Використання каналів зв'язку на основі Wi-Fi територіально-розподіленої корпоративної мережі та її захист

Атака «Людина в проміжку» (Man in the middle / MITM): атака типу MITM виникає, коли хакер прослуховує захищену комунікаційну сесію і може бачити, копіювати і контролювати всі дані, якими обмінюються дві частини комунікаційного каналу. Атакуючий має можливість отримувати інформацію, виступаючи і за відправника і за одержувача даних. Для того, щоб атака типу MITM стала успішною, необхідно виконання наступної послідовності дій:

- Хакер повинен отримати доступ до комунікаційної сесії для перехоплення трафіку, коли відправник і одержувач встановлять безпечне з'єднання.

- Хакер повинен мати можливість перехоплення повідомлень, що відправляються між частинами з'єднання, і потім можливість відправляти повідомлення заново, щоб сесія підтримувалася в активному стані.

Існують деякі відкриті криптографічні системи, наприклад, обмін ключами по Diffie-Hellman/DH, які досить слабкі для атак типу MITM. Це пов'язано з тим, що метод DH не використовує аутентифікацію.

Наступні програмні інструменти можуть бути використані для проведення атак типу MITM:

- Dsniff;

- Ettercap;

- Під Windows: Cain & Abel.

Ідентифікація небезпек для бездротових мереж

Атаки прослуховування (Eavesdropping): хакер намагається перехопити трафік, коли він передається між комп'ютером з підтримкою Wi-Fi до Точці Доступу.

Маскування (Masquerading): тут хакер маскується і видає себе за авторизованого користувача бездротової мережі для доступу до мережевих ресурсів і сервісів.

Атаки Відмова в обслуговуванні (Denial of service / DoS): хакер намагається створити ситуацію, коли авторизовані користувачі бездротової мережі не можуть отримувати доступ до мережевих ресурсів, використовуючи передавач для блокування доступних частот (наприклад, це може бути джаммер, що створює широкосмуговий шум, як було описано вище).

Атаки «Людина в проміжку» (Man-in-the-middle/MITM): якщо зловмисник успішно почав атаку типу MITM, то він може отримати можливість відтворити і модифікувати комунікації в бездротової мережі.

Атаки на бездротових клієнтів: атакуючий починає мережеву атаку на працюючий комп'ютер з бездротовим інтерфейсом, який приєднаний до недовірених бездротової мережі.

Для захисту бездротових мереж від мережевих атак можна використовувати наступні стратегії:

Необхідно, щоб усі бездротові комунікації були автентифіковані і зашифровані. Найбільш загальні технології, які використовуються для захисту бездротових мереж від проблем безпеки, - це:

- Wired Equivalent Privacy / WEP (вкрай не рекомендується до використання, оскільки може бути зламана за кілька хвилин);

- Wi-Fi Protected Access / WPA (краще використовувати WPA2 c шифруванням AES);

- IEEE 802.1x.

- оновлення програм і драйверів для бездротових пристроїв.

- Розмістити безпровідну мережу в спеціальній бездротовій демілітаризованій зоні (WDMZ). Маршрутизатор або міжмережевий екран повинні ізолювати WDMZ від захищеної корпоративної мережі. DHCP-служба не повинна використовуватися в WDMZ.

- Для гарантування високого рівня безпеки WLAN всі бездротові пристрої повинні підтримувати 802.1х аутентифікацію з використанням EAP (Extensible Authentication Protocol) і шифрування AES. При цьому важливо використовувати версії EAP c формуванням тунелю, наприклад, EAP-TLS, EAP-TTLS і т.п. (І не використовувати версії EAP, які не формують тунель, наприклад, EAP-MD5 і т.п.).

- В ідеалі, організувати захищений канал комунікацій взаємодії контролера WLAN або точок доступу (при централізованій або автономній архітектурі WLAN відповідно) з ААА-сервером, наприклад, за допомогою IPSec.

- Адміністративні паролі для управління контролера або точки доступу повинні бути складними та довгими.

- У разі використання веб-інтерфейсу для управління контролерами та іншими пристроями використовувати тільки HTTPS (і НЕ використовувати звичайний HTTP).

- У разі використання термінального доступу для управління використовувати SSH (і НЕ використовувуватие telnet).

- SSID не повинен містити назву компанії, адресу компанії або будь-яку іншу ідентифікаційну інформацію.

Для захисту мережі від небезпеки найпростіших способів збору інформації має сенс вимкнути трансляцію SSID. Але це не врятує від досвідченого зломщика.

Визначення вимог до безпеки для різних типів даних

Для визначення вимог до забезпечення безпеки різних типів даних дуже зручно виділити категорії інформації наступним чином:

Відкриті, публічні дані (Public data): ця категорія включає всі дані, які вже публічно доступні на корпоративному веб-сайті компанії або в друкованих виданнях. Так як це відкрита інформація, немає ризику, пов'язаного з тим, що ці дані можуть бути вкрадені. Однак необхідно підтримувати цілісність публічних даних, так як будучи розділеними на частини і вирваними з основного контексту вони можуть істотно спотворити зміст.

Приватна інформація (Private data): дані, які потрапляють в таку категорію, зазвичай добре відомі всередині компанії, але не відомі широкій публіці. Типовий приклад - це дані корпоративного інтранету.

Конфіденційна інформація (Confidential data): дані, які потрапляють в цю категорію, повинні бути захищені від неавторизованого доступу. Організація практично завжди несе втрати, якщо конфіденційна інформація перехоплена зловмисниками.

Секретні дані (Secret data): дані, які більш закриті, ніж конфіденційна інформація. Секретні дані зазвичай включають в себе торгові секрети, інформацію про нові продукти, інформацію по стратегії бізнесу, патентну інформацію. Секретні дані повинні мати вищий рівень забезпечення безпеки.



1.3 Стандартні методи захисту

Парольний захист заснована на тому, що для використання будь-якого ресурсу необхідно задати деяку комбінацію символів (пароль), що відкриває доступ до цього ресурсу. За допомогою паролів захищаються файли, особисті чи корпоративні архіви, програми та окремі комп'ютери. Недоліки такого захисту: слабка захищеність коротких паролів, які за допомогою спеціальних програм на високопродуктивних комп'ютерах досить швидко розкриваються простим перебором. У мережах паролі використовуються як самостійно, так і в якості основи для різних методів аутентифікації. При виборі паролю потрібно дотримуватися ряду основних вимог:

- в якості пароля не може використовуватися слово з якої б то не було мови;

- довжина пароля не може бути менше 8 символів;

- Один і той же пароль не може бути використаний для доступу до різних ресурсів;

- старий пароль не повинен використовуватися повторно;

- пароль повинен мінятися якомога частіше.

