Технологии защиты информации в Wi-Fi сетях

Определение в процессе исследования эффективного способа защиты информации, передающейся по Wi-Fi сети. Принципы работы Wi-Fi сети. Способы несанкционированного доступа к сети. Алгоритмы безопасности беспроводных сетей. Нефиксированная природа связи.

Рубрика Программирование, компьютеры и кибернетика
Вид курсовая работа
Язык русский
Дата добавления 18.04.2014
Размер файла 2,3 M

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ЖЕЛЕЗНОДОРОЖНОГО ТРАНСПОРТА

Федеральное государственное бюджетное образовательное учреждение

высшего профессионального образования

ИРКУТСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ПУТЕЙ СООБЩЕНИЯ

ИрГУПС

Кафедра "Информационнаябезопасность"

КУРСОВАЯ РАБОТА

По дисциплине "Основы информационной безопасности"

на тему:

"Технологии защиты информации в Wi-Fi сетях"

Выполнил студент гр. БАС.12-1

Остапенко Д.В.

Научный руководитель, к. э. н.

Глухов Н.И.

Иркутск 2013

План работы

  • Введение
  • Принцип действия Wi-Fi сети
  • Прямые угрозы
  • Чужаки
  • Нефиксированная природа связи
  • Уязвимости сетей и устройств
  • Некорректно сконфигурированные точки доступа
  • Некорректно сконфигурированные беспроводные клиенты
  • Взлом шифрования
  • Имперсонация и IdentityTheft
  • Отказы в обслуживании
  • Информационная безопасность WI - FI сетей
  • Алгоритмы безопасности беспроводных сетей
  • Получения НСД к сети с WEP шифрованием
  • Принцип действия WPA/WPA2
  • Принцип работы WPA2
  • Уязвимости WPA/WPA2
  • Фильтрация MAC-адресов
  • Режим скрытого идентификатора SSID (англ. ServiceSetIDentifier):
  • Заключение
  • Список литературы

Введение

В настоящее время существует много технологий и способов передачи информации между её пользователями. Всё чаще для передачи информации применяются беспроводные сети. Беспроводные сети отличаются тем, чточто вместо сетевого кабеля и коммутаторов применяются преобразователи среды, которые преобразовывают информацию в радиоволны и передают её в эфир, после чего радиоволны поступают на приёмник который обратно преобразовывает радиоволны в информацию. Применяются для связи компьютеров и компьютерных сетей между собой. Особенно удобны когда прокладывание кабеля не возможно или экономически не выгодно. Но это не значит что беспроводная сеть лучше, наоборот она во многом проигрывает проводной сети. Существуют различные виды беспроводных сетей: WI - FI, WiMAX (4G), GPRS сети, 3G сети, BLUETOOTH. В этой работе я буду рассматривать беспроводные сети на базе WI - FI.

Wi-Fi - торговая марка Wi-Fi Alliance для беспроводных сетей на базе стандарта IEEE 802.11. Под аббревиатурой Wi-Fi (от английского словосочетания Wireless Fidelity, которое можно дословно перевести как "высокая точность беспроводной передачи данных") в настоящее время развивается целое семейство стандартов передачи цифровых потоков данных по радиоканалам. Любое оборудование, соответствующее стандарту IEEE 802.11, может быть протестировано в Wi-Fi Alliance иполучить соответствующий сертификат и право нанесения логотипа Wi-Fi.

С увеличение спроса на использование Wi-Fi сети, возникает проблема - защиты информации от несанкционированного доступа к этой сети. В своей работе я рассмотрю способы защиты информации беспроводной сети.

Устройства стандарта 802.11 связываются друг с другом, используя в качестве переносчика данных сигналы, передаваемые в диапазоне радиочастот. Данные передаются по радио отправителем, полагающим, что приемник также работает в выбранном радиодиапазоне. Недостатком такого механизма является то, что любая другая станция, использующая этот диапазон, тоже способна принять эти данные. Если не использовать какой-либо механизм защиты, любая станция стандарта 802.11 сможет обработать данные, посланные по беспроводной локальной сети, если только ее приемник работает в том же радиодиапазоне. Для обеспечения хотя бы минимального уровня безопасности необходимы следующие компоненты.

1) Средства для принятия решения относительно того, кто или что может использовать беспроводную LAN. Это требование удовлетворяется за счет механизма аутентификации, обеспечивающего контроль доступа к LAN.

2) Средства защиты информации, передаваемой через беспроводную среду. Это требование удовлетворяется за счет использования алгоритмов шифрования.

На рис.1 показано, что защита в беспроводных сетях обеспечивается как за счет аутентификации, так и благодаря шифрованию. Ни один из названных механизмов в отдельности не способен обеспечить защиту беспроводной сети.

