Wi fi
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
555
On Slideshare
555
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
1
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Безопасности защита наWi-Fi мрежи 2013Димитрина Петрова Дикова ФН 10748спец. Информатика
  • 2. Безопасност и защита на Wi-Fi мрежи 2013Съдържание 1.1. Какво е wi-fi? .........................................................................................................3 1.2. Как работи Wi-Fi? ................................................................................................3 1.3. Wi-Fi технлогии.....................................................................................................4 1.4. Wi-Fi стандарти .....................................................................................................5 1.5. Технологии за защита.......................................................................................7 1.5.1. WEP ......................................................................................................................7 1.5.2. WPA ....................................................................................................................10 1.5.3. WPA2 .................................................................................................................10 1.5.4. WiMAX ...............................................................................................................11 1.5.5. WiMAX 2 ...........................................................................................................12 1.6 Wi-Fi устройства .....................................................................................................122. Анализ на безопасността и защитата на Wi-Fi мрежите ....................14 2.1 Каква е опасността?.............................................................................................14 2.2 Wireless атаки..........................................................................................................14 2.2.1 Пасивна атака ..................................................................................................14 2.2.2 Активни атаки ..................................................................................................16 2.2.3 Man-in-the-Middle атака .............................................................................17 2.2.3.1 Създаване на изкуствени смущения ..............................................18 2.4 Как правилно за защитаваме Wi-Fi мрежи?..........................................19 2.5 Предимствата и недостатъците на Wi-Fi ..................................................26 2
  • 3. Безопасност и защита на Wi-Fi мрежи 20131. Теоретична обосновка на Wi-Fi1.1. Какво е wi-fi? Wi-Fi – търговска марка на Wi-Fi Alliance за безжични мрежи,базирани на IEEE 802.11. Съкращението на Wi-Fi идва от ангийскатафраза Wireless Fidelity, които може да бъде преведено буквално като„данни с висока дочнст, безжична”. В момента се разработватстандарти за предаване на цифрови потоци от данни по въздуха. Всяко оборудване, в съответствие с IEEE 802.11, могат да бъдаттествани в Wi-Fi Alliance и получават сертификат и приложението налогото Wi-Fi. Wi-Fi е създаден през 1991 година от NCR Corporation / AT & T(по-късно Lucent Technologies и Agere Sysyems) в Холандия. Продуктпредназначен първоначално за системи за касови услуги, пуснати напазара под името WaveLAN и предоставящи данни стс скорост от 1 до2 Mbit/сек. Вик Хейс е създателя на wi-fi. Той участва и вразработването на стандарти като IEEE 802.11b, IEEE 802.11a и IEEE802.11g. През 2003 Хейс се оттегля от Agere Systems. Те не са всъстояние да са конкуренто способни в трудните пазарни условия,въпреки факта, че нейните продукти са ниша за евтини Wi-Fi решения.Стандартът IEEE 802.11n е одобрен на 11 септември 2009 година.Неговото използване увеличава скоростта за предаване на даннипочти четири пъти, в сравнение със стандартните устреойства.1.2. Как работи Wi-Fi? Типичната Wi-Fi среда съдържа една или повече безжични точкиза достъп (ТД) (Wireless acces point, Access Point (APs)) и един илиповече „клиенти”. Една ТД излъчва свеото „име на мрежа” (SSIDService Set Identifier, “Network name”) чрез пакети, които се наричатмаяци (beacons), които обикновенно се излъчват на всеки 100ms . 3
  • 4. Безопасност и защита на Wi-Fi мрежи 2013Маяците се излъчват с 1 Mbit/s, относително къси са катопродължителност и за това не оказват значителен ефект върхупроизводителността. Понеже 1 Mbit/s е най-ниската скорост за Wi-Fiтова означава, че клиентът трябва да може да консумира със скоростпоне 1 Mbit/s. Основавайки се на настройките, клиентът може да се свърже сТД. Ако две ТД имат еднакъв SSID и са в обсега на клиента,клиентският фърмуеър може да използва силата на сигнала, за дареши към коя точно ТД да се свърже. Wi-Fi критериите за стандартнинива на връзка и за роуминг са напълно отворени за клиента. Това епредимство на Wi-Fi, но означава също, че един безжичен адаптерможе да предава по-добре от друг. Понеже Wi-Fi предава във въздуха,той има същите настройки, както и несуичнатите