Ідентифікація являє собою процедуру розпізнавання користувача (процесу) за його іменем. Для користувачів мережі вона може бути реалізована програмно або апаратно. Апаратна реалізація заснована на застосуванні для ідентифікації користувачів спеціальних електронних карт, що містять ідентифікаційну конкретного користувача інформацію (подібно банківськими кредитними картками). Системи ідентифікації користувачів, реалізовані апаратно, є більш

надійними, ніж парольний захист.

Розмежування прав доступу користувачів до ресурсів мережі - метод, заснований на використанні таблиць або наборів таблиць, що визначають права користувачів, побудований за правилами «дозволено все, крім" або "дозволено тільки». Таблиці за ідентифікатором або паролі користувача визначають його права доступу до дисків, розділам диска, конкретним файлів або їх групам, операціям запису, читання або копіювання та інших ресурсів мережі. Можливість такого розмежування доступу визначається, як правило, можливостями використовуваної операційної системи та закладені саме в ній. Більшість сучасних мережевих ОС передбачають розмежування доступу, але в кожній з них ці можливості реалізовані в різному обсязі та різними способами.

Використання закладених в ОС можливостей захисту - це обов'язкове правило. Однак більшість ОС або мають мінімальний захист, або надають можливості її реалізації додатковими засобами.

Міжмережеві екрани

При підключенні корпоративної мережі до відкритих мереж, наприклад до мережі Internet, з'являються загрози несанкціонованого вторгнення в закриту (внутрішню) мережу з відкритої (зовнішньої), а також загрози несанкціонованого доступу із закритої мережі до ресурсів відкритої. Подібний вид загроз характерний також для випадку, коли об'єднуються окремі мережі, орієнтовані на обробку конфіденційної інформації різного рівня секретності.

Через Internet або іншу відкриту зовнішню мережу порушник може вторгнутися у внутрішню мережу підприємства і отримати несанкціонований доступ до конфіденційної інформації і технічних ресурсів, отримати паролі, адреси серверів, а часом і їх вміст, увійти в інформаційну систему підприємства під ім'ям зареєстрованого користувача і т.п. Загрози несанкціонованого доступу в зовнішній мережй з внутрішньої мережі актуальні в разі обмеження дозволеного доступу в зовнішню мережу правилами, встановленими в організації. Боротися з розглянутими загрозами безпеки міжмережевої взаємодії засобами універсальних операційних систем не представляється можливим. Ряд завдань з відбиття найбільш ймовірних загроз для внутрішніх мереж здатні вирішувати міжмережеві екрани (брандмауери, firewall). Поза комп'ютерною мережею терміном firewall називають стіну, зроблену з негорючих матеріалів що перешкоджає поширенню пожежі. У сфері комп'ютерних мереж міжмережевий екран є бар'єр, що захищає від фігуральної пожежі - спроб зловмисників вторгнутися у внутрішню мережу. Міжмережевий екран (МЕ) покликаний забезпечити безпечний доступ до зовнішньої мережі та обмежити доступ зовнішніх користувачів до внутрішньої мережі.

Міжмережевий екран - це програмна або програмноапаратна система міжмережевого захисту, що дозволяє розділити дві (або більше) взаємодіючі мережі і реалізувати набір правил, що визначають умови проходження пакетів з однієї мережі в іншу.

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Рис. 1.4. Схема розташування брандмауера

Для протидії несанкціонованого міжмережевого доступу він повинен розташовуватися між захищаючою мережею організації, що є внутрішньою, і потенційно ворожою зовнішньою мережею (рис. 1.4, хоча подібними екранами можна розділити один від одного внутрішні локальні мережі. Якщо корпоративна мережа складається з ряду віддалених локальних мереж (ЛОМ1, ЛОМ2,...), з'єднаних між собою засобами глобальних мереж, то міжмережеві екрани ставляться в кожній локальної мережі на кордоні з глобальною (рис. 1.5).



Рис. 1.5. Схема захисту ЛОМ корпоративної мережі

Головний аргумент на користь застосування міжмережевих екранів полягає в тому, що без них внутрішня мережа піддається небезпеці з боку мало захищених служб мережі Internet. Міжмережевий екран пропускає через себе весь трафік, приймаючи щодо кожного пакету, рішення - пропускати його або відкинути. Для того щоб МЕ міг здійснити це, йому необхідно визначити набір правил фільтрації відповідно до прийнятої політикою мережевої безпеки.

Політика безпеки включає дві складові: політика доступу до мережевих сервісів і політика реалізації міжмережевих екранів. Відповідно до прийнятої політики доступу до мережевих сервісів визначається список сервісів Internet, до яких користувачі повинні мати обмежений доступ.

Міжмережевий екран може реалізовувати ряд політик доступу до сервісів, проте зазвичай політика заснована на одному з наступних принципів:

- заборонити доступ з Internet у внутрішню мережу і дозволити доступ з внутрішньої мережі в Internet;

- дозволити обмежений доступ у внутрішню мережу з Internet, забезпечуючи роботу тільки окремих «авторизованих» систем, наприклад, інформаційних та поштових серверів.

У відповідності з політикою реалізації міжмережевих екранів визначаються правила доступу до ресурсів внутрішньої мережі. Ці правила повинні базуватися на одному з наступних принципів:

- забороняти все, що не дозволено в явній формі;

- дозволяти все, що не заборонено в явній формі.

Ефективність захисту внутрішньої мережі за допомогою міжмережевих екранів залежить не тільки від обраної політики доступу до мережевих сервісів і ресурсів внутрішньої мережі, але і від раціональності вибору і використання основних компонентів брандмауера.

Функціональні вимоги до міжмережевих екранів включають в себе: вимоги до фільтрації на мережевому, сеансовому та прикладному рівнях моделі OSI/ISO; вимоги з налаштування правил фільтрації та адміністрування; вимоги до засобів мережевої аутентифікації; вимоги щодо впровадження журналів обліку та збору статистики та інші функції.

