Проблеми безпеки бездротових мереж, описані у низці статей, спровокували недовіру до бездротовим технологіям. Наскільки воно виправдане?

Чому бездротові мережі вважаються більш вразливими, ніж кабельні? У провідних мережахдані можуть бути перехоплені лише у тому випадку, якщо зловмисник отримає фізичний доступ до середовища передачі. У бездротових мережах сигнал поширюється в ефірі, тому будь-який, що знаходиться в зоні дії мережі, може перехопити цей сигнал.

Зловмиснику навіть не обов'язково перебувати на території компанії, достатньо потрапити до зони поширення радіосигналу.

Загрози бездротовим мережам

Готуючись до безпеки бездротових мереж, передусім необхідно встановити, що може їм загрожувати.

Пасивна атака

Перехоплення сигналів бездротової мережі подібне до прослуховування радіо. Достатньо мати ноутбук (або КПК) та аналізатор бездротових протоколів. Широко поширена помилка, що несанкціоноване підключення до бездротової мережі поза офісом можна припинити, контролюючи вихідну потужністьсигналу. Це не так, оскільки використання зловмисником бездротової карти підвищеної чутливості та спрямованої антени дозволяє легко подолати цей запобіжний захід.

Навіть зменшивши ймовірність несанкціонованого підключення до мережі, не слід залишати без уваги можливість «прослуховування» трафіку, тому безпечної роботиу бездротових мережах необхідно шифрувати передану інформацію.

Активна атака

Небезпечно підключати незахищену бездротову мережу до кабельної мережі. Незахищена точка доступу, приєднана до локальної мережі, є широко відкритими дверима для зловмисників. Для підприємств це може призвести до того, що конкуренти можуть отримати доступ до конфіденційних документів. Незахищені бездротові мережі дозволяють хакерам обійти міжмережеві екранита налаштування безпеки, які захищають мережу від атак через Internet. У домашніх мережах зловмисники можуть отримати безкоштовний доступдо Internet з допомогою своїх сусідів.

Слід відстежувати та виявляти неконтрольовані точки доступу, підключені до мережі несанкціоновано. Такі точки, зазвичай, встановлюють самі співробітники підприємства. (Наприклад, менеджер відділу продажів придбав бездротову точку доступу та використовує її, щоб весь час залишатися на зв'язку.) Така точка може бути спеціально підключена до мережі зловмисником з метою отримання доступу до мережі компанії поза офісом.

Слід пам'ятати про те, що вразливими є як підключені до бездротової мережі комп'ютери, так і ті, в яких включена бездротова картаза замовчуванням (вона, як правило, не блокує проникнення через бездротову мережу). Наприклад, поки користувач, який очікує на свій рейс, переглядає ресурси Internet через розгорнуту в аеропорту мережу Wi-Fi, хакер, що сидить неподалік, вивчає інформацію, що зберігається на комп'ютері мобільного співробітника. Аналогічним атакам можуть зазнати користувачі, які працюють за допомогою бездротових мереж у приміщеннях кафе, виставкових центрів, холах готелів та ін.

Пошук доступних бездротових мереж

Для активного пошуку вразливих бездротових мереж (War driving) зазвичай використовується автомобіль та комплект бездротового обладнання: невелика антена, бездротова мережна карта, портативний комп'ютер і, можливо, GPS-приймач. Використовуючи поширені програми-сканери, такі як Netstumbler, можна легко знайти зони прийому бездротових мереж.

Шанувальники War Driving мають багато способів обмінюватися інформацією. Один з них (War Chalking) має на увазі нанесення на схемах і картах символів, що вказують на виявлені бездротові мережі. Ці позначення містять відомості про величину радіосигналу, наявність того чи іншого різновиду захисту мережі та можливість доступу в Internet. Любителі такого "спорту" обмінюються інформацією через Internet-сайти, "вивішуючи", зокрема, докладні карти з місцезнаходженням виявлених мереж. До речі, корисно перевірити, чи немає вашої адреси.

Відмова в обслуговуванні

Безкоштовний доступ до Internet або корпоративну мережуне завжди є метою зловмисників. Іноді завданням хакерів може бути виведення з ладу бездротової мережі.

Атака «відмова в обслуговуванні» може бути досягнута декількома способами. Якщо хакеру вдається встановити з'єднання з бездротовою мережею, його зловмисні дії можуть викликати ряд таких серйозних наслідків: наприклад, розсилання відповідей на запити протоколу дозволу адрес (Address Resolution Protocol, ARP) для зміни ARP-таблиць мережевих пристроївз метою порушення маршрутизації в мережі або запровадження несанкціонованого сервера протоколу динамічної конфігурації хостів (Dynamic Host Configuration Protocol, DHCP) для видачі непрацездатних адрес та масок мереж. Якщо хакер з'ясує подробиці налаштувань бездротової мережі, то зможе перепідключити користувачів до своєї точки доступу (див. малюнок), а останні виявляться відрізаними від мережевих ресурсів, які були доступні через «законну» точку доступу.

Використання несанкціонованої точки доступу.

Зловмисник може також заблокувати частоти, які використовуються бездротовими мережами, застосовуючи для цього генератор сигналів (його можна виготовити з мікрохвильової деталі печі). В результаті вся бездротова мережа або її частина вийдуть із ладу.

Заходи безпеки у стандартах IEEE 802.11

Оригінальний стандарт 802.11 передбачає для забезпечення безпеки бездротових мереж використання стандарту «конфіденційності, еквівалентної проводової» (Wired Equivalent Privacy, WEP). Бездротові мережі, що використовують WEP, потребують налаштування статичного WEP-ключа на точках доступу та всіх станціях. Цей ключ можна використовувати для автентифікації та шифрування даних. При його компрометації (наприклад, у разі втрати переносного комп'ютера) необхідно змінити ключ на всіх пристроях, що дуже важко. При використанні ключів WEP для автентифікації бездротові станціїнадсилають точці доступу відповідний запит, отримуючи у відповідь незашифроване повідомлення (clear text challenge). Клієнт повинен зашифрувати його, використовуючи свій WEP-ключ, і повернути точці доступу, яка розшифрує повідомлення за допомогою власного WEP-ключа. Якщо розшифроване повідомлення збігається з оригінальним, це означає, що клієнт знає WEP-ключ. Отже, автентифікація вважається успішною, і клієнту надсилається відповідне повідомлення.