Рис. 1 Защита в беспроводных сетях обеспечивается за счет аутентификации и шифрования

Цель работы:

защита информация беспроводная сеть

Целью данной курсовой работы является изучение технологии защиты информации в Wi-Fi сетях. Определение наиболее эффективного способа защиты информации передающейся по Wi-Fi сети.

Основные задачи исследования:

1. Изучение принципа работы Wi-Fi сети;

2. Выявление способов несанкционированного доступа к сети

3. Нахождение оптимальных способов защиты от несанкционированного доступа к сети.

Принцип действия Wi-Fi сети

В передаче данных по беспроводной сети участвуют три элемента: радиосигналы, формат данных и структура сети. Каждый из этих элементов не зависит от двух остальных, поэтому, когда вы разрабатываете новую сеть, необходимо разобраться со всеми тремя. С точки зрения знакомой эталонной модели OSI (Open terns Interconnection - взаимодействие открытых систем) радиосигналы действуют на физическом уровне, а формат данных управляет несколькими из верхних уровней. В сетевую структуру входят адаптеры интерфейсов и базовые станции, которые передают и принимают радиосигналы. В беспроводной сети адаптеры на каждом компьютере преобразуют цифровые данные в радиосигналы, которые они передают на другие сетевые устройства. Они же преобразуют входящие радиосигналы от внешних сетевых элементов обратно в цифровые данные. IEEE (Institute of Electrical and Electronics Engineers - Институт инженеров пo электротехнике и электронике) разработал набор стандартов и спецификаций для беспроводных сетей под названием "IEEE 802.11", определяющий форму и содержание этих сигналов. На сегодняшний день наиболее широко используемой спецификацией является 802.11b. Это стандарт де-факто, используемый практически в каждой Ethernet-сети, и вы наверняка сталкивались с ним в офисах, общественных местах и в большинстве внутренних сетей. Стоит обращать внимание и на развитие других стандартов, однако на данный момент 802.11b наиболее пригоден для использования, особенно если вы рассчитываете подключаться к сетям, где не можете самостоятельно управлять всем оборудованием. Сети 802.11b работают в специальном диапазоне радиочастот 2,4 ГГц, который зарезервирован в большинстве стран мира для нелицензируемых радиослужб соединений точка-точка с распределением спектра.

На данный момент существует четыре основных стандарта Wi-Fi

1) По стандарту 802.11a данные передаются в диапазоне 5 ГГц со скоростью до 54 Мбит/с в секунду. Он предусматривает также мультиплексирование с ортогональным делением частот (orthogonal frequency-division multiplexing OFDM), более эффективную технику кодирования, предусматривающую разделение исходного сигнала на передающей стороне на несколько подсигналов. Такой подход позволяет уменьшить воздействие помех.

2) 802.11b является самым медленным и наименее дорогим стандартом. На некоторое время, благодаря своей стоимости, он получил широкое распространение, но сейчас вытесняется более быстрыми стандартами по мере их удешевления. Стандарт 802.11b предназначен для работы в диапазоне 2,4 ГГц. Скорость передачи данных составляет до 11 Мбит/с в секунду при использовании для повышения скорости манипуляции с дополняющим кодом (complementary code keying, CCK).

3) Стандарт 802.11g, как и 802.11b, предусматривает работу в диапазоне 2,4 ГГц, однако обеспечивает значительно большую скорость передачи данных - до 54 Мбит/с в секунду. Стандарт 802.11g быстрее, поскольку в нем используется такое же кодирование OFDM, как и в 802.11a.

4) Самый новый широко распространенный стандарт - 802.11n. В нем существенно увеличена скорость передачи данных и расширен частотный диапазон. В то же время, хотя стандарт 802.11g теоретически способен обеспечить скорость передачи данных 54 Мбит/с в секунду, реальная скорость составляет приблизительно 24 Мбит/с в секунду, в связи с перегрузками сети. Стандарт 802.11n может обеспечить скорость передачи данных 140 Мбит/с в секунду. Стандарт был утверждён 11 сентября 2009.

Приемопередатчики Wi-Fi могут работать в одном из трех частотных диапазонов. Возможен также вариант, когда осуществляется быстрое "перескакивание" из одного диапазона в другой. Такой прием позволяет уменьшить влияние помех и одновременно использовать возможности беспроводной связи многими устройствами.

Поскольку все такие устройства снабжаются адаптерами беспроводной связи, один маршрутизатор может использоваться для связи с Интернетом нескольких устройств. Такой вид связи удобен, практически невидим и довольно надежен, но при отказе маршрутизатора или одновременной попытке слишком большого количества людей воспользоваться широкополосной связью могут наблюдаться взаимные помехи либо неожиданный обрыв связи.

