Dom / Edukacja/ Streszczenie: „Ochrona sieci bezprzewodowych. Sposoby ochrony przed hakerami o różnym poziomie umiejętności

Streszczenie: „Ochrona sieci bezprzewodowych. Sposoby ochrony przed hakerami o różnym poziomie umiejętności

Niezwykle szybkie tempo wdrażania rozwiązań bezprzewodowych w dzisiejszych sieciach sprawia, że myślisz o niezawodności ochrony danych.

Sama zasada bezprzewodowej transmisji danych wiąże się z możliwością nieautoryzowanych połączeń z punktami dostępowymi.

Równie niebezpiecznym zagrożeniem jest prawdopodobieństwo kradzieży sprzętu. Jeśli polityka bezpieczeństwa sieci bezprzewodowej opiera się na adresach MAC, karta sieciowa lub punkt dostępu skradziony przez atakującego może otworzyć dostęp do sieci.

Często nieautoryzowane podłączanie punktów dostępowych do sieci LAN jest wykonywane przez samych pracowników przedsiębiorstwa, którzy nie myślą o ochronie.

Rozwiązaniem takich problemów należy zająć się w sposób kompleksowy. Środki organizacyjne są wybierane na podstawie warunków pracy każdej konkretnej sieci. W zakresie środków technicznych bardzo dobry wynik osiąga się stosując obowiązkowe wzajemne uwierzytelnianie urządzeń oraz wprowadzenie aktywnych kontroli.

W 2001 roku pojawiły się pierwsze implementacje sterowników i programów, które radziły sobie z szyfrowaniem WEP. Najbardziej udany jest klucz wstępny. Ale jest to dobre tylko przy niezawodnym szyfrowaniu i regularnej wymianie haseł wysokiej jakości (ryc. 1).

Rysunek 1 — Algorytm analizy zaszyfrowanych danych

Nowoczesne wymagania bezpieczeństwa

Uwierzytelnianie

Obecnie w różnych urządzeniach sieciowych, w tym urządzeniach bezprzewodowych, powszechnie stosowana jest nowocześniejsza metoda uwierzytelniania, która jest zdefiniowana w standardzie 802.1x – dopóki nie zostanie przeprowadzona wzajemna weryfikacja, użytkownik nie może odbierać ani przesyłać żadnych danych.

Wielu programistów używa protokołów EAP-TLS i PEAP do uwierzytelniania w swoich urządzeniach, Cisco Systems oferuje do swoich sieci bezprzewodowych, oprócz wymienionych, protokoły: EAP-TLS, PEAP, LEAP, EAP-FAST.

Wszystkie nowoczesne metody uwierzytelniania obsługują klucze dynamiczne.

Główną wadą LEAP i EAP-FAST jest to, że protokoły te są obsługiwane głównie w sprzęcie Cisco Systems (rys. 2).

Rysunek 2 - Struktura pakietów 802.11x przy użyciu szyfrowania TKIP-PPK, MIC i WEP.

Szyfrowanie i integralność

W oparciu o zalecenia 802.11i firma Cisco Systems wdrożyła protokół Temporal Integrity Protocol (TKIP), który zapewnia zmianę klucza szyfrowania PPK (Per Packet Keying) w każdym pakiecie oraz kontroluje integralność komunikatów MIC (Message Integrity Check).

Innym obiecującym protokołem szyfrowania i integralności jest AES (Advanced Encryption Standard). Ma lepszą siłę kryptograficzną w porównaniu do DES i GOST 28147-89. Zapewnia zarówno szyfrowanie, jak i integralność.

Należy zauważyć, że zastosowany w nim algorytm (Rijndael) nie wymaga dużych zasobów ani w implementacji, ani w działaniu, co jest bardzo ważne dla zmniejszenia opóźnień danych i obciążenia procesora.

Standardem bezpieczeństwa bezprzewodowej sieci LAN jest 802.11i.

Standard Wi-Fi Protected Access (WPA) to zestaw reguł zapewniających bezpieczeństwo sieci 802.11x. Od sierpnia 2003 zgodność WPA jest obowiązkowym wymogiem dla urządzeń z certyfikatem Wi-Fi.

Specyfikacja WPA zawiera zmodyfikowany protokół TKOP-PPK. Szyfrowanie odbywa się na kombinacji kilku kluczy - bieżącego i następnego. W tym przypadku długość IV zwiększa się do 48 bitów. Umożliwia to wdrożenie dodatkowych środków ochrony informacji, na przykład zaostrzenie wymagań dotyczących ponownego skojarzenia, ponownego uwierzytelnienia.

Specyfikacje obejmują obsługę 802.1x / EAP, uwierzytelnianie klucza współdzielonego i oczywiście zarządzanie kluczami.

Tabela 3 - Metody wdrażania polityki bezpieczeństwa

Kontynuacja tabeli 3

Przy użyciu nowoczesnego sprzętu i oprogramowania można obecnie zbudować bezpieczną i odporną na ataki sieć bezprzewodową w oparciu o standardy serii 802.11x.

Niemal zawsze sieć bezprzewodowa jest powiązana z siecią przewodową, a to oprócz konieczności ochrony kanałów bezprzewodowych, konieczne jest zapewnienie ochrony w sieciach przewodowych. W przeciwnym razie sieć będzie miała fragmentaryczną ochronę, co w rzeczywistości stanowi zagrożenie dla bezpieczeństwa. Wskazane jest używanie sprzętu, który posiada certyfikat Wi-Fi Certified, czyli potwierdzający zgodność z WPA.

Konieczność wdrożenia 802.11x/EAP/TKIP/MIC i dynamicznego zarządzania kluczami. W przypadku sieci mieszanej należy używać sieci VLAN; z antenami zewnętrznymi wykorzystywana jest technologia VPN.

Konieczne jest połączenie metod ochrony protokołów i oprogramowania oraz metod administracyjnych.

ROZDZIAŁ 3 TECHNICZNA OCHRONA INFORMACJI

W związku z szybkim rozwojem lokalnych i globalnych sieci komputerowych, szeroko rozwinęły się również metody wywiadowcze (szpiegostwo przemysłowe), mające na celu przechwytywanie informacji przetwarzanych (przesyłanych, przechowywanych) w sieciach lokalnych.

Penetracja do sieci lokalnej dowolnej organizacji jest możliwa tylko przy niewystarczająco wykwalifikowanej konfiguracji wszystkich elementów sieci lokalnej przez administratora systemu. W przypadku prawidłowej konfiguracji, atakujący muszą szukać metod pozyskiwania informacji niezwiązanych z penetracją sieci lokalnej. W tym celu stosuje się metody przechwytywania informacji przez kanały fałszywego promieniowania i zakłóceń (PEMIN) elementów sieci lokalnej. Metodologia ochrony poszczególnych komputerów jest dobrze rozwinięta, poparta niezbędnymi dokumentami regulacyjnymi. Zadanie ochrony informacji przed wyciekiem przez kanały PEMIN w sieci lokalnej jest znacznie trudniejsze niż w przypadku urządzeń użytkowanych autonomicznie.

Stacje robocze i aktywne urządzenia sieciowe są źródłami promieniowania elektromagnetycznego w sieci lokalnej. Ekranowanie tego sprzętu służy do ochrony przed wyciekiem informacji przez kanały fałszywych emisji i przechwycenia. Aby zmniejszyć poziom promieniowania aktywnego sprzętu LAN, sprzęt i serwery najlepiej umieścić w ekranowanej obudowie.

Obecnie dostępne są obudowy dla komputerów spełniających wymagania europejskiej dyrektywy EMS 89/336/EEC. Nowoczesne obudowy potrafią znacznie osłabić promieniowanie elementów komputera, jednak większość wymaga dodatkowego dopracowania. Jakość osłony obudowy jednostki systemowej komputera wpływa na poziom promieniowania wszystkich urządzeń podłączonych do jednostki systemowej (na przykład klawiatury). Standardowa klawiatura ma zwykle bardzo wysoki poziom promieniowania. Jednocześnie z klawiatury wprowadzane są bardzo krytyczne z punktu widzenia bezpieczeństwa dane, w tym hasła użytkowników i administratora systemu. Do przechwytywania promieniowania klawiatury można użyć prostego odbiornika fal krótkich. Zważywszy również, że dane wprowadzane z klawiatury wprowadzane są w kodzie sekwencyjnym, a zatem mogą być łatwo zinterpretowane, promieniowanie emitowane przez klawiaturę należy uznać za najbardziej niebezpieczne. Wyniki pomiarów poziomu komponentów elektrycznych (rys. 3) i magnetycznych (rys. 4) wykazały, że komputery z różnymi dostępnymi na rynku obudowami jednostek systemowych mogą mieć ponad 100-krotnie różną moc promieniowania niepożądanego z klawiatury.

Rysunek 3 - Poziomy komponentu elektrycznego

Rysunek 4 - Poziomy składnika magnetycznego

Podobne proporcje uzyskuje się dla innych urządzeń wchodzących w skład PC.

Zadanie finalizacji standardowych obudów i szaf:

Po pierwsze, na styku poszczególnych konstrukcji obudowy zawsze występują szczeliny, które znacznie pogarszają właściwości ekranowania.

Po drugie, obudowa urządzenia elektronicznego nie może być uszczelniona, ponieważ do odprowadzania ciepła potrzebne są otwory wentylacyjne.

Po trzecie, nie można z góry obliczyć konstrukcji obudowy ekranującej. Dlatego modyfikacja standardowej obudowy w celu poprawy jej właściwości ekranujących jest zawsze pracą eksperymentalną.

Obecnie istnieje wiele materiałów poprawiających właściwości ekranowania obudów – wszelkiego rodzaju uszczelnienia sprężynowe, elastomery przewodzące prąd elektryczny, samoprzylepne powłoki metalizowane.

Źródłem promieniowania jest zasilacz. Wewnętrznie energia jest dostarczana przez filtr, który zapobiega rozprzestrzenianiu się fałszywych emisji wzdłuż przewodów. Ale praktycznie niemożliwe jest obliczenie filtra do całkowitego tłumienia promieniowania, ponieważ wiele parametrów sieci zewnętrznej wpływa na jego charakterystykę. Żaden dostępny na rynku filtr nie może w pełni spełniać swoich funkcji w szerokim paśmie częstotliwości. Dobre filtry to rozwiązanie kompromisowe, które w większości przypadków spełnia tylko wymagania filtracyjne.

W zależności od tego cechy ochrony informacji przed wyciekiem przez kanały PEMIN komputera autonomicznego lub komputera w sieci mogą się znacznie różnić. A głównym czynnikiem prowadzącym do różnicy w charakterystyce jest uziemienie urządzeń.

W samodzielnych urządzeniach uziemienie nie poprawia ani nie pogarsza ich właściwości ekranowania. Uziemienie jest wymagane tylko ze względu na wymogi bezpieczeństwa elektrycznego. Przy odpowiednim uziemieniu poziom emisji fałszywych jest nieco zmniejszony. Ale w niektórych przypadkach, po podłączeniu do ziemi, poziom fałszywych emisji może wzrosnąć.

System kablowy nie zawiera elementów aktywnych, więc sam nie może być źródłem szkodliwych emisji. Jednak system kablowy łączy wszystkie elementy sieci komputerowej. Wzdłuż niej przesyłane są dane sieciowe, a także odbiornik wszelkich zakłóceń i medium do przenoszenia niepożądanego promieniowania elektromagnetycznego (rys. 5).

Rysunek 5 — Niepożądane emisje elektromagnetyczne

Dlatego należy dokonać rozróżnienia między:

Emisja fałszywa powodowana przez sygnały przesyłane tą linią (ruch LAN);

Odbiór i późniejsza reemisja szkodliwych emisji z położonych w pobliżu innych linii i urządzeń;

Promieniowanie przez system kablowy drgań bocznych z elementów sieciowych urządzeń aktywnych i komputerów, do których kabel jest podłączony.

Najczęściej przy ocenie bezpieczeństwa systemu kablowego interesuje ich tylko to, jak bardzo szkodliwe promieniowanie wywołane przez sygnały przesyłane przez kabel jest tłumione w procesie wymiany informacji w sieci.

Jeżeli ruch w sieci lokalnej może zostać przywrócony przez emisję radiową systemu kablowego, to stwarza to duże niebezpieczeństwo. W rzeczywistości ruch w sieci lokalnej jest dość dobrze chroniony przed wyciekiem informacji przez kanały PEMIN. Nowoczesne kable LAN charakteryzują się bardzo niską emisją przesyłanego sygnału. W tych kablach sygnały są przesyłane skręconą parą przewodów, a liczba skrętów na jednostkę długości jest ściśle stała. W zasadzie taki system nie powinien w ogóle promieniować. Ponadto obecność ekranu w skrętce ma bardzo mały wpływ na poziom promieniowania sygnałów przesyłanych przez skrętkę. W rzeczywistym systemie zawsze występują pojedyncze niejednorodności kabli, które wpływają na poziom promieniowania niepożądanego występującego podczas wymiany sieci. W rzeczywistości w odległości dosłownie kilku metrów nie da się już przechwycić przesyłanych przez nią informacji przez promieniowanie elektromagnetyczne współczesnego kabla. Ale w większości praktycznych przypadków system kablowy jest doskonałą anteną do wszystkich niepożądanych emisji z urządzeń podłączonych do sieci. Promieniowanie niepożądane powstające w elementach komputera kierowane jest na wszystkie przewody kabla sieci lokalnej (rys. 6).

Rysunek 6 - Promieniowanie niepożądane w elementach komputera

W rezultacie, w przypadku niepożądanej emisji elementów komputerowych, kabel LAN należy traktować po prostu jako pojedynczy skręcony przewód wystający poza ekranowaną objętość. Nie ma możliwości zainstalowania fałszywego filtra dla tych przewodów. Tłumiąc fałszywe emisje, tłumimy również ruch w sieci. Tak więc, jeśli komputer z ochroną informacji jest włączony do sieci lokalnej na nieekranowanej skrętce, to przewody skrętki, pełniące rolę anteny, mogą zwiększyć natężenie pola wytwarzane na przykład przez klawiaturę komputerową (ryc. 2, ryc. 3), w dziesiątkach tysięcy jednorazowo. Dlatego nieekranowana skrętka nie może być używana w sieci lokalnej, w której przetwarzane są informacje o ograniczonym dostępie. Zastosowanie ekranowanej skrętki dwużyłowej znacząco poprawia sytuację.