Успішно завершивши аутентифікацію та асоціацію, бездротовий пристрійможе використовувати WEP-ключ для шифрування трафіку, що передається між пристроєм та точкою доступу.

Стандарт 802.11 визначає інші механізми контролю доступу. Точка доступу може використовувати фільтрацію за апаратними адресами (Media Access Control, MAC), надаючи або забороняючи доступ на основі MAC-адреси клієнта. Цей методускладнює, але не запобігає підключенню несанкціонованих пристроїв.

Наскільки безпечним є WEP?

Одне з правил криптографії свідчить: маючи відкритий текстта його зашифровану версію можна встановити використаний метод шифрування. Це особливо актуально при використанні слабких алгоритмів шифрування та симетричних ключів, такі, наприклад, передбачає WEP.

Цей протокол використовує алгоритм RC4 для шифрування. Слабкість його полягає в тому, що якщо зашифрувати відомий відкритий текст, то на виході вийде ключовий потік, який використовувався для шифрування даних. Відповідно до стандарту 802.11, ключовий потік складається з WEP-ключа та 24-розрядного вектора ініціалізації. Для кожного пакета використовується наступний вектор, який відправляється у відкритому вигляді разом з пакетом, так що станція, що приймає, може використовувати його спільно з WEP-ключом, щоб розшифрувати пакет.

Якщо отримати один ключовий потік, то можна розшифрувати будь-який пакет, зашифрований тим самим вектором. Так як вектор змінюється для кожного пакета, для розшифровки потрібно дочекатися наступного пакету, що використовує той же вектор. Щоб розшифровувати WEP, необхідно зібрати повний комплект векторів і ключових потоків. Утиліти зі злому WEP працюють саме таким чином.

Добути відкритий та зашифрований текст можна в процесі автентифікації клієнта. Перехоплюючи трафік протягом деякого часу, можна набрати необхідну кількість вихідних даних щодо атаки. Щоб зібрати необхідні для аналізу дані, хакери використовують безліч інших методів, включаючи атаки типу «men in the middle».

Коли ухвалювалося рішення про формат кадру для бездротових мереж, IEEE запропонувала свій власний формат під назвою Subnetwork Address Protocol (SNAP).

Два байти, що йдуть за MAC-заголовком у кадрі SNAP стандарту 802.11, завжди мають значення «AA AA». Протокол WEP шифрує всі байти, що йдуть за MAC-заголовком, тому перших двох зашифрованих байт завжди відомий відкритий текст («АА АА»). Цей шлях надає можливість отримати фрагменти зашифрованого та відкритого повідомлення.

В Internet безкоштовно поширюються утиліти для злому WEP. Найвідоміші з них - AirSnort та WEPCrack. Для успішного злому WEP-ключа за їх допомогою достатньо набрати від 100 тис. до 1 млн. пакетів. Нові утиліти Aircrack та Weplab для злому WEP-ключів реалізують більше ефективний алгоритм, при якому потрібно значно менше пакетів. Тому WEP є ненадійним.

Бездротові технології стають безпечнішими

Сьогодні багато компаній використовують зручні та безпечні бездротові мережі. Стандарт 802.11i підняв безпеку на якісно новий рівень. Робоча група IEEE 802.11i, до якої входило створення нового стандарту безпеки бездротових мереж, була сформована після вивчення відомостей про вразливість протоколу WEP. На розробку потрібен деякий час, тому більшість виробників обладнання, не дочекавшись виходу нового стандарту, почали пропонувати свої методи (див. ). У 2004 році з'явився новий стандарт, проте постачальники обладнання за інерцією продовжують використовувати старі рішення.

802.11i визначає використання стандарту розширеного шифрування (Advanced Encryption Standard, AES) замість WEP. В основі AES лежить реалізація алгоритму Рендела, який більшість криптоаналітиків визнає стійким. Цей алгоритм істотно кращий за свого слабкого попередника RC4, який використовується в WEP: він передбачає використання ключів довжиною 128, 192 і 256 розрядів, замість 64 біт, що використовуються в оригінальному стандарті 802.11. Новий стандарт 802.11i також визначає використання TKIP, CCMP та 802.1x/EAP.

EAP-MD5 підтверджує автентифікацію користувача шляхом перевірки пароля. Питання використання шифрування трафіку віддано на відкуп адміністратору мережі. Слабкість EAP-MD5 полягає у відсутності обов'язкового використання шифрування, тому EAP-MD5 допускає можливість атаки типу Men in the middle.

Протокол "легковажний EAP" (Lightweight EAP, LEAP), який створила компанія Cisco, передбачає не тільки шифрування даних, а й ротацію ключів. LEAP не вимагає наявності ключів у клієнта, оскільки вони безпечно пересилаються після того, як користувач пройшов аутентифікацію. Це дозволяє користувачам легко підключатися до мережі, використовуючи обліковий записта пароль.

Ранні реалізації LEAP забезпечували лише односторонню автентифікацію користувачів. Пізніше Cisco додала можливість взаємної автентифікації. Проте з'ясувалося, що протокол LEAP уразливий до атак за словником. Співробітник американського Інституту системного адміністрування, телекомунікацій та безпеки (SANS) Джошуа Райт розробив утиліту ASLEAP, яка здійснює подібну атаку, після чого компанія Cisco рекомендувала використовувати сильні паролі завдовжки не менше восьми знаків, включаючи спецсимволи, символи верхнього, нижнього регіструта цифри. LEAP безпечний в тій мірі, наскільки стійким є пароль до спроб підбору.

Більш сильний варіант реалізації EAP - EAP-TLS, який використовує встановлені цифрові сертифікати на клієнті та сервері, був розроблений у Microsoft. Цей метод забезпечує взаємну аутентифікацію та покладається не тільки на пароль користувача, але також підтримує ротацію та динамічний розподілключів. Незручність EAP-TLS полягає в необхідності встановлення сертифіката на кожному клієнті, що може виявитися досить трудомісткою та дорогою операцією. До того ж, цей метод непрактично використовувати в мережі, де часто змінюються співробітники.

Виробники бездротових мереж просувають рішення спрощення процедури підключення до бездротових мереж авторизованих користувачів. Ця ідея цілком здійсненна, якщо включити LEAP і роздати імена користувачів та паролі. Але якщо виникає необхідність використання цифрового сертифіката або введення довгого WEP-ключа, процес може стати стомлюючим.