интернет мрежи и затова е възможно да се получат колизии. За разлика от кабелнияинтернет и подобно на повечето пакетни радиа, Wi-Fi не може даразграничава колизиите, а за целта използва пакетна размяна сразпознаване на носителя.1.3. Wi-Fi технлогии Днес Wi-Fi продуктите могат да правят всичко – от изпращане наимейл до видео стрийминг и свързване на международни конферентнивидео разговори. За посрещане на всички тези нужди има продукти вмного форми, някой от които за няколко долара. Да стигнем там, където сме днес, тя е предприела голямосътрудничество между хиляди компании, изследователи и инжинерида разработят продукти, които работят заедно безпроблемно. Всредата на 1990-те години, международен консорциум от инжинерниексперти от много технологичнни компании започват да работятзаедно чрез една организация наречена IEEE (институт на инжинерите 4
  • 5. Безопасност и защита на Wi-Fi мрежи 2013по електротехника и електроника), за да разработят нови стандарти затова как тези нови безжични продукти следва да си взаимодействатедин с друг.1.4. Wi-Fi стандарти IEEE 802.11 известен също под марката Wi-Fi, дефинира набор отстандарти за Wireless LAN/WLAN, разработени от работна група 11 наIEEE LAN/MAN Standards Committee (IEEE 802). Изразът 802.11x сеизползва да обозначи набор от стандарти и не бива да се бърка съснито един от неговите елементи. Не съществува самостоятелен802.11x стандарт. Изразът IEEE 802.11 също така се отнася къмпървичния 802.11. За приложението на тези стандарти вижте Wi-Fi. Серията 802.11 в момента включва шест техники за модулациявъв въздушна среда, всички които използват един и същ протокол.Най-популярните техники са тези определени от 802.11b, 802.11a, и802.11g; сигурността е била първоначално включена и по-късноразширена чрез подобрението 802.11i. 802.11n е друга модулационнатехника, която е наскоро разработена. Другите стандарти отфамилията (c–f, h, j) са сервизни разширения или поправки напредишни спецификации. 802.11b бе първият широко приет мрежовстандарт, последван от 802.11a и 802.11g. 802.11b и 802.11g стандартите използват 2.40 GHz (гигахерц)честотата, използвана ( в САЩ) под Part 15 на FCC Правила ирегулации. Поради избора на честотния канал 802.11b и 802.11gоборудването може да получи интерференция от микровълнови фурни,безжични телефони, Bluetooth устройства и други използващи тазичестота. 802.11a стандартът използва 5 GHz честота и за това не севлияе от продукти, работещи на честота 2.4 GHz. 5
  • 6. Безопасност и защита на Wi-Fi мрежи 2013Спектърният сегмент на радио-честотата може да варира в различнитедържави. Обхват Дата на Оперативна Data Rate Data Rate ОбхватПротокол на излизане честота (Type) (Max) в сграда откритоLegacy 1997 2.4 GHz 0.9Mbit/s 2 Mbit/s ~20м ~100м802.11а 1999 5 GHz 23 Mbit/s 54Mbit/s ~35м ~120м802.11b 1999 2.4 GHz 4.3Mbit/s 11Mbit/s ~38м ~140м802.11g 2003 2.4 GHz 19 Mbit/s 54Mbit/s ~38м ~140м802.11h 2009 2.4/5 GHz 130Mbit/s 300 Mbit/s ~70м ~250м802.11y 2008 3.7 GHz 23 Mbit/s 54 Mbit/s ~50 ~5000м 802.11а – базиран на основата на 802.11, този вариант използваметода за пренос на данни OFDM, според който те се предаватпаралелно, разбити на малки блокове. При 802.11а скоростта може дадостигне до 54 MBit/s при честоти от 5 GHz. Този стандарт е бил приетпрез 1999 г. 802.11b – също приет през 1999 г. 802.11b е може би най-известният стандарт за безжична връзка, познат в момента. Това евариантът, който въведе маркетинговото означение Wi-Fi и все още сеизползва с голям успех. Един от недостатъците на 802.11b е нискатачестота, при която оперира – 2,4 GHz, и затова е възможно да сеполучи интерференция с Bluetooth устройства или 2,4 GHz безжичнителефони. Стандартът притежава номинална скорост от 11 MBit/s. 802.11g – подобрена версия на 802.11b, 802.11g е сертифициранда оперира при 54 MBit/s и 2,4 GHz работна честота. Новият стандарт 6
  • 7. Безопасност и защита на Wi-Fi мрежи 2013притежава възможността да работи в общо четири режима – дваосновни и задължителни и два допълнителни. Основните са CCK(Complementary Code Keying), използван при 802.11b, и OFDM – при802.11a. Двата допълнителни са разработка на Texas Instruments иIntersil, съответно PBCC-22 с възможност за работа със скорости до 54MBit/s и CCK-OFDM с максимални 33 MBit/s. Предимствата са главно вналичието на съвместимост с 802.11a и 802.11b, но ниската работначестота е съществен недостатък. 802.11h – вариация на 802.11а, предназначена за Европа,където в честотния диапазон около 5 GHz могат да се получатинтерференции с определени системи за спътникова връзка.1.5. Технологии за защита Ако за проникването на злосторниците в обикновената мрежа енеобходимо физически да се вържеш към нея, то при Wi-Fi всичко емного по-просто - нужно е единствено да се намираш в зоната наприемане на мрежата. Но какви вреди може да нанесе хакер, който сее вързал към вашата мрежа и, което е по важно, как можем да сепредпазим от тях? Освен баналните щети от достъпа доконфиденциална информация, последиците може да се изразяват вразпространение на спам от ваше име, кражба на Интернет-трафик,прослушване на незащитени разговори и т.н. Обаче технологиитепостоянно се усъвършенстват, и ако в зората на своето създаване Wi-Fi-мрежите бяха практически незащитени против атаки, то сегаситуацията осезаемо се е променила към по-добро.1.5.1. WEP Wired Equivalent Privacy (WEP) е алгоритъм за сигурност IEEE802.11 безжични мрежи. Въведена като част от оригиналния 802.11стандарт, стандартизиран през семптември 1999 година, с намерение 7