Obecnie lokalna sieć komputerowa nie może już działać autonomicznie, bez interakcji z innymi sieciami. W szczególności każda organizacja, czy to prywatne przedsiębiorstwo, organ rządowy czy departament Ministerstwa Spraw Wewnętrznych, powinna być aktywnie reprezentowana w globalnym Internecie. Obejmuje to własną stronę internetową, publiczną pocztę e-mail oraz dostęp pracowników do informacji w globalnej sieci. Ta ścisła interakcja jest w konflikcie z wymaganiami bezpieczeństwa. W przypadku interakcji wielu sieci mogą pojawić się różne zagrożenia bezpieczeństwa. Na przykład podczas łączenia się z globalną siecią najbardziej nieszkodliwym z możliwych zagrożeń jest hakowanie sieci z motywów chuliganów. Informacje interesujące obce służby wywiadowcze krążą w sieciach komputerowych organów państwowych. Informacje interesujące przestępców krążą w sieciach komputerowych Ministerstwa Spraw Wewnętrznych. Te informacje nie mogą być sklasyfikowane jako niejawne. Jednak w sumie pozwala uzyskać dość ważne informacje. Dlatego w przypadku połączenia sieci komputerowych agencji rządowych z globalnym Internetem, oprócz chuligańskich hacków, należy założyć bardziej wykwalifikowane próby penetracji sieci intruzów. Opieranie się takim próbom jest niezwykle trudne. Dlatego Internet musi być odizolowany od sieci wewnętrznej, w której skoncentrowane są uogólnione dane. Istnieje kilka sposobów na odizolowanie własnej sieci komputerowej od globalnego Internetu w celu zapewnienia bezpieczeństwa. W sieciach, które nie rozprowadzają informacji o ograniczonym dostępie, zwykle wystarczy użyć routera do odizolowania sieci. Jednak poważną ochronę przed włamaniami z globalnej sieci można zapewnić tylko przy użyciu zapór ogniowych (FireWall). Dlatego w celu ochrony informacji firmowych firm komercyjnych konieczne jest stosowanie zapór sieciowych. Jednak, aby chronić informacje w agencjach rządowych, zapora z reguły nie zapewnia wymaganego poziomu ochrony. Bezpieczeństwo jest w pełni zapewnione tylko wtedy, gdy Internet jest fizycznie odizolowany od własnej sieci lokalnej. Oczywiście stwarza to pewne niedogodności w pracy i wymaga dodatkowych kosztów przy tworzeniu sieci komputerowej. Jednak biorąc pod uwagę potrzebę zwalczania przestępczości, jest to uzasadniony środek.

Budując sieci z fizyczną izolacją należy również wziąć pod uwagę kwestie ochrony przed wyciekiem informacji kanałami PEMIN. W wielu przypadkach pracownik pracujący z zastrzeżonymi informacjami potrzebuje również dostępu do Internetu. W miejscu pracy zainstalowane są dwa komputery, z których jeden jest podłączony do sieci lokalnej przedsiębiorstwa (organizacji), a drugi do Internetu. W takim przypadku kable własnej sieci z ochroną informacji oraz kable otwartej sieci internetowej są bardzo trudne do rozłożenia na dostateczną odległość. Dzięki temu informacje krążące w sieci lokalnej, a także wszelkie boczne promieniowanie komputerów, skierowane na kable sieci lokalnej, mogą być kierowane do kabli otwartej sieci Internet. Kabel sieci otwartej to nie tylko dość długa antena (zwłaszcza, gdy sieć otwarta jest poprowadzona kablem nieekranowanym). Otwarte kable sieciowe z reguły wychodzą poza granice chronionego obszaru, dlatego informacje mogą być usuwane nie tylko poprzez przechwytywanie promieniowania, ale także przez bezpośrednie połączenie z otwartymi kablami sieciowymi. Dlatego też otwarte kable sieciowe muszą być również układane zgodnie ze wszystkimi zaleceniami stosowanymi podczas budowania bezpiecznej sieci.

ROZDZIAŁ 4. ROZWÓJ SIECI LOKALNEJ O PODWYŻSZONE WYMAGANIA OCHRONY INFORMACJI

Nieuprawniony dostęp – odczytywanie, aktualizowanie lub niszczenie informacji w przypadku braku odpowiednich uprawnień.

Nieuprawniony dostęp odbywa się co do zasady pod fałszywym nazwiskiem, zmieniając fizyczne adresy urządzeń, wykorzystując informacje pozostawione po rozwiązaniu problemów, zmieniając oprogramowanie i wsparcie informacyjne, kradnąc nośniki danych, instalując urządzenia nagrywające.

Aby skutecznie chronić swoje informacje, użytkownik musi mieć absolutnie jasne wyobrażenie o możliwych sposobach nieautoryzowanego dostępu. Główne typowe sposoby nieuprawnionego uzyskania informacji:

· Kradzież nośników informacji i odpadów przemysłowych;

· Kopiowanie nośników informacji z pokonywaniem środków ochronnych;

· Ukryj się jako zarejestrowany użytkownik;

· Hoax (przebranie na żądania systemowe);

· Wykorzystanie niedociągnięć systemów operacyjnych i języków programowania;

· Korzystanie z zakładek programowych i bloków programowych typu „koń trojański”;

· Przechwytywanie emisji elektronicznych;

· Przechwytywanie emisji akustycznych;

· Fotografia zdalna;

· Stosowanie urządzeń podsłuchowych;

· Złośliwe wyłączenie mechanizmów ochronnych itp.

W celu ochrony informacji przed nieautoryzowanym dostępem wykorzystywane są:

1) środki organizacyjne;

2) środki techniczne;

3) oprogramowanie;

4) szyfrowanie.

Działania organizacyjne obejmują:

· Kontrola dostępu;

· Przechowywanie nośników i urządzeń w sejfie (dyskietki, monitor, klawiatura itp.);

· Ograniczenie dostępu osób do pomieszczeń komputerowych itp.

Środki techniczne obejmują:

· Filtry, ekrany do urządzeń;

· Klawisz do blokowania klawiatury;

Urządzenia uwierzytelniające - do odczytu odcisków palców, kształtu dłoni, tęczówki, szybkości i technik drukowania itp.;

Klucze elektroniczne na mikroukładach itp.

Oprogramowanie zawiera:

· Dostęp na hasło — ustawianie uprawnień użytkownika;

· Zablokuj ekran i klawiaturę za pomocą skrótu klawiaturowego w narzędziu Diskreet z pakietu Norton Utilites;

· Korzystanie z narzędzi do ochrony hasłem BIOS - w samym BIOS-ie i na komputerze jako całości itp.

Szyfrowanie to przekształcenie (kodowanie) otwartych informacji w zaszyfrowane informacje, które nie są dostępne dla osób postronnych. Metody szyfrowania i deszyfrowania wiadomości są badane przez kryptologię, która ma historię około czterech tysięcy lat.

2.5. Ochrona informacji w sieciach bezprzewodowych

Niezwykle szybkie tempo wdrażania rozwiązań bezprzewodowych w dzisiejszych sieciach sprawia, że myślisz o niezawodności ochrony danych.

Sama zasada bezprzewodowej transmisji danych wiąże się z możliwością nieautoryzowanych połączeń z punktami dostępowymi.

Często nieautoryzowane podłączanie punktów dostępowych do sieci LAN jest wykonywane przez samych pracowników przedsiębiorstwa, którzy nie myślą o ochronie.

Rozwiązaniem takich problemów należy zająć się w sposób kompleksowy. Działania organizacyjne są wybierane na podstawie warunków pracy każdej konkretnej sieci. W zakresie środków technicznych bardzo dobry wynik osiąga się stosując obowiązkowe wzajemne uwierzytelnianie urządzeń oraz wprowadzenie aktywnych kontroli.

Rysunek 1 — Algorytm analizy zaszyfrowanych danych

Nowoczesne wymagania bezpieczeństwa

Uwierzytelnianie

Wszystkie nowoczesne metody uwierzytelniania obsługują klucze dynamiczne.

Główną wadą LEAP i EAP-FAST jest to, że protokoły te są obsługiwane głównie w sprzęcie Cisco Systems (rys. 2).

Rysunek 2 - Struktura pakietów 802.11x przy użyciu szyfrowania TKIP-PPK, MIC i WEP.

Szyfrowanie i integralność

Standardem bezpieczeństwa bezprzewodowej sieci LAN jest 802.11i.

Standard Wi-Fi Protected Access (WPA) to zestaw reguł zapewniających bezpieczeństwo sieci 802.11x. Od sierpnia 2003 zgodność WPA jest obowiązkowym wymogiem dla urządzeń z certyfikatem Wi-Fi.

Specyfikacje obejmują obsługę 802.1x / EAP, uwierzytelnianie klucza współdzielonego i oczywiście zarządzanie kluczami.

Tabela 3 - Metody wdrażania polityki bezpieczeństwa

Indeks
Indeks
Wsparcie dla nowoczesnych systemów operacyjnych
Złożoność oprogramowania i zasobochłonność uwierzytelniania
Złożoność zarządzania
Pojedyncze logowanie
Klawisze dynamiczne
Hasła jednorazowe

Kontynuacja tabeli 3

Przy użyciu nowoczesnego sprzętu i oprogramowania można obecnie zbudować bezpieczną i odporną na ataki sieć bezprzewodową w oparciu o standardy serii 802.11x.

Konieczne jest połączenie metod ochrony protokołów i oprogramowania oraz metod administracyjnych.

Sieci bezprzewodowe nie są bezpieczne. Powtórzę: sieci bezprzewodowe nie są bezpieczne. W większości przypadków są one wystarczająco bezpieczne dla większości użytkowników, ale takie sieci nie mogą być całkowicie prywatne.

Prawda jest taka, że sieć bezprzewodowa wykorzystuje sygnały radiowe o dobrze zdefiniowanym zestawie cech, więc każdy, kto chce poświęcić wystarczająco dużo czasu i wysiłku na śledzenie tych sygnałów, najprawdopodobniej znajdzie sposób na przechwycenie i odczytanie zawartych w nich danych. . Jeśli wyślesz poufne informacje przez połączenie bezprzewodowe, nieszczęśnik może je skopiować. Numery kart kredytowych, hasła do kont i inne dane osobowe są narażone.

Szyfrowanie i inne metody ochrony mogą nieco utrudnić przechwytywanie, ale nie zapewniają pełnej ochrony przed naprawdę doświadczonym szpiegiem. Jak każdy policjant może ci powiedzieć, zamki są dobre od uczciwych ludzi, ale doświadczeni złodzieje wiedzą, jak sobie z nimi radzić. W Internecie można łatwo znaleźć cały katalog narzędzi do łamania szyfrowania WEP.

Sytuacja staje się jeszcze bardziej niebezpieczna, wielu administratorów sieci i domowych użytkowników bezprzewodowych pozostawia szeroko otwarte drzwi i okna sieci, bez szyfrowania i innych funkcji bezpieczeństwa zintegrowanych z każdym bezprzewodowym punktem i węzłem sieciowym 802.11b. Logowanie do niezabezpieczonych sieci prywatnych jest możliwe w wielu obszarach miejskich oraz w wielu różnych sieciach lokalnych. Wiosną 2001 roku San Francisco Chronicle poinformowało, że ekspert ds. bezpieczeństwa sieci z anteną kierunkową zamontowaną na dachu furgonetki w centrum San Francisco był w stanie zarejestrować średnio pół tuzina sieci bezprzewodowych na kwartał. Liczba takich sieci stale rośnie. Rok później grupa pracowników Microsoftu przeprowadzająca „nieformalny test” odkryła ponad 200 niezabezpieczonych otwartych punktów dostępowych w podmiejskiej sieci Seattle. Sklepy Tully's Coffee twierdzą, że zauważają, że ich klienci logują się do sieci Wi-Fi za pośrednictwem hotspotów w sklepach Starbucks po drugiej stronie ulicy.

Wystarczy prosta arytmetyka: Twój punkt dostępu ma zasięg 100 metrów lub więcej we wszystkich kierunkach, więc sygnał prawdopodobnie wyjdzie poza Twoją posesję (lub ściany Twojego mieszkania). Urządzenie sieciowe w sąsiednim pomieszczeniu budynku lub po drugiej stronie ulicy prawdopodobnie będzie w stanie wykryć sieć. Laptop lub PDA umieszczony w samochodzie zaparkowanym na ulicy jest w stanie wykonać taką akcję. Jeśli nie zastosujesz się do pewnych środków ostrożności, operator tego urządzenia może zalogować się do Twojej sieci, wykraść pliki z serwerów i infiltrować Twoje połączenie internetowe za pomocą strumieniowego przesyłania wideo lub gier sieciowych.

Ważne jest, aby zrozumieć, że mówimy o dwóch różnych typach zagrożeń bezpieczeństwa sieci bezprzewodowej. Pierwszym z nich jest niebezpieczeństwo, że osoba trzecia połączy się z Twoją siecią bez Twojej wiedzy lub pozwolenia; druga to możliwość, że doświadczony cracker może ukraść dane podczas ich przesyłania i odbierania. Każdy z nich to osobny potencjalny problem i każdy wymaga określonej metody zapobiegania i ochrony. Chociaż może być prawdą, że żadne z dostępnych obecnie narzędzi nie zapewnia pełnej ochrony, mogą one znacznie utrudnić życie większości przypadkowych nieszczęśników.

Sieci bezprzewodowe stanowią kompromis między bezpieczeństwem a użytecznością. Oczywiste zalety sieci bezprzewodowej — szybki i łatwy dostęp do sieci z laptopa lub odizolowanej lokalizacji — są drogie. Dla większości użytkowników koszty te nie przewyższają wygody sieci bezprzewodowej. Ale tak jak zamykasz drzwi samochodu podczas parkowania, powinieneś podjąć podobne kroki, aby chronić swoją sieć i dane.

Ochrona sieci i danych

Co możesz zrobić, aby chronić się przed obcymi osobami jako operator sieci bezprzewodowej? Masz dwie możliwości: możesz zaakceptować fakt, że sieci 802.11b nie są w pełni bezpieczne, ale użyć wbudowanych zapór ogniowych, aby spowolnić przeciwników. możesz zrezygnować z wbudowanych narzędzi i zamiast tego użyć zapory do izolowania.

