Ещё один
новый стандарт, IEEE 802.11i, определяет
специфические для беспроводных
сетей, включая инфраструктуры стандартов
IEEE 802.11b и IEEE 802.11a, защитные функции. Учитывая
сильную поддержку новых стандартов
обеспечения информационной безопасности
со стороны таких крупных компаний,
как Cisco Systems и Microsoft, можно предположить,
что соответствующие этим стандартам
сетевые продукты появятся в начале следующего
года.
Стоит
отметить, что ОС Microsoft Windows XP поддерживает
стандарты IEEE 802.11x и EAP. Благодаря этому,
пройдя единую процедуру аутентификации,
пользователь получает возможность работать
как в беспроводной, так и в инфраструктурной
сети. Чтобы воспользоваться преимуществами
новых методов защиты данных, необходимо
проделать определённую работу по интеграции
проводной сети с беспроводной. Должно
пройти ещё некое время, прежде чем большинство
производителей начнут поддерживать новые
стандарты сетевой безопасности. Кроме
того, могут возникнуть проблемы с совместимостью
решений от разных производителей.
Обеспечить необходимые уровни
качества обслуживания трафика
в беспроводных сетях призван
другой новый стандарт — IEEE
802.11e.
В нем определены асинхронная
и контролируемая по времени
передачи данных. Последняя нужна
для пересылки аудио— и видеоинформации.
Кроме того, для разных видов потоков данных
предусмотрена возможность использования
разных методов передачи. Например, для
пересылки чувствительного к задержкам
видеопотока вместо механизма повторной
передачи пакетов можно задействовать
метод упреждающей коррекции ошибок. Одновременная
поддержка в оборудовании стандартов
IEEE 802.11e и IEEE 802.11a позволит получить примерно
такой же набор рабочих характеристик
и функциональных возможностей, какой
предусмотрен стандартом HiperLAN/2.
Необходимые для качественной
передачи аудио— и видеоинформации
механизмы обеспечения QoS беспроводной
ЛВС должны быть интегрированы с соответствующими
механизмами инфраструктурной сети, а
на это потребуется некоторое время. Возможно,
до появления корпоративных приложений,
использующих механизмы QoS для беспроводных
ЛВС, пройдут годы. Гораздо быстрее интегрированные
(предназначенные для передачи речи, видео
и данных) беспроводные ЛВС появятся в
жилых домах. Однако не стоит откладывать
развёртывание беспроводной ЛВС, ожидая
появление продуктов с новыми функциями.
Возможностей сегодняшних устройств вполне
хватает для нормальной работы большинства
приложений. Предварительно обсудив с
представителями фирмы-производителя
её планы по модернизации выпускаемого
оборудования, смело разворачивайте у
себя беспроводную ЛВС, функциональность
которой вы со временем сможете улучшить.
Если отключить широковещательную
передачу узлом доступа «маячковых»
сигналов с идентификатором сети, то теоретически
такая сеть становится «скрытой». Пользователь,
находясь в зоне доступа «скрытой» сети,
не получает «маячковых» сигналов от узла
доступа. Следовательно, не может определить
идентификатор сети. А если у него нет
идентификатора, то и подключиться к сети
он тоже не может. О надёжности такого
способа маскировки позднее, а пока для
подключения к «скрытой» сети пользователю
необходимо ввести значение сетевого
идентификатора вручную.
Реализованный в протоколе 801.11
метод — WEP. Это симметричный
способ шифрования, когда для
кодирования и декодирования
данных используется один и
тот же кодирующий ключ, состоящий
из двух частей. Одна часть
— секретный ключ, хранится у
получателя и отправителя. Вторая
— вектор инициализации —
генерируется случайным образом
в системе отправителя. На основании
этих двух значений вычисляется
псевдоуникальный кодирующий ключ.
Данные между сетевыми системами
передаются в виде пакетов.
Структурно, каждый пакет состоит
из двух частей — заголовка
и тела. В заголовке хранится
служебная информация, в частности,
идентификатор сети, аппаратные
адреса получателя и отправителя.
В теле передаются данные и
значение контрольной суммы передаваемых
данных (ICV), используемое получателем
для проверки целостности данных.
Для каждого нового сетевого
пакета применяется новый кодирующий
ключ. Причём, кодируется только
тело пакета. В заголовок добавляется
значение вектора инициализации
соответствующего данному пакету
кодирующего ключа. Содержание
заголовка не кодируется и
передаётся в открытом виде.