Міжмережеві екрани можна класифікувати за такими ознаками: місцем їх включення; рівню фільтрації, відповідної еталонної моделі OSI/ISO; вимогам до показників захищеності. За першою ознакою МЕ поділяються на зовнішні і внутрішні. Зовнішні забезпечують захист від зовнішньої мережі, внутрішні розмежовують доступ між сегментами корпоративної мережі.

Робота всіх міжмережевих екранів заснована на використанні інформації різних рівнів еталонної моделі OSI і пятирівневій моделі сімейства протоколів Internet. Як правило, чим вище рівень, на якому міжмережевий екран фільтрує пакети, тим вище ним забезпечується рівень захисту. За рівнем фільтрації моделі OSI міжмережеві екрани поділяють на чотири типи:

· міжмережеві екрани з фільтрацією пакетів (фільтруючі або екрануючі маршрутизатори);

· шлюзи сеансового рівня;

· шлюзи прикладного рівня;

· міжмережеві екрани експертного рівня додатків.

Міжмережеві екрани з фільтрацією пакетів являють собою фільтруючі (екрануючі) маршрутизатори, сконфігуровані таким чином, щоб фільтрувати вхідні і вихідні пакети. Тому такі екрани називають іноді пакетними фільтрами. Фільтрація здійснюється аналізом IP-адреси джерела і приймача, а також портів вхідних TCP-і UDP-пакетів та порівнянням їх з сконфігурованою таблицею правил. Дані системи прості у використанні, дешеві, надають мінімальний вплив на продуктивність мереж. Основним їх недоліком є ??вразливість для заміни адрес IP.

Шлюзи сеансового рівня контролюють допустимість сеансу зв'язку. Вони стежать за підтвердженням зв'язку між взаємодіючими процесами, визначаючи, чи є викликаний сеанс зв'язку допустимим. При фільтрації пакетів шлюз сеансового рівня грунтується на інформації, що міститься в заголовках пакетів сеансового рівня протоколу TCP.

Шлюзи прикладного рівня перевіряють вміст кожного проходячого через шлюз пакету і можуть фільтрувати окремі види команд або інформації в протоколах прикладного рівня, які їм доручено обслуговувати. Це більш досконалий і надійний тип брандмауера, що використовує програми-посередники прикладного рівня або програми-агенти. Агенти формуються для конкретних служб Internet (HTTP, FTP, Telnet і т.д.) з метою перевірки мережевих пакетів на наявність достовірних даних. Однак шлюзи прикладного рівня знижують продуктивність системи. Міжмережеві екрани експертного рівня поєднують в собі елементи маршрутизаторів, що екранують та прикладних шлюзів. Хоча міжмережевий екран є важливим і досить надійним засобом захисту корпоративної мережі від несанкціонованого доступу, він не може гарантувати повного захисту. Наявність екрану є необхідним, але не достатнім засобом забезпечення безпеки мережі.

Захищені віртуальні мережі VPN

Для ефективної протидії мережевим атакам і забезпечення можливості активного і безпечного використання глобальних відкритих мереж на початку 90-х років народилася і активно розвивається концепція побудови захищених віртуальних приватних мереж VPN (Virtual Private Networks). В основі концепції лежить досить проста ідея: якщо в глобальній мережі є два вузла, які хочуть обмінятися інформацією, то для забезпечення конфіденційності та цілісності переданої по відкритих мережах інформації між ними необхідно побудувати віртуальний тунель, доступ до якого має бути надзвичайно затруднений всім можливим активним і пасивним зовнішнім спостерігачам. Термін «віртуальний» вказує на те, що з'єднання між двома вузлами мережі не є постійним (жорстким) і існує тільки під час проходження трафіку по мережі.

Переваги таких віртуальних тунелів, полягають, перш за все, в значній економії фінансових коштів. Це пояснюється тим, що відпадає необхідність побудови або оренди дорогих виділених каналів зв'язку, а для створення власних мереж використовуються дешеві Internet-канали, надійність і швидкість передачі яких в більшості своїй сьогодні вже не поступаються виділеним лініям.

Захищеною віртуальної мережею VPN називають з'єднання локальних мереж і окремих комп'ютерів через відкриту зовнішню середу передачі інформації в єдину віртуальну корпоративну мережу, що забезпечує безпеку даних. Ефективність віртуальної приватної мережі VPN визначається ступенем захищеності інформації, що циркулює по відкритих каналах зв'язку. Захист інформації в процесі її передачі по відкритих каналах заснована на побудові захищених віртуальних каналах зв'язку, званих тунелями VPN. Тунель VPN представляє собою з'єднання, проведене через відкриту мережу, по якому передаються криптографічно захищені пакети повідомлень віртуальної мережі.

За допомогою цієї методики пакети даних передаються через загальнодоступну мережу як в звичайному двоточковому з'єднанні. Між кожною парою «відправник-одержувач» встановлюється своєрідний тунель - безпечне логічне з'єднання, що дозволяє інкапсулювати дані одного протоколу в пакети іншого.



Рис. 1.6 Схема віртуального тунелю

Суть тунелювання полягає в тому, щоб «упакувати» передану порцію даних (разом зі службовими полями) в новий «конверт». Щоб забезпечити конфіденційність переданих даних, відправник шифрує вихідний пакет разом із заголовком, упаковує його в поле даних зовнішнього пакета з новим відкритим IP-заголовком і відправляє по транзитній мережі. Схема віртуального тунелю представлена ??на малюнку 1.6 (де ЗІ - заголовок вихідного пакета, ЗВ - заголовок зовнішнього пакета). Для транспортування даних по відкритій мережі використовуються відкриті поля заголовка зовнішнього пакета. Для зовнішніх пакетів використовуються адреси прикордонних маршрутизаторів, встановлених на початку і кінці тунелю, а внутрішні адреси кінцевих вузлів містяться у внутрішніх вихідних пакетах в захищеному вигляді. Після прибуття в кінцеву точку захищеного каналу із зовнішнього пакета витягують і розшифровують внутрішній вихідний пакет і використовують його відновлений заголовок для подальшої передачі по внутрішній мережі. Тунелювання може використовуватися не тільки для забезпечення конфіденційності та цілісності всієї переданої порції даних, але і для організації переходу між мережами з різними протоколами (наприклад, IPv4 і IPv6), а також різними технологіями і системою адресації.

