Беспроводная безопасность - Wireless security

Пример Беспроводной маршрутизатор, который может реализовать беспроводная безопасность Особенности

Беспроводная безопасность предотвращение несанкционированного доступа или повреждения компьютеров или данных, использующих беспроводной сети, которые включают Сети Wi-Fi. Самый распространенный тип - Безопасность Wi-Fi, который включает Конфиденциальность, эквивалентная проводной сети (WEP) и Защищенный доступ Wi-Fi (WPA). WEP - общеизвестно слабый стандарт безопасности[нужна цитата ]: пароль, который он использует, часто можно взломать за несколько минут с помощью обычного портативного компьютера и широко доступных программных инструментов. WEP - это старый стандарт IEEE 802.11 1997 года,[1] который был заменен в 2003 году WPA, или защищенным доступом Wi-Fi. WPA был быстрой альтернативой для повышения безопасности по сравнению с WEP. Текущий стандарт - WPA2; Некоторое оборудование не может поддерживать WPA2 без обновления или замены прошивки. WPA2 использует устройство шифрования, которое шифрует сеть с помощью 256-битного ключа; большая длина ключа повышает безопасность по протоколу WEP. Предприятия часто обеспечивают безопасность, используя свидетельство -система для аутентификации подключаемого устройства в соответствии со стандартом 802.1X.

Многие портативные компьютеры имеют беспроводные карты предустановлен. Возможность подключиться к сети с мобильного телефона дает большие преимущества. Однако беспроводная сеть подвержена некоторым проблемам безопасности. Хакеры обнаружили, что беспроводные сети относительно легко взломать, и даже используют беспроводные технологии для взлома проводных сетей. В результате очень важно, чтобы предприятия определяли эффективные политики безопасности беспроводной сети, которые защищают от несанкционированного доступа к важным ресурсам.[2] Беспроводные системы предотвращения вторжений (WIPS) или Беспроводные системы обнаружения вторжений (WIDS) обычно используются для обеспечения соблюдения политик безопасности беспроводной сети.

Панель настроек безопасности для DD-WRT маршрутизатор

Риски для пользователей беспроводной технологии увеличились, поскольку услуга стала более популярной. Когда была впервые представлена ​​беспроводная технология, опасностей было относительно мало. Хакеры еще не успели освоиться с новой технологией, а беспроводные сети обычно не встречались на рабочем месте. Однако есть много рисков безопасности, связанных с текущими беспроводными протоколами и шифрование методы, а также в небрежности и незнании, которые существуют на уровне пользователей и корпоративных ИТ.[3] С появлением беспроводного доступа методы взлома стали намного более изощренными и инновационными. Взлом также стал намного проще и доступнее благодаря простому в использовании Windows - или же Linux - инструменты, предоставляемые в Интернете бесплатно.

Некоторые организации, у которых нет точки беспроводного доступа не считают, что они должны решать проблемы безопасности беспроводной сети. In-Stat MDR и META Group подсчитали, что 95% всех корпоративных портативных компьютеров, которые планировалось приобрести в 2005 году, были оснащены беспроводными картами. Проблемы могут возникнуть в предположительно не беспроводной организации, когда беспроводной портативный компьютер подключен к корпоративной сети. Хакер может сидеть на парковке и собирать информацию с нее с помощью портативных компьютеров и / или других устройств или даже взломать этот портативный компьютер с беспроводной картой и получить доступ к проводной сети.

Фон

Любой человек в пределах географического диапазона открытой незашифрованной беспроводной сети может "нюхать "или захватить и записать трафик, получить несанкционированный доступ к внутренним сетевым ресурсам, а также к Интернету, а затем использовать информацию и ресурсы для совершения разрушительных или незаконных действий. Такие нарушения безопасности стали серьезной проблемой как для корпоративных, так и для домашних сетей.

Если безопасность роутера не активирована или если владелец деактивирует ее для удобства, он создает бесплатный горячая точка. Поскольку большинство портативных компьютеров 21-го века имеют встроенную беспроводную сеть (см. Intel "Центрино "технологии), им не нужны сторонние адаптеры, такие как Карта PCMCIA или же USB ключ. Встроенная беспроводная сеть может быть включена по умолчанию, без ведома владельца, тем самым передавая доступность ноутбука к любому компьютеру поблизости.

Современные операционные системы, такие как Linux, macOS, или же Майкрософт Виндоус упростить настройку ПК в качестве "базовой станции" беспроводной локальной сети, используя Совместное использование подключения к Интернету, что позволяет всем ПК в доме получать доступ в Интернет через «базовый» ПК. Однако недостаток знаний среди пользователей о проблемах безопасности, связанных с настройкой таких систем, часто может позволить другим, находящимся поблизости, получить доступ к соединению. Такой "совмещение" обычно достигается без ведома оператора беспроводной сети; это может быть даже без ведома злоумышленника если их компьютер автоматически выбирает ближайшую незащищенную беспроводную сеть для использования в качестве точки доступа.

Ситуация угрозы

Основная статья: Компьютерная безопасность

Безопасность беспроводных сетей - это всего лишь аспект компьютерной безопасности; однако организации могут быть особенно уязвимы к нарушениям безопасности.[4] вызванный мошеннические точки доступа.

Если сотрудник (доверенное лицо) вносит Беспроводной маршрутизатор и подключает его к незащищенному коммутатору, вся сеть может быть открыта для всех в пределах досягаемости сигналов. Точно так же, если сотрудник добавляет беспроводной интерфейс к сетевому компьютеру с помощью открытого USB-порта, он может создать нарушение сетевая безопасность что позволит получить доступ к конфиденциальным материалам. Однако существуют эффективные меры противодействия (например, отключение открытых портов коммутатора во время настройки коммутатора и настройка VLAN для ограничения доступа к сети), которые доступны для защиты как сети, так и содержащейся в ней информации, но такие меры должны применяться единообразно ко всем сетевым устройствам.