Компанії Microsoft, Cisco та RSA спільними зусиллями розробили новий протокол – PEAP, який об'єднав простоту використання LEAP та безпеку EAP-TLS. PEAP використовує сертифікат, встановлений на сервері, та автентифікацію за паролем для клієнтів. Аналогічне рішення – EAP-TTLS – випустила компанія Funk Software.

Різні виробники підтримують різні типи EAP, а також кілька типів одночасно. Процес EAP аналогічний всім типів.

Типові операції EAP

Що таке WPA

Після того, як бездротові мережі були оголошені небезпечними, виробники розпочали реалізацію власних рішеньіз забезпечення безпеки. Це поставило компанії перед вибором: використовувати рішення одного виробника або чекати на вихід стандарту 802.11i. Дата прийняття стандарту була невідома, тому 1999 року було сформовано альянс Wi-Fi. Його метою була уніфікація взаємодії бездротових мережних продуктів.

Альянс Wi-Fi затвердив протокол захищеного бездротового доступу(Wireless Protected Access, WPA), розглядаючи його як тимчасове рішення до виходу стандарту 802.11i. Протокол WPA передбачає використання стандартів TKIP та 802.1x/EAP. Будь-яке обладнання Wi-Fi, Сертифіковане на сумісність з WPA, має працювати разом з іншим сертифікованим обладнанням. Постачальники можуть використовувати і власні механізми забезпечення безпеки, але повинні в будь-якому випадку включати підтримку стандартів Wi-Fi.

Після початкового оголошення параметрів 802.11i альянс Wi-Fi створив стандарт WPA2. Будь-яке обладнання, яке має сертифікат WPA2, повністю сумісне з 802.11i. Якщо бездротова мережа підприємства не підтримує стандарт 802.11i, то для забезпечення адекватної безпеки слід якнайшвидше перейти на 802.11i.

Що таке фільтрація MAC-адрес?

Якщо WEP небезпечний, то чи зможе захистити бездротову мережу фільтрація апаратних адрес (Media Access Control, MAC)? На жаль, фільтри МАС-адрес призначені для запобігання несанкціонованим підключенням, проти перехоплення трафіку вони безсилі.

Фільтрування МАС-адрес не надає помітного впливу на безпеку бездротових мереж. Вона вимагає від зловмисника лише одного додаткової дії: дізнатися дозволену MAC-адресу. (До речі, більшість драйверів мережевих картдозволяють його поміняти.)

Наскільки легко дізнатися дозволена MAC-адреса? Щоб отримати працюючі МАС-адреси, достатньо протягом деякого часу стежити за бездротовим трафіком за допомогою аналізатора протоколів. МАС-адреси можна перехопити, навіть якщо трафік шифрується, оскільки заголовок пакета, який включає таку адресу, передається у відкритому вигляді.

Протокол TKIP

Тимчасовий протокол забезпечення цілісності ключа (TKK) розроблений для усунення недоліків, властивих протоколу WEP. Стандарт TKIP покращує безпеку WEP завдяки ротації ключів, використанню довших векторів ініціалізації та перевірки цілісності даних.

Програми зламу WEP використовують слабкість статичних ключів: після перехоплення необхідного числа пакетів вони дозволяють легко розшифрувати трафік. Регулярна зміна ключів запобігає цьому типу атак. TKIP динамічно змінює ключі через кожних 10 тис. пакетів. Пізні реалізації протоколу дозволяють змінювати інтервал ротації ключів і навіть встановити алгоритм зміни ключа шифрування кожного пакета даних (Per-Packet Keying, PPK).

Ключ шифрування, застосовуваний у TKIP, став надійнішим проти WEP-ключами. Він складається з 128-розрядного динамічного ключа, до якого додається MAC-адреса станції і 48-розрядний вектор ініціалізації (удвічі довше оригінального вектора стандарту 802.11). Цей метод відомий як «ключове змішування» і дає впевненість у тому, що будь-які дві станції не використовують один і той самий ключ.

У протоколі також вбудований метод гарантованого забезпечення цілісності даних (Message Integrity Cheek, MIC, званий також Michael).

Ця стаття присвячена питанню безпеки під час використання бездротових мереж WiFi.

Вступ - вразливість WiFi

Головна причинавразливості даних, коли ці дані передаються через мережі WiFi, полягає в тому, що обмін відбувається по радіохвилі. А це дає можливість перехопити повідомлення в будь-якій точці, де фізично доступний сигнал WiFi. Спрощено кажучи, якщо сигнал точки доступу можна вловити на дистанції 50 метрів, перехоплення всього мережевого трафіку цієї WiFi мережі можливе в радіусі 50 метрів від точки доступу. У сусідньому приміщенні, на іншому поверсі будівлі, на вулиці.

Уявіть таку картину. В офісі локальна мережа збудована через WiFi. Сигнал точки доступу цього офісу ловиться за межами будівлі, наприклад, на автостоянці. Зловмисник, за межами будівлі, може отримати доступ до офісної мережі, тобто непомітно для власників цієї мережі. До мереж WiFi можна отримати доступ легко та непомітно. Технічно значно легше, ніж до провідних мереж.

Так. На сьогоднішній день розроблено та впроваджено засоби захисту WiFi мереж. Такий захист заснований на шифруванні всього трафіку між точкою доступу та кінцевим пристроєм, який підключений до неї. Тобто радіосигнал перехопити зловмисник може, але для нього це буде просто цифрове сміття.

Як працює захист WiFi?

Точка доступу включає в свою WiFi мережу тільки той пристрій, який надішле правильний (вказаний в налаштуваннях точки доступу) пароль. У цьому пароль теж пересилається зашифрованим, як хеша. Хеш це результат незворотного шифрування. Тобто дані, переведені в хеш, розшифрувати не можна. Якщо зловмисник перехопить хеш пароля, він не зможе отримати пароль.

Але як точка доступу дізнається правильний вказаний пароль чи ні? Якщо вона також отримує хеш, а розшифрувати його не може? Все просто – в налаштуваннях точки доступу пароль вказаний у чистому вигляді. Програма авторизації бере чистий пароль, створює з нього хеш і потім порівнює цей хеш із отриманим від клієнта. Якщо хеші збігаються означає у клієнта пароль правильний. Тут використовується друга особливість хешей – вони унікальні. Одноманітний хеш не можна отримати з двох різних наборівданих (паролей). Якщо два хеші збігаються, то вони обидва створені з однакового набору даних.