Забезпечення безпеки в бездротових мережах

Питання забезпечення безпеки в бездротових мережах стоїть гостріше, ніж в дротяних. Радіус дії бездротових мереж типу 802.11 може складати сотні метрів, тому зловмисник, охочий перехопити інформацію, може просто приїхати на автомобілі до будівлі, включити в машині ноутбук з прийомопередатчиком і весь трафік, що проходить по локальній мережі всередині будівлі, може бути перехоплений. При використанні бездротових мереж можуть бути наступні види ризиків:

1. Розкрадання послуг. Зловмисник може отримати доступ до Інтернету.

2. Відмова в послугах. Хакер може стати джерелом великої кількості запитів на підключення до мережі, в результаті чого утруднити підключення законних користувачів.

3. Розкрадання або руйнування даних. Зловмисник, підключившись до мережі, може отримати доступ до файлів і папок, а отже отримати можливість копіювання, модифікації і видалення.

4. Перехоплення контролю над мережею. Зловмисник, використовуючи слабкі місця в системі безпеки, може впровадити троянського коня або призначити такі права доступу, які можуть призвести до незахищеності комп'ютера від атак з мережі Інтернет.

Розробкою специфікацій бездротових мереж займається група 802.11х інституту IEEE. Всі технічні деталі стандарту, в тому числі і щодо забезпечення безпеки, поміщаються на web-сайті групи http://www.ieee802.org/11, а також на сайті http://www.wi-fi.org. Стандарт 802.11 описує протокол безпеки рівня передачі даних під назвою WEP (Wired Equivalent Privacy - таємність, еквівалентна дротовим мережам), призначені для того, щоб убезпечити бездротові ЛОМ так само надійно, як і дротяні. За наявності системи безпеки в мережі 802.11 кожна станція має загальний закритий ключ з базовою станцією. Метод розповсюдження ключів стандартом не обмовляється. Ними можна обмінятися заздалегідь по провідній мережі. При обміні інформацією базова станція, або призначена для користувача машина може випадковим чином вибирати ключ і відсилати його протилежній стороні, попередньо зашифрувавши за допомогою відкритого ключа цю сторону. Після установки ключі можуть залишатися незмінними протягом декількох місяців або навіть років.

При шифруванні за допомогою WEP спочатку перевіряється контрольна сума корисного навантаження пакета. Відкритий текст, переданий алгоритмом шифрування, формується шляхом додавання контрольної суми до корисного навантаження. Отриманий відкритий текст складається по модулю 2 з відрізком ключового потоку і результатом цих перетворень є зашифрований текст. Після отримання пакету приймач витягує з нього зашифровані дані (корисне навантаження) і відновлює відкритий текст. Порівнюючи контрольну суму отриманих даних, можна переконатися в достовірності прийнятої інформації.

Однак протокол має ряд недоліків. По-перше при використанні однакових загальних ключів для всіх користувачів вони можуть запросто читати весь трафік один одного. Але навіть якщо всім користувачам роздати різні ключі, WEP все одно може бути зламаний. Так як ключі не змінюються протягом великих періодів часу, стандарт WEP рекомендує (але не зобов'язує) змінювати вектор ініціалізації при передачі кожного. На жаль, багато мережевих карт стандарту 802.11 для ноутбуків скидають вектор ініціалізації в 0, коли їх вставляють в роз'єм, і збільшують на одиничку з кожним пересланим пакетом. Так як мережеві карти вставляються і виймаються вельми часто, малі числа, що виступають в якості векторів ініціалізації, - звичайна справа. Якщо зловмисникові вдасться зібрати кілька пакетів, посланих одним і тим же користувачем, з однаковими значеннями вектора ініціалізації (який сам по собі надсилається відкритим текстом разом з пакетом), то він зможе обчислити суму за модулем 2 двох блоків відкритого тексту, що дає можливість зламати шифр. Навіть якщо мережева карта 802.11 підбиратиме значення вектора ініціалізації для кожного пакета випадковим чином, все одно завдяки обмеженій довжині вектора (24 розряду) вектори будуть повторюватися. Алгоритм злому протоколу WEP був опублікований в 2001 році. Друга версія протоколу (WAP-2.0) передбачає можливості захисту на мережному, транспортному і прикладному рівнях, що підвищує надійність захисту. При налаштуванні бездротової мережі слід дотримуватися таких додаткових заходів безпеки:

1. Уникати з'єднання бездротової мережі з провідною ЛОМ. Бездротова точка доступу визначає підключення до маршрутизатора в окремій мережі або до інтерфейсу брандмауера.

2. Для реалізації бездротових з'єднань використовувати віртуальні приватні мережі (VPN).

3. Використовувати інструментальні засоби сканування для перевірки мережі на предмет наявності вразливих місць в системі безпеки.

4. Регулярно перевіряти журнал реєстрації підключень для контролю всіх мережевих підключень [29].

1.4 Безпека Wi-Fi мереж

Як і будь-яка комп'ютерна мережа, Wi-Fi - є джерелом підвищеного ризику несанкціонованого доступу. Крім того, проникнути в бездротову мережу значно простіше, ніж в звичайну, не потрібно підключатися до проводів, досить опинитися в зоні прийому сигналу. Бездротові мережі відрізняються від кабельних тільки на перших двох - фізичному (Phy) і частково канальному (MAC) - рівнях семирівневій моделі взаємодії відкритих систем. Більш високі рівні реалізуються як в провідних мережах, а реальна безпека мереж забезпечується саме на цих рівнях. Тому різниця в безпеці тих і інших мереж зводиться до різниці в безпеці фізичного і MAC-рівнів.

Хоча сьогодні в захисті Wi-Fi-мереж застосовуються складні алгоритмічні математичні моделі аутентифікації, шифрування даних і контролю цілісності їх передачі, тим не менш, вірогідність доступу до інформації сторонніх осіб є дуже істотною. І якщо налаштуванні мережі не приділити належної уваги зловмисник може:

* роздобути доступ до ресурсів і дискам користувачів Wi-Fi-мережі, а через них і до ресурсів LAN;

* підслуховувати трафік, витягувати з нього конфіденційну інформацію;

* скористатися інтернет-трафіком;

* атакувати ПК користувачів і сервери мережі

* впроваджувати підроблені точки доступу;

* розсилати спам, і здійснювати інші протиправні дії від імені вашої мережі.

