Защита воздуха

Антон Карпов

Спецвыпуск: Хакер, номер #059, стр. 059-028-1

(toxa@real.xakep.ru)

Безопасность беспроводных сетей

О способах обнаружения, взломе и уязвимостей беспроводных сетей разного рода уже сказано и написано много, но о том, как защититься от всех этих вещей, почему-то помалкивают. Все потому, что эта тема была отложена для отдельного материала, который ты читаешь прямо сейчас. Что ж, вперед! Обезопасим свое личное воздушное пространство от набегов вардрайверов.

Обеспечение безопасности Wi-Fi-соединений уже давно стало притчей во языцех. Отсутствие проводов окончательно развязало руки охочим до конфиденциальной информации злоумышленникам, среди которых может оказаться не только сосед по локальной сети, развлекающийся ARP-спуфингом, а любой человек с ноутбуком, находящийся в пределах досягаемости беспроводной сети. Призванный спасти несчастных пользователей, протокол авторизации, аутентификации и шифрования WEP совершенно не оправдал надежд, как и его вторая инкарнация WEP2 (в ней, по сути, декларировалось только увеличение длины ключа). Современные средства позволяют сломать 128-битный WEP-ключ за несколько часов присутствия в сети. Стандарт безопасности 802.11i и, в частности, стандарт WPA/WPA2, являющийся подмножеством 802.11i, по ряду причин все еще недостаточно распространены. И на данный момент ситуация складывается таким образом, что для обеспечения безопасности беспроводной сети администратор вынужден прибегать к полумерам и/или к старым проверенным технологиям, которые не разрабатывались специально для Wi-Fi. Именно о них я расскажу в первую очередь, а потом займусь 802.11i.

Опасность в воздухе

Прежде чем начать строительство круговой обороны, выясним, от чего мы хотим защититься. Для беспроводных сетей основными проблемами безопасности являются:

- Мониторинг и перехват трафика;

- Подключение к сети неавторизованных клиентов (внедрение подложных пакетов);

- DoS-атаки на беспроводную сеть;

- Атаки типа Evil Twin - внедрение подложного AP;

- Атаки на клиентские машины;

- Атаки на AP (в том числе из-за уязвимостей в конфигурации точки доступа).

С последними двумя атаками все понятно: нужно своевременно патчить клиентские машины и грамотно настраивать AP, например отключить SNMP либо сменить на отличающуюся от SNMP community string по умолчанию, поставить сложный пароль на доступ к административному интерфейсу AP, своевременно обновлять прошивки и т.п. Многие AP умеют фильтровать доступ по MAC-адресу, и одной из полумер является как раз прописывание легитимных клиентов в ACL точки доступа. Однако такими способами не остановишь опытного взломщика, стремящегося проникнуть сеть, да и от перехвата конфиденциальной информации, летающей по воздуху, не защитишься. Для того чтобы пассивно снифать весь трафик, совершенно не обязательно подключаться к какой-либо сети. Следовательно, нужно какое-то решение, осуществляющее, как минимум, шифрование трафика и авторизацию клиента в сети. И такое решение называется IPSec. Очень понятное и детальное описание этого протокола "в картинках" можно почитать тут: www.unixwiz.net/techtips/iguide-ipsec.html. Нас же интересует практическая сторона вопроса.