До речі. Завдяки цій особливості хеш використовуються для контролю цілісності даних. Якщо два хеші (створені з проміжком часу) збігаються, значить вихідні дані (за цей проміжок часу) не були змінені.

Тим не менш, не дивлячись на те, що найбільше сучасний методзахисту WiFi мережі (WPA2) надійний, ця мережа може бути зламана. Яким чином?

Є дві методики доступу до мережі під захистом WPA2:

1. Підбір пароля на основі паролів (так званий перебір за словником).
2. Використання вразливості у функції WPS.

У першому випадку зловмисник перехоплює хеш пароля до точки доступу. Потім за базою даних, у якій записані тисячі, чи мільйони слів, виконується порівняння хешів. Зі словника береться слово, генерується хеш для цього слова і потім цей хеш порівнюється з тим хешом, який був перехоплений. Якщо на точці доступу використовується примітивний пароль, тоді зламування пароля, цієї точки доступу, питання часу. Наприклад, пароль з 8 цифр (довжина 8 символів це мінімальна довжина пароля для WPA2) це один мільйон комбінацій. на сучасному комп'ютерізробити перебір одного мільйона значень можна за кілька днів або навіть годинника.

У другому випадку використовується вразливість у перших версіях функції WPS. Ця функція дозволяє підключити до точки доступу пристрій, на якому не можна ввести пароль, наприклад, принтер. При використанні цієї функції пристрій та точка доступу обмінюються цифровим кодом і якщо пристрій надішле правильний код, точка доступу авторизує клієнта. У цій функції була вразливість – код був із 8 цифр, але унікальність перевірялася лише чотирма з них! Тобто для злому WPS потрібно зробити перебір всіх значень, які дають 4 цифри. В результаті зламування точки доступу через WPS може бути виконаний буквально за кілька годин, на будь-якому, найслабшому пристрої.

Налаштування захисту мережі WiFi

Безпека мережі WiFi визначається настройками точки доступу. Декілька цих налаштувань прямо впливають на безпеку мережі.

Режим доступу до мережі WiFi

Точка доступу може працювати в одному з двох режимів – відкритому або захищеному. В разі відкритого доступу, підключитися до точки досуту може будь-який пристрій. У разі захищеного доступу підключається лише пристрій, який передасть правильний парольдоступу.

Існує три типи (стандарту) захисту WiFi мереж:

• WEP (Wired Equivalent Privacy). Найперший стандарт захисту. Сьогодні фактично не забезпечує захист, оскільки зламується дуже легко завдяки слабкості механізмів захисту.
• WPA (Wi-Fi Protected Access). Хронологічно другий стандарт захисту. На момент створення та введення в експлуатацію забезпечував ефективний захист WiFi мереж. Але наприкінці нульових років було знайдено можливості для злому захисту WPAчерез вразливість у механізмах захисту.
• WPA2 (Wi-Fi Protected Access). Останній стандарт захисту. Забезпечує надійний захист за дотримання певних правил. На сьогоднішній день відомі лише два способи злому захисту WPA2. Перебір пароля за словником та обхідний шлях через службу WPS.

Таким чином, для забезпечення безпеки WiFi необхідно вибирати тип захисту WPA2. Однак, не всі клієнтські пристрої можуть його підтримувати. Наприклад, Windows XP SP2 підтримує лише WPA.

Крім вибору стандарту WPA2, необхідні додаткові умови:

Використовувати метод шифрування AES.

Пароль для доступу до мережі WiFi необхідно складати так:

1. Використовуйтелітери та цифри у паролі. Довільний набір букв і цифр. Або дуже рідкісне, значуще лише для вас, слово чи фразу.
2. Невикористовуйте прості пароліна кшталт ім'я + дата народження, або якесь слово + кілька цифр, наприклад lena1991або dom12345.
3. Якщо потрібно використовувати тільки цифровий парольтоді його довжина повинна бути не менше 10 символів. Тому що восьмисимвольний цифровий пароль підбирається шляхом перебору за реальний час(від кількох годин до кількох днів, залежно від потужності комп'ютера).

Якщо ви будете використовувати складні паролі, відповідно до цих правил, то вашу WiFi мережу не можна буде зламати методом підбору пароля за словником. Наприклад, для пароля виду 5Fb9pE2a(довільний буквено-цифровий), максимально можливо 218340105584896 комбінацій. Сьогодні це практично неможливо для підбору. Навіть якщо комп'ютер порівнюватиме 1 000 000 (мільйон) слів на секунду, йому знадобиться майже 7 років для перебору всіх значень.

WPS (Wi-Fi Protected Setup)

Якщо точка доступу має функцію WPS (Wi-Fi Protected Setup), потрібно вимкнути її. Якщо ця функція необхідна, переконайтеся, що її версія оновлена ​​до наступних можливостей:

1. Використання всіх 8 символів пінкод замість 4-х, як це було спочатку.
2. Увімкнення затримки після кількох спроб передачі неправильного пінкоду з боку клієнта.

Додаткова можливість покращити захист WPS – це використання цифробуквенного пінода.

Безпека громадських мереж WiFi

Сьогодні модно користуватися Інтернет через WiFi мережі у громадських місцях – у кафе, ресторанах, торгових центрах тощо. Важливо розуміти, що використання таких мереж може призвести до крадіжки ваших персональних даних. Якщо ви входите в Інтернет через таку мережу і потім виконуєте авторизацію на будь-якому сайті, ваші дані (логін і пароль) можуть бути перехоплені іншою людиною, яка підключена до цієї ж мережі WiFi. Адже на будь-якому пристрої, який пройшов авторизацію і підключений до точки доступу, можна перехоплювати мережевий трафікз решти пристроїв цієї мережі. А особливість громадських мереж WiFi у тому, що до неї може підключитися будь-який бажаючий, у тому числі зловмисник, причому не лише до відкритої мережі, а й захищеної.

Що можна зробити для захисту своїх даних, при підключенні до Інтернету через громадську мережу WiFi? Є лише одна можливість – використовувати протокол HTTPS. В рамках цього протоколу встановлюється зашифроване з'єднання між клієнтом (браузером) та сайтом. Але не всі веб-сайти підтримують протокол HTTPS. Адреси на сайті, що підтримує протокол HTTPS, починаються з префіксу https://. Якщо адреси на сайті мають префікс http:// це означає, що на сайті немає підтримки HTTPS або вона не використовується.

