta cuatro claves WEP de 64 bits diferentes, pero solo una está activa a la vez, como se muestra en la Figura 4-2. 14.4. Las otras claves son de repuesto, lo que puede permitir al administrador de la red ajustar la seguridad de la red con un breve aviso. Los adaptadores y puntos de acceso que admiten el cifrado de 128 bits utilizan solo una clave WEP de 128 bits a la vez.

Arroz. 14,4

En una red donde el cifrado WEP está muy organizado. Las claves WEP deben cambiarse periódicamente, según un cronograma. Un mes es suficiente para una red que no transmite datos importantes, pero para una red más seria, se debe instalar una nueva clave una o dos veces por semana. Recuerde anotar sus claves WEP actuales en un lugar seguro.

En una red doméstica o de oficina pequeña, lo más probable es que usted mismo cambie todas las claves WEP. De lo contrario, el administrador de la red o el profesional de seguridad debe distribuir las nuevas claves WEP en papel, en una nota y no por correo electrónico. Para obtener una capa adicional de protección en las redes que utilizan cifrado de 64 bits, indique a sus usuarios que cambien dos claves al mismo tiempo (no la predeterminada actual). Envíe una nota separada notificando a los usuarios qué clave es nueva, la predeterminada y cuándo debe cambiar.

Un horario semanal típico podría verse así:

Introduzca las siguientes claves WEP nuevas de 64 bits:

Tecla 1: XX XX XX XX XX

Clave 4: YY YV YY YY YY

Otra nota, una semana después, proporcionará los códigos para la Llave 2 y la Llave 3.

Una instrucción separada puede indicar: “Nuestra red cambiará para usar la Clave 3 a la medianoche del martes. Cambie la clave predeterminada de su adaptador de red ". Elija el momento en el que la red inalámbrica es utilizada por el menor número de usuarios para el cambio, ya que cualquier conexión activa en el punto de acceso en el momento del cambio de clave se terminará y no será posible restaurarla hasta que las claves estén en se cambian el adaptador del cliente. Los usuarios pueden ingresar nuevas claves con anticipación como alternativas a la clave activa actual y cambiarlas con unos pocos clics cuando la nueva clave surta efecto.

¿Es suficiente la seguridad WEP?

Varios científicos informáticos han publicado artículos sobre el cifrado WEP que argumentan en contra de su uso para proteger datos confidenciales. Todos ellos apuntan a serias fallas en la teoría y la práctica de la criptografía utilizada en el diseño de algoritmos de encriptación WEP. Estos expertos son unánimes en su recomendación de que cualquier persona que utilice una red inalámbrica 802.11 no debe confiar en WEP para su seguridad. Necesita utilizar otros métodos para proteger sus redes.

Un grupo de la Universidad de California en Berkeley encontró numerosas fallas en el algoritmo WEP, haciéndolo vulnerable a al menos cuatro tipos diferentes de ataques:

Ataques pasivos que utilizan análisis estadístico para decodificar datos;

Ataques activos con la creación de paquetes encriptados que obligan al punto de acceso a aceptar comandos falsos;

Análisis de ataques sobre paquetes cifrados para crear un diccionario que luego se puede utilizar para decodificar datos automáticamente en tiempo real;

Ataques de modificación de encabezado para redirigir datos a un destino controlado por el atacante.

La charla de Berkeley termina con una declaración inequívoca: “La seguridad WEP no es lo mismo que la seguridad por cable. Los problemas con el protocolo son el resultado de una mala comprensión de algunos de los fundamentos de la criptografía y, por lo tanto, de un uso inseguro de las técnicas de cifrado ".

Investigadores de Rais University y AT&T Labs han publicado sus propias descripciones de sus ataques a redes encriptadas con WEP (http: / /www.cs.rice .edu / ~ astubble / wep), lo que los llevó a una conclusión similar: “WEP en 802.11 es completamente inseguro ". Pudieron solicitar y obtener el equipo necesario, instalar un banco de pruebas, desarrollar su herramienta de ataque y adquirir con éxito una clave WEP de 128 bits en menos de una semana.

Tanto los informes de Berkeley como los informes de AT&T Labs están escritos por expertos técnicos y para expertos técnicos, con análisis de criptografía. Su razonamiento es claro, pero los métodos requieren que el adversario tenga algunos conocimientos técnicos serios. Sin embargo, las herramientas para descifradores de códigos menos sofisticados se pueden encontrar con la misma facilidad. Tanto AirSnort (http: // airsnort. Shmoo.com) como WEPCrack () son programas de Linux que monitorean las señales inalámbricas y aprovechan las debilidades de WEP para obtener una clave de cifrado.

AirSnort afirma que su programa puede piratear con éxito la mayoría de las redes en dos semanas. Esta tecnología monitorea las señales de la red sin afectarlas, por lo que el administrador de la red no puede detectar la presencia de un ataque. El programa se lanza con el objetivo de agravar el problema. Si bien es fácil descifrar el cifrado WEP, los grupos de creación de estándares se ven obligados a encontrar una manera de hacerlo más seguro o reemplazarlo por una opción más difícil de descifrar.

Para resumir: mírelo de manera más simple y cifre los datos de su red.

Los datos cifrados son más seguros que la transmisión de texto sin cifrar, y descifrar una clave WEP lleva tiempo, por lo que WEP agrega un nivel de seguridad diferente (supuestamente débil), especialmente si cambia las claves con frecuencia. El cifrado WEP no puede hacer mucho para protegerte de enemigos serios, pero te protegerá de los malvados accidentales. Es mucho más fácil penetrar en una red que no utiliza cifrado (que es lo que hacen la mayoría de ellos), por lo que es probable que un pirata informático que encuentre una señal cifrada cambie a un objetivo con menos protección.

Ayuda en el camino

Obviamente, un circuito de protección con agujeros lo suficientemente grandes como para conducir un camión digital gigante es casi tan malo como no tener ninguna protección. Los exitosos ataques al cifrado WEP y las herramientas disponibles para explotar las fallas en el protocolo de seguridad están obligando a los miembros de Wi-Fi Alliance a considerar seriamente respaldar su licencia como el estándar inalámbrico de facto. Utilizan palabras como "crisis" para describir la atención que se presta a estos problemas.

Quieren encontrar una solución antes de que la notoriedad de las brechas de seguridad supere la demanda de equipos Ethernet inalámbricos, cuidadosamente diseñados y anunciados por ellos.