Угрозы и уязвимости в промышленном контексте (M2M)

Из-за своей доступности и низкой стоимости использование технологий беспроводной связи увеличивается в областях, выходящих за пределы первоначально предполагаемых областей использования, например Связь M2M в промышленных приложениях. К таким промышленным приложениям часто предъявляются особые требования безопасности. Следовательно, важно понимать характеристики таких приложений и оценивать уязвимости, несущие наибольший риск в данном контексте. Доступна оценка этих уязвимостей и результирующие каталоги уязвимостей в промышленном контексте с учетом WLAN, NFC и ZigBee.[5]

Преимущество мобильности

Беспроводной сети очень распространены как для организаций, так и для частных лиц. Многие портативные компьютеры имеют беспроводные карты предустановлен. Возможность подключиться к сети с мобильного телефона дает большие преимущества. Однако беспроводная сеть подвержена некоторым проблемам безопасности.[6] Хакеры обнаружили, что беспроводные сети относительно легко взломать, и даже используют беспроводные технологии для взлома проводных сетей.[7] В результате очень важно, чтобы предприятия определяли эффективные политики безопасности беспроводной сети, которые защищают от несанкционированного доступа к важным ресурсам.[2] Беспроводные системы предотвращения вторжений (WIPS) или Беспроводные системы обнаружения вторжений (WIDS) обычно используются для обеспечения соблюдения политик безопасности беспроводной сети.

Риск повреждения радиоинтерфейса и ссылки

Когда впервые была представлена ​​беспроводная технология, опасностей было относительно мало, поскольку усилия по поддержанию связи были высоки, а попытки вторгнуться всегда выше. Разнообразие рисков для пользователей беспроводной технологии увеличилось по мере того, как услуга стала более популярной, а технология стала более доступной. Сегодня существует множество угроз безопасности, связанных с текущими беспроводными протоколами и шифрование методы, поскольку невнимательность и незнание существует на уровне пользователей и корпоративных ИТ.[3] С появлением беспроводных технологий методы взлома стали намного более изощренными и инновационными.

Режимы несанкционированного доступа

Режимы несанкционированного доступа к ссылкам, функциям и данным настолько же разнообразны, насколько соответствующие объекты используют программный код. Полноценной модели такой угрозы не существует. В некоторой степени предотвращение полагается на известные режимы и методы атаки и соответствующие методы подавления применяемых методов. Однако каждый новый режим работы будет создавать новые варианты угроз. Следовательно, профилактика требует постоянного стремления к улучшению. Описанные режимы атаки - это всего лишь снимок типовых методов и сценариев их применения.

Случайная ассоциация

Нарушение периметра безопасности корпоративной сети может происходить из-за различных методов и умыслов. Один из этих методов называется «случайное объединение». Когда пользователь включает компьютер и он подключается к точке беспроводного доступа из перекрывающейся сети соседней компании, пользователь может даже не знать, что это произошло. Тем не менее, это нарушение безопасности в том, что конфиденциальная информация компании раскрывается, и теперь может существовать ссылка от одной компании к другой. Это особенно актуально, если ноутбук также подключен к проводной сети.

Случайная ассоциация - это случай уязвимости беспроводной сети, называемый «неправильной ассоциацией».[8] Неправильное связывание может быть случайным, преднамеренным (например, для обхода корпоративного брандмауэра) или результатом умышленных попыток беспроводных клиентов выманить их для подключения к точкам доступа злоумышленника.

Вредоносная ассоциация

«Вредоносные ассоциации» - это когда злоумышленники могут активно заставить беспроводные устройства подключиться к корпоративной сети через свой портативный компьютер, а не через корпоративную точку доступа (AP). Эти типы ноутбуков известны как «программные точки доступа» и создаются, когда киберпреступник запускает некоторые программного обеспечения что делает его / ее беспроводную сетевую карту похожей на законную точку доступа. Как только вор получит доступ, он / она может украсть пароли, начать атаки на проводную сеть или установить трояны. Поскольку беспроводные сети работают на уровне 2, средства защиты уровня 3, такие как сетевая аутентификация и виртуальные частные сети (VPN) не создают препятствий. Беспроводная аутентификация 802.1X действительно помогает с некоторой защитой, но все же уязвима для взлома. Идея этого типа атаки может заключаться не в том, чтобы взломать VPN или другие меры безопасности. Скорее всего, преступник просто пытается завладеть клиентом на уровне 2 уровня.

Специальные сети

Для этого случая сети могут представлять угрозу безопасности. Одноранговые сети определяются как [одноранговые] сети между беспроводными компьютерами, между которыми нет точки доступа. Хотя эти типы сетей обычно имеют слабую защиту, для обеспечения безопасности можно использовать методы шифрования.[9]

Дыра в безопасности, создаваемая специальной сетью, - это не сама сеть Ad hoc, а мост, который она предоставляет в другие сети, обычно в корпоративной среде, и неудачные настройки по умолчанию в большинстве версий Microsoft Windows, чтобы эта функция была включена, если явно не отключена . Таким образом, пользователь может даже не знать, что на его компьютере работает незащищенная сеть Ad hoc. Если они одновременно используют проводную или беспроводную инфраструктурную сеть, они обеспечивают мост к защищенной сети организации через незащищенное одноранговое соединение. Бриджинг бывает двух форм. Прямой мост, который требует, чтобы пользователь действительно настроил мост между двумя соединениями и, таким образом, вряд ли будет инициирован, если явно не требуется, и косвенный мост, который является общими ресурсами на пользовательском компьютере. Непрямой мост может предоставлять частные данные, которые совместно используются с компьютера пользователя, для подключений к локальной сети, таких как общие папки или частное сетевое хранилище, не делая различий между аутентифицированными или частными соединениями и неаутентифицированными Ad-Hoc сетями. Это не представляет угроз, которые еще не были бы известны для открытых / общедоступных или незащищенных точек доступа Wi-Fi, но правила брандмауэра можно обойти в случае плохо настроенных операционных систем или локальных настроек.[10]

Нетрадиционные сети

Нетрадиционные сети, такие как персональная сеть Bluetooth устройства не защищены от взлома и должны рассматриваться как угроза безопасности. Четное считыватели штрих-кода, портативный КПК, а беспроводные принтеры и копировальные аппараты должны быть защищены. Эти нетрадиционные сети могут быть легко упущены из виду ИТ-персоналом, который сосредоточился только на портативных компьютерах и точках доступа.