Угрозы

Угрозы информационной безопасности, возникающие при использовании Wi-Fi сетей, можно условно разделить на два класса:

1) Прямые - угрозы информационной безопасности, возникающие при передаче информации по беспроводному интерфейсу IEEE 802.11;

2) Косвенные - угрозы, связанные с наличием на объекте и рядом с объектом большого количества Wi-Fi-сетей.

Прямые угрозы

Радиоканал передачи данных, используемый в Wi-Fi потенциально подвержен вмешательству с целью нарушения конфиденциальности, целостности и доступности информации. В Wi-Fi предусмотрены как аутентификация, так и шифрование, но эти элементы защиты имеют свои изъяны. Угроза блокирования информации в канале Wi-Fi практически оставлена без внимания при разработке технологии. Само по себе блокирование канала не является опасным, так как обычно Wi-Fi сети являются вспомогательными, однако блокирование может представлять собой лишь подготовительный этап для атаки "человек посередине", когда между клиентом и точкой доступа появляется третье устройство, которое перенаправляет трафик между ними через себя. Такое вмешательство позволяет удалять, искажать или навязывать ложную информацию.

Чужаки

Чужаками (RogueDevices, Rogues) называются устройства, предоставляющие возможность неавторизованного доступа к корпоративной сети, обычно в обход механизмов защиты, определенных политикой безопасности. Запрет на использование устройств беспроводной связи не защитит от беспроводных атак, если в сети, умышленно или нет, появится чужак. В роли чужака может выступать всё, у чего есть проводной и беспроводной интерфейсы: точки доступа (включая программные), сканеры, проекторы, ноутбуки с обеими включёнными интерфейсами и т.д.

Нефиксированная природа связи

Беспроводные устройства могут менять точки подключения к сети прямо в процессе работы. Например, могут происходить "случайные ассоциации", когда ноутбук с Windows XP (доверительно относящейся ко всем беспроводным сетям) или просто некорректно сконфигурированный беспроводной клиент автоматически ассоциируется и подключает пользователя к ближайшей беспроводной сети. Таким образом нарушитель переключает на себя пользователя для последующего сканирования уязвимостей, фишинга или атак "человек посередине". А если пользователь при этом подключен и к проводной сети, то он становится точкой входа - чужаком. К тому же многие пользователи, подключённые к внутренней сети и имеющие Wi-Fi интерфейс, недовольные качеством и политикой работы сети (недостаточная скорость или нельзя выйти ВКонтакт), переключаются на ближайшую доступную точку доступа (или операционная система делает это автоматически при отказе проводной сети). При этом вся защита сети терпит крах.

Ещё одна проблема - сети Ad-Hoc, с помощью которых удобно передавать файлы коллегам или печатать на принтере с Wi-Fi. Но такая организация сетей не поддерживает многие методы обеспечения безопасности, что делает их лёгкой добычей для нарушителя. Новые технологии VirtualWiFi и Wi-Fi Direct только ухудшили ситуацию.

Уязвимости сетей и устройств

Некорректно сконфигурированные устройства, устройства со слабыми и недостаточно длинными ключами шифрования, использующие уязвимые методы аутентификации - именно такие устройства подвергаются атакам в первую очередь. Согласно отчётам аналитиков, большая часть успешных взломов происходит как раз из-за неправильных настроек точек доступа и программного обеспечения клиента.

Некорректно сконфигурированные точки доступа

Достаточно подключить неправильно настроенную точку доступа к сети для взлома последней. Настройки "по умолчанию" не включают шифрование и аутентификацию, или используют ключи, прописанные в руководстве и поэтому всем известные. Маловероятно, что пользователи достаточно серьёзно озаботятся безопасной конфигурацией устройств. Именно такие привнесённые точки доступа и создают основные угрозы защищённым сетям.

Некорректно сконфигурированные беспроводные клиенты

Некорректно настроенные устройства пользователей - угроза опаснее, чем некорректно сконфигурированные точки доступа. Это устройства пользователей и они не конфигурируются специально в целях безопасности внутренней сети предприятия. К тому же они находятся за периметром контролируемой зоны, так и внутри него, позволяя злоумышленнику проводить всевозможные атаки, как то распространять вредоносное программное обеспечение или просто обеспечивая удобную точку входа.

Взлом шифрования

О защищённости WEP и речи уже нет. Интернет полон специального и удобного в использовании ПО для взлома этого стандарта, которое собирает статистику трафика до тех пор, пока её не станет достаточно для восстановления ключа шифрования. Стандарты WPA и WPA2 также имеют ряд уязвимостей разной степени опасности, позволяющих их взлом. [4] Пока что нет информации об успешных атаках на WPA2-Enterprise (802.1x).