Los nuevos estándares que abordan este problema se denominarán 802.11i.IEEE. El comité de estándares 802.11 comenzó a discutir el tema varios meses antes de que se hiciera público. El comité, llamado Task Group i (TGi), está ocupado trabajando en una nueva y mejorada especificación de seguridad que (supuestamente) eliminará todas las fallas conocidas en los estándares de encriptación WEP. El grupo promete que las nuevas herramientas de protección funcionarán automáticamente y serán compatibles con equipos más antiguos que no utilizan las nuevas herramientas. El grupo de investigación tiene un sitio web en http://grouper.ieee.Org/groups/802/11/Reports para obtener información sobre reuniones y algunos documentos técnicos.

Wi-Fi Alliance quiere que sus miembros comiencen a utilizar el producto TGi lo antes posible. Esto puede calmar la situación antes de que se convierta en un desastre comercial. Una vez que los ingenieros informen sobre la solución, todos los proveedores de AP y NIC integrarán los nuevos métodos de seguridad en sus productos y Alliance los agregará al conjunto de pruebas de certificación de Wi-Fi. El software y el firmware actualizados garantizarán que los productos 802.11b existentes sean compatibles con los nuevos protocolos 802.11i.

Control de acceso

La mayoría de los puntos de acceso tienen una función que permite al administrador de la red restringir el acceso a los adaptadores de cliente de una lista específica. Si un dispositivo de red cuya dirección MAC no está en la lista de usuarios autorizados intenta conectarse, el punto de acceso ignora la solicitud para asociarse con la red. Esto puede ser eficaz para evitar que personas externas se conecten a la red inalámbrica, pero obliga al administrador de la red a mantener una lista completa de los adaptadores de usuario y sus direcciones MAC. Cada vez que un nuevo usuario quiere conectarse a la red y cuando un usuario legal cambia de adaptador, alguien tiene que agregar otra dirección MAC a la lista. Esto es factible en una red doméstica o de oficina pequeña, pero puede ser un gran problema para un gran sistema corporativo o de campus.

Cada utilidad de configuración de punto de acceso utiliza un formato diferente para las listas de acceso. El manual y la documentación en línea que se proporciona con su punto de acceso deben proporcionar instrucciones detalladas sobre cómo crear y utilizar una lista de control de acceso. El estándar 802.11b no define el tamaño máximo de la lista de control de acceso para un punto de acceso, por lo que los números se distribuyen por todo el mapa. Algunos puntos de acceso limitan la lista a unas pocas docenas de parámetros. Otros, como el controlador Proxim Harmony AP, admitirán hasta 10,000 direcciones distintas. El resto son ilimitados. Si planea utilizar una lista de direcciones para controlar el acceso a su red, asegúrese de que el punto de acceso funcione con una lista lo suficientemente grande para admitir a todos los usuarios con suficiente margen para el futuro. Como regla general, el punto de acceso debe permitir al menos el doble de direcciones MAC en comparación con la cantidad actual de usuarios en su red.

La autenticación MAC no puede proteger contra todas las intrusiones, ya que cambiar la dirección MAC en la mayoría de las tarjetas de red es trivial: todo lo que un adversario tiene que hacer es monitorear el tráfico de su red el tiempo suficiente para encontrar un usuario válido y copiar su dirección MAC.

Sin embargo, puede ser una forma muy eficaz de ralentizar el trabajo de un espía ocasional.

Autenticación: estándar 802.1x

Debido a los agujeros de seguridad en la especificación de cifrado WEP, muchos fabricantes de equipos de redes inalámbricas y desarrolladores de software ya han adaptado el nuevo estándar IEEE, 802.1x, para agregar una capa diferente de seguridad a sus redes. El estándar 802.1x define un marco que puede admitir varias formas diferentes de autenticación, incluidos certificados, tarjetas inteligentes y contraseñas de un solo uso, todos los cuales brindan más seguridad que el control de acceso integrado en 802.11.

En las redes inalámbricas 802.11, se crea una tecnología llamada Robust Security Network sobre el marco 802.1x para restringir el acceso a la red a los dispositivos autorizados.

La mayoría de los usuarios finales deben saber dos cosas sobre 802.1x: Primero, está integrado en algunos (pero no todos) hardware y software 802.11b, incluida la utilidad de configuración inalámbrica que se envía con Windows XP y muchos puntos de acceso modernos, por lo que puede proporcionar otro capa potencial de protección; y segundo, todavía tiene serios defectos que un pirata informático experimentado puede aprovechar para infiltrarse en una red inalámbrica. Los desagradables detalles técnicos, en forma de análisis, preparados por dos investigadores de la Universidad de Maryland, están disponibles en línea en http://www.cs.umd.edu/~waa/1x.pdf.

Parece que ha aparecido un hito, ¿no? Los ingenieros de las empresas de hardware y software interesadas se unen bajo el estandarte de un grupo de investigación

¿Qué hacer? ¿Es una red inalámbrica segura un ideal inalcanzable? Si miras la seguridad inalámbrica como un juego del gato y el ratón, es bastante obvio que los ratones (espías y piratas informáticos) ganan. Pero estos ratones necesitan un conocimiento profundo y un hardware para superar las herramientas de autenticación y cifrado existentes.

Piense en ello como la puerta de entrada de su casa: si la deja abierta de par en par, cualquiera puede entrar y robar sus pertenencias, pero si cierra la puerta y cierra las ventanas, será mucho más difícil que un ladrón entre . Un especialista puede abrir la cerradura, pero requerirá mucho tiempo y esfuerzo.

Cortafuegos

Si acepta la idea de que WEP y 802.1x no brindan la seguridad inalámbrica adecuada, el siguiente paso lógico es encontrar otra forma de evitar que personas externas obtengan acceso a su red. Necesitas un cortafuegos.

Un firewall es un servidor proxy que filtra todos los datos que pasan a través de él hacia o desde una red, según un conjunto de reglas establecidas por el administrador de la red. Por ejemplo, un firewall puede filtrar datos de una fuente desconocida o archivos asociados con una fuente específica (virus). O puede pasar todos los datos transmitidos desde la red local a Internet, pero solo permite tipos específicos de datos de Internet. El uso más común de un firewall de red es como puerta de entrada a Internet, como se muestra en la Fig. 14.5. Un firewall monitorea todos los datos entrantes y salientes entre la red local por un lado e Internet por el otro. Este tipo de firewall está diseñado para proteger las computadoras en la red del acceso no autorizado desde Internet.

Arroz. 14,5

En una red inalámbrica, el cortafuegos también se puede ubicar en la puerta de enlace entre los puntos de acceso inalámbricos y la red cableada. Dicho firewall aísla la parte inalámbrica de la red de la red cableada, por lo que los malvados que conectan sus computadoras a la red sin permiso no pueden usar la conexión inalámbrica para acceder a Internet o la parte cableada de la red. En la Fig. 14.6 muestra la ubicación de un firewall en una red inalámbrica.