  • 8. Безопасност и защита на Wi-Fi мрежи 2013да се осигури конфиденциалността на данните, сравнима с тези натрадиционна кабелна мрежа. WEP, разпознаваем от ключа на 10 или25 шестнадесетични цифри, е широко употребяван и често е първиятизбор сигурност, представен на потребителите от инструментите нарутер конфигурацията. Въпреки, че името му предполага, че е толкова сигурен, колкотокаблена връзка, за WEP е доказано, че има множество недостатъци и ебила отхвърлена в полза на новите стандарти, као например WPA2.През 2003 година Wi-Fi Alliance обяви, че WEP е заместен от Wi-FiProtected Access (WPA). През 2004 година със стандартизирането напълния стандарт 802.11i (WPA2), IEEE заявява, че WEP-40 и WEP-104“са отхвърлени, тъй като не успяват да изпълнят своите цели засигурност”. Криптиране WEP използва потока шифър RC4 за поверителност, [5] и CRC-32контролна за целостта. Стандартен 64-битов WEP използва 40 битовключ (известен също така като WEP-40), който се съединява с 24-битов вектор и формира ключ RC4. По това време първоначалниятстандарт WEP е изготвен. Американското правителство поставяограничения върху износа на криптографска технология и размера наключа. След като ограниченията са премахнатаи, производителите наточки за достъп прилагат разширен 128-битов WEP протокол, спомоща на 104-битов размер на ключа (WEP-104). 8
  • 9. Безопасност и защита на Wi-Fi мрежи 2013 фигура 1 WEP криптиранеАвтентикация Могат да се използват два метода за удостоверяване наавтентичноста с WEP: Open System за идентификация и Shared Key.При Open System, клиентът на WLAN не е нужно да осигури свеитеидентификационни данни на Access Point при удостоверяване. Всекиклиент може да се удостовери с точка на достъп и след това да сеасоциират. Впоследствие WEP ключове може да се използва закриптиране на данни. В този момент, клиентът трябва да имаправилните ключове. При Shared Key автентикацията минава презчетири стъпки.1. Клиентът изпраща заявка за удостоверяване на Access Point.2. Точката за достъп връща ясен отговор.3. Клиентът криптира с помоща на WEP Ключа и го изпращаобратно в друга заявка за удостоверяване.4. Access Point декриптира отговора. Ако това отговаря на„предизвикателството” връща положителен отговор.След удостоверяване и асоцииране, предварително споделен WEPключ се използва за криптиране на данни чрез използване на RC4. 9
  • 10. Безопасност и защита на Wi-Fi мрежи 20131.5.2. WPA WPA, кратко от Wi-Fi Protected Access, е специфично криптиранена данните за безжична мрежа. Подобрената функция на сигурносттана WEP използващ Extensible Authentication Protocol (EAP) (разширенпротокол за удостоверение) за сигурен достъп през мрежа и метод накриптиране за сигурен пренос на данни. WPA е проектиран за употреба с 802.1X сървър заудостоверяване, който разпределя различни ключове за всекипотребител. Може също и да се използва в режим с по-ниска сигурностс "Pre-Shared Key (PSK)" (предварително споделен ключ). PSK епроектиран за мрежи в дома или малкия офис, където всекипотребител има една и съща парола. WPA-PSK също се нарича и WPA-Personal. WPA-PSK дава възможност на Brother безжично устройство дасе свързва с точка на достъп използвайки метод на криптиране TKIPили AES. WPA2-PSK дава възможност на Brother безжично устройствода се свързва с точка на достъп използвайки метод на криптиранеAES.1.5.3. WPA2 WPA2 е построен предимно на основата на предхождащата говерсия - WPA, като използва елементи на IEEE 802.11i. Стандартътпредвижда прилагането на шифроването AES, автентификацията802.1x, а също и защитна спецификация RSN и CCMP. Както сепредполага, WPA2 трябва съществено да повиши защитеността на Wi-Fi-мрежа в сравнение с предходните технологии. По аналогия с WPA,WPA2 също се дели на два типа: WPA2-PSK и WPA2-802.1x. 10
  • 11. Безопасност и защита на Wi-Fi мрежи 20131.5.4. WiMAX WiMAX (Worldwide Interoperability for Microwave Access) етелекомуникационна технология, разработена да предоставя безжичнасвързаност на големи разстояния за различни устройства (от работнистанции и портативни компютри до мобилни телефони). Технологиятае базирана на стандарта за пренос на данни IEEE 802.16. Името"WiMAX" е въведено от организацията WiMAX Forum, създадена презюни 2001 специално, за да приведе стандарта в съответствие иоперативна съвместимост. Стандартът IEEE 802.16 предвижда обхват на действие до 24 км(15 мили) при равнинен терен и дава възможност за свързаност напотребители без пряка видимост от базовата станция. Технологиятасъщо предоставя възможност за споделени скорости на връзка до 70MBit/s, което е достатъчна ширина на лентата за едновременнаподдръжка на повече от 60 бизнес клиента с Т1 тип свързаност и ощенад хиляда домашни потребители при аналогична на 1 MBit/s DSL типсвързаност. WiMAX може да бъде използвана в техническо решение забезжична градска или друга териториална мрежа, за да свързва Wi-Fi(IEEE 802.11) горещи точки (hotspots) с Интернет или да предоставябезжична алтернатива на кабел и DSL за широколентов достъп от"последната миля" (крайни клиенти). Очакванията са, че WiMAX ще даде възможност зашироколентово предоставяне на услуги като VoIP, видео и достъп доИнтернет едновременно. Интересен е също така и потенциалът заоперативна съвместимост на WiMAX с клетъчни мрежи. Антените на 11