Деякі сайти за умовчанням не використовують HTTPS, але мають цей протокол і його можна використовувати, якщо явним чином (вручну) вказати префікс https://.

Що стосується інших випадків використання Інтернету - чати, скайп і т.д, то для захисту цих даних можна використовувати безкоштовні або платні сервери VPN. Тобто спочатку підключатися до серверу VPN, а потім використовувати чат або відкритий сайт.

Захист пароля WiFi

У другій та третій частинах цієї статті я писав, що у випадку використання стандарту захисту WPA2, один із шляхів злому WiFiмережі полягає у підборі пароля за словником. Але для зловмисника є ще одна можливість отримати пароль до вашої мережі WiFi. Якщо ви зберігаєте пароль на стікері, приклеєному до монітора, це дає можливість побачити цей пароль сторонній людині. А ще ваш пароль може бути викрадений з комп'ютера, який підключений до вашої WiFi мережі. Це може зробити стороння людина, якщо ваші комп'ютери не захищені від доступу сторонніх. Це можна зробити за допомогою шкідливої ​​програми. Крім того пароль можна вкрасти і з пристрою, який виноситься за межі офісу (будинки, квартири) - зі смартфона, планшета.

Таким чином, якщо вам потрібний надійний захист вашої мережі WiFi, необхідно вживати заходів і для надійного зберігання пароля. Захищати його від сторонніх осіб.

Якщо вам виявилася корисною або просто сподобалася ця стаття, тоді не соромтеся - підтримайте матеріально автора. Це легко зробити закинувши грошики на Яндекс Гаманець № 410011416229354. Або на телефон +7 918-16-26-331 .

Навіть невелика сума може допомогти написання нових статей:)

Серйозною проблемою для всіх бездротових локальних мереж (і якщо вже на те пішло, то і всіх дротових локальних мереж) є безпека. Безпека тут важлива, як і для будь-якого користувача мережі Інтернет. Безпека є складним питанням та потребує постійної уваги. Величезну шкоду може бути завдано користувачеві через те, що він використовує випадкові хот-споти (hot-spot) або відкриті точки. доступу WI-FIвдома або в офісі і не використовує шифрування або VPN (Virtual Private Network - віртуальна приватна мережа). Небезпечно це тим, що користувач вводить свої особисті або професійні дані, а мережа не захищена від стороннього вторгнення.

WEP

Спочатку було важко забезпечити належну безпеку для бездротових локальних мереж.

Хакери легко здійснювали підключення практично до будь-який WiFiмережі зламуючи такі початкові версії систем безпеки, як Wired Equivalent Privacy (WEP). Ці події залишили свій слід, і довгий часдеякі компанії неохоче впроваджували або зовсім не впроваджували бездротові мережі, побоюючись, що дані, що передаються між бездротовими WiFi пристроямиі Wi-Fi точками доступу можуть бути перехоплені та розшифровані. Таким чином, ця модель безпеки уповільнювала процес інтеграції бездротових мереж у бізнес та змушувала нервувати користувачів, які використовують WiFi мережі вдома. Тоді інститут IEEE створив робочу групу 802.11i , яка працювала над створенням всеосяжної моделі безпеки для забезпечення 128-бітного AES шифрування та автентифікації для захисту даних. Wi-Fi Альянс представив свій проміжний варіант цієї специфікації безпеки 802.11i: Wi-Fi захищений доступ (WPA – Wi-Fi Protected Access). Модуль WPA поєднує декілька технологій для вирішення проблем уразливості 802.11 WEP системи. Таким чином, WPA забезпечує надійну аутентифікацію користувачів з використанням стандарту 802.1x (взаємна аутентифікація та інкапсуляція даних, що передаються між бездротовими клієнтськими пристроями, точками доступу і сервером) і протокол аутентифікації (EAP), що розширюється.

Принцип роботи систем безпеки схематично представлено на рис.1

Також, WPA оснащений тимчасовим модулем для шифрування WEP-движка за допомогою 128 – бітного шифрування ключів та використовує тимчасовий протокол цілісності ключів (TKIP). А за допомогою контрольної суми повідомлення (MIC) запобігає зміна або форматування пакетів даних. Таке поєднання технологій захищає конфіденційність та цілісність передачі даних та гарантує забезпечення безпеки шляхом контролю доступу, так що тільки авторизовані користувачіотримали доступ до мережі.

WPA

Подальше підвищення безпеки та контролю доступу WPA полягає у створенні нового унікального майстра ключів для взаємодії між кожним користувальницьким бездротовим обладнанням та точками доступу та забезпечення сесії автентифікації. А також, у створенні генератора випадкових ключів та у процесі формування ключа для кожного пакета.

У IEEE стандарт 802.11i, ратифікували у червні 2004 року, значно розширивши багато можливостей завдяки технології WPA. Wi-Fi Альянс зміцнив свій модуль безпеки у програмі WPA2. Таким чином, рівень безпеки передачі даних WiFiстандарту 802.11 вийшов на необхідний рівеньдля впровадження бездротових рішень та технологій на підприємствах. Однією з істотних змін 802.11i (WPA2) щодо WPA є використання 128-бітного розширеного стандарту шифрування (AES). WPA2 AES використовує у боротьбі з CBC-MAC режимом (режим роботи для блоку шифру, який дозволяє один ключ використовувати як для шифрування, так і для аутентифікації) для забезпечення конфіденційності даних, аутентифікації, цілісності та захисту відтворення. У стандарті 802.11i пропонується також кешування ключів та попередньої автентифікації для впорядкування користувачів за точками доступу.

WPA2

Зі стандартом 802.11i, весь ланцюжок модуля безпеки (вхід у систему, обмін повноваженнями, автентифікація та шифрування даних) стає більш надійним і ефективним захистомвід ненаправлених та цілеспрямованих атак. Система WPA2 дозволяє адміністратору Wi-Fi мережі переключитися з питань безпеки на керування операціями та пристроями.

Стандарт 802.11r є модифікацією стандарту 802.11i. Цей стандарт був ратифікований у липні 2008 року. Технологія стандарту швидше і надійніше передає ключові ієрархії, що базуються на технології Handoff (передача управління) під час переміщення користувача між точками доступу. Стандарт 802.11r є повністю сумісною з WiFi стандартами 802.11a/b/g/n.

Також існує стандарт 802.11w, призначений для вдосконалення механізму безпеки на основі стандарту 802.11i. Цей стандарт розроблений для захисту пакетів керування.