Rozumie się, że funkcje bezpieczeństwa są zintegrowane z protokołami 802.11b.

niedopuszczalne dla bezwzględnej ochrony przesyłanych danych. Jeśli czytałeś artykuły na temat bezpieczeństwa bezprzewodowego w magazynach branżowych i dyskusje na forach sieciowych, łatwo uwierzyć, że sieci Wi-Fi są tak samo nieszczelne jak przysłowiowe sito. Ale być może prawdziwe zagrożenie dla twojej własnej sieci jest przez to wyolbrzymione. Pamiętaj, że większość osób, które są bliskie kradzieży Twoich wiadomości lub infiltracji Twojej sieci, nie będzie tylko siedzieć i czekać, aż zaczniesz wysyłać dane. I, szczerze mówiąc, większość danych przesyłanych przez twoją sieć nie jest tak naprawdę interesująca. Ale narzędzia do szyfrowania są dostępne w każdej sieci Wi-Fi, więc naprawdę powinieneś z nich korzystać.

Poważniejszym zagrożeniem nie jest to, że twoje wiadomości zostaną przechwycone, ale że zostaną z nimi utworzone nielegalne połączenia. Umożliwia to nieautoryzowanemu użytkownikowi odczytywanie plików przechowywanych na innych komputerach w sieci lub korzystanie z szerokopasmowego połączenia internetowego bez Twojej wiedzy i zgody.

Warto zadbać o zarządzanie siecią. Jeśli zdecydowałeś się na wdrożenie zabezpieczeń 802.11b, musisz wykonać specjalne kroki:

Umieść hotspot na środku budynku, a nie obok okna. Zmniejszy to odległość, jaką Twoje sygnały muszą pokonać przez ściany;

Użyj szyfrowania WEP (Wired Equivalent Privacy), które jest dostępne we wszystkich węzłach sieci 802.11b. Przy wystarczającej ilości czasu i odpowiednim sprzęcie szyfrowanie WEP jest łatwe do złamania, ale zaszyfrowane pakiety są nadal trudniejsze do odczytania niż niezaszyfrowane dane. Ten rozdział zawiera więcej informacji na temat szyfrowania WEP;

Często zmieniaj klucze WEP. Wyodrębnienie kluczy szyfrowania WEP ze strumienia danych wymaga czasu, a za każdym razem, gdy zmieniasz klucze, oszuści próbujący ukraść dane muszą zaczynać od nowa. Zmiana kluczy raz lub dwa razy w miesiącu nie jest zbyt częsta;

Nie przechowuj kluczy WEP w łatwo dostępnym miejscu. W dużej sieci można próbować zapisać je na lokalnej stronie internetowej lub w pliku tekstowym. Nie rób tego;

Nie używaj poczty e-mail do przesyłania kluczy WEP. Jeśli osoba z zewnątrz wykradnie nazwy kont i hasła, złodziej otrzyma wiadomości z nowymi kluczami, zanim otrzymają je prawowici użytkownicy;

Dodaj kolejną warstwę szyfrowania, taką jak Kerberos, SSH lub VPN przez szyfrowanie WEP zintegrowane z siecią bezprzewodową;

Nie używaj domyślnego identyfikatora SSID punktu dostępu. Te ustawienia są dobrze znane hakerom sieciowym;

Zmień identyfikator SSID na taki, który nie identyfikuje Twojej pracy ani lokalizacji. Jeśli nieszczęśnik odkryje nazwę BigCorpNet, rozejrzy się i zobaczy centralę BigCorp po drugiej stronie ulicy, najprawdopodobniej celowo zinfiltruje twoją sieć. To samo dotyczy sieci domowej. Nie nazywaj jej Perkins, jeśli to imię jest napisane na zewnętrznej skrzynce pocztowej. Nie używaj identyfikatora SSID, który brzmi, jakby Twoja sieć zawierała jakieś kuszące informacje — użyj nietypowej nazwy, takiej jak puste pole, „sieć — lub nawet losowy ciąg (W24rnQ);

Zmień adres IP i hasło punktu dostępowego. Domyślne hasła do większości narzędzi konfiguracyjnych punktów dostępowych są łatwe do znalezienia (i często powtarzają się od jednego producenta do drugiego - wskazówka: nie używaj "admin"), więc nie są wystarczająco dobre nawet do ochrony przed własnymi użytkownikami, niech samotni zewnętrzni krytycy, którzy zamierzają korzystać z Twojej sieci do własnych celów;

Wyłącz funkcję „rozgłaszania SSID” punktu dostępowego, która umożliwia połączenia od klientów bez prawidłowego identyfikatora SSID. Nie gwarantuje to, że Twoja sieć będzie niewidoczna, ale może pomóc;

Włącz funkcję kontroli dostępu do punktu dostępu. Kontrola dostępu ogranicza połączenia do klientów sieciowych o określonych adresach MAC. Punkt dostępowy odmówi połączenia z dowolnym adapterem, którego adresu nie ma na liście. Może to nie być praktyczne, jeśli chcesz zezwolić innym odwiedzającym na korzystanie z Twojej sieci, ale jest to przydatne narzędzie dla sieci domowych i małych biur, w których znasz wszystkich potencjalnych użytkowników. Podobnie jak w przypadku funkcji Broadcast SSID, nie jest to gwarantowane, ale nie zaszkodzi;

Przetestuj ochronę swojej sieci, próbując znaleźć ją z ulicy. Zdobądź laptopa z programem do skanowania, takim jak Network Stumbler lub narzędzie stanu karty sieciowej, i zacznij oddalać się od budynku. Jeśli możesz znaleźć swoją sieć o przecznicę dalej, to samo może zrobić osoba z zewnątrz. Pamiętaj, że nieżyczliwi mogą używać anten kierunkowych o dużym zysku, co zwiększy tę odległość;

Pomyśl o sieci jako szeroko udostępnionej. Upewnij się, że wszyscy korzystający z sieci wiedzą, że korzystają z niezabezpieczonych systemów;

Rozszerz dostęp do plików tylko na te pliki, które naprawdę chcesz udostępnić. Nie otwieraj całej płyty. Używaj ochrony hasłem dla każdego dostępnego elementu;

Używaj tych samych narzędzi zabezpieczających, których używasz w sieci przewodowej. W najlepszym razie bezprzewodowa część sieci lokalnej nie jest bezpieczniejsza niż część przewodowa, dlatego należy przestrzegać tych samych środków ostrożności. W większości przypadków bezprzewodowa część sieci jest znacznie mniej bezpieczna niż część przewodowa;

Rozważ użycie wirtualnej sieci prywatnej (VPN), aby uzyskać dodatkową ochronę.

Niektórzy eksperci stosują inną metodę zabezpieczania sieci bezprzewodowej. Akceptują ideę, że sieć 802.11b jest niepewna, więc nawet nie próbują korzystać z wbudowanych funkcji bezpieczeństwa. Na przykład grupa zapór ogniowych NASA Advanced Supercomputing Division w Kalifornii stwierdziła, że „sama sieć nie zapewnia silnego uwierzytelniania i ochrony przed manipulacjami” oraz że „funkcje zabezpieczeń 802.11b zużywają tylko zasoby, nie zapewniając w zamian żadnej rzeczywistej ochrony”. W związku z tym wyłączył wszystkie funkcje bezpieczeństwa 802.11b i zamiast tego używa własnej bezprzewodowej bramy zapory sieciowej (WFG). WFG to router, który znajduje się między siecią bezprzewodową a resztą sieci, więc cały przychodzący i wychodzący ruch sieciowy z urządzeń bezprzewodowych (w tym dostęp do Internetu) musi przechodzić przez bramę.

Dodatkową korzyścią jest to, że ta metoda ochrony ogranicza udział administratora w każdym pakiecie, ponieważ nie zawierają one uwierzytelniania ani szyfrowania. Zmniejsza to liczbę bitów w każdym pakiecie, co zwiększa efektywną szybkość przesyłania danych w sieci.

Inni operatorzy sieci bezprzewodowych używają VPN do kontrolowania dostępu przez swoje bramy bezprzewodowe. VPN dodaje kolejną warstwę ochrony punkt-punkt do warstwy IP (zamiast warstwy fizycznej, w której szyfrowanie odbywa się w standardzie 802.11b), zanim użytkownik będzie mógł przeglądać sieć.

Ochrona sieci jest konieczna w dwóch przypadkach – administrator sieci nie chce pozwolić nieuprawnionym użytkownikom na wejście do ich sieci, a poszczególni użytkownicy nie chcą, aby ktokolwiek uzyskał dostęp do ich osobistych plików. Logując się do udostępnionej sieci, należy podjąć pewne środki ostrożności, aby uniemożliwić odczytywanie plików przez sieć.

Wyłączyć Udostępnianie plików(Dostęp do plików) Przed podłączeniem do sieci współużytkowanej wykonaj następującą procedurę w systemie Windows 95, Windows 98 i Windows ME:

1 w Panel sterowania(Panel sterowania) otwórz okno dialogowe Sieć(Sieć).

2. Wybierz Udostępnianie plików i drukarek(Dostęp do plików i drukarek).

3. W oknie dialogowym Fi Udostępnianie plików i drukarek wyłącz funkcję Chcę dać innym dostęp do moich plików(Udostępnij moje pliki innym).

Systemy Windows 2000 i Windows XP nie mają centralnego miejsca do wyłączania dostępu do plików, dlatego należy wyłączyć każdy dostęp osobno.

1. Otwórz okno Mój komputer(Mój komputer).

2. Ikony wszystkich dostępnych dysków i folderów są rysowane ręcznie. Aby wyłączyć dostęp, kliknij prawym przyciskiem myszy ikonę i wybierz Udostępnianie i bezpieczeństwo(Dostęp i bezpieczeństwo) w menu.

3. Wyłącz funkcję Udostępnij ten folder w sieci(Udostępnij ten folder przez sieć).

4. Kliknij przycisk ok(Tak), aby zamknąć okno dialogowe.

5. Powtórz ten proces dla każdego dostępnego folderu lub pliku. Nie zapomnij o folderze Udostępnione dokumenty(Dokumenty ogólne).

Po powrocie do sieci biurowej lub domowej musisz odwrócić procedurę, aby wznowić dostęp do plików.

Innym problemem jest niebezpieczeństwo śledzenia przez szpiega danych przesyłanych drogą radiową i kradzieży poufnych informacji w locie. Nie jest to tak powszechne, jak uzyskanie dostępu do sieci i odczytywanie plików przez szpiega, ale jest możliwe. Szyfrowanie i inne narzędzia zabezpieczające mogą utrudnić dekodowanie danych, ale najlepiej jest traktować sieć Wi-Fi jak telefon komórkowy: nigdy nie wysyłaj wiadomości ani pliku z poufnymi informacjami.

Narzędzia bezpieczeństwa 802.11b

Narzędzia bezpieczeństwa w specyfikacji 802.11b nie są doskonałe, ale są lepsze niż nic. Nawet jeśli zdecydujesz się ich nie używać, ważne jest, aby zrozumieć, czym one są i jak działają, zanim je wyłączysz.

Nazwa sieci (SSID)

Jak omówiono w rozdziale 1, każda sieć bezprzewodowa ma swoją nazwę. W sieci z tylko jednym punktem dostępu nazwą jest identyfikator podstawowego zestawu usług (BSSID). Gdy sieć zawiera więcej niż jeden punkt dostępu, nazwa staje się identyfikatorem rozszerzonego zestawu usług (ESSID). Standardowym oznaczeniem wszystkich nazw sieci jest SSID, termin, który najczęściej widnieje w programach konfiguracyjnych dla bezprzewodowych punktów dostępowych i klientów.

Konfigurując punkty dostępu do sieci, musisz przypisać do niej identyfikator SSID. Każdy punkt dostępowy i klient sieciowy w sieci muszą używać tego samego identyfikatora SSID. Na komputerach z systemem Windows identyfikator SSID karty sieci bezprzewodowej musi być również nazwą grupy roboczej.

Gdy zostaną znalezione dwa lub więcej punktów dostępowych o tym samym identyfikatorze SSID, użytkownik zakłada, że wszystkie są częścią tej samej sieci (nawet jeśli punkty dostępowe działają na różnych kanałach radiowych) i łączy się z punktem dostępowym, który zapewnia najsilniejszy lub najczystszy sygnał . Jeśli ten sygnał pogorszy się z powodu zakłóceń lub zaniku, klient spróbuje przenieść się do innego punktu dostępowego, który jego zdaniem należy do tej samej sieci.

Jeśli dwie różne nakładające się sieci mają tę samą nazwę, klient założy, że obie są częścią tej samej sieci i może spróbować przejść. Z punktu widzenia użytkownika takie błędne przejście wygląda jak całkowite przerwanie połączenia sieciowego. Dlatego każda sieć bezprzewodowa, która może nakładać się na inną, musi mieć unikalny identyfikator SSID.

Wyjątkiem od unikalnej reguły SSID są sieci zbiorcze i grupowe, które zapewniają dostęp tylko do Internetu, a nie do innych komputerów lub urządzeń w sieci lokalnej. Sieci te często mają wspólny identyfikator SSID, więc abonenci mogą je wykrywać i łączyć się z nimi z wielu lokalizacji.

Niektóre punkty dostępu, w tym stacja bazowa Apple AirPort i podobne systemy Orinoco, mają funkcję, która umożliwia wybór między dostępem „otwartym” i „zamkniętym”. Gdy punkt dostępu jest skonfigurowany do publicznego dostępu, akceptuje połączenie od klienta, którego SSID jest ustawione na Każdy(Dowolny), a także z urządzeń skonfigurowanych do komunikacji przez własny identyfikator SSID punktu dostępowego. Gdy punkt dostępu jest skonfigurowany do dostępu prywatnego (Apple nazywa to „siecią ukrytą”), akceptuje tylko połączenia, których identyfikator SSID jest zgodny z jego identyfikatorem SSID. Jest to dobry sposób na utrzymanie osób postronnych z dala od sieci, ale działa tylko wtedy, gdy każdy węzeł w sieci korzysta z adaptera Orinoco (karta Apple AirPort Card jest zastrzeżoną wersją Orinoco). Jeśli adapter wyprodukowany przez innego producenta spróbuje połączyć się z zamkniętym punktem dostępowym, zignoruje go, nawet jeśli identyfikator SSID jest zgodny.