Кража личных данных (подмена MAC)

Кража личных данных (или Подмена MAC ) происходит, когда хакер может прослушивать сетевой трафик и идентифицировать MAC-адрес компьютера с сетевые привилегии. Большинство беспроводных систем позволяют MAC-фильтрация чтобы разрешить только авторизованным компьютерам с определенными MAC ID получать доступ и использовать сеть. Однако существуют программы, в которых есть сеть «нюхать »Возможности. Объедините эти программы с другим программным обеспечением, которое позволяет компьютеру делать вид, что у него есть любой MAC-адрес, который желает хакер,[11] и хакер может легко обойти это препятствие.

Фильтрация MAC-адресов эффективна только для небольших жилых (SOHO) сетей, поскольку она обеспечивает защиту только тогда, когда беспроводное устройство находится «вне эфира». Любое устройство 802.11 "в эфире" свободно передает свой незашифрованный MAC-адрес в заголовках 802.11, и для его обнаружения не требуется специального оборудования или программного обеспечения. Любой, у кого есть приемник 802.11 (ноутбук и беспроводной адаптер) и бесплатный анализатор беспроводных пакетов, может получить MAC-адрес любого передающего устройства 802.11 в пределах досягаемости. В организационной среде, где большинство беспроводных устройств находится «в эфире» в течение активной рабочей смены, фильтрация MAC-адресов дает только ложное ощущение безопасности, поскольку предотвращает только «случайные» или непреднамеренные подключения к инфраструктуре организации и не делает ничего для предотвращения направленная атака.

Атаки "человек посередине"

А человек посередине злоумышленник побуждает компьютеры войти в компьютер, который настроен как программная точка доступа (Точка доступа ). Как только это будет сделано, хакер подключается к реальной точке доступа через другую беспроводную карту, обеспечивая постоянный поток трафика через прозрачный компьютер для взлома в реальную сеть. Затем хакер может прослушивать трафик. Один из типов атак типа «злоумышленник в середине» основан на сбоях безопасности в протоколах вызова и рукопожатия для выполнения «атаки деаутентификации». Эта атака вынуждает компьютеры, подключенные к точке доступа, разрывать свои соединения и повторно подключаться к программной точке доступа хакера (отключает пользователя от модема, поэтому им приходится снова подключаться, используя свой пароль, который можно извлечь из записи события). Атаки посередине усиливаются такими программами, как LANjack и AirJack которые автоматизируют несколько этапов процесса, то есть то, что когда-то требовало определенных навыков, теперь может быть выполнено Сценарий детишек. Горячие точки особенно уязвимы для любых атак, поскольку в этих сетях практически отсутствует безопасность.

Отказ в обслуживании

А Атака отказа в обслуживании (DoS) возникает, когда злоумышленник постоянно бомбардирует целевую точку доступа (Точка доступа ) или сеть с поддельными запросами, сообщениями об успешном преждевременном подключении, сообщениями об ошибках и / или другими командами. Это приводит к тому, что законные пользователи не могут подключиться к сети и даже могут вызвать сбой сети. Эти атаки основаны на злоупотреблении протоколами, такими как Расширяемый протокол аутентификации (EAP).

Атака DoS сама по себе мало что делает для того, чтобы раскрыть данные организации для злоумышленника, поскольку прерывание сети предотвращает поток данных и фактически косвенно защищает данные, предотвращая их передачу. Обычная причина выполнения DoS-атаки - наблюдение за восстановлением беспроводной сети, во время которого все начальные коды подтверждения повторно передаются всеми устройствами, что дает злоумышленнику возможность записать эти коды и использовать различные инструменты взлома. анализировать слабые места в системе безопасности и использовать их для получения несанкционированного доступа к системе. Это лучше всего работает в системах со слабым шифрованием, таких как WEP, где имеется ряд доступных инструментов, которые могут запускать атаку по словарю с использованием «возможно принятых» ключей безопасности на основе «модельного» ключа безопасности, захваченного во время восстановления сети.

Сетевая инъекция

При атаке сетевого внедрения хакер может использовать точки доступа, которые подвергаются нефильтрованному сетевому трафику, в частности, широковещательно транслируя сетевой трафик, такой как «Связующее дерево ”(802.1D), OSPF, РВАТЬ, и HSRP. Хакер вводит фиктивные команды изменения конфигурации сети, которые влияют на маршрутизаторы, коммутаторы и интеллектуальные концентраторы. Таким образом можно вывести из строя всю сеть и потребовать перезагрузки или даже перепрограммирования всех интеллектуальных сетевых устройств.

Caffe Latte Атака

Атака Caffe Latte - еще один способ победить WEP. Злоумышленнику не обязательно находиться в зоне поражения сеть используя этот эксплойт. Используя процесс, нацеленный на Windows беспроводной стек, можно получить WEP ключ от удаленного клиента.[12] Отправив поток зашифрованных ARP запросов, злоумышленник использует преимущества аутентификации с общим ключом и ошибки модификации сообщения в 802.11 WEP. Злоумышленник использует ответы ARP для получения ключа WEP менее чем за 6 минут.[13]

Концепции предотвращения беспроводных вторжений

Есть три основных способа защиты беспроводной сети.

  • Для закрытых сетей (например, домашних пользователей и организаций) наиболее распространенным способом является настройка ограничений доступа в точки доступа. Эти ограничения могут включать шифрование и проверку MAC-адрес. Беспроводные системы предотвращения вторжений может использоваться для обеспечения безопасности беспроводной локальной сети в этой сетевой модели.
  • Для коммерческих поставщиков, горячие точки, и в крупных организациях предпочтительным решением часто является открытая и незашифрованная, но полностью изолированная беспроводная сеть. Сначала пользователи не будут иметь доступа к Интернету или каким-либо ресурсам локальной сети. Коммерческие провайдеры обычно перенаправляют весь веб-трафик на плененный портал который предусматривает оплату и / или авторизацию. Другое решение - потребовать от пользователей безопасного подключения к привилегированной сети с помощью VPN.
  • Беспроводные сети менее безопасны, чем проводные; во многих офисах злоумышленники могут легко посетить и без проблем подключить свой компьютер к проводной сети, получив доступ к сети, а также часто удаленные злоумышленники могут получить доступ к сети через бэкдоры подобно Заднее отверстие. Одним из общих решений может быть сквозное шифрование с независимой аутентификацией на всех ресурсах, которые не должны быть общедоступными.