Arroz. 14,6

No dejes ninguna posibilidad a los invasores inalámbricos

La mayoría de las personas que intentan unirse a una red inalámbrica no se molestan en utilizar otras computadoras; están interesados en el acceso gratuito a Internet de alta velocidad. Si no pueden usar su red para descargar archivos o conectarse a sus páginas web favoritas, lo más probable es que intenten encontrar algún otro punto de acceso inalámbrico no seguro. Esto no significa que deba almacenar datos confidenciales en archivos accesibles en computadoras desprotegidas, pero si puede restringir o denegar el acceso a Internet, hará que su red sea mucho menos atractiva para los malvados. Un firewall en una red inalámbrica puede cumplir varias funciones: actúa como un enrutador entre la red inalámbrica y la cableada, o como un puente entre la red e Internet, y bloquea todo el tráfico desde el extremo inalámbrico hasta el extremo cableado que no funciona. provienen de un usuario autenticado. Pero no interfiere con los comandos, mensajes y transferencias de archivos de usuarios de confianza.

Dado que tanto los usuarios autorizados como los externos están en el lado no seguro del firewall, esto no aísla los nodos inalámbricos entre sí. Un mal intencionado aún puede acceder a otra computadora en la misma red inalámbrica y leer los archivos disponibles, por lo que es mejor deshabilitar Compartición de archivos(Acceso a archivos) en cualquier computadora conectada a la red inalámbrica.

El firewall inalámbrico debe usar algún tipo de autenticación para permitir que los usuarios autorizados pasen por la puerta de enlace y filtrar a todos los demás. Si el control de acceso basado en MAC está integrado en los sistemas 802.11by la autenticación 802.1x opcional no es aceptable, entonces un firewall externo debe requerir que cada usuario ingrese un nombre de usuario y contraseña antes de conectarse a Internet.

Si su red inalámbrica contiene computadoras que ejecutan múltiples sistemas operativos, el firewall debe usar un inicio de sesión que funcione en cualquier plataforma. La forma más sencilla de lograr esto es utilizar un servidor de autenticación basado en Web como el que se incluye con el servidor Web de Apache (http://httpd.apache.org).

La NASA usa Apache en un servidor dedicado para crear un sitio web que notifica a los usuarios cuando ingresan su nombre de cuenta y contraseña.

El servidor utiliza un script Perl / CGI para comparar el nombre de usuario y la contraseña con la base de datos. Si son correctos, le indica al servidor que acepte comandos y datos por la dirección IP del usuario. Si no hay un nombre de usuario en la base de datos o la contraseña es incorrecta, Apache muestra la página web Nombre de usuario y contraseña no válidos.

El servidor web Apache está disponible como una aplicación Unix que se ejecuta en una computadora vieja y lenta con un Pentium temprano o incluso una CPU 486, por lo que a menudo es posible reutilizar una computadora vieja que ya no se usa en el trabajo diario para actuar como un cortafuegos. Tanto la aplicación Apache como el sistema operativo Unix están disponibles como software de código abierto, por lo que debería ser posible construir un firewall basado en Apache a un costo extremadamente bajo.

Si prefiere usar Windows en lugar de Unix, tiene varias opciones. Puede utilizar la versión de Windows NT / 2000 de Apache o una utilidad comercial como Wireless Enforcer de Sygate (http://www.sygate.com/prodacls/sse/sse_swe_securjty.htm) - Wireless Enforcer funciona con otros elementos de Sygate Secure Enterprise Suite. Sygate Security) para asignar y verificar una huella digital única a cada usuario autorizado. Si personas externas intentan conectarse a un punto de acceso sin la huella digital requerida, la red los bloquea.

Aislar su red de Internet

No todos los ataques a una red inalámbrica se realizan por aire. Una red inalámbrica requiere el mismo tipo de soporte de firewall contra ataques de Internet que cualquier otra red. Muchos puntos de acceso contienen funciones de firewall configurables, pero si el suyo no las tiene, su red debe contener uno o más de los siguientes firewalls:

Software de firewall en cada computadora;

Un enrutador independiente o una computadora dedicada para actuar como un firewall de red;

Un paquete de seguridad integrado, como el paquete Sygate descrito en la sección anterior.

Los programas de cliente de firewall proporcionan otra línea de defensa contra los ataques a su red a través de Internet. Algunos de ellos provienen de detractores que buscan una forma de leer sus archivos y otros recursos que desea ocultar del mundo exterior. Otros pueden querer usar su computadora como un punto de entrega de spam o intentos de infiltrarse en una computadora en otra parte del mundo para hacer que el recurso real sea más difícil de rastrear. Otros propagan virus o utilizan programas no deseados que interceptan el control de la computadora y muestran mensajes de miedo o publicitarios. Además, una máquina insegura con mucho espacio de almacenamiento desperdiciado puede ser un objetivo atractivo para los piratas informáticos que desean distribuir software pirateado, archivos de música o video (¿no crees que almacenan esta basura en sus propias computadoras?).

Si instala un firewall que le notifica cuando una computadora externa intenta conectarse a la red, lo más probable es que vea múltiples intentos de intrusión todos los días.

Puntos de acceso con cortafuegos

El caso de uso más simple para un firewall inalámbrico es usar el punto de acceso integrado. Algunos combinan las funciones de un punto de acceso inalámbrico con un enrutador de banda ancha y un conmutador Ethernet, por lo que son compatibles con clientes de red cableados e inalámbricos.

Como sabe, un enrutador de red proporciona una traducción entre una dirección IP numérica que define una puerta de enlace de red local y direcciones IP internas que identifican computadoras individuales dentro de ella. El firewall generalmente bloquea todas las solicitudes de datos entrantes a los hosts de la red local, pero esto crea problemas cuando desea utilizar una o más computadoras en la red local como servidores de archivos. Para resolver este problema, el firewall incluye un servidor virtual que redirige tipos específicos de solicitudes a la computadora apropiada en la red.

Cada solicitud para conectarse a un servidor contiene un número de puerto específico que identifica el tipo de servidor. Por ejemplo, los servidores web usan el puerto 80 y FTP usa el puerto 21, por lo que estos números de puerto son parte de la solicitud de acceso. Al aceptar solicitudes para acceder al servidor, debe habilitar la traducción de direcciones de red (NAT) en el firewall para enrutar estas solicitudes a una computadora específica dentro de la red local. En la Fig. 14.7 el servidor virtual está configurado para usar una computadora con la dirección IP local 192.168.0.177 como servidor web y 192.168.0.164 como servidor de archivos FTP. Mesa 14.1 enumera los números de puerto de servicio más comunes.