  • 12. Безопасност и защита на Wi-Fi мрежи 2013WiMAX могат да споделят трафика на клетка, без да компрометиратклетъчните масиви от данни. Няколко клетъчни компании оценяватWiMAX като средство, използващо увеличена ширина на лентата заразлични приложения от данни. Имайки предвид такива възможниприложения, технологията може да служи като BACKHAUL за клетъчентелефонен трафик и Интернет от базови станции в отдалечени зоникъм физически BACKBONE за данни.1.5.5. WiMAX 2 WiMAX 2 е планираното продължение на WiMAX система зависокоскорестен безжичен достъп до Интернет. Той разполага смаксималната възможна скорост от около 200 пъти повече от тази,която в момента се предлага през WiMAX.1.5.6. 802.1х 802.1х е стандарт за автентикация на потребители искащи да сесвържат към жична или безжична мрежа. Автентикацията се извършвапреди потребителят да има достъп до мрежата. Ако потребителят сесвърже към порт на комутатор с настроена 802.1х автентикация и несе автентикира, няма да получи никакъв достъп до мрежата. 802.1хдава възможност на база на успешната аутентикация, да се разпознаепотребителят и да се направят автоматични настройки на комутатора— например потребител да се постави в точно определен VLAN. 802.1хсе поддържа и от безжичните точки за достъп. Това дава възможностда се изгради корпоративната LAN мрежа, която автоматично даразпознава потребителите и винаги да им предоставя едни и същиуслуги, независимо от къде и през коя точка за достъп се свързапотребителя.1.6 Wi-Fi устройства 12
  • 13. Безопасност и защита на Wi-Fi мрежи 2013 Access Point (точки за достъп) – устройства, които, най-общоказано, позволяват връзката на LAN системи с Wireless системи. Wi-Fi рутери – доста полезни “машинки”, които предлагатвъзможността да изградите Wi-Fi мрежа на мястото на LAN, без даположите дори един метър кабел. Wi-Fi рутерите представляватобединяване на Access Point и интернет рутер, като така лесно щеможете да разпределите LAN интернет връзка между няколкобезжични системи и да изградите вътрешна мрежа между тях. Усилвател – позволява да усилите връзката между две илиповече Wi-Fi устройства, като го поставите на стратегически удобномясто, позволявайки косвено устройствата да имат пряка видимостпомежду си. Wi-Fi PCI, PCMCIA, USB2.0 карти – мрежови карти за инсталиранеили включване към система, която искате да оборудвате с безжичнивъзможности. В зависимост от вида на компютъра варира и саматакарта. Голям интерес представляват USB2.0-базираните продукти,които позволяват бързо и лесно преместване от една машина на друга,както и голяма мобилност при използването им на лаптоп система. 13
  • 14. Безопасност и защита на Wi-Fi мрежи 20132. Анализ на безопасността и защитата на Wi-Fi мрежите2.1 Каква е опасността? Wireless сигурността е само един от аспектите на компютърнатасигурност, организациите могат да бъдат особено уязвими къмпробиви в сигурността, причинени от лоши точки за достъп. Акослужителят включи нов безжичен рутер в необезопасен switchport,цялата мрежа може да бъде изложенa на опасност. По същият начинако един служител добави безжичен интерфейс за мрежов компютърчрез отворен USB порт, ще се създаде пробив в сигурността намрежата, която ще позволи достъп до поверителни материали.Мобилността, като предимство Безжичните мрежи са много използвани, както от организациитетака и от физическите лица. Много преносими компютри са спредварително инсталирани безжични карти. Тази възможност даваголеми ползи, но въпреки това безжичната връзка задава някойвъпроси свързани със сигурността. Хакерите са намерели лесниначини за прекъсване на безжичната мрежа, а и дори за използванена безжичните технологии за справяне с кабелните мрежи. Каторезултат, компаниите определят ефективни безжични политики засигурност и защита срещу не оторизиран достъп до важни ресурси.2.2 Wireless атаки2.2.1 Пасивна атака Пасивната атака има тогава, когато някой "подслушва" мрежовиятрафик. Въоръжен с безжичен мрежов адаптер, който поддържаразлични режими. Подслушвача може да улови мрежовия трафик за 14