Не существует готовой системы для предотвращения мошенничества при использовании беспроводной связи или для защиты данных и функций с компьютерами и другими объектами, поддерживающими беспроводную связь. Однако существует система классификации принятых мер в целом в соответствии с общим пониманием того, что следует рассматривать как современное состояние. Система квалификации - это международный консенсус, как указано в ISO / IEC 15408.

Беспроводная система предотвращения вторжений

Основная статья: Беспроводная система предотвращения вторжений

А Беспроводная система предотвращения вторжений (WIPS) - это концепция наиболее надежного способа противодействия угрозам безопасности беспроводной сети.[14] Однако такого WIPS не существует в виде готового решения для реализации в виде программного пакета. WIPS обычно реализуется как наложение на существующий Беспроводная сеть инфраструктуры, хотя ее можно развернуть автономно для обеспечения соблюдения политик запрета беспроводной связи в организации. WIPS считается настолько важным для безопасности беспроводной сети, что в июле 2009 г. Совет по стандартам безопасности индустрии платежных карт опубликованные правила беспроводной связи[15] за PCI DSS рекомендовать использование WIPS для автоматизации беспроводного сканирования и защиты для крупных организаций.

Меры безопасности

Существует ряд мер безопасности беспроводной связи, различной эффективности и практичности.

SSID скрывается

Дальнейшая информация: SSID § Безопасность скрытия SSID, и Маскировка сети

Простой, но неэффективный метод защиты беспроводной сети - скрыть SSID (Идентификатор набора услуг).[16] Это обеспечивает очень слабую защиту от чего-либо, кроме самых случайных попыток вторжения.

Фильтрация MAC ID

Один из самых простых способов - это только разрешить доступ с известных, предварительно утвержденных MAC-адресов. Большинство точек беспроводного доступа содержат MAC Идентификационная фильтрация. Однако злоумышленник может просто прослушать MAC-адрес авторизованного клиента и подделать этот адрес.

Статическая IP-адресация

Типичные точки беспроводного доступа обеспечивают IP-адреса клиентам через DHCP. Требование от клиентов устанавливать свои собственные адреса затрудняет случайному или неискушенному злоумышленнику вход в сеть, но обеспечивает слабую защиту от опытного злоумышленника.[16]

Безопасность 802.11

Основная статья: IEEE 802.1X

IEEE 802.1X - это Стандарт IEEE аутентификация механизмы для устройств, желающих подключиться к беспроводной локальной сети.

Обычный WEP

Основная статья: Конфиденциальность, эквивалентная проводной сети

Защита, эквивалентная проводной сети (WEP) шифрование Стандарт был исходным стандартом шифрования для беспроводных сетей, но с 2004 г. WPA2 IEEE объявил его "устаревшим",[17] и хотя часто поддерживается, он редко или никогда не используется по умолчанию на современном оборудовании.

Опасения по поводу его безопасности высказывались еще в 2001 году.[18] драматически продемонстрированный в 2005 г. ФБР,[19] еще в 2007 году T.J. Maxx признал серьезное нарушение безопасности, частично из-за использования WEP[20] и Индустрия платежных карт потребовалось до 2008 года, чтобы запретить его использование, и даже тогда разрешили существующее использование продолжаться до июня 2010 года.[21]

WPAv1

Основная статья: Защищенный доступ Wi-Fi

В Защищенный доступ Wi-Fi Протоколы безопасности (WPA и WPA2) были позже созданы для решения проблем с WEP. Если используется слабый пароль, например словарное слово или короткая строка символов, WPA и WPA2 могут быть взломаны. Использование достаточно длинного случайного пароля (например, 14 случайных букв) или кодовая фраза (например, 5 случайно выбранные слова ) делает предварительный общий ключ WPA практически невозможно взломать. Второе поколение протокола безопасности WPA (WPA2) основано на окончательном IEEE 802.11i поправка к 802.11 стандарт и имеет право на FIPS 140-2 согласие. Со всеми этими схемами шифрования любой клиент в сети, который знает ключи, может читать весь трафик.

Защищенный доступ Wi-Fi (WPA) - это усовершенствованная версия программного и микропрограммного обеспечения по сравнению с WEP. Все обычное WLAN-оборудование, работающее с WEP, можно просто модернизировать и не нужно покупать новое оборудование. WPA - это урезанная версия 802.11i стандарт безопасности, разработанный IEEE 802.11 на замену WEP. В TKIP алгоритм шифрования был разработан для WPA, чтобы обеспечить улучшения WEP, которые можно было использовать как прошивка обновления существующих устройств 802.11. Профиль WPA также обеспечивает дополнительную поддержку для AES-CCMP алгоритм, который является предпочтительным алгоритмом в 802.11i и WPA2.

WPA Enterprise предоставляет РАДИУС аутентификация на основе 802.1X. WPA Personal использует заранее предоставленный общий ключ (PSK ), чтобы установить безопасность, используя парольную фразу от 8 до 63 символов. PSK также можно ввести как шестнадцатеричную строку из 64 символов. Слабые парольные фразы PSK можно взломать с помощью автономных атак по словарю, перехватывая сообщения в четырехстороннем обмене, когда клиент повторно подключается после деаутентификации. Беспроводные комплекты, такие как Aircrack-ng может взломать слабую парольную фразу менее чем за минуту. Другие взломщики WEP / WPA: AirSnort и Коллекция Auditor Security.[22] Тем не менее, WPA Personal безопасен при использовании с «правильными» парольными фразами или полным 64-символьным шестнадцатеричным ключом.

Однако была информация, что Эрик Тьюс (человек, создавший атаку фрагментации против WEP) собирался раскрыть способ взлома реализации WPA TKIP на конференции по безопасности PacSec в Токио в ноябре 2008 года, взломав шифрование пакета за 12–15 минут.[23] Тем не менее, объявление об этой «трещине» было несколько преувеличено в СМИ, поскольку по состоянию на август 2009 г. лучшая атака на WPA (атака Beck-Tews) была успешной лишь частично, так как она работает только с короткими пакетами данных, она не может расшифровать ключ WPA, и для его работы требуются очень специфические реализации WPA.[24]

Дополнения к WPAv1

Помимо WPAv1, TKIP, WIDS и EAP может быть добавлен рядом. Также, VPN -сети (непостоянные безопасные сетевые соединения) могут быть настроены в соответствии со стандартом 802.11. Реализации VPN включают PPTP, L2TP, IPsec и SSH. Однако этот дополнительный уровень безопасности также можно взломать с помощью таких инструментов, как Anger, Deceit и Ettercap для PPTP;[25] и ike-scan, IKEProbe, ipsectrace, и IKEcrack для IPsec-соединений.