Identyfikator SSID sieci zapewnia bardzo ograniczoną formę kontroli dostępu, ponieważ identyfikator SSID należy określić podczas konfigurowania połączenia bezprzewodowego. Funkcja SSID punktu dostępu jest zawsze polem tekstowym o dowolnej nazwie. Jednak wiele programów do konfiguracji sieci (w tym narzędzia sieci bezprzewodowych w systemie Windows XP i te dostarczane z kartami sieciowymi niektórych głównych marek) automatycznie wykrywa i wyświetla identyfikator SSID każdej aktywnej sieci w zasięgu ich sygnałów. Dlatego nie zawsze jest konieczne poznanie identyfikatora SSID sieci przed połączeniem. Czasami narzędzie konfiguracyjne (monitor sieciowy lub program do skanowania podobny do Network Stumbler) pokazuje nazwy każdej pobliskiej sieci na liście lub w menu.

Jako przykład, ryc. Rysunek 14.1 przedstawia dane wyjściowe skanera Network Stumbler na lotnisku Seattle-Tacoma, gdzie terminal pasażerski obsługuje WayPort, a MobileStar zapewnia pokrycie w American Airlines VIP Club. (MobileStar stał się częścią innej usługi wkrótce po sporządzeniu przeze mnie tego planu, więc nazwy sieci uległy zmianie, ale usługa pozostała na swoim miejscu).

Każdy punkt dostępu ma domyślne ustawienie SSID. Te wartości domyślne są dobrze znane i publikowane w społecznościach szpiegowskich sieci (patrz na przykład http://www.wi2600.org/mediawhore/nf0/wireless/ssid_defaults). Oczywiście domyślne ustawienia nie powinny być używane w żadnej sieci.

Ryż. 14,1

Wiele punktów dostępowych jest wyposażonych w funkcję ukrywania SSID, często określaną jako Ukryta sieć lub Ukryta sieć... Ta funkcja pomaga zapobiegać wykryciu nazwy sieci przez niektórych szpiegów, ale za każdym razem, gdy łączy się z nią nowy klient lub istniejący klient odbiera słaby sygnał, identyfikator SSID jest rozgłaszany i wykrywa go program taki jak Kismet. Ukrycie identyfikatora SSID może spowolnić przypadkowego gościa, ale nie zapewnia prawdziwego bezpieczeństwa.

Szyfrowanie WEP

Szyfrowanie WEP jest cechą każdego systemu 802.11b, dlatego ważne jest, aby wiedzieć, jak to działa, nawet jeśli zdecydujesz się z niego nie korzystać. Jak sama nazwa wskazuje, pierwotnym celem Wired Equivalent Privacy (WEP) było zapewnienie poziomu bezpieczeństwa sieci bezprzewodowych porównywalnego z siecią przewodową. Istnieje jednak bardzo powszechne twierdzenie, że sieć oparta na szyfrowaniu WEP jest prawie tak samo podatna na włamania, jak sieć bez żadnego zabezpieczenia. Ochroni przed przypadkowymi szpiegami, ale nie będzie szczególnie skuteczny przeciwko upartemu włamywaczowi.

WEP ma trzy funkcje: zapobiega nieautoryzowanemu dostępowi do sieci, sprawdza integralność każdego pakietu i chroni dane przed złymi życzeniami. Aby zaszyfrować pakiety danych, WEP używa tajnego klucza szyfrowania, zanim klient sieci lub punkt dostępu je prześle, i używa tego samego klucza do dekodowania danych po ich odebraniu.

Gdy klient próbuje komunikować się z siecią przy użyciu innego klucza, wynik jest zniekształcony i ignorowany. Dlatego ustawienia WEP muszą być dokładnie takie same w każdym punkcie dostępu i karcie klienta w sieci. Brzmi to dość prosto, ale jest to trudne, ponieważ producenci stosują różne metody określania rozmiaru i formatu klucza WEP. Funkcje są takie same w zależności od marki, ale te same ustawienia nie zawsze mają te same oznaczenia.

Ile bitów znajduje się w Twoim kluczu WEP?

Po pierwsze, klucz WEP może mieć 64 lub 128 bitów. Klucze 128-bitowe są trudniejsze do złamania, ale wydłużają również czas potrzebny na przesłanie każdego pakietu.

Zamieszanie w implementacjach różnych dostawców pojawia się, ponieważ 40-bitowy WEP jest taki sam jak 64-bitowy WEP, a 104-bitowy jest taki sam jak 128-bitowy. Standardowy 64-bitowy klucz WEP to ciąg zawierający wewnętrznie wygenerowany 24-bitowy wektor inicjalizacji oraz 40-bitowy tajny klucz przypisany przez administratora sieci. Specyfikacje i programy konfiguracyjne niektórych producentów nazywają to "szyfrowaniem 64-bitowym", a inni nazywają to "szyfrowaniem 40-bitowym". W każdym razie schemat szyfrowania pozostaje taki sam, więc karta korzystająca z szyfrowania 40-bitowego jest w pełni kompatybilna z punktem dostępowym lub kartą korzystającą z szyfrowania 64-bitowego.

Wiele kart sieciowych i punktów dostępowych zawiera również funkcję „silnego szyfrowania”, która wykorzystuje 128-bitowy klucz (który w rzeczywistości jest 104-bitowym tajnym kluczem z 24-bitowym wektorem inicjalizacji).

Silne szyfrowanie jest jednokierunkowe kompatybilne z szyfrowaniem 64-bitowym, ale nie jest automatyczne, więc wszystkie części mieszanej sieci urządzeń z kluczami 128-bitowymi i 64-bitowymi będą działać z szyfrowaniem 64-bitowym. Jeśli punkt dostępu i wszystkie karty obsługują szyfrowanie 128-bitowe, użyj klucza 128-bitowego. Jeśli jednak chcesz, aby Twoja sieć była zgodna z kartami i punktami dostępowymi, które rozpoznają tylko szyfrowanie 64-bitowe, skonfiguruj całą sieć tak, aby używała kluczy 64-bitowych.

ASCII czy klucz szesnastkowy?

Jednak sama długość klucza jest myląca podczas konfigurowania szyfrowania WEP. Niektóre programy wymagają klucza jako ciągu znaków tekstowych, podczas gdy inne wymagają klucza jako liczb szesnastkowych. Inni mogą wygenerować klucz z opcjonalnego hasła.

Każdy znak ASCII ma długość 8 bitów, więc 40-bitowy (lub 64-bitowy) klucz WEP zawiera 5 znaków, a 104-bitowy (lub 128-bitowy) klucz zawiera 13 znaków. W systemie szesnastkowym każda liczba ma 4 bity, więc klucz 40-bitowy zawiera 10 znaków szesnastkowych, a klucz 128-bitowy zawiera 26 znaków.

Na ryc. 14.2, które pokazuje okno Ustawienia sieci bezprzewodowej dla punktu dostępowego D-Link, 40-bitowe pole zabezpieczeń klucza wspólnego używa znaków szesnastkowych i ma miejsce na dziesięć znaków. D-Link zawiera wszystkie dziesięć znaków w jednym wierszu, ale niektóre inne dzielą je na pięć grup po dwie liczby lub dwie grupy po pięć liczb.

Ryż. 14,2

Dla komputera klucz i tak wygląda tak samo, ale łatwiej jest skopiować ciąg, gdy jest podzielony na kawałki.

Wiele narzędzi klienckich, takich jak okno dialogowe Właściwości sieci bezprzewodowej w systemie Windows XP (pokazane na rysunku 14.3), oferuje wybór formatu szesnastkowego lub tekstowego, dzięki czemu można użyć odpowiedniego formatu punktu dostępu.

Hasło to ciąg tekstowy, który adaptery i punkty dostępu automatycznie konwertują na ciąg szesnastkowy. Ponieważ ludzie mają tendencję do łatwiejszego zapamiętywania znaczących słów lub fraz niż szesnastkowego bełkotu, hasło jest łatwiejsze do przekazania niż ciąg szesnastkowy. Jednak hasło jest przydatne tylko wtedy, gdy wszystkie adaptery i punkty dostępowe w sieci są produkowane przez tego samego producenta.

Ryż. 14,3

Jakie funkcje są obecne

Podobnie jak w przypadku prawie wszystkich ustawień w narzędziu konfiguracyjnym 802.11b, nazwy funkcji WEP nie są stałe w różnych programach.

Niektórzy używają otwartego zestawu funkcji, takich jak „włącz szyfrowanie WEP”, podczas gdy inni używają terminologii technicznej zaczerpniętej z oficjalnej specyfikacji 802.11. Uwierzytelnianie systemu otwartego to druga nazwa wyłączonego szyfrowania WEP.

Niektóre punkty dostępu udostępniają również opcjonalną funkcję uwierzytelniania klucza publicznego za pomocą szyfrowania WEP, w której klient sieci ma klucz, ale niezaszyfrowane dane są odbierane z innych węzłów sieci.

Łączenie klawiszy szesnastkowych i tekstowych

Konfiguracja sieci mieszanej jest skomplikowana, gdy niektóre węzły sieci używają tylko kluczy szesnastkowych, a inne wymagają kluczy tekstowych. Jeśli taka sytuacja wystąpi w Twojej sieci, musisz postępować zgodnie z poniższymi regułami, aby skonfigurować je za pomocą WEP:

Konwertuj wszystkie klucze tekstowe na szesnastkowe. Jeśli program konfiguracyjny wymaga klucza tekstowego, wprowadź znaki Oh(zero, po którym następuje mała litera x) przed ciągiem szesnastkowym. Jeśli zamiast tego używasz oprogramowania AirPort firmy Apple Oh na początku klucza szesnastkowego należy wpisać symbol dolara ( $ );

Upewnij się, że wszystkie klucze szyfrowania mają odpowiednią liczbę znaków;

Jeśli wszystko nadal nie działa, przeczytaj sekcje dotyczące bezpieczeństwa w instrukcjach dotyczących kart sieciowych i punktów dostępu. Możliwe, że jedno lub więcej z tych urządzeń w sieci ma jakąś ukrytą tożsamość, której nie jesteś świadomy.

Zmiana kluczy WEP

Wiele punktów dostępowych i sieciowych kart klienckich może obsługiwać do czterech różnych 64-bitowych kluczy WEP, ale tylko jeden jest aktywny w danym momencie, jak pokazano na rysunku 4-2. 14.4. Pozostałe klucze to klucze zapasowe, które mogą pozwolić administratorowi sieci na dostosowanie bezpieczeństwa sieci w krótkim czasie. Karty i punkty dostępu obsługujące szyfrowanie 128-bitowe używają tylko jednego 128-bitowego klucza WEP na raz.

Ryż. 14,4

W sieci, w której szyfrowanie WEP jest poważnie zorganizowane. Klucze WEP powinny być zmieniane regularnie, zgodnie z harmonogramem. Miesiąc wystarczy w przypadku sieci, która nie przesyła ważnych danych, ale w przypadku poważniejszej sieci nowy klucz musi być instalowany raz lub dwa razy w tygodniu. Pamiętaj, aby zapisać aktualne klucze WEP w bezpiecznym miejscu.

W sieci domowej lub w małym biurze najprawdopodobniej samodzielnie zmienisz wszystkie klucze WEP. W przeciwnym razie administrator sieci lub specjalista ds. bezpieczeństwa musi rozesłać nowe klucze WEP na papierze, w formie notatki, a nie pocztą elektroniczną. Aby uzyskać dodatkową warstwę ochrony w sieciach korzystających z szyfrowania 64-bitowego, poinstruuj użytkowników, aby zmienili dwa klucze jednocześnie (nie jest to obecnie ustawienie domyślne). Wyślij osobną notatkę informującą użytkowników, który klucz jest nowy, domyślny i kiedy powinien się zmienić.

Typowy harmonogram tygodniowy może wyglądać tak:

Wprowadź następujące nowe 64-bitowe klucze WEP:

Klucz 1: XX XX XX XX XX

Klawisz 4: YY YV YY YY YY

Kolejna notatka, tydzień później, dostarczy kody do klucza 2 i klucza 3.

Oddzielna instrukcja może brzmieć: „Nasza sieć przełączy się na korzystanie z klucza 3 we wtorek o północy. Zmień domyślny klucz karty sieciowej." Wybierz czas, w którym sieć bezprzewodowa jest używana przez najmniejszą liczbę użytkowników do zmiany, ponieważ każde aktywne połączenie w punkcie dostępowym w momencie zmiany klucza zostanie przerwane i nie będzie można go przywrócić, dopóki klucze na karcie klienta nie zostaną zmienione . Użytkownicy mogą wprowadzać nowe klucze z wyprzedzeniem jako alternatywy dla bieżącego aktywnego klucza i zmieniać je kilkoma kliknięciami, gdy nowy klucz zacznie obowiązywać.

Czy zabezpieczenia WEP są wystarczające?

Kilku informatyków opublikowało artykuły na temat szyfrowania WEP, które sprzeciwiają się używaniu go do ochrony poufnych danych. Wszystkie wskazują na poważne wady teorii i praktyki kryptografii wykorzystywanej przy projektowaniu algorytmów szyfrowania WEP. Eksperci ci jednogłośnie zalecą, że każdy korzystający z sieci bezprzewodowej 802.11 nie powinien polegać na zabezpieczeniu WEP. Musisz użyć innych metod, aby chronić swoje sieci.

Grupa z Uniwersytetu Kalifornijskiego w Berkeley znalazła liczne błędy w algorytmie WEP, które czynią go podatnym na co najmniej cztery różne typy ataków:

Ataki pasywne wykorzystujące analizę statystyczną do dekodowania danych;

Aktywne ataki z tworzeniem zaszyfrowanych pakietów, które zmuszają punkt dostępowy do akceptowania fałszywych poleceń;

Analizowanie ataków na zaszyfrowane pakiety w celu stworzenia słownika, który może być następnie użyty do automatycznego dekodowania danych w czasie rzeczywistym;

Ataki z modyfikacją nagłówka w celu przekierowania danych do miejsca docelowego kontrolowanego przez atakującego.