  • 15. Безопасност и защита на Wi-Fi мрежи 2013анализ с помоща на лесно достъпни инструменти, като напримерNetwork Monitor в Microsoft продукти или TCOdump в Linux - базиранипродукти. Пасивните атаки в безжичната мрежа не може да сазловредни по природа. В действителност, много хора в wardrivingобщностите твърдят, че техните дейности са доброкачествени и дориобразователни. Трябва да се отбележи, че wardriving не е незаконно,макар да се твърди обратното. Безжичната комуникация сеосъществява на нелицензирани честоти, като всеки един може да гиизползва. Това прави защитата от такъв вид атаки по-трудна. Пасивните атаки сами по себе си са трудни за откриване. Акоадминистраторът използва DHCP за безжична мрежа, той може дазабележи, че разрешеният MAC адрес е придобил чужд IP адрес. Пасивните атаки на безжични мрежи са изключително чести.Откриването и докладването на безжични мрежи се превръща впопулярно хоби за много хора. В действителност, тази дейност етолкова популярна, че се появява термин "война на пропуските", за даопише поведението на хора, които действително желаят д рекламиратналичието на AP и предлаганите от тях услуги, чрез конфигуриране натехните SSIDs с текст като "Get_food_here!". Повечето от тезиwardriving ентусиасти използват популярна безплатна програма,наречена NetStumbler, която е на разположение отwww.netstumbler.com. Програмата работи предимно с безжичнимрежови адаптери, които използват Hermes чипсет, порадиспособността му да се отрият няколко точки, които са в обхват и WEP,наред с други функции. Най-обикновена карта, която използва чипсетHermes за използване с NetStumbler e ORiNOCO gold card. Другопредимство на ORiNOCO gold card е че той поддържа добавянето навъншна антена, която може значително да разшири обхвата набезжичната мрежа, в зависимост от антената. Един от недостатъците 15
  • 16. Безопасност и защита на Wi-Fi мрежи 2013на чипсета Хермес е, че не поддържа безразборни режими, така че неможе да се използва за подслушване на мрежовия трафик. За тазицел, трябва да имаме безжичен мрежов адапер, че подкрепя PRISM2чипсет. По-голямата част на безжични мрежови адаптери, насочени запотребителския пазар, използват този чипсет, например, на WPCмрежови адаптери на Linksys. Сложните wardrivers разполагат с двавида карти, една за откриване на безжични мрежи и други, за улавянена обхвата.2.2.2 Активни атаки След като един хакер е натрупал достатъчно информация отпасивната атака, може да започне активна такава срещу мрежата. Имапотенциално голям брой активни атаки, които един хакер може дазапочне срещу безжичната мрежа. В по-голямата част, тези атаки саидентични с активните атаки, които се срещат при кабелните мрежи.Те включват, но не се ограничават до, неоторизиран достъп,подправяне, и отказ на услуга, както и въвеждането на злонамеренсофтуер и кражба на устройства. С нарастването на популярността набезжичните мрежи, нови варианти за традиционните атаки,специфични за безжични мрежи са се появили заедно с конкретнитермини, за да ги описват, като “drive-by spamming”, в която всекиспамър изпраща десетки или стотици хиляди спам съобщенияизползване на една компрометирана безжична мрежа. Порадиестеството на безжичните мрежи и слабостите на WEP, неоторизирандостъп и подправяне са най-честите заплахи към безжична мрежа.Измама е налице, когато един хакер може да използва неразрешенастанция, за да се представя за оторизирана станция в безжичнамрежа. Един общ начин за защита на безжичната мрежа отнеоторизиран достъп е да се използва MAC филтриране, за да сепозволи само на клиенти, които притежават MAC адреси достъп до 16
  • 17. Безопасност и защита на Wi-Fi мрежи 2013безжичната мрежа. Списъкът с допустимите MAC адреси могат дабъдат конфигурирани за AP, или може да бъде конфигуриран поRADIUS сървър, който е свързан с точка за достъп. Въпреки това,независимо от използваната техника за изпълнение MAC филтриране,тя е относително лесно да се променят MAC адрес на безжичноустройство чрез софтуер да се представи валиден такъв. В Windows,това се постига с прости редактирания на регистъра, в UNIX чрез rootshell команда. MAC адресите да се изпращат в ясно на безжичнимрежи, така че това също е относително лесно да се отрият разрешениадреси. WEP може да се прилага, за да се осигури по-голяма защитасрещу атака, чрез използване на общ ключ за удостоверяване.Въпреки това, както споменахме по-рано, Shared Keyудостоверяването създава допълнителна уязвимост, защото правивидима информацията в затворената мрежа. След като нападателят провери за истинност и е свързан сбезжичната мрежа, той може пусне сканиране на портове, чрезизползване на специални инструменти, за да се станат видимисписъците на потребителите и техните пароли, да се свърже с акции, икато цяло, да създаде хаос в мрежата чрез DoS и Flooding атаки. Тезиатаки могат да бъдат традиционни, като Ping flood, SYN, фрагменти,или Distributed DoS атаки (DDoS), или специфични за безжичнитемрежи чрез използване на Rogue Access Points.2.2.3 Man-in-the-Middle атака Поставянето на измамна точка за достъп в обхвата набезжичната мрежа е типичен пример за man-in-the-middle. Аконападателят има достатъчно познания за SSID (както стана ясно по-рано, той е тоста лесен за откриване) и AP е достатъчно силен,потребителите нямат никакъв шанс да разберат че са се свързали към 17