TKIP
Основная статья: Протокол целостности временного ключа

Это расшифровывается как Temporal Key Integrity Protocol, а аббревиатура произносится как tee-kip. Это часть стандарта IEEE 802.11i. TKIP реализует смешивание ключей для каждого пакета с системой смены ключей, а также обеспечивает проверку целостности сообщения. Это позволяет избежать проблем с WEP.

EAP

WPA-улучшение по сравнению с IEEE Стандарт 802.1X уже улучшил аутентификацию и авторизацию для доступа к беспроводным и проводным сетям. LAN. В дополнение к этому, дополнительные меры, такие как Расширяемый протокол аутентификации (EAP) инициировали еще большую безопасность. Это связано с тем, что EAP использует центральный сервер аутентификации. К сожалению, в 2002 году профессор из Мэриленда обнаружил некоторые недостатки.[нужна цитата ]. В течение следующих нескольких лет эти недостатки были устранены с использованием TLS и других усовершенствований.[26] Эта новая версия EAP теперь называется Extended EAP и доступна в нескольких версиях; к ним относятся: EAP-MD5, PEAPv0, PEAPv1, EAP-MSCHAPv2, LEAP, EAP-FAST, EAP-TLS, EAP-TTLS, MSCHAPv2 и EAP-SIM.

EAP-версии

EAP-версии включают LEAP, PEAP и другие EAP.

ПРЫГНУТЬ

Основная статья: Легкий расширяемый протокол аутентификации

Это сокращение от Lightweight Extensible Authentication Protocol. Этот протокол основан на 802.1X и помогает минимизировать исходные недостатки безопасности за счет использования WEP и сложной системы управления ключами. Эта EAP-версия безопаснее, чем EAP-MD5. При этом также используется аутентификация по MAC-адресу. LEAP небезопасен; THC-LeapCracker можно использовать, чтобы сломать Cisco Версия LEAP и может использоваться против компьютеров, подключенных к точке доступа, в виде словарная атака. Anwrap и спать наконец, есть другие взломщики, способные взломать LEAP.[22]

PEAP

Основная статья: Защищенный расширяемый протокол аутентификации

Это расшифровывается как Protected Extensible Authentication Protocol. Этот протокол обеспечивает безопасную транспортировку данных, паролей и ключей шифрования без необходимости использования сервера сертификатов. Это было разработано Cisco, Microsoft и RSA Безопасность.

Другие EAPСуществуют и другие типы реализаций расширяемого протокола аутентификации, основанные на структуре EAP. Созданная структура поддерживает существующие типы EAP, а также будущие методы аутентификации.[27] EAP-TLS предлагает очень хорошую защиту благодаря взаимной аутентификации. И клиент, и сеть аутентифицируются с помощью сертификатов и ключей WEP для каждого сеанса.[28] EAP-FAST также предлагает хорошую защиту. EAP-TTLS - еще одна альтернатива, разработанная Certicom и Funk Software. Это более удобно, поскольку не нужно распространять сертификаты среди пользователей, но обеспечивает немного меньшую защиту, чем EAP-TLS.[29]

Сети с ограниченным доступом

Решения включают новую систему для аутентификация, IEEE 802.1X, который обещает повысить безопасность как в проводных, так и в беспроводных сетях. Точки беспроводного доступа, использующие подобные технологии, часто также имеют маршрутизаторы встроенный, таким образом становясь беспроводные шлюзы.

Сквозное шифрование

Можно утверждать, что оба слой 2 и слой 3 методов шифрования недостаточно для защиты ценных данных, таких как пароли и личные электронные письма. Эти технологии добавляют шифрование только к частям пути связи, по-прежнему позволяя людям шпионить за трафиком, если они каким-то образом получили доступ к проводной сети. Решением может быть шифрование и авторизация в прикладной уровень, используя такие технологии, как SSL, SSH, GnuPG, PGP и тому подобное.

Недостаток сквозного метода в том, что он может не покрыть весь трафик. Используя шифрование на уровне маршрутизатора или VPN, один коммутатор шифрует весь трафик, даже запросы UDP и DNS. С другой стороны, при сквозном шифровании для каждой защищаемой службы должно быть «включено» шифрование, и часто каждое соединение также должно быть «включено» отдельно. Для отправки электронных писем каждый получатель должен поддерживать метод шифрования и правильно обмениваться ключами. Для Интернета не все веб-сайты предлагают https, и даже если они есть, браузер отправляет IP-адреса в виде открытого текста.

Часто самый ценный ресурс - это доступ в Интернет. Владелец офисной локальной сети, стремящийся ограничить такой доступ, столкнется с нетривиальной задачей принудительного применения, заключающейся в том, что каждый пользователь аутентифицируется для маршрутизатора.

Безопасность 802.11i

Самым новым и наиболее строгим средством обеспечения безопасности, реализуемым на сегодняшний день в WLAN, является стандарт 802.11i RSN. Этот полноценный стандарт 802.11i (который использует WPAv2), однако, требует новейшего оборудования (в отличие от WPAv1), что потенциально требует покупки нового оборудования. Это новое необходимое оборудование может быть либо AES-WRAP (ранняя версия 802.11i), либо более новым и лучшим оборудованием AES-CCMP. Следует убедиться, что требуется оборудование WRAP или CCMP, поскольку два стандарта оборудования несовместимы.

WPAv2

Основная статья: IEEE 802.11i

WPA2 это версия окончательного стандарта 802.11i под брендом WiFi Alliance.[30] Основное улучшение по сравнению с WPA - это включение AES-CCMP алгоритм как обязательный признак. И WPA, и WPA2 поддерживают методы аутентификации EAP с использованием серверов RADIUS и предварительного общего ключа (PSK).

Количество сетей WPA и WPA2 увеличивается, а количество сетей WEP уменьшается,[31] из-за уязвимостей безопасности в WEP.