Для захисту мереж 802.11 передбачений комплекс заходів безпеки передачі даних. На ранньому етапі використання Wi-Fi мереж таким був пароль SSID (Server Set ID) для доступу в локальну мережу, але згодом виявилося, що дана технологія не може забезпечити надійний захист.

Головним же захистом довгий час було використання цифрових ключів шифрування потоків даних за допомогою функції Wired Equivalent Privacy (WEP). Самі ключі вдають із себе звичайні паролі з довжиною від 5 до 13 символів ASCII. Дані шифруються ключем з розрядністю від 40 до 104 біт. Але це не цілий ключ, а тільки його статична складова. Для посилення захисту застосовується так званий вектор ініціалізації Initialization Vector (IV), який призначений для рандомізації додаткової частини ключа, що забезпечує різні варіації шифру для різних пакетів даних. Даний вектор є 24-бітовим. Таким чином, в результаті ми отримуємо загальне шифрування з розрядністю від 64 (40 +24) до 128 (104 +24) біт, в результаті при шифруванні ми оперуємо і постійними, і випадково підібраними символами. Але, як виявилося, зламати такий захист можна, відповідні утиліти присутні в Інтернеті (наприклад, AirSnort, WEPcrack). Основне її слабке місце - це вектор ініціалізації. Оскільки ми говоримо про 24 біти, це має на увазі близько 16 мільйонів комбінацій, після використання цієї кількості, ключ починає повторюватися. Хакеру необхідно знайти ці повтори (від 15 хвилин до години для ключа 40 біт) і за секунди зламати решту частини ключа. Після цього він може входити в мережу як звичайний зареєстрований користувач.

Як показав час, WEP теж виявилася не найнадійнішою технологією захисту. Після 2001 року для дротяних і бездротових мереж було запроваджено новий стандарт IEEE 802.1X, який використовує варіант динамічних 128-розрядних ключів шифрування, тобто періодично змінюючі в часі. Таким чином, користувачі мережі працюють сеансами, по завершенні їм надсилається новий ключ. Наприклад, Windows XP підтримує даний стандарт, і за замовчуванням час одного сеансу дорівнює 30 хвилинам. IEEE 802.1X - це новий стандарт, який виявився ключовим для розвитку індустрії бездротових мереж в цілому. За основу узято виправлення недоліків технологій безпеки, вживаних в 802.11, зокрема, можливість злому WEP, залежність від технологій виробника і т. п. 802.1X дозволяє підключати в мережу навіть PDA-пристрої, що дозволяє більш вигідно використовувати саму ідею безпровідного зв'язку. З іншого боку, 802.1X і 802.11 є сумісними стандартами. У 802.1X застосовується той же алгоритм, що і в WEP, а саме - RC4, але з деякими відмінностями. 802.1X базується на протоколі розширеної аутентифікації (EAP), протоколі захисту транспортного рівня (TLS) і сервері доступу Remote Access Dial-in User Server. Протокол захисту транспортного рівня TLS забезпечують взаємну аутентифікацію і цілісність передачі даних. Всі ключі є 128-розрядними за умовчанням.

В кінці 2003 року був впроваджений стандарт Wi-Fi Protected Access (WPA), який поєднує переваги динамічного оновлення ключів IEEE 802.1X з кодуванням протоколу інтеграції тимчасового ключа TKIP, протоколом розширеної аутентифікації (EAP) і технологією перевірки цілісності повідомлень MIC. WPA - це тимчасовий стандарт, про який домовилися виробники устаткування, поки не набув чинності IEEE 802.11i. По суті, WPA = 802.1X + EAP + TKIP + MIC, де:

* WPA - технологія захищеного доступу до бездротових мереж

* EAP - протокол розширеної аутентифікації (Extensible Authentication Protocol).

* TKIP - протокол інтеграції тимчасового ключа (Temporal Key Integrity Protocol).

* MIC - технологія перевірки цілісності повідомлень (Message Integrity Check).

Сьогодні бездротову мережу вважають захищеною, якщо в ній функціонують три основних складових системи безпеки: аутентифікація користувача, конфіденційність і цілісність передачі даних. Для отримання достатнього рівня безпеки необхідно скористатися рядом правил при організації і настройці приватної Wi-Fi-мережі:

* Шифрувати дані шляхом використання різних систем. Максимальний рівень безпеки забезпечить застосування VPN;

* використовувати протокол 802.1X;

* заборонити доступ до налаштувань точки доступу за допомогою бездротового підключення;

* управляти доступом клієнтів по MAC-адресами;

* заборонити трансляцію в ефір ідентифікатора SSID;

* розташовувати антени якнайдалі від вікон, зовнішніх стін будівлі, а також обмежувати потужність радіовипромінювання;

* використовувати максимально довгі ключі;

* змінювати статичні ключі і паролі;

* використовувати метод WEP-аутентификации "Shared Key" оскільки клієнту для входу в мережу необхідно буде знати WEP-ключ;

* користуватися складним паролем для доступу до налаштувань точки доступу;

* по можливості не використовувати в бездротових мережах протокол TCP/IP для організації папок, файлів і принтерів загального доступу. Організація поділюваних ресурсів засобами NetBEUI в даному випадку безпечніше;

*не дозволяти гостьовий доступ до ресурсів загального доступу, використовувати довгі складні паролі;

* не використовувати в бездротовій мережі DHCP. Вручну розподілити статичні IP-адреси між легітимними клієнтами безпечніше;

*на всіх ПК всередині бездротової мережі встановити фаєрвол, не встановлювати точку доступу поза брандмауером, використовувати мінімум протоколів усередині WLAN (наприклад, тільки HTTP і SMTP);

* регулярно досліджувати уразливості мережі за допомогою спеціалізованих сканерів безпеки (наприклад NetStumbler)

* використовувати спеціалізовані мережеві операційні системи такі як, Windows Nt, Windows 2003, Windows Xp.

Так само загрозу мережевій безпеці можуть представляти природні явища і технічні пристрої, проте тільки люди (незадоволені звільнені службовці, хакери, конкуренти) впроваджуються в мережу для навмисного отримання або знищення інформації і саме вони представляють найбільшу загрозу.