  • 18. Безопасност и защита на Wi-Fi мрежи 2013измамна точка за достъп. При използването на такъв вид атака,атакуващият може да получи ценна информация за безжичната мрежа,както за удостоверяване на истинския ключ, който може да използва,и така нататък. Често нападателят използва лаптоп с два безжичниадаптери, от които единия използва измамната AP, а другия сеизползва, за да предаде истинския чрез безжичен мост на законнатаAP. С достатъчно силна антена, не е нужно flood AP да се намира внепосредствена близост до реалната AP. Поради трудно разкриване натози вид атаки, единствената защита срещу измамник APS ебдителност чрез чести проучвания на сайта и използване наинструменти като NetStumbler и AiroPeek, както и физическасигурност. Честото проучване на обекта също имат предимството наразкриване на неразрешени точки за персонала на компанията. Темогат да бъдат създадени и работните места, като по този начин секомпрометира цялата мрежа и напълно се обезсмисля работата, коятовлиза в осигуряване на мрежата. Дори ако фирмата не използва илипланира да използва безжична мрежа, може да се предвидят редовнипроучвания на безжичната мрежа на място, за да се види дали някойот служителите не е нарушил политиката на компанията за сигурностчрез използване на неразрешен AP в мрежата, независимо от тяхнотонамерени.2.2.3.1 Създаване на изкуствени смущения Заглушаването е специален вид DoS атака, специфични забезжичната мрежа. То се случва, когато паразитни честоти RF пречатна работата на безжичната мрежа. В някой случаи, заглушаването не еопасно и е причинен от присъствието на други устройства, катобезжични телефон, които работят на една и съща честота сбезжичната мрежа. В случай като този, администраторите трябва да 18
  • 19. Безопасност и защита на Wi-Fi мрежи 2013работят и да прилагат политики по отношение на използването натакива устройства, като например използването на Bluetoothустройства, или избиране на безжичен хардуер, който използваразлична от честотата на безжичната мрежа. Умишлено и злонамеренозаглушаването се случва, когато един нападател анализира спектърана безжичната мрежа, и след това изпраща силен сигнал, намесва се всъобщенията изпратени по откритите честоти. Този вид атака не сеизползва толкова често, защото за да започне атакуващият трябва даразполага с хардуер. Плюс това, заглушаването на мрежата санеобходими много време и усилия и деактивиране на съобщенията заизвестно време.2.4 Как правилно за защитаваме Wi-Fi мрежи? Много корпоративни купувачи все още се опасяват да използвателементи от безжичната инфраструктура в локалните мрежи. Отчаститези опасения са обосновани, но ако се следват най-проститепрепоръки, може да се изгради WLAN мрежа, чиято защитеност неоставя на зложелателите никакви шансове за достъп до критичноважна информация. Мрежите Wi-Fi по същество са уязвими към взломи подслушване, но на безжичните мрежи може да се разчита напълно,ако се прилагат необходимите мерки за безопасност. За съжаление вИнтернет е пълно с остарели съвети и митове по този повод. Ще випредложим правила за обезпечаване на безопасност на Wi-Fi,развенчаващи някои от тези митове. Не ползвайте WEP Алгоритъмът WEP (Wired Equivalent Privacy) е безнадеждноостарял. Реализираният в него шифър може лесно и бързо да бъдеразбит дори от неопитни хакери, затова WEP е добре да не се ползваизобщо. На онези, които все още го правят, се препоръчва незабавно 19
  • 20. Безопасност и защита на Wi-Fi мрежи 2013да преминат на WPA2 (Wi-Fi Protected Access) с автентификация802.1X — стандартът 801.11i. Потребителите със стари клиентскиустройства или точки за достъп, неподдържащи WPA2, могат даобновят системния им софтуер или просто да си купят новооборудване. Не ползвайте WPA/WPA2-PSK Режимът с общ ключ (pre-shared key, PSK) с протоколи WPA иWPA2 е недостатъчно надежден за корпоративни или всякаквиорганизационни среди. При използване на дадения режим на всякоклиентско устройство трябва да се въведе предварително зададенусловен ключ. Този ключ трябва да се променя всеки път, когатоорганизацията бъде напусната от поредния служител или когатоклиентско устройство бъде загубено или откраднато. За повечетосреди това е непрактично. Внедрете 802.11i Режимът Extensible Authentication Protocol (EAP) с протоколи WPAи WPA2 се базира на автентификация по стандарта 802.1X, а не наобщи ключове, благодарение на което за всеки потребител иликлиентско устройство може да заведе собствен набор поверителниданни - име и парола и/или цифров сертификат. Самите ключове за шифроване редовно се променят автоматичновъв фонов режим. Така че за изменение на параметрите за достъпа напотребителите или да бъде лишен от права е достатъчно да сепроменят поверителните данни на централния сървър, а не е нужно завсеки клиент да се променя общият ключ. Уникални еднократниключове, действащи само в течение на сеанса, също не дават напотребителите възможности да прихващат трафик един от друг, което 20