Было обнаружено, что в WPA2 есть как минимум одна уязвимость безопасности, получившая название Hole196. Уязвимость использует WPA2 Group Temporal Key (GTK), который является общим ключом для всех пользователей одного и того же BSSID, запускать атаки на других пользователей того же BSSID. Он назван в честь страницы 196 спецификации IEEE 802.11i, где обсуждается уязвимость. Чтобы использовать этот эксплойт, злоумышленник должен знать GTK.[32]

Дополнения к WPAv2

В отличие от 802.1X, 802.11i уже имеет большинство других дополнительных служб безопасности, таких как TKIP. Как и WPAv1, WPAv2 может работать в сотрудничестве с EAP и WIDS.

WAPI

Основная статья: Инфраструктура аутентификации и конфиденциальности WLAN

Это расшифровывается как WLAN Authentication and Privacy Infrastructure. Это стандарт безопасности беспроводной сети, определенный Китайский правительство.

Смарт-карты, USB-токены и программные токены

Это очень сильная форма безопасности. В сочетании с некоторым серверным программным обеспечением аппаратная или программная карта или токен будет использовать свой внутренний идентификационный код в сочетании с введенным пользователем ШТЫРЬ создать мощный алгоритм, который очень часто будет генерировать новый код шифрования. Сервер будет синхронизирован по времени с картой или токеном. Это очень безопасный способ беспроводной передачи. Компании в этой области производят USB-токены, программные токены и смарт-карты. Они даже делают версии оборудования, которые можно использовать в качестве значка с изображением сотрудника. В настоящее время самыми безопасными мерами безопасности являются смарт-карты / USB-токены. Однако это дорого. Следующие самые безопасные методы - это WPA2 или WPA с сервером RADIUS. Любой из этих трех пунктов обеспечит хорошую основу для безопасности. Третий пункт в списке - информировать сотрудников и подрядчиков о рисках безопасности и личных профилактических мерах. ИТ-задача также состоит в том, чтобы постоянно обновлять базу знаний сотрудников компании о любых новых опасностях, которых им следует опасаться. Если сотрудники образованы, вероятность того, что кто-либо случайно нарушит систему безопасности, не заблокирует свой ноутбук или не принесет широко открытую домашнюю точку доступа, чтобы расширить диапазон действия своей мобильной связи, будет гораздо ниже. Сотрудники должны быть осведомлены о том, что безопасность корпоративных портативных компьютеров распространяется и за пределы их служебных помещений. Сюда входят такие места, как кофейни, где работники могут быть наиболее уязвимыми. Последний пункт в списке касается круглосуточных активных мер защиты, обеспечивающих безопасность и соответствие корпоративной сети. Это может принимать форму регулярного просмотра журналов точки доступа, сервера и брандмауэра, чтобы попытаться обнаружить любую необычную активность. Например, если какие-либо большие файлы пройдут через точку доступа рано утром, потребуется серьезное расследование инцидента. Существует ряд программных и аппаратных устройств, которые можно использовать для дополнения обычных журналов и других обычных мер безопасности.

Радиочастотное экранирование

В некоторых случаях целесообразно нанести специальную краску для стен и оконную пленку в комнату или здание, чтобы значительно ослабить беспроводные сигналы, что препятствует распространению сигналов за пределы объекта. Это может значительно повысить безопасность беспроводной сети, поскольку хакерам сложно принимать сигналы за пределами контролируемой зоны объекта, например, с парковки.[33]

Защита от отказа в обслуживании

Большинство DoS-атак легко обнаружить. Однако многие из них сложно остановить даже после обнаружения. Вот три наиболее распространенных способа остановить DoS-атаку.

Черная дыра

Черная дыра - это один из возможных способов остановить DoS-атаку. Это ситуация, когда мы отбрасываем все IP-пакеты от злоумышленника. Это не очень хорошая долгосрочная стратегия, потому что злоумышленники могут очень быстро изменить свой исходный адрес.

Это может иметь негативные последствия, если делать это автоматически. Злоумышленник может сознательно подделать пакеты атаки с помощью IP-адреса корпоративного партнера. Автоматическая защита может заблокировать законный трафик от этого партнера и вызвать дополнительные проблемы.

Проверка рукопожатия

Проверка рукопожатия включает создание ложных открытий, а не выделение ресурсов до тех пор, пока отправитель не подтвердит. Некоторые брандмауэры устраняют SYN-флуды путем предварительной проверки установления связи TCP. Это делается путем создания ложных открытий. Каждый раз, когда приходит сегмент SYN, межсетевой экран отправляет обратно сегмент SYN / ACK, не передавая сегмент SYN на целевой сервер.

Только когда брандмауэр вернет ACK, что может произойти только при легитимном соединении, брандмауэр отправит исходный сегмент SYN на сервер, для которого он был первоначально предназначен. Брандмауэр не выделяет ресурсы для соединения при поступлении сегмента SYN, поэтому обработка большого количества ложных сегментов SYN является лишь небольшой нагрузкой.

Ограничение скорости

Ограничение скорости может использоваться для уменьшения определенного типа трафика до объема, с которым можно разумно справиться. Широковещательную передачу во внутреннюю сеть можно было бы использовать, но, например, с ограниченной скоростью. Это для более тонких DoS-атак. Это хорошо, если атака направлена ​​на один сервер, потому что при этом линии передачи хотя бы частично остаются открытыми для других коммуникаций.

Ограничение скорости расстраивает как злоумышленника, так и законных пользователей. Это помогает, но не решает проблему полностью. Как только трафик DoS забивает линию доступа, ведущую в Интернет, пограничный брандмауэр ничего не может сделать, чтобы исправить ситуацию. Большинство DoS-атак - это проблемы сообщества, которые можно остановить только с помощью интернет-провайдеров и организаций, чьи компьютеры используются как боты и используются для атак на другие фирмы.

Мобильные устройства

Основная статья: Мобильная безопасность

С увеличением количества мобильных устройств с интерфейсами 802.1X безопасность таких мобильных устройств становится проблемой. Хотя открытые стандарты, такие как Kismet, нацелены на защиту ноутбуков,[34] Решения точек доступа должны распространяться также на мобильные устройства. Хост-решения для мобильных телефонов и КПК с интерфейсом 802.1X.