1.5 Стратегія побудови та забезпечення безпеки мережі Wi-Fi

Все ще нерідко доводиться чути, що мережа бездротового доступу WLAN небезпечна в порівнянні з дротяними рішеннями. На теперішньому етапі розвитку технології Wi-Fi це твердження невірно. Просто безпекою треба займатися (проектувати і підтримувати), як і у випадку провідної мережі. Можна констатувати, що практично найгірша політика зараз - це просто забороняти використання Wi-Fi в компанії. Найчастіше співробітники починають приносити власні дешеві маршрутизатори з Wi-Fi (рівня рішень «для дому) просто тому, що використовувати Wi-Fi - це зручно. А для компанії такий пристрій, встановлене недосвідченим користувачем, - величезна діра в безпеці. Відомі випадки, коли великі компанії, довгий час забороняли будь-яке обладнання Wi-Fi, виявляли після спеціального обстеження, що в їхніх офісах насправді вже працюють тисячі несанкціонованих пристроїв. Тому варто використовувати Wi-Fi, як мінімум, для контролю радиосередовища та виявлення чужих пристроїв. Часто можна чути - як гарантувати те, що сигнал мережі WLAN не вийде за межі будівель компанії? Деякі «фахівці» пропонують використовувати спрямовані антени біля точок, розташованих поблизу зовнішніх стін всередині будівлі або використовувати точки-приманки з антенами, винесеними за межі будівлі, щоб відловлювати хакерів. На жаль, подібні техніки не надають достатнього рівня захисту, так як в реальності просто неможливо передбачити, як будуть поширюватися сигнали усередині будівлі. Наприклад, звичайне відбивання сигналу від металевих шаф з багаторазовим накладенням може призвести до конструктивної інтерференції з підсиленням сигналу, який легко вийде за межі будівлі. Або хакер може використовувати спрямовані антени з великим коефіцієнтом посилення, що дозволяє вловлювати навіть дуже слабкі сигнали за межами будівлі, як і передавати інформацію в мережу і т.п. Все це говорить про те, що єдиний вірний підхід з бездротовими рішеннями, так само як і з дротяними, це проектувати оборону мережі. Вже давно відомо, що захист будь-якої інфраструктури одними лише методами створення захисного периметра неефективний, тому що найчастіше найбільш небезпечні атаки викликані чинниками всередині мережі, наприклад:

- Власні співробітники

(Що потрапили, скажімо так, під вплив методів соціального інжинірингу);

- Впроваджені шкідливі програми (віруси, трояни, черви, програми введені в мережу через заражені веб-сайти);

- «пир-то-пир» комунікації та впровадження через даний канал;

- Гості компанії, що отримали який-небудь доступ до мережі тощо.

Побудова системи безпеки мережі Wi-Fi має враховувати всі ці фактори, щоб максимально наблизитися до подібного рівня безпеки дротових та бездротових сегментів мережі.

Основні компоненти для побудови системи Безпеки бездротової мережі:

- Контроль доступу.

- Аутентифікація користувачів.

- Шифрування трафіку.

- Система попередження вторгнень в бездротову мережу.

- Система виявлення чужих пристроїв та можливості їх активного придушення.

- Моніторинг радіоінтерференціі та DoS-атаки.

- Моніторинг вразливостей в бездротовій мережі та можливості аудиту вразливостей.

- Функції підвищення рівня безпеки інфраструктури бездротової мережі, наприклад, аутентифікація пристроїв (Х.509 і т.п.), захист даних управління - MFP / Management Frame Protection.

Основні завдання при побудові глибокоешелоновій обороні:

1. Забезпечення контролю доступу того, хто знаходиться в мережі (аутентифікація), які ресурси користувач може використовувати, застосування політик контролю доступу для трафіку цих користувачів.

2. Цілісність і надійність забезпечення того, що сама мережа доступна як ресурс критичний для бізнесу і що виникаючі небезпеки різного роду можуть бути ідентифіковані та знайдені і застосовані шляхи їх обходу.

3. Забезпечення таємниці того, що трафік на мережі не доступний для неавторизованих користувачів.

Стратегії безпеки

Стратегія 1: аутентифікації та авторизації всіх користувачів мережі.

Стратегія 2: Конфігурувати VLAN-и для поділу трафіку (наприклад гості/співробітники, високий рівень доступу/низький рівень доступу тощо) та введення первинного, грубого сегментування.

Стратегія 3: Використовувати міжмережеві екрани на рівні портів для формування більш тонкого рівня безпеки.

Стратегія 4: Використовувати шифрування на всій мережі для забезпечення секретності.

Стратегія 5: Визначати небезпеки цілісності мережі і застосовувати методи вирішення цих проблем.

Стратегія 6: Включити забезпечення безпеки кінцевих пристроїв в загальну політику безпеки.

Розглянемо дані стратегії детальніше:

Стратегія 1 / Аутентифікація і Авторизація всіх користувачів мережі Wi-Fi: початковою точкою створення будь-якої інфраструктури з глибокоешелонованим захисто є аутентифікація. Аутентіфкація повинна застосовуватися на самій ранній початковій точці входу будь-якого користувача або пристрою в мережу на рівні порту ще до отримання IP-адреси. Після позитивного проходження аутентифікації повинна бути пройдена авторизація, яка дає можливість зрозуміти, хто цей аутентіфікований користувач, що він може робити в мережі, куди він може отримувати доступ. Стандарт пропонує використовувати гнучке рішення - 802.1х, яке підтримує велику кількість протоколів аутентифікації від цифрових сертифікатів до методів з логіном/паролем. Також 802.1х підтримується великою кількістю платформ - від дешевих КПК і смартфонів до настільних комп'ютерів і серверів. Модуль 802.1х (суплікант) вбудований в останні версії Windows і MacOS, а також в багато операційних систем для смартфонів, хоча поки і не на 100%. Можна знайти програми-супліканти 802.1х практично для будь-якої популярної операційної системи. 802.1x - це система, стандартизована IEEE і адаптована робочою групою 802.11i для формування контролю доступу c основою на створенні портів. Деякі деталі:

- Процес асоціації 802.11 створює віртуальний порт для кожного клієнта WLAN на ТД;

- ТД блокує всі фрейми даних, які не відповідають трафіку 802.11х;

- 802.1х-фрейми переносять (туннелируют) пакети аутентифікації EAP, які перенаправляються точкою доступу (або контролером WLAN в централізованій архітектурі) до сервера ААА;

- Якщо аутентифікація на базі EAP пройшла успішно, ААА-сервер відправляє до ТД повідомлення успішного завершення (EAP success), потім вже ТД дозволяє трафіку даних від клієнта WLAN пройти через віртуальний порт;

- Ще до відкриття віртуального порту встановлюється шифрування каналу обміну даними між клієнтом WLAN і ТД, щоб гарантувати, що ніякий інший клієнт WLAN не зможе отримати доступ до цього встановленим віртального порту для даного клієнта, який проходить аутентифікацію. Побудова глибокоешелонованої оборони може бути успішна лише в разі реалізації авторизації користувачів після успішної аутентифікації. Критично важливо, що привілеї користувача на мережі варіюються не тільки на рівні його персональної ідентифікації, а й на таких більш інтелектуальних чинниках, як:

- Ідентифікація пристрою користувача;

- Поточний рівень безпеки цього пристрою;

- Місце розташування користувача;

- Час доби;

- Використовувався метод аутентифікації.