  • 21. Безопасност и защита на Wi-Fi мрежи 2013днес става лесно с помощта на Firesheep, допълнение за Firefox илиDroidSheep, приложения за Android. Следва да се има предвид, че за максимална безопасност енужно да се ползва WPA2 с 802.1X — съчетание, известно и като802.11i. За поддръжка на автентификация 802.1X е нужен сървърRADIUS/AAA. Ако се ползва Windows Server 2008 или по-нова версияможе да се пробва Network Policy Server (NPS) или InternetAuthenticate Server (IAS) от предишните версии на тази операционнасистема. Тези, които нямат Windows Server, могат да пробват сървър сотворен код FreeRADIUS. При използване на Windows Server 2008 R2 или по-нов можетеда разпратите настройките 802.1X към присъединените към домейнаклиентски устройства посредством модификация на груповатаполитика. В други случаи за настройка на клиентски устройства можеда се ползват външни решения. Защитете параметри за автентификация 802.1X наклиентски устройства Режимът EAP в WPA/WPA2 е уязвим за посреднически атаки. Темогат да бъдат предотвратени чрез защита на настройките EAP вклиентското устройство. Например в настройките EAP в Windows можеда се включи проверка на действителността на сертификата насървъра. Това се прави чрез избор на сертификата наудостоверяващия център (CA), указване на адреса на сървъра иизключване на възможността потребителите да се доверяват на новисървъри или нови сертификати от удостоверяващия център (CA). 21
  • 22. Безопасност и защита на Wi-Fi мрежи 2013 Настройките 802.1X могат да се разпратят и към присъединенитекъм домейна клиентски устройства посредством групова политика илида се ползва решение на трети страни, например Quick1X накомпанията Avenda. Задължително ползвайте система за блокиране напрониквания (IPS) в безжични мрежи Осигуряването на безопасност в Wi-Fi не се ограничава донепосредствената борба с опитите да получат несанкциониран достъпдо мрежите. Хакерите могат да създават фиктивни точки за достъп домрежите или провеждат атаки тип „отказ от обслужване“. За да бъдатразпознати такива прониквания и да се борим с тях, трябва да бъдатвнедрени безжична система за предотвратяване на прониквания.Конструктивно такива системи на различните доставчици могат да сеотличават, но по правило всички те прослушват ефира в търсене нафиктивни точки за достъп и зложелателна активност, като се стараятда я блокират и да предупредят сисадмина. Съществуват доста компании, предлагащи решения от такъв тип,например AirMagnet и AirTight Networks. Има и варианти с отворен код,например Snort. Ползвайте NAP или NAC В допълнение към 802.11i и безжичната система запредотвратяване на прониквания е препоръчително да се ползватехнологията Microsoft Network Access Protection (NAP) или систематаза контрол на достъпа до мрежата (Network Access Control, NAC). Темогат да обезпечат допълнителен контрол над достъпа до мрежите попринципа на идентификация на клиентското устройство и определянена неговото съответствие със зададената политика. Те могат да 22
  • 23. Безопасност и защита на Wi-Fi мрежи 2013изолират проблемните клиенти и принудително да осигуряват тяхнотосъответствие с политиката. В някои NAC решения може да има и механизми за разпознаванеи предотвратяване на прониквания, но трябва да се убедите, че те сапредназначени именно за безжични мрежи. Сисадмините на среди набазата на Windows Server 2008 или по-нови версии с клиентскиустройства, работещи с Windows Vista или по-нова ОС, могат да севъзползват от технологията Microsoft NAP. В други случаи се прилагатрешения на трети страни, например системата PacketFence с отворенкод. Не разчитайте на скрити SSID Един от митовете при безжичната безопасност е, чеизключването на бродкаст изпращането на идентификатори забезжични мрежи (SSID) ще скрие вашата мрежа или поне самия SSIDидентификатор от хакерите. Такава опция обаче само отделя SSID отсигналните кадри на точките за достъп. Идентификаторите на мрежитепродължават да присъстват в заявките на асоциацията 802.11, а внякои случаи и в пакетите за проверка и отговорите на тези пакети.Затова „подслушвачът“ може да намери „скрита“ SSID доста бързо,особено в мрежи с голяма активност с помощта на легален анализаторна безжични мрежи. Битува и мнение, че изключването на публикуването на SSIDсъздава допълнително ниво на сигурност, но не трябва да се забравя,че това може да окаже негативно влияние върху бързодействието намрежите и да увеличи сложността на конфигурирането. Ще се наложиръчно въвеждане на SSID в клиентите, което допълнително усложняватяхната настройка. Освен това се увеличава броят на сондиращите и 23
  • 24. Безопасност и защита на Wi-Fi мрежи 2013ответни пакети, като по този начин се намалява достъпнатапропусквателна способност. Не се доверявайте на филтриране по MAC адрес Още един мит за защитата на безжични мрежи: включването нафилтриране по MAC адрес позволява да се създаде допълнително нивона сигурност, предотвратявайки допускането на външни клиенти домрежата. Това е вярно в известна степен, но трябва да помним, че приподслушване на трафика атакуващите лесно могат да разбератразрешените MAC адреси и да ги подправят на своите устройства. Затова не си струва да се разчита на надеждността на MACфилтрирането, макар че тази функция може да се ползва заограничаване на възможностите на потребителите да свързват къммрежите несанкционирани устройства и компютри. Трябва да се имапредвид и сложното управление и своевременно обновяване насписъка от MAC адреси. Ограничете набора от SSID, към който могат да сесвързват потребителите Много системни администратори пропускат наглед простия, нопотенциално сериозен риск: потребители, специално илинепреднамерено свързали се към съседна или несанкциониранабезжична мрежа, отварят своите компютри за възможно вражескопроникване. Един от способите да се предотврати тази опасност ефилтрирането на SSID. В Windows Vista и по-новите версии напримерможе да се създадат филтри на допустимите SSID с помощта накомандата nethsh wlan. На настолните PC-та могат да се забранятвсички SSID, освен вашата собствена безжична мрежа, а на лаптопитемогат просто да се забранят SSID на съседни мрежи, но да се запази 24