Стандарти 802.11i та 802.11w – механізми захисту мереж WiFi стандарту 802.11n.

Шифрування файлів та папок у Windows 7

Функція шифрування дозволяє вам зашифрувати файли та папки, які буде неможливо прочитати на іншому пристрої без спеціального ключа. Така можливість є у таких версіях пакета Windows 7 як Professional, Enterprise або Ultimate. Далі будуть освітлені способи увімкнення шифрування файлів та папок.

Увімкнення шифрування файлів:

Пуск -> Комп'ютер(виберіть файл для шифрування)-> права кнопка миші по файлу->Властивості->Розширений(Генеральна вкладка)->Додаткові атрибути->Поставити маркер у пункті шифрувати вміст для захисту даних->Ок->Застосувати-> Ok(Виберіть застосувати лише до файлу)->

Увімкнення шифрування папок:

Пуск -> Комп'ютер(виберіть папку для шифрування)-> права кнопка миші по папку-> Властивості->Розширений(Генеральна вкладка)->Додаткові атрибути-> Поставити маркер у пункті шифрувати вміст для захисту даних->Ок->Застосувати-> Ok(Виберіть застосувати лише до файлу)->Закрити діалог Властивості(Натиснути Ok або Закрити).

Останні кілька років популярність бездротових мереж значно зросла. На зростання популярності бездротового доступу значною мірою впливають такі фактори, як інтеграція в сучасні ноутбукикарт бездротового доступу, появи PDA пристроїв, радіо IP телефонів та ін. За оцінкою компанії IDC, до кінця 2004 року планується, що продаж обладнання бездротового доступу досягнуть 64 млн. пристроїв (для порівняння в 2002 році було продано 24 млн. пристроїв). Зараз бездротовий доступ можна зустріти в ресторанах, готелях та аеропортах, багато компаній використовують бездротові мережі для підключення користувачів до ІТ інфраструктури, користувачі домашніх мереж використовують бездротовий доступ, для підключення до мережі Інтернет. При цьому лише деякі порушують питання безпеки бездротової мережі на перше місце.

Вступ

Останні кілька років популярність бездротових мереж значно зросла. На зростання популярності бездротового доступу значною мірою впливають такі чинники, як інтеграція в сучасні ноутбуки карт бездротового доступу, PDA пристроїв, радіо IP телефонів і т.д. За оцінкою компанії IDC, до кінця 2004 року планується, що продаж обладнання бездротового доступу досягнуть 64 млн. пристроїв (для порівняння в 2002 році було продано 24 млн. пристроїв). Зараз бездротовий доступ можна зустріти в ресторанах, готелях та аеропортах, багато компаній використовують бездротові мережі для підключення користувачів до ІТ інфраструктури, користувачі домашніх мереж використовують бездротовий доступ, для підключення до мережі Інтернет. При цьому лише деякі порушують питання безпеки бездротової мережі на перше місце.

Проблеми безпеки бездротового доступу

1. Позиціювання SSID

Параметр SSID є ідентифікатором бездротової мережі. Він застосовується для поділу користувачів бездротової мережі на логічні групи. SSID дозволяє користувачеві підключитися до необхідної бездротової мережі, і при необхідності може бути зіставлений з ідентифікатором віртуальної локальної мережі (VLAN). Таке зіставлення необхідне організації розмежування рівнів доступу бездротових користувачівдо ресурсів корпоративної інфраструктури

Деякі мережеві інженери, при проектуванні бездротової мережі, вважають, що SSID є одним із засобів забезпечення безпеки та відключення широкомовної розсилки значення SSID дозволить посилити безпеку мережі. Насправді, відключення широкомовної розсилки цього параметра не тільки не підвищить безпеку бездротової мережі, але й зробить мережу менш гнучкою по відношенню до клієнтів. Деякі клієнти не зможуть коректно працювати з точкою радіодоступу, де відключено мовлення значення SSID. Слід мати на увазі, що навіть при відключенні мовлення SSID, можливість визначення цього ідентифікатора, як і раніше, залишається, оскільки його значення передається у кадрах probe response. Потрібно також розуміти, що розділивши користувачів на різні логічні групи за допомогою SSID, ймовірність підслуховування трафіку залишається, навіть у користувачів, які не зареєстровані на точці бездротового доступу.

2. Аутентифікація за допомогою MAC адреси

Аутентифікація - це процес визначення особи клієнта за наданою їм інформацією, наприклад, ім'я та пароль. Багато виробників бездротового обладнання підтримують аутентифікацію пристроїв за MAC-адресами, проте стандарт IEEE (Institut of Electrical and Electronic Engineers) 802.11 такий тип аутентифікації не передбачає.

Аутентифікація за адресою MAC без використання додаткових методівзабезпечення безпеки малоефективне. Зловмиснику досить просто отримати доступ до бездротової мережі в якій налаштована лише автентифікація за адресою MAC. Для цього необхідно проаналізувати радіоканал, на якому точка радіодоступу працює з клієнтами, та отримати список MAC адрес пристроїв, яким відкритий доступ до мережі. Для отримання доступу до мережевим ресурсамчерез бездротову мережу необхідно замінити MAC адресу своєї бездротової карти, на відомий MAC адресу клієнта.

3. Проблеми із шифруванням за допомогою статичних ключів WEP

WEP (Wired Equivalent Privacy) – ключ, який призначений для шифрування трафіку між точкою радіодоступу та її користувачами. Шифрування WEP ґрунтується на недостатньо криптостійкому алгоритмі шифрування RC4. Довжина ключа WEP становить 40 або 104 біти. До ключа додається нешифрована послідовність символів для успішного декодування сигналу на звороті розміром 24 біти. Таким чином, прийнято говорити про довжини ключів 64 і 128 біт, проте ефективна частина ключа становить лише 40 і 104 біти. Варто зазначити, що за такої довжини статичного ключа, говорити про підвищену криптостійкість бездротової мережі не доводиться. У мережі Інтернет можна легко знайти програми, які дозволяють отримати WEP ключ на основі трафіку зібраного аналізатором. До таких програм належать, наприклад, WEPCrack та AirSnort. Для підвищення криптостійкості, статичний ключ розміром 64 біти необхідно змінювати орієнтовно раз на 20 хвилин, а ключ розміром 128 біт разів на годину. Уявіть собі, що вам необхідно щогодини змінювати статичний WEP ключ на точці доступу та всіх її клієнтів. А якщо кількість користувачів 100 чи 1000? Таке рішення не буде затребуване через невиправдану складність в експлуатації.