Если используемый системой генератор
случайных чисел достаточно качественен
в статистическом отношении, то
проведённая операция шифрования
обеспечивает шумоподобный характер
передаваемых данных, что в теории, без
знания секретного ключа, делает возможность
декодирования перехваченного сообщения
очень длительным процессом даже при современной
вычислительной технике.
При расшифровке пакета получателем
программа кодирования инициализируется
секретным ключом и извлечённым
из полученного пакета значением
вектора инициализации. После
расшифровки тела сетевого пакета,
система вычисляет контрольную
сумму полученных данных и
сравнивает со значением контрольной
суммы, переданной отправителем
в этом же пакете. При положительном
результате данные начинают обрабатываться,
и отправителю передаётся подтверждение
удачного приёма. В противном
случае, отправитель повторно осуществляет
передачу.
Сетевой доступ к какому-либо
беспроводному устройству можно
избирательно контролировать, используя
список контроля доступа. Там
указываются аппаратные адреса
сетевых устройств, связь с
которыми разрешена. Соответственно,
любая сетевая активность устройств
с
аппаратными
адресами, не внесёнными в список, будет
проигнорирована. Данный вид защиты
основан на том, что аппаратный адрес
— это уникальный идентификатор
устройства, присваиваемый производителем.
Теоретически, двух сетевых устройств
с одинаковым аппаратным адресом
быть не может. Следовательно, на основании
этой характеристики сетевого устройства
можно однозначно идентифицировать
его владельца.
В стандартах рассматриваемых
беспроводных сетей были изначально
заложены механизмы идентификации
клиентов (по аппаратным адресам),
защиты (WEP) и контроля целостности
передаваемых данных. Исходя из
предоставленных разработчиками
технологии средств, в теории,
беспроводная сеть должна быть
наиболее защищена при работе
в режиме инфраструктуры (когда
весь трафик клиентов проходит
через узел доступа) с включённым
WEP-кодированием и фильтрацией
аппаратных адресов беспроводных
клиентов.
Главным преимуществом беспроводных
сетей (равно как и их ахиллесовой
пятой) является доступность физической
среды передачи данных — радиоэфира.
И если для площадок общественного доступа
к сетевым ресурсам (hot spots) такая возможность
это благо, то для домашних или локальных
сетей доступность за пределами ограниченной
территории, определённой стенами офиса
или квартиры, совершенно излишня. Пространственно
зона доступа одного узла представляет
собой сферу, радиус которой определён
максимальным удалением от центра с сохранением
устойчивого качества работы беспроводных
клиентов. На практике, реальная пространственная
зона доступа далека от геометрически
красивой фигуры из-за поглощения окружающей
физической средой радиосигнала. Говоря
нормальным языком, при одинаковом оборудовании
размеры зон доступа в кирпичных и панельных
зданиях с железобетонными перекрытиями
будут различаться. Надо быть готовым,
что, настроив офисную беспроводную сеть,
можно не только обеспечить подключение
из любой точки офиса, но и из таких неожиданных
мест, как чердак, автостоянка или здание
напротив. Если для защиты от вторжения
при прокладке кабельных сетей можно было
использовать экранированную витую пару,
то в качестве аналогичного решения для
физического ограничения пространственной
зоны доступа беспроводной сети придётся
использовать экран из заземлённой металлизированной
сетки, натянутой по границам зоны доступа.
Можно представить, что укладка такого
экрана даже в случае небольшой офисной
сети будет нелёгким и недешёвым удовольствием.
Также следует заметить, что максимальное
расстояние от клиента до точки
доступа напрямую зависит от
используемого оборудования. Так,
при работе с направленной
антенной для адаптера DWL-520 удалось
установить
подключение
к офисной сети с расстояния порядка
450 метров, тогда как со встроенной
антенной максимальное удаление было
около 80 метров.
Сбор информации об атакуемом
объекте — это необходимый
этап при подготовке атаки.
К сожалению администраторов
и владельцев беспроводной сети,
пассивное прослушивание и анализ
передаваемой информации может
предоставить сторонним наблюдателям
достаточно данных для успешного
проникновения в сеть. И предусмотренные
разработчиками методы защиты
не смогут этому помешать.