Безопасность мобильных устройств можно разделить на три категории:

  1. Защита от одноранговых сетей
  2. Подключение к мошенническим точкам доступа
  3. Схемы взаимной аутентификации, такие как WPA2, как описано выше

Беспроводной IPS решения теперь предлагают беспроводную безопасность для мобильных устройств.[35]

Мобильные устройства для наблюдения за пациентами становятся неотъемлемой частью индустрии здравоохранения, и в конечном итоге эти устройства станут предпочтительным методом доступа и проведения проверок состояния здоровья пациентов, находящихся в отдаленных районах. Для этих типов систем мониторинга пациентов безопасность и надежность имеют решающее значение, поскольку они могут влиять на состояние пациентов и оставлять медицинских специалистов в неведении относительно состояния пациента в случае нарушения.[36]

Реализация сетевого шифрования

Чтобы реализовать 802.11i, необходимо сначала убедиться, что маршрутизатор / точка (и) доступа, а также все клиентские устройства действительно оснащены для поддержки сетевого шифрования. Если это будет сделано, сервер, например РАДИУС, ОБЪЯВЛЕНИЯ, NDS, или же LDAP необходимо интегрировать. Этот сервер может быть компьютером в локальной сети, точкой доступа / маршрутизатором со встроенным сервером аутентификации или удаленным сервером. Точки доступа / маршрутизаторы со встроенными серверами аутентификации часто очень дороги и особенно подходят для коммерческого использования, например горячие точки. Размещенные через Интернет серверы 802.1X требуют ежемесячной платы; работа с частным сервером бесплатна, но имеет тот недостаток, что его необходимо настроить и сервер должен быть постоянно включен.[37]

Для настройки сервера необходимо установить серверное и клиентское программное обеспечение. Требуется серверное программное обеспечение сервер аутентификации предприятия например, RADIUS, ADS, NDS или LDAP. Требуемое программное обеспечение можно выбрать у различных поставщиков, таких как Microsoft, Cisco, Funk Software, Meetinghouse Data, а также из некоторых проектов с открытым исходным кодом. Программное обеспечение включает:

Клиентское программное обеспечение встроено в Windows XP и может быть интегрировано в другие ОС с помощью любого из следующих программ:

  • AEGIS-клиент
  • Cisco ACU-клиент
  • Программное обеспечение Intel PROSet / Wireless
  • Клиент Odyssey
  • Xsupplicant (open1X )-проект

РАДИУС

Основная статья: РАДИУС

Служба удаленной аутентификации для пользователей с телефонным подключением (РАДИУС) - это Протокол AAA (аутентификация, авторизация и учет) используется для удаленного доступа к сети. RADIUS изначально был проприетарным, но позже был опубликован в соответствии с документами ISOC. RFC 2138 и RFC 2139. Идея состоит в том, чтобы внутренний сервер действовал как привратник, проверяя личность с помощью имени пользователя и пароля, которые уже предварительно определены пользователем. Сервер RADIUS также может быть настроен для обеспечения соблюдения политик и ограничений пользователей, а также для записи учетной информации, такой как время соединения, для таких целей, как выставление счетов.

Открытые точки доступа

Сегодня во многих городских районах есть почти полное покрытие беспроводной сети - инфраструктура для беспроводная сеть сообщества (который некоторые считают будущим Интернета[ВОЗ? ]) уже на месте. Можно было бы перемещаться и всегда быть подключенным к Интернету, если бы узлы были открыты для публики, но из-за проблем безопасности большинство узлов зашифровано, и пользователи не знают, как отключить шифрование. Много людей[ВОЗ? ] Считайте правильным этикетом оставлять точки доступа открытыми для публики, предоставляя свободный доступ в Интернет. Другие[ВОЗ? ] считают, что шифрование по умолчанию обеспечивает существенную защиту при небольших неудобствах от опасностей открытого доступа, которые, как они опасаются, могут быть существенными даже на домашнем маршрутизаторе DSL.

Плотность точек доступа может даже стать проблемой - количество доступных каналов ограничено, и они частично перекрываются. Каждый канал может обрабатывать несколько сетей, но в местах с большим количеством частных беспроводных сетей (например, в многоквартирных домах) ограниченное количество радиоканалов Wi-Fi может вызвать медленную работу и другие проблемы.

По мнению сторонников открытых точек доступа, открытие беспроводных сетей для общественности не должно сопряжено с серьезными рисками:

  • В конце концов, беспроводная сеть ограничена небольшой географической областью. Компьютер, подключенный к Интернету и имеющий неправильную конфигурацию или другие проблемы с безопасностью, может использоваться кем угодно из любой точки мира, в то время как только клиенты в небольшом географическом диапазоне могут использовать открытую точку беспроводного доступа. Таким образом, открытые точки беспроводного доступа подвержены незначительному риску и риски, связанные с открытой беспроводной сетью, невелики. Однако следует знать, что открытый беспроводной маршрутизатор предоставит доступ к локальной сети, часто включая доступ к общим папкам и принтерам.
  • Единственный способ сохранить безопасность общения - это использовать сквозное шифрование. Например, при доступе к интернет-банку можно почти всегда использовать надежное шифрование от веб-браузера до самого банка - таким образом, делать банковские операции через незашифрованную беспроводную сеть не должно быть рискованно. Аргумент состоит в том, что любой может обнюхивать трафик, это относится и к проводным сетям, где системные администраторы и возможные хакеры имеют доступ к ссылкам и могут читать трафик. Кроме того, любой, кто знает ключи для зашифрованной беспроводной сети, может получить доступ к данным, передаваемым по сети.
  • Если в локальной сети доступны такие службы, как общие файлы, доступ к принтерам и т. Д., Рекомендуется иметь аутентификацию (то есть по паролю) для доступа к ней (никогда не следует предполагать, что частная сеть недоступна извне). Правильно настроенный, он должен быть безопасным для доступа к локальной сети посторонним.
  • Благодаря наиболее популярным сегодня алгоритмам шифрования, сниффер обычно может вычислить сетевой ключ за несколько минут.
  • Очень распространено платить фиксированную ежемесячную плату за подключение к Интернету, а не за трафик - таким образом, дополнительный трафик не будет вредным.
  • Там, где подключение к Интернету много и дешево, халявщики редко причиняют серьезный вред.

С другой стороны, в некоторых странах, включая Германию,[38] лица, предоставляющие открытую точку доступа, могут нести (частичную) ответственность за любую незаконную деятельность, осуществляемую через эту точку доступа. Кроме того, во многих контрактах с интернет-провайдерами указано, что соединение не может использоваться совместно с другими людьми.