Имперсонация и IdentityTheft

Имперсонация авторизованного пользователя - серьезная угроза любой сети, не только беспроводной. Однако в беспроводной сети определить подлинность пользователя сложнее. Конечно, существуют SSID и можно пытаться фильтровать по MAC-адресам, но и то и другое передается в эфире в открытом виде, и их несложно подделать, а подделав - как минимум снизить пропускную способность сети, вставляя неправильные кадры, а разобравшись в алгоритмах шифрования - устраивать атаки на структуру сети (например, ARP-spoofing). Имперсонация пользователя возможна не только в случае MAC-аутентификации или использования статических ключей. Схемы на основе 802.1x не являются абсолютно безопасными. Некоторые механизмы (LEAP) имеют сложность взлома схожую со взломом WEP. Другие механизмы, EAP-FAST или PEAP-MSCHAPv2 хотя и надёжнее, но не гарантируют устойчивость к комплексной атаке.

Отказы в обслуживании

DoS атаки направлены на нарушение качества функционирования сети или на абсолютное прекращение доступа пользователей. В случае Wi-Fi сети отследить источник, заваливающий сеть "мусорными" пакетами, крайне сложно - его местоположение ограничивается лишь зоной покрытия. К тому же есть аппаратный вариант этой атаки - установка достаточно сильного источника помех в нужном частотном диапазоне.

Информационная безопасность WI - FI сетей

Очевидно, что в беспроводных сетях в качестве среды передачи данных используется радиоэфир. В то же время, вследствие его высокой доступности, остро встает вопрос обеспечения безопасности передаваемых через беспроводную сеть данных. Поэтому безопасность в беспроводных сетях обеспечивается на трех уровнях:

· Физический;

· Канальный;

· Транспортный.

На физическом уровне существуют два метода защиты - помехообразующие устройства и широковещание SSID. Помехообразующие устройства можно установить по периметру требуемого радиуса сети, чтобы беспроводная сеть функционировала только в заданной области, и ее сигнал невозможно было поймать вне этой зоны. Также существует возможность отключения широковещания SSID. SSID - это ServiceSetIdentifier, иными словами - имя сети, которое транслируется в сеть при помощи специальных пакетов раз в 100мс.

Для повышения безопасности рекомендуется отключать широковещание SSID. Благодаря этому, вы сможете "скрыть" свою сеть, и подключение к ней будет возможно только после указания SSID. Однако данный метод защиты не является панацеей, так как злоумышленник сможет узнать SSID после анализа пакетов. На канальном уровне также существует метода защиты, такой как фильтрация MAC-адресов. При подключении к точке доступа, выполняется проверка MAC-адреса клиентского устройства, и если он совпадает с "белым списком", то разрешается подключение к сети. Аналогично, есть возможность работы по принципу "черного" списка. Становится ясно, что для защиты данных необходимо использовать механизмы шифрования на транспортном уровне.

Алгоритмы безопасности беспроводных сетей

1) Wired Equivalent Privacy (WEP) алгоритм для обеспечения безопасности сетей Wi-Fi. Используется для обеспечения конфиденциальности и защиты передаваемых данных авторизированных пользователей беспроводной сети от прослушивания. Существует две разновидности WEP: WEP-40 и WEP-104, различающиеся только длиной ключа. Это одна из первых технологий, в настоящее время она является устаревшей, так как ее взлом может быть осуществлен всего за несколько минут. В основе WEP лежит поточный шифр RC4, выбранный из-за своей высокой скорости работы и возможности использования переменной длины ключа. Для подсчета контрольных сумм используется CRC32.

Формат кадра

Кадр WEP включает в себя следующие поля:

· Незашифрованная часть;

· Вектор инициализации (англ. InitializationVector) (24 бита);

· Пустое место (англ. Padding) (6 бит);

· Идентификатор ключа (англ. Key ID) (2 бита);

· Зашифрованная часть;

· Данные;

· Контрольная сумма (32 бита).

Рисунок 1. Формат кадра WEP

Ключи

Ключи имеют длину 40 и 104 бита для WEP-40 и WEP-104 соответственно. Используются два типа ключей:

· ключи по умолчанию

· назначенные ключи.

Назначенный ключ отвечает определенной паре отправитель-получатель. Может иметь любое, заранее оговоренное сторонами значение. Если же стороны предпочтут не использовать назначенный ключ, им выдается один из четырех ключей по умолчанию из специальной таблицы. Для каждого кадра данных создается сид (англ. Seed), представляющий собой ключ с присоединенным к нему вектором инициализации.

Инкапсуляция

Инкапсуляция данных проходит следующим образом:

1) Контрольная сумма от поля "данные" вычисляется по алгоритму CRC32 и добавляется в конец кадра;

2) Данные с контрольной суммой шифруются алгоритмом RC4, использующим в качестве ключакриптоалгоритма;

3) Проводится операция XOR над исходным текстом и шифротекстом.