Pestaña. 14.1 Números de puerto de servicio TCP / IP comunes

Hay cientos de otros números de puerto utilizados en diferentes redes, pero la mayoría de ellos nunca los verá en uso real. La lista oficial de puertos asignados se encuentra en http://www.iana.org/assignments/port-numbers.

Arroz. 14,7

La traducción de NAT asume que las direcciones IP de cada servidor virtual no deben cambiar de una solicitud a la siguiente. El servidor web con el número actual 192.168.0.23 no debería cambiar a 192.168.0.47 después de una semana. Por lo general, esto no es un problema en una red cableada, sino en una inalámbrica donde los clientes de la red se conectan y salen continuamente. El servidor DHCP asigna automáticamente el siguiente número disponible a cada nuevo cliente. Si uno de estos usuarios es la ubicación de uno de los puertos de servicio de red, es posible que NAT no pueda detectarlo. Este problema no es muy común, ya que la mayoría de las redes no utilizan computadoras portátiles como servidores, pero a veces sucede. La solución es deshabilitar el servidor DHCP y asignar una dirección IP permanente a cada cliente, o mover el puerto de servicio a una computadora que tenga una conexión por cable a la red.

Software de cortafuegos

El firewall de la puerta de enlace inalámbrica en la interfaz entre el punto de acceso y la parte cableada de su LAN evitará que personas externas usen la red para acceder a Internet, y el firewall de la conexión a Internet rechazará los intentos de conectarse a la red desde Internet, pero una conexión inalámbrica. la red necesita otra forma de protección. Si alguien obtiene acceso a su red inalámbrica sin permiso, querrá deshacerse de otras computadoras legítimas en la misma red. Esto significa que necesita un programa de firewall de cliente para cada nodo de red.

Un cortafuegos de cliente realiza las mismas funciones en la interfaz de red de una computadora que una red o un cortafuegos corporativo para toda una red. Detecta los intentos de conectarse a los puertos TCP y los ignora si no coinciden con uno o más de los valores de configuración del software del firewall.

Algunos cortafuegos están disponibles como versión de prueba, mientras que otros son gratuitos para usuarios no comerciales, por lo que puede probarlos fácilmente en su propio sistema y elegir el que más le guste.

A continuación se muestran algunos programas para Windows:

Los usuarios de Unix y Linux también tienen muchas funciones de firewall. La mayoría de ellos se escribieron para su uso en equipos de firewall independientes que se utilizan ampliamente como puertas de enlace de red, pero pueden actuar igualmente como protección para clientes de red individuales.

En Linux, el firewall es parte del kernel, el usuario trabaja con él a través de las utilidades de la consola, ya sea ipchains o iptables. Ambos están documentados en http: // linuxdoc.org/HOWTO /IPCHAINS-HOWVTO.html y http: // www.netfilter .org / unreliable-guides / packet-filtering-HOWTO respectivamente. IP Filter es un paquete de software que proporciona servicios de firewall para sistemas FreeBSD y NetBSD. El sitio web oficial de IP Filter está en http://coombs.anu.edu.au/-avalon, y http://www.obfuscation.org/ipf/ipf-howto.txt tiene un excelente documento sobre cómo usarlo. El programa puede rechazar o permitir que cualquier paquete pase a través del firewall, así como filtrar por máscara de red o dirección de host, hacer cumplir las restricciones del puerto de servicio y proporcionar servicios de traducción NAT.

El Firewall NetBSD / i386 es otro firewall Unix gratuito.

Se ejecuta en cualquier PC con una CPU 486 o superior con un tamaño de memoria mínimo de 8 MB. La página de inicio del proyecto de cortafuegos NetBSD / i386 se encuentra en http://www.dubbele.com.

PortSentry es una herramienta de detección de escaneo de puertos que se integra en varias versiones de Linux ampliamente utilizadas, incluidas Red Hat, Caldera, Debian y Turbo Linux. Está disponible para su descarga en http: // www.psionic .com / products / portsentry.html.

Redes privadas virtuales

Al aislar la conexión entre los nodos de la red de otro tráfico de red, una VPN puede agregar otra capa de protección. VPN es un canal de transmisión cifrado que conecta dos puntos finales de la red a través de un "túnel de datos". Muchos expertos en cortafuegos recomiendan las VPN como una forma eficaz de proteger su red inalámbrica de personas mal intencionadas y usuarios no autorizados. Puede encontrar más detalles sobre la configuración y el uso de VPN en el siguiente capítulo.

Proteccion fisica

Hasta ahora, hemos hablado sobre cómo evitar que los ladrones electrónicos accedan a su red. Es bastante fácil acceder a la red utilizando hardware estándar que aún no se ha configurado para ello. Esto es aún más fácil si el atacante tiene una computadora que ha sido robada a un usuario autorizado.

Perder una computadora portátil es desagradable. Es incluso peor permitir que el ladrón use la computadora robada para rastrear la red. Como operador de red, debe recordar a sus usuarios que sus dispositivos portátiles son objetivos atractivos para los ladrones y ofrecer algunos consejos para protegerlos. Como usuario, usted mismo debe adherirse a las mismas reglas.

La primera regla es simple: no olvide que lleva una computadora. Parece obvio, pero los taxistas de Londres encontraron aproximadamente 2.900 portátiles (¡y 62.000 teléfonos móviles!) En sus coches en seis meses. Otros innumerables se quedaron en aviones, habitaciones de hotel, trenes de cercanías y salas de conferencias. No anuncie que lleva una computadora. Las bolsas de nailon con una gran inscripción “IBM” o “COMPAQ” en el costado pueden parecer modernas, pero no son tan seguras como un maletín o bolso de mano normal.

Lleve siempre la computadora en la mano o en su hombro cuando no esté encerrada en un armario o trastero. Distraerse por un minuto, y un ladrón experimentado podrá secuestrarlo. Las terminales de los aeropuertos, las estaciones de tren y los vestíbulos de los hoteles son lugares comunes de robo. No deje una computadora personal sin protección en la oficina durante la noche. No lo ejecute a través de escáneres de aeropuerto. Pídale al controlador que lo inspeccione usted mismo o asegúrese de poder devolver la computadora tan pronto como termine de pasar por la cinta transportadora. Dos personas que trabajan en parejas pueden detenerlo fácilmente y robar su computadora antes de que la tenga. Si alguien intenta robar una computadora mientras registra el equipaje, haga ruido y llame a seguridad para pedir ayuda. Asegúrese de que sus computadoras y componentes individuales, como tarjetas de PC, tengan etiquetas de propiedad, por dentro y por fuera.