На практиці дуже зручно, коли весь необхідний функціонал аутентифікації, ідентифікації, авторизації і т.п. зібраний в одному пристрої з зручним інтерфейсом управління. Найбільш просунуте рішення має компанія Cisco Systems - це Cisco ISE / Identity Services Engine.

Стратегія 2 / Використання VLAN-ов для розділення трафіку і введення первинного, грубого сегментування для забезпечення безпеки мережі Wi-Fi : VLAN-и (Virtual Local Area Network) за своєю природою - це немаршрутизовані сегменти трафіку. У більшості сучасних будівель доводиться забезпечувати досить великі обсяги маршрутизації IP-трафіку, щоб зв'язати окремі сегменти мережі, побудовані наVLAN-ах. У кампусах роутингом доводиться займатися ще більше. У підсумку з великою кількістю VLAN-ів часто можна спостерігати виникнення проблем з керованістю такої системи. І складності можуть тільки наростати при додаванні мережі WLAN (Wireless Local Area Network) в інфраструктуру. Для спрощення можна використовувати методи підтримки мобільності між різними SSID, а також прагнути зберегти поточну схему IP-адресації. Важливо, щоб вбрання рішення WLAN забезпечувало роботу з безліччю різних VLAN навколо (позаду) одного SSID. Це дає можливість реалізовувати різні політики безпеки всередині інфраструктури грунтуючись на результатах авторизації користувача не навантажуючи користувача, при цьому, складними правилами. Наприклад щоб отримати доступ до сервісів в зоні-Х треба використовувати SSID-X і метод аутентіфкаціі Х, а до сервісів в зоні-Y, треба шукати SSID-Y і аутентифікації Y. Всі політики можуть бути реалізовані прозоро і просто для користувача. В даний час це вже досить звичайний функціонал в сучасних централізованих рішеннях вендорів високого рівня.

Стратегії Безпечних VLAN-ів: Ключ до успішного безпечного використання VLAN-ів це динамічне їх призначення. Існує безліч шляхів для динамічного призначення VLAN-ів, наприклад:

- Грунтуючись на аутентифікаційній інформації 802.1х,

- Грунтуючись на інформації з веб-аутентифікації,

- Відповідно до SSID, обраним користувачем в бездротової мережі,

- Грунтуючись на виявленні якого іншого атрибута, як, наприклад, МАС-адресу пристрою, тип пристрою, статус поточного стану безпеки пристрою, місце розташування користувача і т.п.. Введення динамічного призначення VLAN-ів вимагає наявності механізму надання авторизаційної інформації під час аутентіфкаціі. У деяких випадках це може підтримуватися в ручному режимі або використовуючи додаткові можливості, як, наприклад, списки користувачів з інформацією про їх можливості. У разі використання декількох SSID на мережі користувач запитує дозволу на доступ в певну мережу (або сегмент мережі) і потім проходить аутентифікацію. При використанні аутентіфкаціі 802.1х у користувача немає можливості запросити доступ в певний VLAN, що означає, що така інформація (про VLAN-ни куди користувач повинен бути спрямований) повинна бути збережена на сервері, який виконує 802.1х аутентифікацію користувачів (наприклад-якої RADIUS -сервер з відповідним функціоналом). Також, інформація по VLAN-у може бути модифікована в ході приєднання до мережі WLAN на підставі іншої інформації, наприклад місця розташування користувача і т.п..

Стратегія 3 / Використовувати міжмережеві екрани на рівні портів для формування більш тонкого рівня безпеки мережі Wi-Fi : Використання VLAN-ів може бути достатньо для грубої класифікації користувачів мережі. Але для реального захисту цінних ресурсів до кожного користувача повинні застосовуватися багатосторонні політики керовані мережевою інфраструктурою. Багато мережних інженери прийшли до такого ж висновку і почали використовувати периметральні міжмережеві екрани також і всередині мережі для того щоб застосовувати політики безпеки не тільки в місці виходу в Інтернет. Хоча вже зараз є виробники комутаторів LAN, які виробляють недорогі свічі з підтримкою 802.1х на портах, наприклад Cisco Systems. Хороший робочий підхід полягає в тому, щоб формувати політику безпеки на рівні портів з використанням бездротової мережі доступу. Так як безпека бездротової мережі грунтується на ідентифікації користувача і, при цьому, користувачі не асоціюються більше з фізичними портами. Сучасні рішення для бездротових мереж інтегрують функціонал виконання політик безпеки безпосередньо всередину системи WLAN. Це дозволяє говорити про те, що використання технології Wi-Fi, як основного безпечного, зручного та надійного доступу, логічніше й доцільніше, ніж дротового.

Стратегія 4 / Використовувати шифрування на всій мережі для забезпечення секретності в мережі Wi-Fi : Для бездротових мереж введення забезпечення секретності передачі інформації досить просте завдання. IEEE 802.11i це стандарт для забезпечення безпеки мережі WLAN. Він точно описує як забезпечувати секретність і цілісність даних на мережі WLAN з використанням спеціальних алгоритмів шифрування трафіку і методів аутентіфкаціі, заснованих на 802.1х (див. Стратегію 1). При виникненні завдання забезпечення безпеки і шифрування на бездротовій мережі починати треба з рішень, побудованих на стандарті 802.11i та володіть високою інтеропарабельністю з іншими бездротовими елементами.

Стратегія 5 / Визначати небезпеки цілісності мережі Wi-Fi (Integrity) і застосовувати методи вирішення цих проблем : Існують три основні питання безпеки:

- Контроль доступу,

- Забезпечення секретності (шифрування),

- Забезпечення цілісності.