4. Мережеві атаки

Мережеві атаки можна розділити на активні та пасивні.

До пасивних атак відносяться атаки, під час проведення яких не чиниться активних впливів на роботу бездротової мережі. Наприклад, зловмисник, використовуючи програми WEPCrack або AirSnort, протягом 3-4 годин пасивного стеження та аналізу обчислює секретний ключшифрування WEP завдовжки 128 біт.

Суть активних атак полягає у впливі на бездротову мережу з метою отримання даних, після обробки яких буде отримано доступ до ресурсів радіомережі. До них відносяться такі атаки як повторне використання вектора ініціалізації і атака з маніпуляцією бітів.

Повторне використання вектора ініціалізації.

Зловмисник багаторазово надсилає ту саму інформацію (заздалегідь відомого змісту) користувачеві, який працює в атакованому бездротовому сегменті, через зовнішню мережу. Весь час поки зловмисник надсилає інформацію користувачеві, він також прослуховує радіоканал (канал між користувачем і точкою радіодоступу, що атакується) і збирає шифровані дані, в яких міститься надіслана їм інформація. Потім зловмисник обчислює ключову послідовність, використовуючи отримані шифровані дані та відомі нешифровані.

Маніпуляція бітами.

Атака ґрунтується на вразливості вектора контролю цілісності. Наприклад, зловмисник маніпулює бітами даних користувача всередині кадру з метою спотворення інформації. горівня. Фрейм не зазнав змін на канальному рівні, перевірка цілісності на точці радіодоступу проходить успішно і кадр передається далі. Маршрутизатор, отримавши кадр від точки радіодоступу, розпаковує його і перевіряє контрольну суму пакета мережного рівня, контрольна сума пакета виявляється неправильною. Маршрутизатор генерує повідомлення про помилку та відсилає кадр назад на точку радіодоступу. Точка радіодоступу шифрує пакет та надсилає клієнту. Зловмисник захоплює зашифрований пакет із заздалегідь відомим повідомленням про помилку, після чого обчислює ключову послідовність.

5. Атаки DoS

До DoS (Deny of Service) атак відносяться види атак, результатом яких стає відмова в обслуговуванні клієнтів бездротової мережі. Суть даних атак у тому, щоб паралізувати роботу бездротової мережі.

Фахівцями Квінслендського технологічного університету було опубліковано інформацію про виявлену вразливість, пов'язану з оцінкою доступності радіоканалу у технології з прямою послідовністю поширення спектра (DSSS). За підсумками цієї технології реалізований широко – поширений стандарт 802.11b.

Зловмисник, використовуючи вразливість, імітує постійну зайнятість бездротової мережі. В результаті такої атаки всі користувачі, що працюють з точкою радіодоступу, стосовно якої відбулася атака, будуть відключені.

Також необхідно помітити, що ця атака може бути застосована не тільки до обладнання, що працює в стандарті 802.11b, але і до обладнання стандарту 802.11g, хоча він не використовує технології DSSS. Це можливо тоді, коли точка радіодоступу, що працює у стандарті 802.11g, підтримує зворотну сумісність зі стандартом 802.11b.

На сьогоднішній день захисту від DoS атакдля обладнання стандарту 802.11b немає, але, щоб уникнути такої атаки, доцільно використовувати устаткування стандарту 802.11g (без зворотної сумісності з 802.11b).

Як краще збудувати безпечну бездротову мережу?

При проектуванні та побудові бездротової мережі необхідно приділити основну увагу безпеці, надійності, а також максимально спростити експлуатаційний процес.

Як приклад візьмемо наступне завдання, в якому необхідно забезпечити доступ користувачів Конференц-залу до корпоративних ресурсів. У цьому прикладі ми розглянемо побудову такої мережі з урахуванням устаткування, запропонованого різними компаніями.

Перед побудовою мережі бездротового доступу, необхідно провести вивчення території, тобто. озброївшись точкою радіодоступу та портативним комп'ютеромвиїхати на об'єкт передбачуваної інсталяції. Це дозволить визначити місця найбільш вдалого розташування точок радіодоступу, дозволяючи досягти максимальної зони покриття місцевості. При побудові системи безпеки бездротового доступу необхідно пам'ятати про три складові:

архітектура аутентифікації,

механізм аутентифікації,

механізм забезпечення конфіденційності та цілісності даних.

Як архітектура аутентифікації використовується стандарт IEEE 802.1X. Він визначає єдину архітектуру контролю доступу до портів пристроїв з використанням різних методів автентифікації абонентів.

Як механізм аутентифікації ми будемо використовувати протокол EAP (Extensible Authentication Protocol). Протокол EAP дозволяє здійснювати автентифікацію на основі імені користувача та пароля, а також підтримує можливість динамічної зміни ключа шифрування. Імена користувачів та паролі потрібно зберігати на сервері RADIUS.

Як механізм, що забезпечує конфіденційність і цілісність даних, ми будемо використовувати протоколи WEP і TKIP (Temporal Key Integrity Protocol). Протокол TKIP дозволяє посилити захист WEP шифрування, за рахунок таких механізмів як MIC та PPK. Розглянемо докладніше їх призначення.

MIC (Message Integrity Check) підвищує ефективність функції контролю цілісності в стандарті IEEE 802.11, за рахунок додавання у кадр наступних полів, SEC (sequence number) і MIC, що дозволяє запобігати атакам, пов'язаним з повторним використанням вектора ініціалізації та маніпуляції бітами.

PPK (Per-Packet Keying) – папакетна зміна ключа шифрування. Вона дозволяє знизити можливість успішних атак, метою яких є визначення WEP ключа, але не гарантує повний захист.

Щоб уникнути атак типу "відмова в обслуговуванні", заснованих на вразливості технології DSSS, бездротова мережа буде побудована на базі обладнання нового стандарту 802.11g (при цьому стандарт 802.11g не повинен бути сумісним зі стандартом 802.11b). Стандарт 802.11g заснований на використанні технології OFDM (Orthogonal Frequency Division Multiplexing), дана технологія дозволяє досягти швидкості до 54Mbps.