Security Tracking of Office Property (http://www.stoptheft.com) ofrece etiquetas de seguridad imprimibles adhesivas de cianoacrilato registradas que requieren una fuerza de 360 kg para quitarlas, con la marca química permanente de propiedad robada que es visible si alguien o quita el atajo.

Si puede convencer a sus clientes de que utilicen dispositivos de localización en sus computadoras, puede aumentar las posibilidades de que regresen. TRACKIT (http: // www.trackit-corp.co m) es un dispositivo de advertencia de dos piezas que utiliza un transmisor conectado a una cadena y un receptor en miniatura que se encuentra en una bolsa de computadora. Cuando el transmisor está a más de 12 metros del receptor, emite una sirena de 110 dB, que suele hacer que el ladrón arroje la bolsa robada.

Por último, mantenga la lista de modelos y números de serie separados de los dispositivos en sí. Necesita esta información para un reclamo de seguro.

Cuando descubra que una de las computadoras conectadas a su red se perdió o fue robada, es importante proteger el resto de la red. Cambie el SSID, la contraseña y las claves WEP de la red lo antes posible. Si su red utiliza una lista de direcciones MAC para el control de acceso, elimine la dirección MAC del dispositivo robado de la lista de conexiones autorizadas.

Conectando su red al mundo

Si está utilizando una red inalámbrica para compartir Internet en una red de vecindario o campus, o si desea permitir que los clientes y otros visitantes se conecten a su red inalámbrica, no debe usar WEP u otras herramientas de seguridad para restringir el acceso a usuarios conocidos. , pero aún debe tomar algunas medidas de seguridad. ...

Su deseo de proporcionar a las personas una conexión directa a Internet no significa que desee permitirles navegar por otras computadoras en su red; debe aislar los puntos de acceso inalámbricos del resto de su red.

Si todos los hosts locales de su red están cableados, el mejor método es colocar un firewall entre el punto de acceso inalámbrico y la LAN cableada, lo que permitirá que el punto de acceso (y las computadoras conectadas a él de forma inalámbrica) solo se conecten a Internet y no a ninguno de los hosts locales.red cableada como se muestra en la fig. 14,8.

Sin embargo, si algunas de las computadoras de su hogar usan conexiones inalámbricas, debe protegerlas del acceso de personas externas a través de la parte compartida de su red. Hay un par de formas de implementar este plan: en la fig. 14.9 muestra una red inalámbrica con un software de firewall en cada computadora doméstica, y la fig. 14.10 - Un sistema que usa dos redes inalámbricas separadas con diferentes SSID conectados al mismo sitio de Internet. La regla general es utilizar uno o más cortafuegos para aislar la parte colectiva de su red de las computadoras que no desea exponer al resto del mundo.

Arroz. 14,8

Arroz. 14,9

Arroz. 14.10

Notas:

Para el control de acceso a archivos centralizado en Windows XP y Windows 2000, haga clic con el botón derecho en el menú contextual Mi computadora y seleccione Administrar... En el panel derecho, seleccione un marcador Carpetas compartidas, luego Comparte. - Aprox. científico. ed.

Institución educativa estatal

Educación profesional superior

Universidad Estatal de Tyumen

Instituto de Matemáticas e Informática

Departamento de Seguridad de la Información

Trabajo del curso

por especialidad

« Protección de redes inalámbricas »

Terminado:

Alumno del grupo No. 357

Kolbin S.S.

Supervisor:

Introducción.

Las redes inalámbricas tienen mucho en común con las redes cableadas, pero también existen diferencias. Para penetrar en una red cableada, un pirata informático debe conectarse físicamente a ella. En la versión Wi-Fi, le basta con instalar la antena en el gateway más cercano en el área de cobertura de la red.

Aunque hoy en día se utilizan complejos modelos matemáticos algorítmicos de autenticación, cifrado de datos y control de la integridad de su transmisión en la protección de redes Wi-Fi, sin embargo, en las etapas iniciales de distribución Wi-Fi, a menudo aparecían mensajes que incluso sin usar equipos sofisticados y programas especiales podrían conectarse a algunas redes corporativas simplemente de paso con una computadora portátil. Incluso hay leyendas sobre piratas informáticos que conducen por las grandes ciudades (conductores de guerra) con antenas construidas con una lata o un paquete de chips. Supuestamente, incluso tenían su propio sistema convencional de letreros que se dibujaban en la acera e indicaban puntos de acceso debidamente desprotegidos. Quizás fue así, solo que en lugar de latas de chips, se utilizaron antenas potentes y se indicaron señales convencionales en un mapa asociado a un sistema de posicionamiento global (GPS). El trabajo de este curso se centra en la seguridad de las redes inalámbricas. En él, quiero contarte cómo puedes proteger tu red inalámbrica. Los expertos en seguridad de redes saben que es imposible proteger completamente una red y que simplemente no existe la "protección perfecta". Para planificar adecuadamente la seguridad de una red inalámbrica (o cableada), debe considerar el costo de los valores protegidos, el costo de implementar un sistema de seguridad, así como las capacidades de posibles atacantes. En otras palabras, antes de implementar todas las defensas conocidas por la humanidad, es más sabio (y más económico) implementar defensas contra las amenazas más comunes.

Por ejemplo, las redes inalámbricas ubicadas en ciudades tienden a ser atacadas con más frecuencia que las redes ubicadas en áreas escasamente pobladas. Decenas e incluso cientos de visitantes pueden pasar por su red por día en la ciudad. Además, los intrusos pueden pasar desapercibidos al estar en un automóvil estacionado cerca. Por otro lado, es poco probable que un punto de acceso ubicado en una casa en el medio de un pueblo vea a un extraño, y el transporte familiar se notará de inmediato.

Para algunos usuarios, configurar la seguridad de las redes inalámbricas parece difícil, esperan "tal vez llevarlo a cabo" y dejar su red completamente abierta, es decir, desprotegida. Además, las personas a veces hacen la pregunta de que si solo usan la red para navegar por Internet y no hay información secreta en sus computadoras, ¿por qué deberían proteger su red? Hay una buena respuesta a esta pregunta.

Objeto del trabajo: analizar la seguridad de las redes inalámbricas, resaltar los métodos de su protección y determinar las características de cada método analizado.