Rozmowa w Berkeley kończy się jednoznacznym stwierdzeniem: „Bezpieczeństwo WEP to nie to samo, co bezpieczeństwo przewodowe. Problemy z protokołem są wynikiem niezrozumienia niektórych podstaw kryptografii, a zatem niepewnego korzystania z technik szyfrowania.”

Naukowcy z Rais University i AT&T Labs opublikowali własne opisy swoich ataków na sieci zaszyfrowane WEP (http://www.cs.rice.edu/~astubble/wep), co doprowadziło ich do podobnego wniosku: „WEP w 802.11 jest całkowicie niebezpieczny.” Udało im się zamówić i uzyskać niezbędny sprzęt, ustawić stanowisko testowe, opracować narzędzie do ataków i skutecznie pozyskać 128-bitowy klucz WEP w niecały tydzień.

Zarówno raporty Berkeley, jak i raporty AT&T Labs są pisane przez ekspertów technicznych i dla ekspertów technicznych przy użyciu analizy kryptograficznej. Ich rozumowanie jest jasne, ale metody wymagają od przeciwnika poważnej wiedzy technicznej. Jednak równie łatwo można znaleźć narzędzia dla mniej wyrafinowanych łamaczy kodu. Zarówno AirSnort (http://airsnort.Shmoo.com), jak i WEPCrack () to programy dla systemu Linux, które monitorują sygnały bezprzewodowe i wykorzystują słabości WEP w celu uzyskania klucza szyfrowania.

AirSnort twierdzi, że jego program może skutecznie włamać się do większości sieci w ciągu dwóch tygodni. Technologia ta monitoruje sygnały sieciowe bez wpływu na nie, więc administrator sieci nie może wykryć obecności ataku. Program został wydany w celu pogłębienia problemu. Chociaż łatwo jest złamać szyfrowanie WEP, grupy tworzące standardy są zmuszone albo znaleźć sposób na uczynienie go bezpieczniejszym, albo zastąpić go trudniejszą do złamania opcją.

Podsumowując: spójrz na to prościej i zaszyfruj dane sieciowe.

Zaszyfrowane dane są bezpieczniejsze niż transmisja w postaci zwykłego tekstu, a złamanie klucza WEP wymaga czasu, więc WEP dodaje inną (podobno słabą) warstwę bezpieczeństwa, zwłaszcza jeśli często zmieniasz klucze. Szyfrowanie WEP nie może wiele zrobić, aby chronić Cię przed poważnymi wrogami, ale ochroni Cię przed przypadkowymi złymi życzeniami. O wiele łatwiej jest przeniknąć do sieci, która nie używa szyfrowania (co robi większość z nich), więc haker, który znajdzie zaszyfrowany sygnał, prawdopodobnie przełączy się na cel o mniejszej ochronie.

Pomoc w drodze

Oczywiście obwód ochronny z otworami wystarczająco dużymi, aby przejechać przez gigantyczną cyfrową ciężarówkę, jest prawie tak samo zły, jak brak ochrony w ogóle. Udane ataki na szyfrowanie WEP i łatwo dostępne narzędzia do wykorzystywania luk w protokole bezpieczeństwa zmuszają członków Wi-Fi Alliance do poważnego rozważenia wsparcia ich licencji jako de facto standardu bezprzewodowego. Słowa takie jak „kryzys” są przez nich używane do opisania uwagi, jaką poświęca się tym kwestiom.

Chcą znaleźć rozwiązanie, zanim sława naruszeń bezpieczeństwa przewyższy popyt na sprzęt do bezprzewodowej sieci Ethernet, starannie opracowany i reklamowany przez nich.

Nowe standardy, które rozwiązują ten problem, będą się nazywać 802.11i.IEEE. Komitet ds. standardów 802.11 zaczął omawiać tę kwestię na kilka miesięcy przed jej upublicznieniem. Komitet o nazwie Task Group i (TGi) pracuje nad nową i ulepszoną specyfikacją bezpieczeństwa, która (podobno) usunie wszystkie znane błędy w standardach szyfrowania WEP. Grupa obiecuje, że nowe narzędzia ochrony będą działać automatycznie i będą kompatybilne ze starszym sprzętem, który nie korzysta z nowych narzędzi. Grupa badawcza ma stronę internetową pod adresem http://grouper.ieee.Org/groups/802/11/Reports, zawierającą informacje o spotkaniach i niektóre dokumenty techniczne.

Wi-Fi Alliance chce, aby jego członkowie jak najszybciej zaczęli korzystać z produktu TGi. Może to rozładować sytuację, zanim przerodzi się w komercyjną katastrofę. Po zgłoszeniu przez inżynierów rozwiązania, wszyscy producenci punktów dostępowych i kart sieciowych zintegrują nowe metody zabezpieczeń ze swoimi produktami, a Alliance doda je do zestawu testów certyfikacji Wi-Fi. Zaktualizowane oprogramowanie i oprogramowanie układowe zapewni zgodność istniejących produktów 802.11b z nowymi protokołami 802.11i.

Kontrola dostępu

Większość punktów dostępu ma funkcję, która umożliwia administratorowi sieci ograniczenie dostępu do kart klienckich z określonej listy. Jeśli urządzenie sieciowe, którego adres MAC nie znajduje się na liście autoryzowanych użytkowników, próbuje się połączyć, punkt dostępowy ignoruje żądanie powiązania z siecią. Może to skutecznie uniemożliwiać osobom postronnym łączenie się z siecią bezprzewodową, ale zmusza administratora sieci do przechowywania pełnej listy kart użytkowników i ich adresów MAC. Za każdym razem, gdy nowy użytkownik chce połączyć się z siecią i gdy legalny użytkownik zmienia adaptery, ktoś musi dodać kolejny adres MAC do listy. Jest to wykonalne w sieci domowej lub małej sieci biurowej, ale może stanowić duży problem dla dużej firmy lub systemu kampusowego.

Każde narzędzie do konfiguracji punktu dostępu używa innego formatu list dostępu. Instrukcja obsługi i dokumentacja online dostarczona z punktem dostępowym powinna zawierać szczegółowe instrukcje dotyczące tworzenia i używania listy kontroli dostępu. Standard 802.11b nie definiuje maksymalnego rozmiaru listy kontroli dostępu dla punktu dostępu, więc liczby są rozłożone na mapie. Niektóre punkty dostępowe ograniczają listę do kilkudziesięciu parametrów. Inne, takie jak kontroler Proxim Harmony AP, obsługują do 10 000 różnych adresów. Reszta jest nieograniczona. Jeśli planujesz używać listy adresów do kontrolowania dostępu do sieci, upewnij się, że punkt dostępu będzie działał z wystarczająco dużą listą, aby obsłużyć wszystkich użytkowników z wystarczającym zapasem na przyszłość. Z reguły punkt dostępowy musi zezwalać na co najmniej dwukrotnie większą liczbę adresów MAC w porównaniu z obecną liczbą użytkowników w sieci.

Uwierzytelnianie MAC nie może chronić przed wszystkimi włamaniami, ponieważ zmiana adresu MAC na większości kart sieciowych jest trywialna: wszystko, co musi zrobić przeciwnik, to monitorować ruch sieciowy wystarczająco długo, aby znaleźć prawidłowego użytkownika i skopiować jego adres MAC.

Niemniej jednak może to być bardzo skuteczny sposób na spowolnienie pracy okazjonalnego szpiega.

Uwierzytelnianie: standard 802.1x

Ze względu na luki w zabezpieczeniach w specyfikacji szyfrowania WEP, wielu producentów bezprzewodowych urządzeń sieciowych i programistów dostosowało już nowy standard IEEE — 802.1x — aby dodać do swoich sieci inną warstwę zabezpieczeń. Standard 802.1x definiuje strukturę, która może obsługiwać kilka różnych form uwierzytelniania, w tym certyfikaty, karty inteligentne i hasła jednorazowe, z których wszystkie zapewniają większe bezpieczeństwo niż kontrola dostępu zintegrowana z 802.11.

W sieciach bezprzewodowych 802.11 technologia o nazwie Robust Security Network jest oparta na strukturze 802.1x, aby ograniczyć dostęp do sieci do autoryzowanych urządzeń.

Większość użytkowników końcowych powinna wiedzieć o 802.1x dwie rzeczy: po pierwsze, jest on zintegrowany z niektórymi (ale nie wszystkimi) sprzętem i oprogramowaniem 802.11b, w tym z narzędziem do konfiguracji sieci bezprzewodowej dostarczanym z systemem Windows XP i wieloma nowoczesnymi punktami dostępowymi, dzięki czemu może zapewnić inny potencjalna warstwa ochrony; po drugie, wciąż ma poważne wady, które doświadczony haker sieciowy może wykorzystać do infiltracji sieci bezprzewodowej. Nieprzyjemne szczegóły techniczne w postaci analizy przygotowanej przez dwóch badaczy z University of Maryland są dostępne online pod adresem http://www.cs.umd.edu/~waa/1x.pdf.

Wygląda na to, że pojawił się punkt orientacyjny, prawda? Inżynierowie z zainteresowanych firm produkujących sprzęt i oprogramowanie łączą się pod szyldem grupy badawczej

Co robić? Czy bezpieczna sieć bezprzewodowa to nieosiągalny ideał? Jeśli spojrzeć na bezpieczeństwo sieci bezprzewodowych jak na grę w kotka i myszkę, jest całkiem oczywiste, że wygrywają myszy (szpiedzy i crackerzy sieciowi). Jednak myszy te potrzebują dogłębnej wiedzy i sprzętu, aby przezwyciężyć istniejące narzędzia szyfrowania i uwierzytelniania.

Pomyśl o tym jak o drzwiach wejściowych twojego domu: jeśli zostawisz je szeroko otwarte, każdy może wejść i ukraść twoje rzeczy, ale jeśli zamkniesz drzwi i zamkniesz okna, włamywaczowi będzie znacznie trudniej dostać się do środka . Specjalista może otworzyć zamek, ale zajmie to dużo czasu i wysiłku.

Zapory sieciowe

Jeśli podejrzewasz, że WEP i 802.1x nie zapewniają odpowiedniego zabezpieczenia sieci bezprzewodowej, następnym logicznym krokiem jest znalezienie innego sposobu, aby uniemożliwić osobom postronnym uzyskanie dostępu do Twojej sieci. Potrzebujesz zapory.

Firewall to serwer proxy, który filtruje wszystkie dane przesyłane przez nią do lub z sieci, w zależności od zestawu reguł ustawionych przez administratora sieci. Na przykład zapora może odfiltrować dane z nieznanego źródła lub plików skojarzonych z określonym źródłem (wirusy). Lub może przekazywać wszystkie dane przesyłane z sieci lokalnej do Internetu, ale zezwalać tylko na określone typy danych z Internetu. Najczęstszym zastosowaniem zapory sieciowej jest brama do Internetu, jak pokazano na rys. 14.5. Zapora monitoruje wszystkie dane przychodzące i wychodzące między siecią lokalną z jednej strony a Internetem z drugiej. Ten typ zapory ma na celu ochronę komputerów w sieci przed nieautoryzowanym dostępem z Internetu.

Ryż. 14,5

W sieci bezprzewodowej zapora może również znajdować się na bramie między bezprzewodowymi punktami dostępowymi a siecią przewodową. Taka zapora izoluje bezprzewodową część sieci od sieci przewodowej, więc osoby nieżyczliwe, które podłączają swoje komputery do sieci bez pozwolenia, nie mogą korzystać z połączenia bezprzewodowego w celu uzyskania dostępu do Internetu lub przewodowej części sieci. Na ryc. 14.6 pokazuje lokalizację zapory w sieci bezprzewodowej.

Ryż. 14,6

Nie zostawiaj szans na bezprzewodowych najeźdźców

Większość ludzi próbujących dołączyć do sieci bezprzewodowej nie zawraca sobie głowy innymi komputerami; są zainteresowani bezpłatnym szybkim dostępem do Internetu. Jeśli nie mogą użyć sieci do pobierania plików lub łączenia się z ulubionymi stronami internetowymi, najprawdopodobniej spróbują znaleźć inny niezabezpieczony bezprzewodowy punkt dostępu. Nie oznacza to, że powinieneś przechowywać poufne dane w dostępnych plikach na niezabezpieczonych komputerach, ale jeśli możesz ograniczyć lub odmówić dostępu do Internetu, sprawisz, że Twoja sieć będzie znacznie mniej atrakcyjna dla nieżyczliwych osób. Zapora sieciowa w sieci bezprzewodowej może pełnić kilka funkcji: działa jako router między siecią bezprzewodową i przewodową lub jako pomost między siecią a Internetem i blokuje cały ruch z sieci bezprzewodowej do przewodowej, który nie przychodzi od uwierzytelnionego użytkownika. Ale nie koliduje z poleceniami, wiadomościami i transferami plików przez zaufanych użytkowników.

Ponieważ zarówno autoryzowani użytkownicy, jak i osoby z zewnątrz znajdują się po niezabezpieczonej stronie zapory, nie izoluje to od siebie węzłów bezprzewodowych. Nieszczęśnik może nadal uzyskiwać dostęp do innego komputera w tej samej sieci bezprzewodowej i czytać dostępne pliki, więc najlepiej wyłączyć Udostępnianie plików(Dostęp do plików) na dowolnym komputerze podłączonym do sieci bezprzewodowej.

Bezprzewodowa zapora sieciowa musi używać pewnego rodzaju uwierzytelniania, aby umożliwić autoryzowanym użytkownikom przejście przez bramę i odfiltrowanie wszystkich innych. Jeśli kontrola dostępu oparta na adresach MAC jest wbudowana w systemy 802.11b, a opcjonalne uwierzytelnianie 802.1x jest nie do przyjęcia, zewnętrzna zapora powinna wymagać od każdego użytkownika wprowadzenia nazwy użytkownika i hasła przed połączeniem z Internetem.

Jeśli sieć bezprzewodowa zawiera komputery z wieloma systemami operacyjnymi, zapora powinna używać loginu, który działa na dowolnej platformie. Najłatwiejszym sposobem osiągnięcia tego jest użycie serwera uwierzytelniania opartego na sieci Web, takiego jak ten dołączony do serwera sieci Web Apache (http://httpd.apache.org).

NASA używa Apache na dedykowanym serwerze do tworzenia witryny sieci Web, która powiadamia użytkowników, gdy wprowadzają nazwę konta i hasło.