4) В начало кадра добавляется вектор инициализации и идентификатор ключа.

Рисунок 2. Инкапсуляция WEP

Декапсуляция

Декапсуляция данных проходит следующим образом:

1) К используемому ключу добавляется вектор инициализации;

2) Происходит расшифрование с ключом, равным сиду;

3) Проводится операция XOR над полученным текстом и шифротекстом;

Рисунок 3.ДекапсуляцияWEP

Проверяется контрольная сумма.

Все атаки на WEP основаны на недостатках шифра RC4, таких, как возможность коллизий векторов инициализации и изменения кадров. Для всех типов атак требуется проводить перехват и анализ кадров беспроводной сети. В зависимости от типа атаки, количество кадров, требуемое для взлома, различно. С помощью программ, таких как Aircrack-ng, взлом беспроводной сети с WEP шифрованием осуществляется очень быстро и не требует специальных навыков.

Получения НСД к сети с WEP шифрованием

Ниже я продемонстрирую как можно получить доступ к сети с WEP шифрованием.

Для того что бы получить доступ к сети с WEP шифрованием потребуется: две программы, работающие на ОС Windows XP/Vista, Windows 7/8.

· Aircrack-ng

· CommViewforWiFi

Алгоритм получения доступа к сети с WEP шифрованием.

1) С помощью программы CommViewforWiFi нужно перехватить от 50 до 100 тысяч пакетов. Для этого запускаем программу. После чего нам нужно её настроить для максимальной эффективности. Зайдите в Настройки->Установки. Установим все значения, как на скриншотах;

Рисунок 4

2) В основном окне нажмем на вкладку log-файлы. Определим место где будут сохраняться log-файлы. У становим настройки как на скриншоте;

Рисунок 5

3) Нажимаем на кнопку "начать захват". В окне появится список точек доступа которые находятся в радиусе действия перехватчика. Выбираем точку к которой мы хотим получить доступ и ждём когда перехватится достаточное количество пакетов (от 50 до 100 тысяч);

4) Получив нужное количество пакетов останавливаем захват. Нажимаем комбинацию клавиш "Ctrl+L". В появившемся окне заходим в файл - загрузить лог файлы commview и выбираем все файлы что видим. Теперь экспортируем пакеты в формате TCPdump;

5) Запускаем программу AirCrack и задаем параметры и указываем путь на наш файл с пакетами из CommView, который сохранён в формате TCPdump;

6) Далее жмём кнопку "Launch". Если ключ от сети будет найден программа покажет следующее окно;

7) Если же ключ не найдет в окне Aircrack, нужно изменить параметры keysize. В нашем случае ключ был успешно найден. Это подтверждает тот факт, что сети с WEP шифрованием не надёжны.

2) WPA и WPA2 (Wi-Fi Protected Access) представляет собой обновлённую программу сертификации устройств беспроводной связи. Технология WPA пришла на замену технологии защита беспроводной Wi-Fi сетиWEP. Плюсами WPA являются усиленная безопасность данных и ужесточённый контроль доступа к беспроводным сетям.

Принцип действия WPA/WPA2

Первые модификации WPA представляли собой усовершенствованный WEP. Рассмотрим один из первых протоколов WPA, WPA-TKIP в нем используется 48-битный вектор инициализации, и изменены правила построения вектора, также для подсчета контрольной суммы используется MIC (MessageIntegrity Code), который используется вместо устаревшего и менее надёжного CRC32

И самым главным усовершенствованием является то, что длина ключа шифрования теперь составляет 128 бит, вместо 40. Для управления ключами существует специальная иерархия, которая призвана предотвратить предсказуемость ключа шифрования для каждого кадра. Благодаря TKIP ключ шифрования для каждого кадра данных генерируется таким образом, что они не повторяют друг друга, пусть даже частично.

Таким образом, WPA-сети полностью защищены от атак replay (повторение ключей) и forgery (подмена содержимого пакетов), чего нельзя было сказать о WEP, где было возможно обойти CRC32-проверку контрольной суммы, а также отослать кадр с точно таким же ключом шифрования, как и у предыдущего.

Вместе с этим, в WPA были интегрированы механизмы проверки подлинности: EAP, а также осуществляется полная поддержка 802.1Х стандартов для проверки подлинности.