1. La historia del desarrollo de la protección Wi-Fi.

En 1997, se lanzó el primer estándar IEEE 802.11, cuya seguridad, resultó, está lejos de ser ideal. Una simple contraseña SSID (Server Set ID) para acceder a una red local no puede considerarse seguridad según los estándares modernos, especialmente considerando el hecho de que no necesita conectarse físicamente a Wi-Fi.

La principal protección durante mucho tiempo fue el uso de claves digitales para cifrar flujos de datos utilizando la función Wired Equivalent Privacy (WEP). Las claves en sí mismas son contraseñas ordinarias con una longitud de 5 a 13 caracteres ASCII, lo que corresponde a un cifrado de 40 o 104 bits en el nivel estático. Como ha demostrado el tiempo, WEP no era la tecnología de seguridad más confiable. Y, por cierto, todos los principales ataques de los piratas informáticos ocurrieron precisamente en la era de la introducción de WEP.

Después de 2001, se introdujo un nuevo estándar IEEE 802.1X para redes cableadas e inalámbricas, que utiliza una variante de claves de cifrado dinámicas de 128 bits, es decir, que cambia periódicamente con el tiempo. Por lo tanto, los usuarios de la red trabajan en sesiones, después de las cuales se les envía una nueva clave. Por ejemplo, Windows XP admite este estándar y el tiempo predeterminado para una sesión es de 30 minutos.

A finales de 2003, se introdujo el estándar Wi-Fi Protected Access (WPA), que combina las ventajas de la renovación dinámica de claves IEEE 802.1X con el cifrado del Protocolo de integridad temporal Keu (TClP), el Protocolo de autenticación extensible (EAP) y tecnología Verificación de la integridad de los mensajes de verificación de integridad de mensajes (MIC).

Además, muchos estándares de seguridad independientes de varios desarrolladores se están desarrollando en paralelo, en particular, Intel y Cisco lo están haciendo bien en esta área. En 2004, aparece WPA2 o 802.11i, el estándar más seguro

Una red inalámbrica no segura está sujeta a tres peligros principales.

2.1 Sus recursos en línea estarán disponibles para extraños.

Cuando alguien se conecta a su red inalámbrica, no es diferente de alguien que se conecta a un interruptor cableado en su red. Si no restringe el acceso a los recursos compartidos de ninguna manera, los invitados no invitados pueden hacer todo lo mismo que los usuarios conocidos. Pueden copiar, modificar o incluso eliminar por completo archivos, directorios e incluso discos completos. O peor aún, lanzar interceptores de teclado, troyanos u otro malware que apunte a hosts desconocidos.

2.2 Todo el tráfico de la red puede interceptarse para su posterior investigación.

Al tener las herramientas necesarias con usted, puede ver las páginas web que visita, las direcciones de los sitios en tiempo real y, lo que es peor, interceptar sus contraseñas para un uso posterior, la mayoría de las veces con fines egoístas.

2.3 Su canal de Internet se puede utilizar para cualquier actividad, incluso ilegal.

Si se utiliza una red inalámbrica abierta para distribuir películas o música de manera ilegal, en muchos países esto se puede pagar con una demanda de las agencias de aplicación de la ley. Si el canal se utilizó para transmitir algo más ilegal, por ejemplo, pornografía infantil, a un recurso externo, o si dicho servidor apareció en la red, los problemas pueden ser mucho más graves. Además, el canal puede ser utilizado por spammers, amantes de los ataques DOS y distribuidores de malware, virus y muchos otros.

Tiene mucho sentido dar acceso a Internet a todos sus invitados. Pero a menos que proteja seriamente su red inalámbrica, está en riesgo.

3. Métodos de protección contra piratas informáticos de diferentes niveles de habilidad.

3.1 Habilidades de nivel cero: cualquier propietario de una computadora con un adaptador inalámbrico.

Para piratear una red insegura, no es necesario tener ninguna habilidad especial: cada propietario de una computadora con un adaptador inalámbrico es potencialmente capaz de hacer esto. La facilidad de uso a menudo se cita como una gran ventaja en el contexto de las redes inalámbricas, pero es un arma de doble filo. En muchos casos, después de encender la computadora con soporte de red inalámbrica, el usuario se conecta automáticamente al punto de acceso o lo ve en la lista de disponibles.

A continuación, se incluyen medidas que ayudarán a proteger su red de visitantes aleatorios, pero que no dificultarán el acceso de atacantes más hábiles. Todas las medidas están ordenadas por importancia. La mayoría de ellos son tan simples que se recomienda implementarlos todos si el hardware lo permite.

Cambiar la configuración predeterminada

Cambie la contraseña del administrador (y el nombre de usuario, si es posible) y el SSID (nombre de la red) en el punto de acceso. Normalmente, las credenciales de administrador predeterminadas son abierto y accesible para la mayoría de los equipos inalámbricos. Por lo tanto, sin reemplazarlos, corre el riesgo de que algún día se produzca un error de inicio de sesión y pierda la capacidad de administrar la red inalámbrica (hasta que restablezca todas las configuraciones). Cambiar el SSID es especialmente necesario si trabaja cerca de otros puntos de acceso. Si los puntos de acceso vecinos son del mismo fabricante, entonces tienen el mismo SSID predeterminado, y lo más probable es que los clientes puedan conectarse sin saberlo a su AP y no al de ellos. ¡No se debe utilizar información personal para el nuevo SSID! Durante la conducción, se notaron los siguientes SSID:

Nombre y apellido;

Calle, casa, piso;

Passport ID;

Número de teléfono.

En principio, si hay varios puntos de acceso cercanos, entonces tiene sentido cambiar el canal para evitar interferencias mutuas. Sin embargo, esta medida no tendrá un impacto significativo en la seguridad, ya que los clientes suelen ver todos los canales disponibles.

Actualice el firmware y, si es necesario, el hardware.

El uso del software más reciente en el punto de acceso también mejora la seguridad. El nuevo firmware generalmente corrige los errores encontrados y, a veces, agrega nuevas funciones de protección. Para algunos modelos más nuevos de puntos de acceso, es suficiente hacer clic en el botón del mouse un par de veces para actualizar. Los puntos de acceso lanzados hace varios años a menudo ya no son compatibles con los fabricantes, es decir, no debe esperar un nuevo firmware. Si el firmware de su punto de acceso ni siquiera es compatible WP A(Acceso protegido a Wi-Fi), sin mencionar WPA2, entonces debería pensar seriamente en reemplazarlo. ¡Lo mismo ocurre con los adaptadores! En principio, todos los equipos 802.11g vendidos en la actualidad admiten al menos WPA y son técnicamente capaces de actualizarse a WPA2. Sin embargo, los fabricantes no siempre tienen prisa por actualizar productos más antiguos.