Serwer używa skryptu Perl/CGI do porównania loginu i hasła z bazą danych. Jeśli są poprawne, instruuje serwer, aby akceptował polecenia i dane według adresu IP użytkownika. Jeśli w bazie danych nie ma nazwy użytkownika lub hasło jest niedokładne, Apache wyświetla stronę internetową Nieprawidłowa nazwa użytkownika i hasło.

Serwer WWW Apache jest dostępny jako aplikacja uniksowa, która działa na starym, wolnym komputerze z wczesnym procesorem Pentium lub nawet 486, więc często można ponownie wykorzystać stary komputer, który nie jest już używany w codziennej pracy. działać jako zapora. Zarówno aplikacja Apache, jak i system operacyjny Unix są dostępne jako oprogramowanie open source, więc powinno być możliwe zbudowanie zapory opartej na Apache przy niezwykle niskich kosztach.

Jeśli wolisz używać systemu Windows zamiast Uniksa, masz kilka opcji. Można użyć wersji Apache dla systemu Windows NT/2000 lub komercyjnego narzędzia, takiego jak Sygate's Wireless Enforcer (http://www.sygate.com/prodacls/sse/sse_swe_securjty.htm) — Wireless Enforcer współpracuje z innymi elementami Sygate Secure Enterprise Suite Sygate Security), aby przypisać i zweryfikować unikalny odcisk palca każdemu autoryzowanemu użytkownikowi. Jeśli osoby z zewnątrz spróbują połączyć się z punktem dostępu bez wymaganego odcisku palca, sieć je zablokuje.

Izolowanie sieci od Internetu

Nie wszystkie ataki na sieć bezprzewodową są przeprowadzane bezprzewodowo. Sieć bezprzewodowa wymaga takiej samej obsługi zapory przed atakami internetowymi, jak każda inna sieć. Wiele punktów dostępu zawiera konfigurowalne funkcje zapory, ale jeśli nie, sieć musi zawierać co najmniej jedną z następujących zapór:

Oprogramowanie zapory na każdym komputerze;

Oddzielny router lub dedykowany komputer działający jako zapora sieciowa;

Zintegrowany pakiet bezpieczeństwa, taki jak pakiet Sygate opisany w poprzedniej sekcji.

Programy klienckie zapory stanowią kolejną linię obrony przed atakami na Twoją sieć przez Internet. Niektóre z nich pochodzą od krytyków szukających sposobu na odczytanie twoich plików i innych zasobów, które chcesz ukryć przed światem zewnętrznym. Inni mogą chcieć używać Twojego komputera jako punktu dostarczania spamu lub prób infiltracji komputera w innym miejscu na świecie, aby utrudnić śledzenie prawdziwego zasobu. Inne rozpowszechniają wirusy lub używają niechcianych programów, które przechwytują kontrolę nad komputerem i wyświetlają przerażające lub reklamowe wiadomości. Ponadto niezabezpieczona maszyna z dużą ilością zmarnowanej przestrzeni dyskowej może być atrakcyjnym celem dla hakerów, którzy chcą rozpowszechniać pirackie oprogramowanie, pliki muzyczne lub wideo (nie sądzisz, że przechowują te śmieci na własnych komputerach?).

Jeśli zainstalujesz zaporę sieciową, która powiadamia, gdy komputer zewnętrzny próbuje połączyć się z siecią, najprawdopodobniej każdego dnia zobaczysz wiele prób włamań.

Punkty dostępowe z zaporami sieciowymi

Najprostszym zastosowaniem zapory bezprzewodowej jest użycie wbudowanego punktu dostępowego. Niektóre łączą funkcje bezprzewodowego punktu dostępowego z routerem szerokopasmowym i przełącznikiem Ethernet, dzięki czemu obsługują zarówno klientów sieci przewodowych, jak i bezprzewodowych.

Jak wiadomo, router sieciowy zapewnia translację między numerycznym adresem IP, który definiuje bramę sieci lokalnej, a wewnętrznymi adresami IP, które identyfikują poszczególne komputery w tej sieci. Zapora zwykle blokuje wszystkie przychodzące żądania danych do hostów w sieci lokalnej, ale stwarza to problemy, gdy jeden lub więcej komputerów w sieci lokalnej ma być używany jako serwery plików. Aby rozwiązać ten problem, zapora zawiera wirtualny serwer, który przekierowuje określone typy żądań do odpowiedniego komputera w sieci.

Każde żądanie połączenia z serwerem zawiera określony numer portu, który identyfikuje typ serwera. Na przykład serwery sieci Web używają portu 80, a FTP używa portu 21, więc te numery portów są częścią żądania dostępu. Podczas akceptowania żądań dostępu do serwera należy włączyć translację adresów sieciowych (NAT) w zaporze, aby kierować te żądania do określonego komputera w sieci lokalnej. Na ryc. 14.7 serwer wirtualny jest skonfigurowany do używania komputera z lokalnym adresem IP 192.168.0.177 jako serwera WWW i 192.168.0.164 jako serwera plików FTP. Tabela 14.1 zawiera listę najpopularniejszych numerów portów usług.

Patka. 14.1 Wspólne numery portów usługi TCP/IP

Istnieją setki innych numerów portów używanych w różnych sieciach, ale większości z nich nigdy nie zobaczysz w prawdziwym użyciu. Oficjalna lista przypisanych portów znajduje się pod adresem http://www.iana.org/assignments/port-numbers.

Ryż. 14,7

Translacja NAT zakłada, że adresy IP każdego serwera wirtualnego nie powinny zmieniać się z jednego żądania na następne. Serwer WWW o aktualnym numerze 192.168.0.23 nie powinien po tygodniu przełączać się na 192.168.0.47. Zwykle nie jest to problem w sieci przewodowej, ale w sieci bezprzewodowej, w której klienci sieci łączą się i wychodzą w sposób ciągły. Serwer DHCP automatycznie przypisuje kolejny dostępny numer każdemu nowemu klientowi. Jeśli jeden z tych użytkowników znajduje się w lokalizacji jednego z portów usług sieciowych, NAT może nie być w stanie go wykryć. Ten problem nie jest bardzo powszechny, ponieważ większość sieci nie używa laptopów jako serwerów, ale czasami tak się dzieje. Rozwiązaniem jest wyłączenie serwera DHCP i przypisanie stałego adresu IP każdemu klientowi lub przeniesienie portu usługi na komputer, który ma połączenie przewodowe z siecią.

Oprogramowanie zapory

Zapora sieci bezprzewodowej na interfejsie między punktem dostępowym a przewodową częścią sieci LAN uniemożliwi osobom postronnym korzystanie z sieci w celu uzyskania dostępu do Internetu, a zapora połączenia internetowego odrzuci próby połączenia się z siecią z Internetu, ale bezprzewodowa sieć potrzebuje innej formy ochrony. Jeśli ktoś uzyska dostęp do Twojej sieci bezprzewodowej bez pozwolenia, będziesz chciał pozbyć się innych legalnych komputerów w tej samej sieci. Oznacza to, że potrzebny jest program zapory klienckiej dla każdego węzła sieci.

Zapora kliencka wykonuje te same funkcje w interfejsie sieciowym komputera, co zapora sieciowa lub korporacyjna dla całej sieci. Wykrywa próby połączenia się z portami TCP i ignoruje je, jeśli nie pasują do jednego lub więcej ustawień konfiguracyjnych oprogramowania zapory.

Niektóre zapory są dostępne w wersji próbnej, podczas gdy inne są bezpłatne dla użytkowników niekomercyjnych, dzięki czemu możesz łatwo wypróbować je na własnym systemie i wybrać ten, który najbardziej Ci się podoba.

Poniżej znajduje się kilka programów dla systemu Windows:

Użytkownicy systemów Unix i Linux mają również wiele funkcji zapory. Większość z nich została napisana do użytku na samodzielnych komputerach z zaporami sieciowymi, które są powszechnie używane jako bramy sieciowe, ale mogą również działać jako ochrona dla indywidualnych klientów sieci.

W Linuksie firewall jest częścią jądra, użytkownik pracuje z nim poprzez narzędzia konsoli - albo ipchains albo iptables. Oba są udokumentowane odpowiednio pod adresem http://linuxdoc.org/HOWTO/IPCHAINS-HOWVTO.html i http://www.netfilter.org/unreliable-guides/packet-filtering-HOWTO. IP Filter to pakiet oprogramowania, który zapewnia usługi firewall dla systemów FreeBSD i NetBSD. Oficjalna strona IP Filter znajduje się pod adresem http://coombs.anu.edu.au/-avalon, a http://www.obfuscation.org/ipf/ipf-howto.txt zawiera doskonały dokument, jak z niego korzystać. Program może odrzucać lub zezwalać na każdy pakiet przechodzący przez zaporę ogniową, filtrować według maski sieci lub adresu hosta, wymuszać ograniczenia portów usług i udostępniać usługi NAT.

NetBSD / i386 Firewall to kolejny darmowy firewall uniksowy.

Działa na dowolnym komputerze z procesorem 486 lub wyższym z minimalnym rozmiarem pamięci 8 MB. Strona domowa NetBSD / i386 Firewall Project znajduje się pod adresem http://www.dubbele.com.

PortSentry to narzędzie do wykrywania skanowania portów, które integruje się z kilkoma powszechnie używanymi wersjami systemu Linux, w tym Red Hat, Caldera, Debian i Turbo Linux. Jest on dostępny do pobrania pod adresem http://www.psionic.com/products/PORTSENTRY.html.

Wirtualne sieci prywatne

Odizolowując połączenie między węzłami sieci od innego ruchu sieciowego, VPN może dodać kolejną warstwę ochrony. VPN to zaszyfrowany kanał transmisji, który łączy dwa punkty końcowe sieci przez „tunel danych”. Wielu ekspertów ds. zapory sieciowej poleca VPN jako skuteczny sposób ochrony sieci bezprzewodowej przed złymi życzeniami i nieautoryzowanymi użytkownikami. Więcej informacji na temat konfiguracji i korzystania z VPN znajdziesz w następnym rozdziale.

Ochrona fizyczna

Do tej pory mówiliśmy o uniemożliwianiu e-złodziei dostępu do Twojej sieci. Dostęp do sieci jest dość łatwy przy użyciu gotowego sprzętu, który nie został jeszcze do tego skonfigurowany. Jest to jeszcze łatwiejsze, jeśli atakujący ma komputer, który został skradziony autoryzowanemu użytkownikowi.

Utrata laptopa jest nieprzyjemna. Jeszcze gorzej jest pozwolić złodziejowi na wykorzystanie skradzionego komputera do odtworzenia sieci. Jako operator sieci, powinieneś przypominać swoim użytkownikom, że ich urządzenia przenośne są atrakcyjnym celem dla złodziei i zaoferować kilka wskazówek, jak ich chronić. Jako użytkownik sam musisz przestrzegać tych samych zasad.

Pierwsza zasada jest prosta - nie zapominaj, że masz przy sobie komputer. Wydaje się to oczywiste, ale londyńscy taksówkarze znaleźli około 2900 laptopów (i 62 000 telefonów komórkowych!) pozostawionych w samochodach w ciągu sześciu miesięcy. Niezliczeni inni zostali pozostawieni w samolotach, pokojach hotelowych, pociągach podmiejskich i salach konferencyjnych. Nie reklamuj, że masz przy sobie komputer. Torby nylonowe z dużym napisem „IBM” lub „COMPAQ” z boku mogą wyglądać modnie, ale nie są tak bezpieczne jak zwykła teczka czy torba na zakupy.

Zawsze noś komputer w ręku lub na ramieniu, jeśli nie jest zamknięty w szafie lub magazynie. Odwróć uwagę na chwilę - a doświadczony złodziej będzie mógł go porwać. Terminale lotniskowe, dworce kolejowe i lobby hotelowe są częstymi miejscami kradzieży. Nie zostawiaj niezabezpieczonego komputera osobistego w biurze na noc. Nie przepuszczaj go przez skanery lotniskowe. Poproś kontroler, aby sprawdził go samodzielnie lub upewnij się, że możesz zwrócić komputer, gdy tylko przejedzie przez taśmociąg. Dwie osoby pracujące w parach mogą łatwo Cię zatrzymać i ukraść Twój komputer, zanim go zdobędziesz. Jeśli ktoś próbuje ukraść komputer podczas sprawdzania bagażu, zrób hałas i wezwij ochronę po pomoc. Upewnij się, że komputery i poszczególne komponenty, takie jak karty PC, mają etykiety własności, wewnątrz i na zewnątrz.

Security Tracking of Office Property (http://www.stoptheft.com) oferuje zarejestrowane etykiety zabezpieczające z klejem cyjanoakrylowym do nadruku, których usunięcie wymaga siły 360 kg, z trwałym znakiem chemicznym „Stolen Property”, który pojawia się, jeśli ktoś lub usunie skrót .

Jeśli uda Ci się przekonać klientów do korzystania z urządzeń alarmowych na swoich komputerach, może to zwiększyć szanse na ich powrót. TRACKIT (http: // www.trackit-corp.com) to dwuczęściowe urządzenie ostrzegawcze, które wykorzystuje nadajnik przymocowany do łańcucha i miniaturowy odbiornik znajdujący się w torbie komputerowej. Gdy nadajnik znajduje się w odległości większej niż 12 m od odbiornika, emituje dźwięk syreny o natężeniu 110 dB, co zwykle sprawia, że złodziej rzuca skradzioną torbę.

Na koniec oddziel listę modeli i numerów seryjnych od samych urządzeń. Potrzebujesz tych informacji do roszczenia ubezpieczeniowego.

Gdy stwierdzisz, że jeden z komputerów podłączonych do Twojej sieci został zgubiony lub skradziony, ważne jest, aby chronić resztę sieci. Jak najszybciej zmień SSID sieci, hasło i klucze WEP. Jeśli sieć używa listy adresów MAC do kontroli dostępu, usuń adres MAC skradzionego urządzenia z listy autoryzowanych połączeń.

Podłączanie sieci do świata

Jeśli korzystasz z sieci bezprzewodowej do udostępniania Internetu w sieci sąsiedzkiej lub w kampusie lub jeśli chcesz umożliwić klientom i innym odwiedzającym łączenie się z siecią bezprzewodową, nie powinieneś używać WEP ani innych narzędzi zabezpieczających do ograniczania dostępu do znanych użytkowników , ale nadal musisz podjąć pewne środki bezpieczeństwa. ...