EAP - ExtensibleAuthenticationProtocol, один из самых распространенных протоколов проверки подлинности. Используется для аутентификации в проводных сетях, и поэтому WPA-беспроводная сеть легко интегрируема в уже имеющуюся инфраструктуру. Обязательным условием аутентификации является предъявление пользователем маркера доступа, подтверждающего его право на доступ в сеть. Для получения маркера выполняется запрос к специальной базе данных, а без аутентификации работа в сети для пользователя будет запрещена. Система проверки расположена на специальном RADIUS-сервере, а в качестве базы данных используется ActiveDirectory (в Windows-системах)

Таким образом, WPA является синтезом следующих технологий и стандартов: WPA = 802.1X + EAP + TKIP + MIC

Принцип работы WPA2

Нахождение уязвимостей в WPA привело к тому, что были создан метод защиты WPA2. Существенным отличием его от WPA является то, что трафик в сети шифруется не только от устройств, не подключенных к этой сети, но и друг от друга. Иными словами, каждое устройство имеет свои ключи шифрования для обмена данными с точкой доступа. В сети существует несколько ключей шифрования:

1) PairwiseTransientKey (PTK). При помощи данного типа ключа шифруется личный трафик каждого клиента. Таким образом, обеспечивается защита сети "изнутри", чтобы один клиент, авторизованный в сети, не мог перехватить трафик другого.

2) GroupTemporalKey (GTK).

Данный ключ шифрует широковещательные данные. WPA2 используется в качестве алгоритма шифрования CCMPCCMP (CounterModewithCipherBlockChainingMessageAuthentication Code Protocol), протокол блочного шифрования с кодом аутентичности сообщения и режимом сцепления блоков и счётчика - протокол шифрования для сети WPA2, использующий алгоритм AES как основу для шифрования данных.

В соответствии со стандартом FIPS-197 используется 128-битный ключ шифрования.

Основное отличие от TKIP и WEP - это централизованное управление целостностью пакетов, которое выполняется на уровне AES. Структура пакета, зашифрованного CCMP

Рисунок 5 Структура зашифрованного пакета WPA2

Пакет CCMP увеличен на 16 октетов. Заголовок CCMP состоит из трех частей: PN (номер пакета, 48-разрядный), ExtIV (вектор инициализации), и идентификатора ключа. ?Инкапсуляция данных с использованием CCMP:

· Номер пакета увеличивается на некое число, чтобы избежать повторения пакетов;

· Создаются дополнительные аутентификационные данные;

· Создается служебное поле nonce;

· Номер пакета и идентификатор ключа помещаются в заголовок пакета;

· Поле nonce и дополнительные аутентификационные данные шифруются с использованием временного ключ.

Рисунок 6 Структурная схема протокола шифрования CCMP

Декапсуляция данных с использованием CCMP:

· Создаются поля дополнительных идентификационных данных и поле nonce с использованием данных пакета;

· Поле дополнительных идентификационных данных извлекается из заголовка зашифрованного пакета;

· Извлекается поле А2, номер пакета и поле приоритета;

· Извлекается поле MIC;

· Выполняется расшифровка пакета и проверка его целостности, с использованием шифротекста пакета, дополнительных идентификационных данных, временного ключа и собственно MIC;

· Выполняется сборка пакета в расшифрованном виде;

· Пакеты с повторяющимся номером отбрасываются.

Данный метод шифрования в беспроводной сети на данный момент является наиболее надежным

Уязвимости WPA/WPA2

При всех своих достоинствах, WPA\WPA2 не лишен уязвимостей. Начнем с того, что еще в 2006 году TKIP-шифрование в WPA было взломано. Эксплоит позволяет прочитать данные, передаваемые от точки доступа клиентской машине, а также передавать поддельную информацию на клиентскую машину. Для реализации этой атаки необходимо, чтобы в сети использовался QoS.

Поэтому я также не рекомендую использовать WPA для защиты вашей беспроводной сети. Конечно, взломать его сложнее, нежели WEP, и WPA защитит вас от атаки школьников с Aircrack, однако, он не устоит против целенаправленной атаки на вашу организацию. Для наибольшей защиты я рекомендую использовать WPA2

Однако и WPA2 не лишен уязвимостей. В 2008 году была обнаружена уязвимость, позволяющая провести атаку "человек в центре". Она позволяла участнику сети перехватить и расшифровать данные, передаваемые между другими участниками сети с использованием их PairwiseTransientKey. Поэтому, при работе в такой сети имеет смысл использовать дополнительные средства шифрования передаваемой информации. (ПСКЗИ "Шипка" например) В то же время обратите внимание, что для того, чтобы воспользоваться этой уязвимостью, злоумышленнику необходимо быть авторизованным и подключенным к сети.

Однако я бы хотел заострить внимание на "домашней" реализации WPA-PSK. В нем упрощена схема авторизации, таким "узким" местом в нем является сам Pre-SharedKey, поскольку ввод этого ключа дает устройству полный доступ в сеть (если не задействована MAC-фильтрация).