Desactive la transmisión SSID.

La mayoría de los puntos de acceso le permiten desactivar la transmisión SSID, lo que puede resultar abrumador para algunas utilidades como NetstumbIer. Además, ocultar el SSID evita que su red sea detectada por la utilidad de configuración inalámbrica cero incorporada de Windows XP y otras aplicaciones cliente. En la Fig. 1 muestra el elemento "Ocultar ESSID" SSID Broadcast Disable en ParkerVision AP. ("SSID" y "ESSID" significan lo mismo aquí).

Arroz. 1. Deshabilite la transmisión SSID en el punto de acceso Parkervisio norte .

Nota. Desactivar la transmisión de SSID no lo protegerá de los intrusos que utilicen herramientas como Kismet o AirMagpet... Detectan la presencia de una red inalámbrica independientemente del SSID.

¡Apague la red cuando no esté trabajando!

A menudo, los usuarios pasan por alto el método de protección más simple: apagar el punto de acceso. Dado que no hay una red inalámbrica, no hay problemas. El temporizador más simple puede apagar el punto de acceso, por ejemplo, por la noche, mientras no lo está usando. Si está utilizando el mismo enrutador inalámbrico para su red inalámbrica y para el acceso a Internet, su conexión a Internet tampoco funcionará, nada mal.

Si no desea desconectar la conexión a Internet, puede deshabilitar manualmente el módulo de radio del enrutador, si lo permite. Sobre Arroz. 2 se muestra el punto para apagar el módulo de radio. Este método no es lo suficientemente confiable, ya que depende del "factor humano"; simplemente puede olvidarse de desconectarse. Quizás los fabricantes algún día agreguen una función para apagar el módulo de radio en un horario.

Arroz. 2. Desactive el módulo de radio.

Filtrado por MAC -direcciones

El filtrado por direcciones MAC se utiliza para que solo aquellas computadoras cuyas direcciones se enumeran en la lista puedan obtener (o, por el contrario, no obtener) acceso a la red. El filtrado protegerá su red de los novatos, pero los piratas informáticos más experimentados pueden interceptar fácilmente las direcciones MAC y cambiar su dirección a una de las permitidas.

Arroz. 3. Filtración MAC -direcciones en el punto de acceso USR 8011.

Potencia de transmisión reducida

Pocos puntos de acceso para consumidores tienen esta función, pero reducir la potencia de transmisión limitará el número de conexiones no autorizadas tanto intencionales como accidentales. Sin embargo, la sensibilidad de los adaptadores inalámbricos disponibles para el usuario masivo crece constantemente, por lo que no vale la pena. perplejo de esta manera, especialmente si lo está haciendo exclusivamente por seguridad en un edificio de departamentos. Los piratas informáticos experimentados suelen utilizar potentes antenas direccionales, que les permiten detectar incluso una señal muy débil y anular este punto.

3.2 Habilidades del primer nivel: un usuario con un conjunto público de utilidades para hackear WLAN

Pasemos a los usuarios más experimentados que deambulan específicamente por el vecindario en busca de redes inalámbricas. Algunas personas lo hacen simplemente por curiosidad, tratando de descubrir cuántas redes hay cerca. Nunca intentan explotar redes vulnerables. Pero también hay piratas informáticos menos amigables que se conectan y usan redes y, a veces, incluso molestan a los propietarios. Todas las medidas tomadas en el nivel cero no lo salvarán de los ladrones de primer nivel, y un intruso puede penetrar en la red. Puedes protegerte de él usando cifrado y autenticación. Nos ocuparemos de la autenticación un poco más tarde, por ahora vamos a detenernos en el cifrado. Una posible solución es enrutar todo el tráfico inalámbrico a través de un túnel de red privada virtual (VPN).

Cifrado

Los propietarios de dispositivos inalámbricos deben utilizar el método de cifrado más potente disponible. Por supuesto, todo depende del equipo, pero de una forma u otra, normalmente puedes elegir WBR, WPA o WPA2. WEP (Privacidad equivalente por cable): la seguridad equivalente a una red cableada es el protocolo más débil, pero actualmente es el más extendido y compatible con casi todos los equipos 802.11. Puede ser necesario dejar de usar esta tecnología porque no todos los fabricantes de equipos inalámbricos han publicado actualizaciones de firmware con soporte WPA para equipos 802.11b. Algunas personas todavía fabrican equipos que solo admiten WEP, como teléfonos VoIP inalámbricos. Por lo tanto, es necesario reducir artificialmente la seguridad de la red debido al hecho de que no todos los equipos admiten tecnologías más nuevas.

Tanto WPA (acceso protegido Wi-Fi) como WPA2 proporcionan una buena seguridad inalámbrica a través de un cifrado más fuerte y una gestión de claves mejorada. La principal diferencia entre los dos es que WPA2 admite el cifrado AES (Advanced Encryption Standard) más fuerte. Sin embargo, varios productos que admiten WPA también permiten utilizar el algoritmo de cifrado AES en lugar del TKIP estándar.

La mayoría de los productos 802.11g admiten WPA, pero hay excepciones. En cuanto a la actualización de productos más antiguos a WPA2, muchos firmwares aún están en desarrollo, a pesar de que el estándar 802.11i, en el que se basa WPA2, fue aprobado en junio de 2004.

Recomendamos usar WPA como mínimo. Su eficiencia es comparable a la de WPA2 y, como ya escribimos, el estándar es compatible con una gran cantidad de equipos. Por supuesto, la implementación de WPA puede requerir la compra de nuevo hardware, especialmente si está utilizando 802.11b. Sin embargo, el hardware 11g es relativamente económico hoy en día y puede valer la pena.

La mayoría de los AP de consumidor WPA y WPA2 solo admiten el modo de contraseña WPA-PSK (Keu precompartido) (Figura 4)... WPA2 o WPA "Enterprise" (también conocido como WPA "RADIUS") también es compatible con algunos hardware, pero requiere un servidor RADIUS

Arroz. 4. Cifrado del tráfico en el punto de acceso Netgear.

Para la mayoría de las redes inalámbricas privadas, el uso de WPA-PSK proporcionará una gran seguridad, pero solo al elegir una contraseña relativamente larga y compleja. No solo debe utilizar números o palabras de un diccionario, ya que programas como cowpatty permitir ataques de diccionario contra WPA-RSK.