Twoje pragnienie zapewnienia ludziom bezpośredniego połączenia z Internetem nie oznacza, że chcesz pozwolić im wędrować po innych komputerach w Twojej sieci — musisz odizolować bezprzewodowe punkty dostępowe od reszty sieci.

Jeśli wszystkie lokalne hosty w Twojej sieci są przewodowe, najlepszą metodą jest umieszczenie zapory między bezprzewodowym punktem dostępowym a przewodową siecią LAN, która pozwoli punktowi dostępowemu (i komputerom podłączonym do niego bezprzewodowo) łączyć się tylko z Internetem i nie do żadnego z lokalnych hostów sieć przewodowa, jak pokazano na rys. 14.8.

Jeśli jednak niektóre komputery w Twoim domu korzystają z połączeń bezprzewodowych, musisz chronić je przed dostępem osób postronnych korzystających ze współdzielonej części sieci. Istnieje kilka sposobów realizacji tego planu: na ryc. 14.9 przedstawia sieć bezprzewodową z zaporą programową na każdym komputerze domowym, a ryc. 14.10 - System korzystający z dwóch oddzielnych sieci bezprzewodowych o różnych identyfikatorach SSID podłączonych do tej samej witryny internetowej. Ogólną zasadą jest używanie jednej lub więcej zapór ogniowych w celu odizolowania zbiorowej części sieci od komputerów, których nie chcesz udostępniać reszcie świata.

Ryż. 14,8

Ryż. 14,9

Ryż. 14.10

Uwagi:

Aby uzyskać scentralizowaną kontrolę dostępu do plików w systemach Windows XP i Windows 2000, kliknij prawym przyciskiem myszy menu kontekstowe Mój komputer i wybierz Zarządzać... W prawym okienku wybierz zakładkę Udostępnione foldery, następnie Akcje. - Około. naukowy. wyd.

Państwowa instytucja edukacyjna

Wyższe wykształcenie zawodowe

Uniwersytet Państwowy w Tiumeniu

Instytut Matematyki i Informatyki

Departament Bezpieczeństwa Informacji

Kurs pracy

według specjalności

« Ochrona sieci bezprzewodowych »

Zakończony:

Uczeń grupy 357

Kolbin S.S.

Kierownik:

Wstęp.

Sieci bezprzewodowe mają wiele wspólnego z sieciami przewodowymi, ale są też różnice. Aby przeniknąć do sieci przewodowej, haker musi się z nią fizycznie połączyć. W wersji Wi-Fi wystarczy, że zamontuje antenę w najbliższej bramce w zasięgu sieci.

Choć dziś w ochronie sieci Wi-Fi wykorzystywane są złożone algorytmiczne modele matematyczne uwierzytelniania, szyfrowania danych i kontroli integralności ich transmisji, to jednak na początkowych etapach dystrybucji Wi-Fi często pojawiały się komunikaty, które nawet bez przy użyciu zaawansowanego sprzętu i specjalnych programów można połączyć się z niektórymi sieciami korporacyjnymi, które przejeżdżają z laptopem. Krążą nawet legendy o hakerach jeżdżących po dużych miastach (sterownikach wojennych) z antenami zbudowanymi z blaszanej puszki lub paczki chipów. Podobno mieli nawet własny konwencjonalny system znaków, które były narysowane na chodniku i wskazywały odpowiednio niechronione punkty dostępu. Być może tak było, zamiast puszek chipów użyto tylko potężnych anten, a symbole zostały wskazane na mapie związanej z globalnym systemem pozycjonowania (GPS). Ten kurs koncentruje się na bezpieczeństwie sieci bezprzewodowych. W nim chcę powiedzieć, jak możesz chronić swoją sieć bezprzewodową. Eksperci ds. bezpieczeństwa sieci wiedzą, że nie da się całkowicie chronić sieci i po prostu nie ma czegoś takiego jak „doskonała ochrona”. Aby właściwie zaplanować bezpieczeństwo sieci bezprzewodowej (lub przewodowej), należy wziąć pod uwagę koszt chronionych wartości, koszt wdrożenia systemu bezpieczeństwa, a także możliwości potencjalnych napastników. Innymi słowy, mądrzej (i taniej) jest wdrożyć środki ochrony przed najczęstszymi zagrożeniami przed wdrożeniem wszystkich znanych ludzkości środków ochronnych.

Na przykład sieci bezprzewodowe zlokalizowane w miastach są częściej atakowane niż sieci zlokalizowane na obszarach słabo zaludnionych. Dziesiątki, a nawet setki odwiedzających mogą codziennie przechodzić przez Twoją sieć w mieście. Ponadto intruzi mogą pozostać niezauważeni w zaparkowanym w pobliżu samochodzie. Z drugiej strony, punkt dostępu znajdujący się w domu w środku wsi raczej nie zobaczy obcej osoby, a znajome pojazdy będą od razu zauważalne.

Dla niektórych użytkowników konfiguracja zabezpieczeń sieci bezprzewodowych wydaje się trudna, mają nadzieję, że „może to przesadzić” i pozostawią swoją sieć całkowicie otwartą, to znaczy niezabezpieczoną. Ponadto ludzie czasami zadają pytanie, że jeśli korzystają z sieci tylko do przeglądania Internetu, a na ich komputerach nie ma żadnych tajnych informacji, to dlaczego mieliby chronić swoją sieć? Jest dobra odpowiedź na to pytanie.

Cel pracy: przeanalizuj bezpieczeństwo sieci bezprzewodowych, wyróżnij metody ich ochrony i określ cechy każdej z analizowanych metod.

1. Historia rozwoju ochrony Wi-Fi.

W 1997 roku został wydany pierwszy standard IEEE 802.11, którego bezpieczeństwo, jak się okazało, jest dalekie od ideału. Proste hasło SSID (Server Set ID) umożliwiające dostęp do sieci lokalnej nie może być uważane za bezpieczeństwo według nowoczesnych standardów, zwłaszcza biorąc pod uwagę fakt, że nie trzeba fizycznie łączyć się z Wi-Fi.

Głównym zabezpieczeniem przez długi czas było użycie kluczy cyfrowych do szyfrowania strumieni danych za pomocą funkcji Wired Equivalent Privacy (WEP). Same klucze są zwykłymi hasłami o długości od 5 do 13 znaków ASCII, co odpowiada 40 lub 104-bitowemu szyfrowaniu na poziomie statycznym. Jak pokazał czas, WEP nie był najbardziej niezawodną technologią bezpieczeństwa. Nawiasem mówiąc, wszystkie główne ataki hakerów miały miejsce właśnie w dobie wprowadzenia WEP.

Po 2001 r. wprowadzono nowy standard IEEE 802.1X dla sieci przewodowych i bezprzewodowych, który wykorzystuje wariant dynamicznych 128-bitowych kluczy szyfrowania, czyli okresowo zmieniających się w czasie. W ten sposób użytkownicy sieci pracują w sesjach, na koniec których wysyłany jest do nich nowy klucz. Na przykład Windows XP obsługuje ten standard, a domyślny czas jednej sesji to 30 minut.

Pod koniec 2003 roku wprowadzono standard Wi-Fi Protected Access (WPA), który łączy zalety dynamicznego odnawiania kluczy IEEE 802.1X z szyfrowaniem protokołu Temporal Keu Integrity Protocol (TClP), Extensible Authentication Protocol (EAP) oraz technologia Sprawdzanie integralności komunikatów Message Integrity Check (MIC).

Ponadto równolegle rozwija się wiele niezależnych standardów bezpieczeństwa różnych programistów, w szczególności Intel i Cisco radzą sobie dobrze w tej dziedzinie. W 2004 roku pojawia się WPA2 lub 802.11i - najbezpieczniejszy standard

Niezabezpieczona sieć bezprzewodowa jest narażona na trzy główne zagrożenia.

2.1 Twoje zasoby online będą dostępne dla nieznajomych.

Gdy ktoś łączy się z Twoją siecią bezprzewodową, nie różni się niczym od osoby łączącej się z przewodowym przełącznikiem w Twojej sieci. Jeśli w żaden sposób nie ograniczysz dostępu do udostępnionych zasobów, nieproszeni goście mogą robić wszystko tak samo, jak znani użytkownicy. Mogą kopiować, modyfikować, a nawet całkowicie usuwać pliki, katalogi, a nawet całe dyski. Lub nawet gorzej, uruchamiając przechwytywacze klawiatury, trojany lub inne złośliwe oprogramowanie, które atakuje nieznane hosty.

2.2 Cały ruch sieciowy może zostać przechwycony w celu dalszego zbadania.

Mając przy sobie niezbędne narzędzia, możesz przeglądać odwiedzane strony internetowe, adresy witryn w czasie rzeczywistym i, co gorsza, przechwytywać hasła do dalszego użytku, najczęściej w celach samolubnych.

2.3 Twój kanał internetowy może być wykorzystywany do jakiejkolwiek działalności, w tym nielegalnej.

Jeśli otwarta sieć bezprzewodowa jest wykorzystywana do nielegalnego rozpowszechniania filmów lub muzyki, w wielu krajach można za to zapłacić pozwem wytoczonym przez organy ścigania. Jeśli kanał był wykorzystywany do przesyłania czegoś bardziej nielegalnego, np. pornografii dziecięcej, do zewnętrznego zasobu lub taki serwer pojawił się w sieci, problemy mogą być znacznie poważniejsze. Ponadto kanał może być wykorzystywany przez spamerów, miłośników ataków DOS oraz dystrybutorów złośliwego oprogramowania, wirusów i wielu innych.

Zapewnienie dostępu do Internetu wszystkim gościom ma sens. Ale jeśli poważnie nie zabezpieczysz swojej sieci bezprzewodowej, jesteś zagrożony.

3. Metody ochrony przed hakerami o różnym poziomie umiejętności.

3.1 Umiejętności na poziomie zerowym: każdy właściciel komputera z kartą sieci bezprzewodowej.

Aby włamać się do niezabezpieczonej sieci, nie trzeba mieć żadnych specjalnych umiejętności — każdy właściciel komputera z kartą sieci bezprzewodowej potencjalnie może to zrobić. Łatwość obsługi jest często wymieniana jako ogromny plus w kontekście sieci bezprzewodowych, ale to miecz obosieczny. W wielu przypadkach po włączeniu komputera z obsługą sieci bezprzewodowej użytkownik automatycznie łączy się z punktem dostępowym lub widzi go na liście dostępnych.

Poniżej znajdują się środki, które pomogą chronić Twoją sieć przed przypadkowymi użytkownikami, ale nie utrudnią dostępu bardziej wykwalifikowanym atakującym. Wszystkie miary są posortowane według ważności. Większość z nich jest na tyle prosta, że zaleca się wdrożenie ich wszystkich, jeśli sprzęt na to pozwala.

Zmień ustawienia domyślne

Zmień hasło administratora (i nazwę użytkownika, jeśli to możliwe) oraz SSID (nazwę sieci) w punkcie dostępowym. Zazwyczaj domyślne poświadczenia administratora to: otwarte i dostępne dla większości urządzeń bezprzewodowych. Dlatego bez ich wymiany ryzykujesz pewnego dnia niepowodzenie logowania i utratę możliwości zarządzania siecią bezprzewodową (do czasu zresetowania wszystkich ustawień)! Zmiana SSID jest szczególnie potrzebna, jeśli pracujesz w pobliżu innych punktów dostępowych. Jeśli sąsiednie punkty dostępowe pochodzą od tego samego producenta, mają ten sam domyślny identyfikator SSID, a klienci najprawdopodobniej będą mogli nieświadomie połączyć się z twoim punktem dostępowym, a nie ze swoimi. W przypadku nowego identyfikatora SSID nie należy używać żadnych danych osobowych! Podczas wardrivingu zauważono następujące identyfikatory SSID:

Imię i nazwisko;

Ulica, dom, mieszkanie;

Numer paszportu;

Numer telefonu.

Zasadniczo, jeśli w pobliżu znajduje się kilka punktów dostępu, warto zmienić kanał, aby uniknąć wzajemnych zakłóceń. Środek ten nie wpłynie jednak znacząco na bezpieczeństwo, ponieważ klienci najczęściej przeglądają wszystkie dostępne kanały.

Zaktualizuj oprogramowanie sprzętowe i, jeśli to konieczne, sprzęt.

Korzystanie z najnowszego oprogramowania w punkcie dostępowym również poprawia bezpieczeństwo. Nowe oprogramowanie zwykle naprawia znalezione błędy, a czasami dodaje nowe funkcje ochrony. W przypadku niektórych nowszych modeli punktów dostępowych wystarczy kilkakrotne kliknięcie przycisku myszy, aby dokonać aktualizacji. Punkty dostępowe wydane kilka lat temu często nie są już obsługiwane przez producentów, co oznacza, że nie należy spodziewać się nowego oprogramowania. Jeśli oprogramowanie Twojego punktu dostępowego nawet nie obsługuje WP A(Wi-Fi Protected Access), nie wspominając WPA2, powinieneś poważnie pomyśleć o jego wymianie. To samo dotyczy adapterów! Zasadniczo wszystkie sprzedawane obecnie urządzenia 802.11g obsługują co najmniej WPA i technicznie można je zaktualizować do WPA2. Jednak producenci nie zawsze spieszą się z aktualizacją starszych produktów.

Wyłącz rozgłaszanie SSID.

Większość punktów dostępowych umożliwia wyłączenie rozgłaszania SSID, co może być przytłaczające w przypadku niektórych narzędzi, takich jak NetstumbIer. Ponadto ukrycie identyfikatora SSID zapobiega wykryciu sieci przez wbudowane narzędzie konfiguracji zerowej sieci bezprzewodowej systemu Windows XP i inne aplikacje klienckie. Na ryc. 1 pokazuje pozycję "Hide ESSID" SSID Broadcast Disable w AP ParkerVision. („SSID” i „ESSID” oznaczają tutaj to samo).

Ryż. 1. Wyłącz transmisję SSID w punkcie dostępowym Parkervisio n .