  • 25. Безопасност и защита на Wi-Fi мрежи 2013възможността за свързване към обществени зони за достъп илидомашни безжични мрежи. Не забравяйте за защитата на мобилните клиенти Грижите за безопасността на Wi-Fi не трябва да се ограничаватдо собствената мрежа на организацията. Потребители със смартфони итаблети може да са защитени, когато се намират в офиса, но какво щестане, когато те се свързват към обществени зони за безжичен достъпили към домашните си мрежи? Струва си да се помисли за защита и натези връзки от прониквания и подслушвания. За съжаление външните връзки през Wi-Fi се защитават по-трудно. За целта на потребителите трябва да се предоставят ипрепоръчат определени решения, а също така те да бъдат„просветени“ относно рисковете за безопасността и мерките за тяхнотонеутрализиране. Първо, на всички лаптопи трябва да работят персонални защитнистени (например WIndows Firewall) за предотвратяване напрониквания. При използване на Windows Server това може да станечрез съответната групова политика или с помощта на решения зауправление на невлизащи в домейна компютри, например WindowsIntune. Второ, трябва да се обезпечи шифроване на целия интернеттрафик на потребителите за защита от прихващане от външни мрежи.За целта достъпът на потребителите до мрежата на неговатаорганизация трябва да става само през виртуална частна мрежа. Акосистемният администратор не желае да предостави за такива целисобствената VPN на организацията, могат да се ползват и външниуслуги от типа на Hotsopt Shield или Witopia. В iOS (на iPhone, iPad иiPod Touch) и Android устройствата могат да се инсталират вградени 25
  • 26. Безопасност и защита на Wi-Fi мрежи 2013VPN клиенти. За ползване на VPN клиентите обаче устройствата набазата на платформата BlackBerry и Windows Phone 7 трябва да сеснабдите със сървър за обмен на съобщения. Трябва да се проследи и дали всички услуги на организацията,„гледащи“ в Интернет, са защитени — просто в случай, чепотребителят няма да ползва VPN, ако се намира в публична илинедоверена мрежа. Например ако организацията предоставя външендостъп до електронна поща (чрез пощенски клиент или Web), енеобходимо да се ползва SSL криптиране, така че да не се позволи налокален подслушвач в недоверената мрежа да проследидоверителните данни или съобщения на потребителя.2.5 Предимствата и недостатъците на Wi-FiПредимствата: Изграждането на мрежа без нужда от десетки (дори стотици)метри положен кабел. Всичко става бързо и лесно и добавянето илипремахването на точка е въпрос на секунди. Наред с това може да седвижите из сградата или помещението, без да се притеснявате далище ви стигне кабелът и дали няма да спънете някой колега с“опашката” си. Достъпност. За разлика отпреди 6–7 години, в момента Wi-Fiустройствата са много по-достъпни и на прилични цени.Възможностите стават все повече поради нарастването напредлаганите модели от най-различни производители. Роуминг. За разлика от клетъчните телефони, при Wi-Fi единниятстандарт позволява да използвате безжичните възможности насистемата си по цял свят, без да променяте нещо по хардуера. 26
  • 27. Безопасност и защита на Wi-Fi мрежи 2013 Сигурност. WPA и WPA2 позволяват високо ниво на защита насъздадената мрежа, особено при използване на дълъг и труден задекодиране ключ.Недостатъците: Интерференция. Използването на 2,4 GHz като работна честота“позволява” на някои видове безжични телефони, микровълновифурни или други устройства, работещи на тази честота, да влошаватили дори блокират Wi-Fi мрежата. Наличие на канали. Ограниченият брой канали за връзка в някоислучаи може да бъде голяма пречка за създаване на Wi-Fi мрежа. ВЕвропа са позволени два канала повече (общо 14), отколкото в САЩ. Повишена консумация. Това засяга повече притежателите намобилни системи, но е факт, че Wi-Fi устройствата използват повечемощност за поддържане на висока сила на сигнала и работнатаскорост. Ограниченост. Каквото и да говорим, Wi-Fi (според стандарта) сиима определен обхват и прехвърлянето му води до сериозновлошаване на връзката. Освен това наличието на преградидопълнително намалява силата на сигнала и оттам честотната лента. По-ниска сигурност. За разлика от LAN, при Wi-Fi възможносттаза пробив в сигурността е много по-голяма поради липсата нафизически прегради, да не говорим че някои потребители дори не сесещат да защитят мрежата си, понеже нямат опит при работа с Wi-Fi.Както обаче споменах по-горе в предимствата, използването насериозни ключове и WPA/WPA2 криптиране може да занижичувствително тази възможност. 27
  • 28. Безопасност и защита на Wi-Fi мрежи 2013Източници(http://bg.wikipedia.org/wiki/Wi-Fi)(http://www.wi-fi.org/)(http://www.windowsecurity.com/articles-tutorials/Wireless_Security/Wireless_Attacks_Primer.html)(http://en.wikipedia.org/wiki/Wireless) 28