Robert Moskowitz, CTO sénior de ICSA Labs, en su artículo se recomienda utilizar cifrado PSK de 128 bits. Afortunadamente, todas las implementaciones de WPA permiten el uso de contraseñas alfanuméricas, es decir, 16 caracteres son suficientes para cumplir con la recomendación de Moskovich.

Hay muchos generadores de contraseñas en Internet, todo lo que tiene que hacer es utilizar un motor de búsqueda. Finalmente, algunos fabricantes

Comenzó a vender equipos de puntos de acceso y adaptadores inalámbricos con configuración automática de seguridad inalámbrica. Tecnología Buffalo. ha lanzado una serie de productos con tecnología AOSS(Estación segura AirStation OneTouch). Linksys ha comenzado recientemente a fabricar y vender hardware compatible con esta tecnología. SecureEasySetup de Broadcom.

3.3 Habilidades de nivel BToporo: usuario con un conjunto extendido de utilidades para descifrar WEP / WPA-PSK

WPA y WPA2 cubren la mayoría de los problemas que tiene WEP, pero siguen siendo vulnerables, especialmente en la variante PSK. Descifrar WPA y WPA2 con una contraseña es más difícil y costoso, especialmente cuando se usa el cifrado AES, pero aún es posible.

Autenticación

Se debe implementar la autenticación para protegerse contra esta amenaza. La autenticación agrega otra capa de seguridad al requerir que la computadora del cliente se registre en la red. Tradicionalmente, esto se hace utilizando certificados, tokens o contraseñas (también conocidas como PreShared-Key) que se verifican con el servidor de autenticación.

Estándar 802.1X le permite trabajar con WEP, WPA y WPA2 y admite varios tipos de autenticación EAP(Protocolo de autenticación extensible). La configuración de la autenticación puede resultar engorrosa y cara, incluso para los profesionales, y mucho menos para los usuarios normales. En la actual conferencia RSA en San Francisco, por ejemplo, muchos asistentes decidieron no configurar la seguridad inalámbrica solo porque la guía era una página completa.

Afortunadamente, la situación mejora constantemente, ya no es necesario comprar un servidor completo. RADIO ya que han surgido muchas alternativas fáciles de instalar.

Un producto similar de Wireless Security Corporation (recientemente adquirido por McAfee) se llama WSC Guard. Los precios de suscripción comienzan en $ 4.95 / mes por usuario y se aplican descuentos al pagar por varios asientos. La siguiente solución es más adecuada para "networkers" experimentados: TinyPEAP es un firmware con un servidor RADPJS que admite la autenticación PEAP en enrutadores inalámbricos Linksys WRT 54 GRAMO y GS... Tenga en cuenta que el firmware no es compatible oficialmente con Linksys, por lo que la instalación se realiza bajo su propio riesgo.

3.4 Habilidades del tercer nivel: hacker profesional

Hasta este punto, la protección se ha reducido a evitar que un atacante se conecte a su red. Pero y si, a pesar de todos los esfuerzos. hacker entró en la red?

Existen sistemas de detección y prevención para redes cableadas e inalámbricas, pero están dirigidos a nivel empresarial y tienen un precio acorde. También puede encontrar soluciones basadas en código fuente abierto, pero, desafortunadamente, no están del todo claras para los principiantes. A lo largo de los años, las redes cableadas han desarrollado principios de seguridad básicos que se pueden aplicar a las redes inalámbricas. Protegerán contra intrusos.

Seguridad general de la red

Para fortalecer la protección de las redes, se deben implementar las siguientes medidas

Autenticación al acceder a cualquier recurso de red.

Cualquier servidor, cualquier recurso compartido, panel de control del enrutador, etc. debe requerir autenticación. Sin embargo, es imposible implementar una verdadera autenticación a nivel de usuario sin un servidor apropiado. Como mínimo, debe establecer contraseñas en todos los recursos compartidos y deshabilitar la cuenta de invitado si está utilizando Windows XP. ¡Y nunca comparta secciones enteras!

Segmentación de la red.

Una computadora que no está conectada a una red está protegida contra ataques de red. Sin embargo, existen otras formas de restringir el acceso. Varios enrutadores NAT económicos y correctamente configurados pueden proporcionar una base excelente para crear segmentos LAN seguros que puedan acceder a Internet. Lea más sobre esto aquí. Los conmutadores o enrutadores con soporte VLAN también ayudarán con la segregación de la red. Sin embargo, las funciones de VLAN están disponibles en la mayoría de los conmutadores administrados, pero casi nunca se encuentran en enrutadores de bajo costo y conmutadores no administrados.

Herramientas de protección de software.

Como mínimo, debe utilizar soluciones antivirus actualizadas y actualizar periódicamente las bases de datos. Cortafuegos personales como ZoneAlarm, BlackICE y otros lo alertarán de actividades sospechosas en la red. Desafortunadamente, las últimas versiones de malware y spyware requieren la instalación de un software anti-spyware especial. Aquí puedes notar Webroot Software Spy Sweeper, y CounterSpy de Sunbelt Software.

Tenga en cuenta que para organizar una protección de red confiable, es necesario proteger todas las máquinas, ¡sin excepción!

Cifrado de archivos.

El cifrado de archivos mediante algoritmos criptográficamente fuertes proporcionará una protección confiable en caso de acceso no autorizado. Los usuarios de Windows XP pueden utilizar el sistema de archivos cifrados de Windows (EFS). Usuarios de Mac OS X Tiger: FileVault. Entre las desventajas del cifrado, se puede señalar que requiere recursos de procesador y esto puede ralentizar significativamente el trabajo con archivos.

Conclusión.

Por supuesto, las redes inalámbricas añaden mucha comodidad, pero debe ser inteligente al protegerlas. Si no hace la defensa usted mismo, nadie lo hará por usted. Por supuesto, es poco probable que se proteja de un pirata informático profesional, pero complicará significativamente su trabajo. Y es poco probable que su red sea de interés para los profesionales. Pero estarás protegido de los numerosos amantes "traviesos". ¡Sopese los pros y los contras y proteja su red!

Bibliografía.

1. Redes e Internet: Wi-FI: técnicas de lucha para piratear y proteger redes inalámbricas.

2. http://www.thg.ru/network/20050903/- Seguridad inalámbrica

3. Revista "Computer press": protección de las redes inalámbricas frente a la piratería

4. Simonov S. Análisis de riesgos. Gestión de riesgos // Jet Info, 1999. № 1. 3. Auditoría de seguridad de los sistemas de información // Jet Info, 2000, № 1.

5. Altas tecnologías estadísticas. Evaluaciones de expertos. Libro de texto. Orlov A.I. - M.: Examen, 2007.