З метою підвищення рівня безпеки бездротової мережі доцільно розглянути питання використання сервера Cisco WLSE (Wireless LAN Solution Engine). Застосування цього пристрою дозволить виявляти несанкціоновано встановлені точкирадіодоступу, а також здійснювати централізоване керування радіомережею.

Для забезпечення відмови стійкості роботи точок бездротового доступу доцільно використовувати режим standby. Таким чином, виходить, що на одному радіоканалі працюватимуть 2 точки, одна в ролі активної, інша в ролі резервної.

Якщо потрібно забезпечити відмовостійкість в автентифікованому доступі, необхідно встановити два сервери автентифікації ACS. При цьому, один буде використовуватися як основний, а другий як резервний.

Таким чином, при побудові бездротової мережі з урахуванням вимог до безпеки та стійкості до відмови ми задіяли широкий спектр компонентів, які дозволять захистити нас від посягань зловмисників і запобігти можливим атакам.

Звичайно, описане рішення не є мінімальним за ціновими характеристиками, однак, приділивши першочергову увагу питанням безпеки в бездротовій мережі ризики мінімізували ризики, пов'язані з можливим витіканням внутрішньої корпоративної інформації.

Поршаков Євген, Системний інженер INLINE TECHNOLOGIES www.in-line.ru

Ми звикли вживати особливих заходів безпеки щодо захисту свого майна: зачиняти двері на ключ, ставити сигналізацію на машину, камери для стеження. Тому що в наш час не безпечно залишати все без нагляду, а якщо потрібно відлучитися, то потрібно захистити власність. Це ж поширюється і на віртуальний світ. За наявності є можливість, що вас спробують зламати і без вашого відома користуватися мережею. Мало того, що ваш інтернет буде їм доступний, можна сказати, безкоштовно, так ще вони можуть скористатися вашим комп'ютерам і вкрасти цінні дані. Завжди є ймовірність, що зловмисник не просто завантажуватиме музику або переглядатиме соціальну мережу, але відправляти повідомлення екстремістського характеру, якийсь спам, та інші повідомлення, які завдадуть шкоди. В цьому випадку, в якийсь день ви зустрінете співробітників поліції, оскільки вся ця інформація відправлялася нібито від вас.

Отже, у цій статті ми розглянемо кілька способів, які допоможуть захистити мережу Wi-Fi від несанкціонованого підключення.

Встановіть на мережу пароль та відповідний тип шифрування

Це правило поширюється на всі бездротові мережі. Ви обов'язково повинні поставити пароль і (найостанніший і надійніший на даний момент, хоча тут теж є свої нюанси, про які я скажу нижче). Не варто використовувати тип WPA, який не тільки старий, а й обмежує швидкість мережі. Шифрування WEB загалом остання тема. Зламати такий тип досить легко методом перебору і не лише.

До паролю поставтеся не менш серйозно. Мінімальна довжина пароля за замовчуванням становить 8 символів, але ви зробіть більше, наприклад, 10-15 символів. Бажано, щоб у паролі були не лише літери чи цифри, а цілий набір знаків, плюс спеціальні символи.

ВАЖЛИВО! Вимкніть WPS

Так, технологія WPS має деякі огріхи і за допомогою цього люди можуть без проблем зламати вашу мережу, використовуючи дистрибутиви на основі Linux та введення відповідних команд у терміналі. І тут немає значення, яке шифрування коштує, але трохи вирішує довжина і складність пароля, що він складніше, тим довше відбуватиметься злом. WPS можна вимкнути у налаштуваннях роутера.

До речі, якщо хтось не знає, то WPS потрібен для підключення обладнання до Wi-Fi мережі без пароля, ви просто натискаєте цю кнопку на роутері і, наприклад, смартфон підключається до мережі.

Приховати Wi-Fi мережу (SSID)

На всіх типах роутерів або, як їх ще називають, маршрутизаторів є функція, що дозволяє , тобто при пошуку мережі з інших пристроїв ви не побачите її, а ідентифікатор (назва мережі) потрібно ввести самому.

У параметрах роутера вам потрібно знайти пункт «Приховати точку доступу», або щось схоже, а потім перезавантажити пристрій.

Фільтрування MAC-адрес

У більшості нових роутерів, та й старих теж, є функціонал, що обмежує пристрої, що підключаються. Ви можете внести до списку MAC-адрес, які мають право підключатися до Wi-Fi мережі або обмежити їх.

Іншим клієнтам підключитися не вдасться, навіть маючи на руках SSID та пароль від мережі.

Активуйте функцію «Гостьова мережа»

За наявності доступу до мережі вашими друзями, знайомими або родичами, яким ви це дозволили, є варіант створити для них гостьову мережу, ізолюючу локальну мережу. У результаті вам нема чого турбуватися за втрату важливої ​​інформації.

Організація гостьового доступувключається до параметрів роутера. Там ви відзначаєте відповідну галочку та вводите ім'я мережі, пароль, ставите шифрування та інше.

Змініть логін та пароль для доступу до панелі адміністратора роутера

Багатьом, у кого є маршрутизатор (роутер), відомо, що при вході до його налаштування потрібно ввести логін та пароль, який за замовчуванням є наступним: admin(вводиться як у полі логін, і у полі пароль). Ті, хто підключився до мережі можуть без проблем зайти в налаштування роутера і щось поміняти. Поставте інший пароль, краще складний. Зробити це можна все в тих же параметрах маршрутизатора, розділу системи. У вас може бути трохи інакше.

Пароль варто обов'язково запам'ятати, тому що відновити його не вийде, інакше доведеться робити скидання налаштувань.

Вимкнення сервера DHCP

Є один цікавий момент, який ви можете зробити в налаштуваннях роутера. Знайдіть там пункт DHCP-сервер і вимкніть його, зазвичай він знаходиться в налаштуваннях мережі LAN.

Таким чином, користувачі, які захочуть до вас підключитися, повинні будуть ввести відповідну адресу, яка вказується вами в налаштуваннях роутера. Зазвичай IP-адреса коштує така: 192.168.0.1/192.168.1.1, тоді ви можете поміняти її на будь-який інший, наприклад, 192.168.212.0. Зауважте, що з інших пристроїв ви також повинні вказати цю адресу.

Ну, ось ми і розібралися з підвищенням безпеки бездротової мережі Wi-Fi. Тепер ви можете не боятися, що вашу мережу зламають, а інформація буде втрачена. Я думаю, використання хоча б кількох способів цієї статті сильно підвищать безпеку Wi-Fi.