Сам ключ хранится в точке доступа. В зависимости от модели и микропрограммного обеспечения устройства, реализуются методы его защиты. В некоторых случаях злоумышленнику достаточно получить доступ в веб-панель управления, и получить Pre-SharedKey, который хранится там открытым текстом. В некоторых случаях, поле с ним защищено, как поле с паролем, но все равно есть возможность его извлечения, если злоумышленник сможет извлечь из устройства микросхему памяти и получить к ней доступ на низком уровне. Поэтому обращайте внимание на физическую защищенность вашего беспроводного оборудования.

И наконец, самой последней уязвимостью является возможность перехвата пакетов handshake, в которых передается Pre-SharedKey при подключении устройства к сети. По сколько Pre-Sharedkey шифруется, у злоумышленника остается только одна возможность - атака грубой силой на захваченные ассоционные пакеты. С одной стороны, это нерационально, но стоит понимать, что для этого совсем не нужно находиться рядом с точкой доступа, и для такой атаки грубой силой (либо словарной) злоумышленник может задействовать большие вычислительные ресурсы.

Также стоит обратить внимание, что для того, чтобы перехватить handshake злоумышленнику совсем не обязательно ждать того момента, как к сети будет подключено новое устройство. На некоторых беспроводных адаптерах, при использовании нестандартных драйверов, есть возможность посылки в сеть реассоционных пакетов, которые будут прерывать сетевые соединения и инициировать новый обмен ключами в сети между клиентами и точкой доступа. В таком случае, для того, чтобы захватить требуемые пакеты, необходимо, чтобы к сети был подключен хотя бы один клиент. Также, злоумышленнику необходимо находиться близко от точки доступа, чтобы мощности его адаптера (а такие адаптеры обычно низко чувствительны и маломощны, и сильно перегреваются при работе) хватило для ПОСЫЛКИ пакетов реассоциации (вспомните WEP, где нужно было всего лишь "наловить" достаточный объем трафика). И в конце концов, атака грубой силой занимает много времени, однако использование вычислительного кластера существенно упрощает задачу.

Фильтрация MAC-адресов

Данный метод не входит в стандарт IEEE 802.11. Фильтрацию можно осуществлять тремя способами:

1) Точка доступа позволяет получить доступ станциям с любым MAC-адресом;

2) Точка доступа позволяет получить доступ только станциям, чьи MAC-адреса находятся в доверительном списке;

3) Точка доступа запрещает доступ станциям, чьи MAC-адреса находятся в "чёрном списке”;

Наиболее надежным с точки зрения безопасности является второй вариант, хотя он не рассчитан на подмену MAC-адреса, что легко осуществить злоумышленнику.

Режим скрытого идентификатора SSID (англ. ServiceSetIDentifier):

Для своего обнаружения точка доступа периодически рассылает кадры-маячки (англ. beaconframes). Каждый такой кадр содержит служебную информацию для подключения и, в частности, присутствует SSID (идентификатор беспроводной сети). В случае скрытого SSID это поле пустое, т.е. невозможно обнаружение вашей беспроводной сети и нельзя к ней подключиться, не зная значение SSID. Но все станции в сети, подключенные к точке доступа, знают SSID и при подключении, когда рассылают ProbeRequest запросы, указывают идентификаторы сетей, имеющиеся в их профилях подключений. Прослушивая рабочий трафик, с легкостью можно получить значение SSID, необходимое для подключения к желаемой точке доступа.

Методы аутентификации

Аутентификация - выдача определённых прав доступа абоненту на основе имеющегося у него идентификатора.

Стандарт IEEE 802.11 предусматривает несколько методов аутентификации:

1. Открытая аутентификация (англ. Open Authentication):

Рабочая станция делает запрос аутентификации, в котором присутствует только MAC-адрес клиента. Точка доступа отвечает либо отказом, либо подтверждением аутентификации. Решение принимается на основе MAC-фильтрации, т.е. по сути это защита беспроводной Wi-Fi сети на основе ограничения доступа, что не безопасно. Используемые шифры: без шифрования, статический WEP, CKIP.

2. Аутентификация с общим ключом (англ. SharedKeyAuthentication):

Необходимо настроить статический ключ шифрования алгоритма WEP (англ. Wired Equivalent Privacy). Клиент делает запрос у точки доступа на аутентификацию, на что получает подтверждение, которое содержит 128 байт случайной информации. Станция шифрует полученные данные алгоритмом WEP (проводится побитовое сложение по модулю 2 данных сообщения с последовательностью ключа) и отправляет зашифрованный текст вместе с запросом на ассоциацию. Точка доступа расшифровывает текст и сравнивает с исходными данными. В случае совпадения отсылается подтверждение ассоциации, и клиент считается подключенным к сети. Схема аутентификации с общим ключом уязвима к атакам "Maninthemiddle". Алгоритм шифрования WEP - это простой XOR ключевой последовательности с полезной информацией, следовательно, прослушав трафик между станцией и точкой доступа, можно восстановить часть ключа. Используемые шифры: без шифрования, динамический WEP, CKIP.