Найбільш успішні стратегії визначатимуть зони найвищого ризику та спочатку концентруватися саме на них. Це половина шляху у вірному напрямку. Друга половина фокусується на вирішенні таких завдань як боротьба з троянами, вірусами, шкідливим ПЗ і т.п.. Ці небезпеки можуть викликати не тільки деградацію мережі і продуктивність, але і давати доступ до закритої інформації або викликати повну відмову в обслуговуванні. Ризик інфікування дуже високий і ризик для мережі також високий в разі інфікування. Тому в корпораціях вже нормальна практика мати стратегії ідентифікації вірусів та протидії їм. Ті хто поки не додав модулі визначення шкідливого ПЗ або шпигунських програм в антивірусні програми повинні зробити це якомога швидше, тому що ризик надто великий.

Стратегія 6 / Включити забезпечення безпеки кінцевих пристроїв Wi-Fi в загальну політику безпеки : Для використання інформації про статус безпеки кінцевих систем всередині спільних політик безпеки, що враховують стани, визначення кожної політики має включати рівень відповідності статусу безпеки кінцевого пристрою. Хороша практика полягає в зменшенні обсягу аналізу безпеки кінцевої системи і зведення його до зонових визначень, підтримуючи кількість зон наскільки можливо малими - три або чотири зони має бути достатньо для більшості компаній. Друга хороша практична ідея полягає в тому, що якщо користувач намагається отримати доступ в мережу, але статус безпеки його системи не відповідає політиці просте блокування цього користувача далеко не завжди найкращий вихід. Замість цього користувач повинен отримати з'єднання і повинен бути перенаправлений в карантинну зону мережі, де він може скачати необхідне ПЗ (антивірус, міжмережевий екран і т.п.) або провести оновлення баз даних, щоб вийти на припустимий рівень безпеки персональної системи. Потім вже цей користувач може отримати повний доступ до корпоративних ресурсів.



РОЗДІЛ 2. ТЕХНОЛОГІЯ WІ-FІ МЕРЕЖ

У всьому світі стрімко зростає потреба в бездротових з'єднаннях, особливо у сфері бізнесу. Користувачі з бездротовим доступом до інформації - завжди і скрізь можуть працювати більш продуктивно і ефективно, ніж їх колеги, прив'язані до дротяних телефонних і комп'ютерних мереж.

Зазвичай бездротові мережеві технології групуються в три типи, що розрізняються за масштабом дії їх радіосистем, але всі успішно застосовуються в бізнесі.

PAN (персональні мережі) - короткодіючі, радіусом до 10 м мережі, які об'єднуть ПК і інші пристрої - КПК, мобільні телефони, принтери. За допомогою таких мереж реалізується проста синхронізація даних, усуваються проблеми з достачею кабелів в офісах, реалізується простий обмін інформацією в невеликих робочих групах. Найбільш перспективний стандарт для PAN - це Bluetooth.

WLAN (бездротові локальні мережі) - радіус дії до 100 м. За їх допомогою реалізується бездротовий доступ до групових ресурсів у будівлі, університетському кампусі і т. д. Зазвичай такі мережі використовуються для продовження дротяних корпоративних локальних мереж. У невеликих компаніях WLAN можуть повністю замінити дротяні з'єднання. Основний стандарт для WLAN - 802.11.

WWAN (бездротові мережі широкої дії) - бездротовий зв'язок, який забезпечує мобільним користувачам доступ до їх корпоративних мереж і Інтернету. Поки тут немає домінуючого стандарту, найбільш активно впроваджується технологія GPRS - найшвидше в Європі і з деяким відставанням у США.

На сучасному етапі розвитку мережевих технологій, технологія бездротових мереж Wi-Fi є найбільш зручною в умовах, які вимагають мобільністі, простості установки і використання. Wi-Fi (від англ. Wireless fidelity - бездротовий зв'язок) - стандарт широкосмугового бездротового зв'язку сімейства 802.11 розроблений у 1997 р. Як правило, технологія Wi-Fi використовується для організації бездротових локальних комп'ютерних мереж, а також для створення так званих гарячих точок високошвидкісного доступу до Інтернету.

2.1 Сценарії проектування та розгортання мережі Wi-Fi (WLAN)

Спочатку необхідно сказати, що існує два великих напрямки розробки і використання архітектур Wi-Fi-рішень:

1. Автономна архітектура.

2. Централізована / керована архітектура.

Саме базуючись на дані архітектур, створюється основна кількість проектів мереж Wi-Fi.

У разі автономної архітектури рішення являє собою набір незв'язаних точок доступу, кожна з яких конфігурується і обслуговується незалежно. Тому складність обслуговування мережі, побудованої подібним чином, зростає лінійно, а часом і експоненціально, із зростанням кількості пристроїв. Звідси мережі з автономною архітектурою, як правило, давно не проектують великими, зазвичай не більше 3-5 пристроїв. Тут існують деякі винятки, які полегшують створення трохи більше масштабних мереж, наприклад, технологія кластеризації точок доступу. Але це не повноцінно керована архітектура у будь-якому випадку. Також у разі автономної архітектури виникають величезні проблеми з реалізацією системи безпеки бездротової мережі, тому що майже неможливо виконувати корелляцію атаки з урахуванням всіх точок доступу в зоні покриття за відсутності єдиного центру. Точки доступу незалежні і бачать ефір кожна по своєму, а для повноцінної інтерпретації події як атаки, важливий масштаб сприйняття, розуміння динаміки атаки. Це ж явище спостерігається і при виникненні проблем з інтерференцією, коли неможливо організувати спільне динамічне управління радіоресурсами (RRM-Radio Resource Management) з причини відсутності єдиного центру збору інформації з усіх точок доступу та відповідного прийняття рішень. Варто відзначити, що відомі випадки автономних мереж, що складаються з десятків точок доступу. Але гарантією ефективної роботи такої інфраструктури в нашій практиці була наявність кваліфікованих інженерів з WLAN в ІТ-службі, які самі писали спеціальні скрипти для масового управління всіма точками доступу, контролю по SNMP та збору статистики і т.д. У будь-якому випадку, це досить нетривіальний підхід, який ще й дуже небезпечний через проблеми з обслуговуванням подібного рішення у разі звільнення інженера-розробника даного ПЗ.