Смотрите также

Рекомендации

  1. ^ IEEE - 802.11-1997 Информационные технологии - телекоммуникации и обмен информацией между системами - требования, специфичные для локальных и городских сетей - часть 11: Характеристики управления доступом к среде беспроводной локальной сети (MAC) и физического уровня (PHY). 1997. Дои:10.1109 / IEEESTD.1997.85951. ISBN  978-0-7381-3044-6.
  2. ^ а б «Как: определить политики безопасности беспроводной сети». Получено 2008-10-09.
  3. ^ а б «Учебник по безопасности беспроводной связи (часть II)». windowsecurity.com. 2003-04-23. Получено 2008-04-27.
  4. ^ «Собираем вместе элементы безопасности WLAN». pcworld.com. 2008-10-30. Получено 2008-10-30.
  5. ^ «УЯЗВИМОСТИ БЕЗОПАСНОСТИ И РИСКИ ПРИ ПРОМЫШЛЕННОМ ИСПОЛЬЗОВАНИИ БЕСПРОВОДНОЙ СВЯЗИ». IEEE ETFA 2014 - 19-я Международная конференция IEEE по новейшим технологиям и автоматизации производства. Получено 2014-08-04.
  6. ^ «Советы по сетевой безопасности». Cisco. Получено 2011-04-19.
  7. ^ «Скрытая обратная сторона беспроводной сети». Получено 2010-10-28.
  8. ^ «Основные причины, по которым корпоративные клиенты WiFi подключаются к неавторизованным сетям». InfoSecurity. 2010-02-17. Получено 2010-03-22.
  9. ^ Маргарет Роуз. «Шифрование». TechTarget. Получено 26 мая 2015.
  10. ^ Брэйдли Митчелл. «Что такое режим Ad-Hoc в беспроводной сети?». о технологиях. Получено 26 мая 2015.
  11. ^ "Устройство смены MAC-адресов SMAC 2.0". klcconsulting.com. Получено 2008-03-17.
  12. ^ Лиза Файфер. «Атака кофе-латте: как она работает - и как ее заблокировать». wi-fiplanet.com. Получено 2008-03-21.
  13. ^ "Caffe Latte с бесплатным добавлением взломанного WEP: получение ключей WEP от Road-Warriors". Получено 2008-03-21.
  14. ^ «Официальный сайт Совета по стандартам безопасности PCI - проверка соответствия требованиям PCI, безопасности загрузки данных и стандартов безопасности кредитных карт».
  15. ^ «Рекомендации по беспроводной связи PCI DSS» (PDF). Получено 2009-07-16.
  16. ^ а б «Шесть самых глупых способов защитить беспроводную локальную сеть», Джордж Оу, март 2005 г., ZDNet
  17. ^ "Что такое ключ WEP?". lirent.net. Получено 2008-03-11.
  18. ^ [например. «Слабые стороны алгоритма планирования ключей RC4» Флюрера, Мантина и Шамира
  19. ^ «ФБР преподает урок, как взломать сети Wi-Fi», informationweek.com
  20. ^ "Анализируя Fiasco безопасности данных TJ Maxx", Общество CPA штата Нью-Йорк
  21. ^ «PCI DSS 1.2».
  22. ^ а б Взлом беспроводных сетей для чайников
  23. ^ Роберт Макмиллан. «Когда-то считавшееся безопасным, шифрование WPA Wi-Fi взломано». IDG. Получено 2008-11-06.
  24. ^ Нейт Андерсон (2009). «Одноминутный взлом Wi-Fi оказывает дополнительное давление на WPA». Ars Technica. Получено 2010-06-05.
  25. ^ Кевин Бивер; Питер Т. Дэвис; Девин К. Акин (09.05.2011). Взлом беспроводных сетей для чайников. п. 295. ISBN  978-1-118-08492-2.
  26. ^ «Обзор расширяемого протокола аутентификации». TechNet. Получено 26 мая 2015.
  27. ^ «Обзор расширяемого протокола аутентификации». Microsoft TechNet. Получено 2008-10-02.
  28. ^ Джошуа Бардуэлл; Девин Акин (2005). Официальное руководство CWNA (Третье изд.). Макгроу-Хилл. п. 435. ISBN  978-0-07-225538-6.
  29. ^ Джордж Оу. «Полное руководство по безопасности беспроводной сети: учебник по аутентификации Cisco EAP-FAST». TechRepublic. Архивировано из оригинал на 2012-07-07. Получено 2008-10-02.
  30. ^ «Защищенный доступ Wi-Fi». Wi-Fi Альянс. Архивировано из оригинал 21 мая 2007 г.. Получено 2008-02-06.
  31. ^ "WiGLE - Беспроводная система регистрации географических данных - Статистика".
  32. ^ "Уязвимость WPA2 Hole196". 2019-01-28.
  33. ^ «Как повысить безопасность беспроводной сети с помощью экранирования». Получено 2008-10-09.
  34. ^ "Что такое Кисмет?". kismetwireless.net. Получено 2008-02-06.
  35. ^ «Решение для обеспечения безопасности беспроводной сети конечных точек обеспечивает ИТ-контроль с гибкостью пользователя». newsblaze.com. Получено 2008-03-03.
  36. ^ Хамиш Малхотра; Стивен Гарднер; Уилл Мефам. «Новая реализация протокола подписи, шифрования и аутентификации (SEA) на мобильных устройствах наблюдения за пациентами». IOS Press. Получено 2010-03-11.
  37. ^ Беспроводные сети, хаки и моды для чайников
  38. ^ "Offene Netzwerke auch für Deutschland!". netzpolitik.org. 2006-09-15.
  • Wi-Foo: секреты взлома беспроводных сетей (2004) – ISBN  978-0-321-20217-8
  • Настоящая безопасность 802.11: защищенный доступ Wi-Fi и 802.11i (2003) – ISBN  978-0-321-13620-6
  • Разработка и реализация аутентификации и безопасности WLAN(2010) – ISBN  978-3-8383-7226-6
  • «Эволюция беспроводной безопасности 802.11» (PDF). ITFFROC. 2010-04-18.
  • Бойл, Рэндалл, Панко, Раймонд. Корпоративная компьютерная безопасность. Река Аппер Сэдл, Нью-Джерси. 2015 г.

внешняя ссылка