3. Аутентификация по MAC-адресу:

Данный метод не предусмотрен в IEEE 802.11, но поддерживается большинством производителей оборудования, например D-Link и Cisco. Происходит сравнение МАС-адреса клиента с таблицей разрешённых MAC-адресов, хранящейся на точке доступа, либо используется внешний сервер аутентификации. Используется как дополнительная мера защиты.

IEEE начал разработки нового стандарта IEEE 802.11i, но из-за трудностей утверждения, организация WECA (англ. Wi-Fi Alliance) совместно с IEEE анонсировали стандарт WPA (англ. Wi-Fi Protected Access). В WPA используется TKIP (англ. TemporalKeyIntegrityProtocol, протокол проверки целостности ключа), который использует усовершенствованный способ управления ключами и покадровое изменение ключа.

4. Wi-Fi Protected Access (WPA)

После первых успешных атак на WEP было принято разработать новый стандарт 801.11i. Но до него был выпущен "промежуточный" стандарт WPA, который включал в себя новую систему аутентификации на базе 801.1x и новый метод шифрования TKIP. Существуют два варианта аутентификации: с помощью RADIUS сервера (WPA-Enterprise) и с помощью предустановленного ключа (WPA-PSK)

Используемые шифры: TKIP (стандарт), AES-CCMP (расширение), WEP (в качестве обратной совместимости).

5. WI-FI Protected Access2 (WPA2, 801.11I)

WPA2 или стандарт 801.11i - это финальный вариант стандарта безопасности беспроводных сетей. В качестве основного шифра был выбран стойкий блочный шифр AES. Система аутентификации по сравнению с WPA претерпела минимальные изменения. Также как и в WPA, в WPA2 есть два варианта аутентификации WPA2-Enterprise с аутентификацией на RADIUS сервере и WPA2-PSK с предустановленным ключом.

Используемые шифры: AES-CCMP (стандарт), TKIP (в качестве обратной совместимости).

6. CiscoCentralizedKeyManagment (CCKM)

Вариант аутентификации от фирмы CISCO. Поддерживает роуминг между точками доступа. Клиент один раз проходит аутентификацию на RADIUS-сервере, после чего может переключаться между точками доступа.

Используемые шифры: WEP, CKIP, TKIP, AES-CCMP

Заключение

Изучая принципы работы и защиты информации от НСД в Wi - Fi сетях становится понятно, что самые первые стандарты 802.11 имели множество недостатков и уязвимостей, но на их смену приходят всё более совершенные стандарты такой как 802.11n в котором усовершенствованы методы шифрования и аутентификации.

Безопасность в Wi-Fi сетях достигается несколькими способами и определёнными алгоритмами и в результате их изучения можно сказать что самым защищённым алгоритмом шифрования является wpa/wpa2 pskкоторый обеспечивает набольшую безопасность информации, но так же не является абсолютно безопасным.

Пользуясь Wi-Fi сетью следует помнить, что чем сложнее и надёжнее алгоритм шифрования информации, тем дольше она будет обрабатываться и передаваться, вызывая большие нагрузки у процессоров сетевых устройств и задержки в обработке информации. Безопасность сети однозначно очень важный фактор, но если сеть не обеспечивает должной пропускной способности то она становится совершенно не рентабельной.

В данной курсовой работе мной были достигнуты следующие цели:

1) Я изучил основные принципы работы Wi-Fi cети;

2) Выявил угрозы НСД в Wi-Fi cсеть;

3) Изучил алгоритмы безопасности Wi - Fi сетей и выявил что сеть с WEP - шифрованием является наиболее незащищённой и может быть взломана за очень короткое время. Самым оптимальным алгоритмом безопасности является WPA/WPA 2 psk - шифрование.

Список литературы

1. Вишневский В.М., Ляхов А.И., Портной С.Л., Шахнович И.Л., Широкополосные беспроводные сети передачи информации. М.: Техносфера, 2005

2. http://ru. wikipedia.org/wiki/Wi-Fi (дата: 20.11.2013 время: 20: 42)

3. http://ru. wikipedia.org/wiki/WPA (дата: 20.11.2013 время 22: 23)

4. http://www.technorium.ru/cisco/wireless/wpa2. shtml (дата: 23.11.2013 время: 23: 54)

5. Гордейчик С.В., Дубровин В.В., Безопасность беспроводных сетей. Горячая линия - Телеком, 2008

Размещено на Allbest.ru


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.