Notatka. Wyłączenie rozgłaszania SSID nie ochroni Cię przed intruzami za pomocą narzędzi takich jak przeznaczenie lub AirMagpet... Wykrywają obecność sieci bezprzewodowej niezależnie od SSID.

Wyłącz sieć, gdy nie działa!

Często użytkownicy przeoczają najprostszą metodę ochrony - wyłączenie punktu dostępowego. Ponieważ nie ma sieci bezprzewodowej, nie ma problemów. Najprostszy timer może wyłączyć punkt dostępu, na przykład w nocy, gdy go nie używasz. Jeśli używasz tego samego routera bezprzewodowego do sieci bezprzewodowej i dostępu do Internetu, twoje połączenie internetowe również nie będzie działać - nieźle.

Jeśli nie chcesz rozłączać połączenia internetowego, możesz ręcznie wyłączyć moduł radiowy routera, jeśli na to pozwala. Na Ryż. 2 wyświetlany jest punkt wyłączenia modułu radiowego. Ta metoda nie jest wystarczająco niezawodna, ponieważ zależy od „czynnika ludzkiego” - możesz po prostu zapomnieć o rozłączeniu. Być może producenci dodadzą kiedyś funkcję wyłączania modułu radiowego zgodnie z harmonogramem.

Ryż. 2. Wyłącz moduł radiowy.

Filtruj według PROCHOWIEC -adresy

Filtrowanie według adresów MAC jest stosowane, aby tylko komputery, których adresy znajdują się na liście, mogły uzyskać (lub odwrotnie) dostęp do sieci. Filtrowanie ochroni Twoją sieć przed nowicjuszami, ale bardziej doświadczeni hakerzy mogą łatwo przechwycić adresy MAC i zmienić ich adres na jeden z dozwolonych.

Ryż. 3. Filtracja PROCHOWIEC - adresy w punkcie dostępowym USR 8011.

Zmniejszona moc transmisji

Tylko kilka konsumenckich punktów dostępowych ma tę funkcję, ale obniżenie mocy transmisji ograniczy liczbę zarówno zamierzonych, jak i przypadkowych nieautoryzowanych połączeń. Jednak czułość bezprzewodowych adapterów dostępnych dla masowego użytkownika stale rośnie, więc nie warto w ten sposób zdziwisz się, zwłaszcza jeśli robisz to wyłącznie ze względu na ochronę w apartamentowcu. Doświadczeni hakerzy zwykle używają potężnych anten kierunkowych, co pozwala im wykryć nawet bardzo słaby sygnał i unieważnia ten punkt.

3.2 Umiejętności pierwszego poziomu: użytkownik z publicznym zestawem narzędzi do hakowania sieci WLAN

Przejdźmy do bardziej doświadczonych użytkowników, którzy wędrują po okolicy w poszukiwaniu sieci bezprzewodowych. Niektórzy robią to tylko z ciekawości, próbując odkryć, ile sieci jest w pobliżu. Nigdy nie próbują wykorzystywać wrażliwych sieci. Ale są też mniej przyjaźni hakerzy, którzy łączą się i korzystają z sieci, a czasem nawet właściciele niedogodności. Wszystkie środki podjęte na poziomie zerowym nie uchronią Cię przed włamywaczami pierwszego poziomu, a intruz może przeniknąć do sieci. Możesz się przed tym uchronić, używając szyfrowanie oraz uwierzytelnianie. Uwierzytelnianiem zajmiemy się nieco później, na razie zajmijmy się szyfrowaniem. Jednym z możliwych rozwiązań jest kierowanie całego ruchu bezprzewodowego przez tunel wirtualnej sieci prywatnej (VPN).

Szyfrowanie

Właściciele sieci bezprzewodowych powinni używać najsilniejszej dostępnej metody szyfrowania. Oczywiście wszystko zależy od sprzętu, ale tak czy inaczej, zazwyczaj można wybrać WBR, WPA lub WPA2. WEP (Wired Equivalent Privacy) - zabezpieczenia równoważne sieci przewodowej to najsłabszy protokół, ale obecnie najbardziej rozpowszechniony i obsługiwany przez prawie wszystkie urządzenia 802.11. Może być konieczne zaprzestanie korzystania z tej technologii, ponieważ nie wszyscy producenci urządzeń bezprzewodowych udostępnili aktualizacje oprogramowania układowego z obsługą WPA dla urządzeń 802.11b. Niektórzy ludzie nadal produkują sprzęt, który obsługuje tylko WEP, np. bezprzewodowe telefony VoIP. Dlatego konieczne jest sztuczne obniżanie bezpieczeństwa sieci ze względu na fakt, że nie wszystkie urządzenia obsługują nowsze technologie.

Zarówno WPA (Wi-Fi Protected Access), jak i WPA2 zapewniają dobre bezpieczeństwo sieci bezprzewodowej dzięki silniejszemu szyfrowaniu i ulepszonemu zarządzaniu kluczami. Główną różnicą między nimi jest to, że WPA2 obsługuje silniejsze szyfrowanie AES (Advanced Encryption Standard). Jednak wiele produktów obsługujących WPA pozwala również na użycie algorytmu szyfrowania AES zamiast standardowego TKIP.

Większość produktów 802.11g obsługuje WPA, ale są wyjątki. Jeśli chodzi o aktualizację starych produktów do WPA2, wiele oprogramowania układowego jest wciąż w fazie rozwoju, pomimo faktu, że standard 802.11i, na którym opiera się WPA2, został zatwierdzony w czerwcu 2004 roku.

Zalecamy korzystanie przynajmniej z WPA. Jego wydajność jest porównywalna do WPA2, a jak już pisaliśmy, standard jest obsługiwany przez dużą ilość sprzętu. Oczywiście wdrożenie WPA może wymagać zakupu nowego sprzętu, zwłaszcza jeśli używasz 802.11b. Jednak sprzęt 11g jest dziś stosunkowo niedrogi i może się opłacić.

Większość konsumenckich punktów dostępu WPA i WPA2 obsługuje tylko tryb hasła WPA-PSK (Pre-Shared Keu) (rys. 4)... WPA2 lub WPA „Enterprise” (inaczej WPA „RADIUS”) jest również obsługiwane na niektórych urządzeniach, ale wymaga serwera RADIUS

Ryż. 4. Szyfrowanie ruchu w punkcie dostępowym Netgear.

W przypadku większości prywatnych sieci bezprzewodowych użycie WPA-PSK zapewni wystarczające bezpieczeństwo, ale tylko w przypadku wybrania stosunkowo długiego i złożonego hasła. Powinieneś używać nie tylko liczb lub słów ze słownika, jak programy takie jak kowboj umożliwiają ataki słownikowe na WPA-RSK.

Robert Moskowitz, starszy CTO w ICSA Labs, w swoim artykuł zalecane używanie 128-bitowego szyfrowania PSK. Na szczęście wszystkie implementacje WPA pozwalają na użycie haseł alfanumerycznych, czyli wystarczy 16 znaków, aby spełnić zalecenie Moskovicha.

W Internecie jest wiele generatorów haseł, wystarczy skorzystać z wyszukiwarki. Wreszcie niektórzy producenci

sprzęt zaczął sprzedawać punkty dostępowe i adaptery bezprzewodowe z automatyczną konfiguracją zabezpieczeń bezprzewodowych. Technologia bawołów. wydała serię produktów z technologią AOSS(Bezpieczna stacja AirStation OneTouch). Firma Linksys niedawno rozpoczęła produkcję i sprzedaż sprzętu obsługującego tę technologię. BezpiecznaŁatwa konfiguracja od firmy Broadcom.

3.3 Umiejętności na poziomie BToporo: użytkownik z rozszerzonym zestawem narzędzi do łamania WEP / WPA-PSK

WPA i WPA2 pokrywają większość problemów, które ma WEP, ale nadal pozostają podatne, szczególnie w wariancie PSK. Łamanie WPA i WPA2 hasłem jest trudniejsze i droższe, zwłaszcza przy użyciu szyfrowania AES, ale nadal możliwe.

Uwierzytelnianie

W celu ochrony przed tym zagrożeniem należy wdrożyć uwierzytelnianie. Uwierzytelnianie dodaje kolejną warstwę bezpieczeństwa, wymagając zarejestrowania komputera klienta w sieci. Tradycyjnie odbywa się to za pomocą certyfikatów, tokenów lub haseł (znanych również jako klucz wstępny), które są weryfikowane na serwerze uwierzytelniającym.

Standard 802.1X umożliwia pracę z WEP, WPA i WPA2 oraz obsługuje kilka rodzajów uwierzytelniania EAP(Rozszerzalny protokół uwierzytelniania). Konfiguracja uwierzytelniania może być kłopotliwa i kosztowna, nawet dla profesjonalistów, nie mówiąc już o zwykłych użytkownikach. Na przykład na obecnej konferencji RSA w San Francisco wielu uczestników zdecydowało się nie konfigurować zabezpieczeń bezprzewodowych tylko dlatego, że przewodnik zajmował całą stronę!

Na szczęście sytuacja ciągle się poprawia, nie trzeba już kupować pełnoprawnego serwera PROMIEŃ pojawiło się wiele łatwych do zainstalowania alternatyw.

Podobny produkt firmy Wireless Security Corporation (niedawno przejęty przez McAfee) nazywa się WSC Guard. Ceny subskrypcji zaczynają się od 4,95 USD / miesiąc na użytkownika, a rabaty obowiązują przy płaceniu za wiele stanowisk. Poniższe rozwiązanie jest bardziej odpowiednie dla doświadczonych „sieci” - Mały PEAP to firmware z serwerem RADPJS, który obsługuje uwierzytelnianie PEAP na routerach bezprzewodowych Linksys WRT 54 g oraz GS... Należy pamiętać, że oprogramowanie układowe nie jest oficjalnie obsługiwane przez firmę Linksys, więc instalacja odbywa się na własne ryzyko.

3.4 Umiejętności trzeciego poziomu: zawodowy haker

Do tego momentu ochrona sprowadzała się do uniemożliwienia intruzowi połączenia się z Twoją siecią. Ale co jeśli, pomimo wszystkich wysiłków. haker dostał się do sieci?

Systemy wykrywania i zapobiegania istnieją dla sieci przewodowych i bezprzewodowych, ale są one ukierunkowane na poziom przedsiębiorstwa i są odpowiednio wycenione. Można też znaleźć rozwiązania oparte na kodzie open source, ale niestety nie są one do końca jasne dla początkujących. Przez lata sieci przewodowe wypracowały podstawowe zasady bezpieczeństwa, które można zastosować również w sieciach bezprzewodowych. Będą chronić przed intruzami.

Ogólne bezpieczeństwo sieci

Aby wzmocnić ochronę sieci, należy wdrożyć następujące środki:

Uwierzytelnianie podczas uzyskiwania dostępu do dowolnego zasobu sieciowego.

Dowolny serwer, dowolny udział, panel sterowania routera itp. musi wymagać uwierzytelnienia. Jednak niemożliwe jest zaimplementowanie prawdziwego uwierzytelniania na poziomie użytkownika bez odpowiedniego serwera. Jako minimum należy ustawić hasła we wszystkich udziałach i wyłączyć konto gościa, jeśli używasz systemu Windows XP. I nigdy nie udostępniaj całych sekcji!

Segmentacja sieci.

Komputer, który nie jest podłączony do sieci, jest chroniony przed atakami sieciowymi. Istnieją jednak inne sposoby ograniczenia dostępu. Kilka prawidłowo skonfigurowanych, niedrogich routerów NAT może stanowić doskonałą podstawę do tworzenia bezpiecznych segmentów sieci LAN, które mają dostęp do Internetu. Przeczytaj więcej na ten temat tutaj. Przełączniki lub routery z obsługą VLAN pomogą również w segregacji sieci. Jednak funkcje VLAN są dostępne w większości zarządzanych przełączników, ale prawie nigdy nie są dostępne w tanich routerach i przełącznikach niezarządzanych.

Narzędzia do ochrony oprogramowania.

Musisz używać co najmniej zaktualizowanych rozwiązań antywirusowych i regularnie aktualizować bazy danych. Zapory osobiste, takie jak ZoneAlarm, BlackICE a inni powiadomią Cię o podejrzanej aktywności w sieci. Niestety najnowsze wersje złośliwego oprogramowania i oprogramowania szpiegującego wymagają zainstalowania specjalnego oprogramowania antyszpiegowskiego. Tutaj możesz zanotować Oprogramowanie Webroot Spy Sweeper, oraz CounterSpy firmy Sunbelt Software.

Należy pamiętać, że w celu zorganizowania niezawodnej ochrony sieci konieczne jest zabezpieczenie wszystkich komputerów bez wyjątku!

Szyfrowanie plików.

Szyfrowanie plików przy użyciu kryptograficznie silnych algorytmów zapewni niezawodną ochronę w przypadku nieautoryzowanego dostępu. Użytkownicy systemu Windows XP mogą korzystać z systemu Windows Encrypted FiIe System (EFS). Użytkownicy systemu Mac OS X Tiger — FileVault. Wśród wad szyfrowania można zauważyć, że wymaga ono zasobów procesora, a to może znacznie spowolnić pracę z plikami.

Wniosek.

Oczywiście sieci bezprzewodowe zapewniają dużą wygodę, ale musisz być mądry, aby je zabezpieczyć. Jeśli sam nie zrobisz obrony, to nikt nie zrobi tego za ciebie. Oczywiście raczej nie uchronisz się przed profesjonalnym hakerem, ale znacznie skomplikuje to jego pracę. Twoja sieć raczej nie zainteresuje profesjonalistów. Ale będziesz chroniony przed licznymi „niegrzecznymi” kochankami. Rozważ więc plusy i minusy i chroń swoją sieć!

Bibliografia.

1. Sieci i Internet: Wi-FI: techniki walki z hakowaniem i ochroną sieci bezprzewodowych.

2. http://www.thg.ru/network/20050903/- Ochrona bezprzewodowa

3. Magazyn "Prasa komputerowa" - Ochrona sieci bezprzewodowych przed włamaniami

4. Simonov S. Analiza ryzyka. Zarządzanie ryzykiem // Jet Info, 1999. № 1. 3. Audyt bezpieczeństwa systemów informatycznych // Jet Info, 2000, № 1.

5. Wysokie technologie statystyczne. Oceny eksperckie. Podręcznik. Orłow AI - M .: Egzamin, 2007.