Курс лекций «Проблемы безопасности в информационных технологиях»


Глава 9. Безопасность беспроводных сетей



жүктеу 4.51 Mb.
бет34/44
Дата13.09.2017
өлшемі4.51 Mb.
түріКурс лекций
1   ...   30   31   32   33   34   35   36   37   ...   44

Глава 9. Безопасность беспроводных сетей


Беспроводные технологии сегодня очень распространены – в последние пять-шесть лет, как минимум, все ноутбуки, практически без исключения, оснащаются интерфейсами, работающими по стандарту 802.11 (Wi-Fi). Часто в дополнение к этому обязательному элементу они имеют в своём составе дополнительные беспроводные интерфейсы, такие как Bluetooth. Беспроводные сети (WLAN) приносят с собой много новых проблем безопасности, заметная доля которых характерна именно для беспроводных технологий.

Если для внедрения в обычную проводную сеть требуется физическое подключение кабеля к розетке или к порту коммутатора, то для беспроводной сети такое «подключение» может быть осуществлено удалённо, на расстоянии в десятки или даже сотни метров. Принципиально широковещательный характер работы WLAN приводит к возможному сценарию атаки типа в «отказ в обслуживании»: с помощью мощного источника радиоизлучения можно подавить работающих в эфире абонентов. Wi-Fi работает в нелицензируемом СВЧ-диапазоне, в котором работает большое количество самой разнообразной электронной бытовой техники, например, микроволновые печи. И в случае некачественного исполнения или конструктивного дефекта такая печь вполне может устроить DoS в домашней беспроводной сети.

Существует два основных варианта устройства Wi-Fi сети:


  • Ad-hoc – передача напрямую между устройствами;

  • Hot-spot – передача осуществляется через точку доступа.

В Hot-spot сетях обязательно присутствует т.н. точка доступа (Access point, AP), через которую осуществляется не только взаимодействие между беспроводными абонентами, но и предоставляется доступ к обычным проводным сетям. Т.е. по сути AP является шлюзом между беспроводными и проводными сегментами сети. Точка доступа представляет наибольший интерес с точки зрения защиты информации, т.к., взломав её, злоумышленник может получить информацию не только со станций, размещенных в данной беспроводной сети.

Использование Wi-Fi сетей увеличивает количество возможных вариантов угроз безопасности:


  • Упоминавшаяся выше возможность доступа извне к проводной и беспроводной сети;

  • Ложные подключения (ассоциации) клиентов или фальсификация (phishing);

  • Перехват трафика и атаки злоумышленников на АР и клиентов.

Точка доступа, не имеющая никаких средств защиты – аутентификации, авторизации, шифрования – может стать для злоумышленника открытым входом в общую сеть. Иногда администраторы даже приблизительно не представляют, насколько далеко за пределы территории компании распространяется радиосигнал от точек доступа. И оставляют их незащищёнными из соображения, что подключится «снаружи» к ним невозможно.

Ещё одна, характерная для беспроводных сетей, проблема безопасности – «ложные точки доступа», провоцирующая т.н. «ложные ассоциации (“malicious associations”). Злоумышленник может организовать «ложную AP» (например, используя технологию “soft AP”, доступную для некоторых типов беспроводных сетевых адаптеров на ноутбуках). В эфире такая точка объявляет своё имя, совпадающее с именем нормальной рабочей AP. Обычный пользователь, не отличив настоящую точку от поддельной, подключается (ассоциируется) к «ложной» AP и в дальнейшем весь трафик через неё будет контролироваться злоумышленником: он может похищать пароли, фальсифицировать данные и т.д. Так как протоколы 802.11 относятся ко второму уровню модели OSI, то обычные средства безопасности третьего уровня, такие как сетевая аутентификация, VPN, здесь не смогут помочь. Решением может быть аутентификация по протоколу 802.1x, но нешифрованный трафик останется уязвимым к перехвату данных.

В ранний период развития беспроводных сетей для разграничения доступа к ним часто можно было встретить рекомендацию по фильтрации MAC-адресов, реализованную в виде списка разрешённых («белых») или запрещённых («чёрных») адресов канального уровня. Очевидно, что это не является сколь-нибудь серьёзным препятствием для злоумышленника – все MAC-адреса в открытом виде присутствуют в эфире и достаточно пассивного прослушивания, чтобы выявить разрешённые адреса и использовать их (MAC spoofing).

Ещё одной мерой безопасности из «ранней эпохи» существования беспроводных сетей можно отнести рекомендацию активации режима скрытого идентификатора SSID (Service Set IDentifier). Для своего обнаружения точка доступа периодически рассылает кадры-маячки (beacon frames). Каждый такой кадр содержит служебную информацию для подключения и, в частности, в нём присутствует SSID (идентификатор беспроводной сети). В случае скрытого SSID это поле будет пустым, и к беспроводной сети подключиться будет невозможно, не зная значение SSID. Но все станции в сети, уже подключённые к точке доступа, знают SSID и при подключении, рассылая Probe Request запросы, указывают идентификаторы сетей, имеющиеся в их профилях подключений. Прослушивая рабочий трафик, с лёгкостью можно получить значение SSID, необходимое для подключения к желаемой точке доступа, даже если при этом на ней активирован режим скрытого идентификатора.

Беспроводные сети весьма уязвимы к атакам типа «отказа в обслуживании». Одну из возможностей организовать DoS для сетей Wi-Fi предоставляет, по сути, канальный уровень протокола. В отличие от первых Ethernet-сетей, работавших по принципу CDMA/CD (Carrier Sense Multiple Access with Collision Detection — множественный доступ с контролем несущей и обнаружением коллизий), не гарантировавших доставки пакета, 802.11 RTS/CTS реализует механизм CDMA/CA (Carrier Sense Multiple Access With Collision Avoidance – множественный доступ с контролем несущей и избеганием коллизий). RTS/CTS (Request To Send / Clear To Send, Запрос на отправку/Разрешение отправки) решает проблемы «скрытого узла» (если компьютеры A и B видят точку доступа C, но не видят друг друга) и «незащищённого узла». Но одновременно механизм RTS/CTS приводит к возможности осуществить DoS в беспроводной сети.





Рис.112 Решение проблемы «скрытого узла»
Станция, которая собирается начать передачу, посылает jam signal (сигнал затора). И некорректное использование этого сигнала – частая повторная передача – приведёт к тому, что ни одна из станций, получающих jam signal, не сможет начать передачу.



Рис.113 Работа механизма CDMA/CA в Wi-Fi сети




Достарыңызбен бөлісу:
1   ...   30   31   32   33   34   35   36   37   ...   44


©kzref.org 2019
әкімшілігінің қараңыз

    Басты бет