Для сбора информации достаточно
войти в зону покрытия сети,
и, воспользовавшись рабочей станцией
с беспроводным сетевым интерфейсом,
подключить программный анализатор
сетевого трафика (например, Kismet
или Ethereal). Если WEP-кодирование не включено
(обычная заводская настройка оборудования),
наблюдатель видит в открытом виде все
данные, передаваемые в сети. Если WEP-кодирование
все-таки включено, то, следует заметить,
кодируются только данные, передаваемые
в сетевом пакете, а заголовок пакета передаётся
в открытом виде. Из анализа заголовка
можно извлечь информацию об идентификаторе
сети, аппаратных адресах узлов доступа
и клиентов сети, а также значение вектора
инициализации, используемое получателем
для дешифровки полученных данных.
Как можно себе представить,
прослушивание и анализ перехваченных
сетевых пакетов делает попытки
сокрытия беспроводной сети несостоятельными
за счёт отключения широковещательной
передачи узлами доступа «маячковых»
сигналов.
Использование механизма идентификации
клиентов по аппаратным адресам
сетевых интерфейсов для доступа
к сетевым ресурсам — не
самая лучшая идея. Перехватив
и проанализировав сетевой трафик,
можно за короткое время получить
список аппаратных адресов всех
активных клиентов. Задача же
изменения аппаратного адреса
своего сетевого интерфейса давно
решена. Под «линуксоподобными» операционными
системами достаточно воспользоваться
стандартной сетевой утилитой ifconfig, а
для Windows-систем надо трудиться несколько
больше, переставляя драйвер сетевого
интерфейса или устанавливая дополнительную
утилиту.
Стандарт 802.11 предусматривает две
длины ключей — 40 бит и 104
бита. При длине ключа в 104 бита
декодирование данных прямым
перебором становится довольно
утомительным занятием даже при
работе новейшей вычислительной
техники. На первый взгляд, реализованный
в WEP-механизм криптозащиты должен
быть устойчив ко взлому. Но обратите
внимание на следующий факт: обе стороны
(отправитель и получатель) должны обладать
секретным ключом, используемым вместе
с вектором инициализации для кодирования
и декодирования информации. А в стандарте
802.11b не оговорён механизм обмена ключей
между сторонами. В результате, при интенсивном
обмене данными, реальна ситуация повторного
использования значений векторов инициализации
с одним и тем же секретным ключом. Особенность
реализованного алгоритма криптозащиты
приводит к тому, что, имея два сетевых
пакета, зашифрованных одним кодирующим
ключом, можно не только расшифровать
данные, но и вычислить секретный ключ.
Это позволяет не только декодировать
всю перехваченную информацию, но и имитировать
активность одной из сторон.
Тонкость работы с алгоритмом кодирования,
реализованном в WEP, в том, что нельзя допускать
повторного использования кодирующих
ключей. И этот момент был упущен при разработке
стандарта.
Данный вид атаки использует
функцию роуминга клиентов в
беспроводных сетях. Злоумышленник
на своей рабочей станции имитирует
узел доступа с более мощным
сигналом, чем реальный узел доступа.
Клиент беспроводной сети автоматически
переключается на новый узел
доступа, передавая на него
весь свой трафик. В свою очередь,
злоумышленник передаёт этот
трафик реальному узлу доступа
под видом клиентской рабочей
станции. Таким образом, система
злоумышленника включается в
обмен данными между клиентом
и узлом доступа как посредник,
что и дало название данному
виду атаки — Man-In-The-Middle. Эта атака
опасна тем, что позволяет взламывать
защищённые соединения (VPN), устанавливаемые
по беспроводной сети, вызывая принудительную
реав-торизацию VPN-клиента. В результате
злоумышленник получает авторизационные
данные скомпрометированного им клиента.
Сама среда передачи данных
предоставляет возможность силовой
атаки на беспроводные сети. Цель
подобного нападения — снижение
производительности сети или
ухудшение качества сетевого
обслуживания
вплоть
до полного паралича сети. Атаки подобного
вида называются DoS (Denial of Service) или DDoS (Distributed
DoS). В процессе нападения злоумышленник
передаёт трафик, объём которого превышает
возможности пропускной способности сетевого
оборудования. Или сетевые пакеты со специально
нарушенной внутренней структурой. Или
имитируя команды узла доступа, вызывает
отключение клиентов и т.д. и т.п. Злоумышленник
может избирательно атаковать как отдельную
рабочую станцию или точку доступа, так
и всех клиентов сети. DoS-атака может быть
и непреднамеренной. Например, вызванная
включением радиопередающего оборудования,
работающего на той же частоте, что и беспроводная
сеть.