Надежная защита сети – это спокойный сон
Безопасность Wi-Fi сети включает в себя два аспекта: это защита от несанкционированного доступа и шифрование передаваемой информации. Отметим сразу, что решить их сегодня со стопроцентной гарантией невозможно, но обезопасить себя от всевозможных «любителей» можно и нужно. Ведь беспроводное оборудование и программное обеспечение по умолчанию содержит в себе определенные средства защиты, и остается только их задействовать и правильно настроить. Однако прежде чем перейти к оценке этих средств, мы приведем несколько фактов, подтверждающих остроту проблемы.
Если взглянуть на результаты опроса главных менеджеров по безопасности IT-компаний, проведенного фирмой Defcom, то складывается любопытная картина. Порядка 90% опрошенных уверенно в будущем беспроводных сетей, но отодвигают его на неопределенные сроки ввиду слабой защищенности таких сетей на современном этапе. Равновесие с точки зрения безопасности между проводными и беспроводными сетями наступит, по их мнению, только через 3-5 лет. И более 60% утверждают, что недостаточная безопасность серьезно тормозит развитие этого направления, нет доверия, соответственно, многие не рискуют отказываться от испытанных временем проводных решений.
Главное меню настроек беспроводного роутера
Впрочем, что там IT-менеджеры, исследование экспертов Учебного центра «Информзащита» показало удивительные результаты. Прозондировав порядка 2 км одной из московских улиц (какой, не разглашается по понятным причинам) при помощи программы Wi-Fi мониторинга было обнаружено 11 работающих сетей. Из них 4 были абсолютно беззащитны, а остальные в основном использовали для защиты протокол WEP, обеспечивающий только минимальный уровень безопасности. Комментировать такую безрадостную картину, наверное, не имеет смысла, поэтому перейдем от цифр к фактам.
О точках доступа и SSID
Первыми действиями любого злоумышленника являются поиск точки доступа и попытка войти в сеть. Самое уязвимое место здесь, как это ни странно, это точка доступа, поскольку по умолчанию все ее функции безопасности отключены. Причина такой вопиющей безалаберности нам непонятна (конечно, можно включить, но все ли это сделают?). Оставим этот недостаток на совести производителей, и обратимся к остальным условиям подключения к сети.
Меню редактирования индентификатора сети SSID
Одним из самых важных параметров, необходимых для получения доступа является идентификатор сети SSID. Это встроенное средство защиты стандарта 802.11 представляет собой имя, которое нужно ввести для входа в сеть. Обычно широковещательная трансляция идентификатора отключена, так что злоумышленнику необходимо знать SSID. Задача его получения решается достаточно просто, ноутбук с Wi-Fi и пару специализированных программ выдадут всю необходимую информацию довольно быстро. Кстати, если вы думаете, что такое ПО является большой редкостью, то заблуждаетесь. К примеру, достаточно популярная в «некоторых кругах» программа NetStumbler позволяет найти все работающие в данной точке сети, определить SSID, шифрование канала и множество других параметров. В принципе, даже при отсутствии такого ПО можно просто «снять» трафик между точкой доступа и компьютером и проанализировать его, SSID фигурирует там в явном виде.
Список активных устройств: IP- и MAC-адреса
Еще одним распространенным методом препятствования несанкционированному доступу является ограничение числа пользователей сети путем выделения каждому конкретного MAC-адреса. Ну, это скорей защита от невежд, MAC-адрес передается в незашифрованном виде, так что узнать его и подставить в нужное место – дело нехитрое. Как видите, с этой стороны уровень защиты минимален, и требуются другие меры. Приемлемым вариантом можно считать использование виртуальных частных сетей VPN (Wi-Fi это надстройка над Ethernet, следовательно, применимы те же методы), которое обеспечивает более высокий уровень безопасности, либо шифрования. На последнем остановимся более подробно.
Бастион первый, призрачный – WEP
Первый элемент безопасности протокол WEP (Wired Equivalent Privacy – эквивалент проводной безопасности) был заложен в спецификациях стандарта 802.11 с самого начала. Он был задуман как основное средство защиты беспроводного канала связи и шифровал трафик между точкой доступа и компьютером. Для обеспечения связи у всех участников должен совпадать секретный ключ длиной 40 бит (поточное шифрование методом RC4 со статичным ключом).
Настройка метода авторизации и выбор формата WEP-ключа
Однако уже в 2001 году исследовательские группы из университета Беркли и Мэрилендского университета независимо друг от друга опубликовали доклады об ошибках в проектировании и реализации этого протокола, позволяющих его легко взломать. Для вычисления секретного ключа достаточно перехватить и проанализировать порядка 3-7 млн. пакетов (примером программы может служить AirSnort под Linux). Во временных величинах это порядка 2-4 часов для активно работающей сети. Правда, существует версия WEP с 104-битным ключом, но поскольку принцип защиты не изменился, то фактически это отражается только на времени «вскрытия» сети.
Таким образом, можно констатировать, что протокол WEP с возложенной на него задачей не справляется в принципе. Возможно, разработчики Wi-Fi не верили в столь серьезное будущее своего детища, или попросту не пожелали тратить силы и время на создание приличного протокола шифрования. Но все же заметим, что использования WEP зачастую достаточно для домашних Wi-Fi сетей: небольшой трафик не позволяет злоумышленнику набрать необходимый для расшифровки ключа объем информации. Для корпоративных сетей этот протокол является абсолютно непригодным, поскольку не обладает необходимым уровнем безопасности, и защищает фактически только от хулиганов. Остается использовать, другой, более надежный протокол.
Бастион второй, почти совершенный – WPA
Протокол WEP являлся «ахиллесовой пятой» Wi-Fi сетей, его низкая эффективность довольно сильно сдерживало дальнейшее распространение беспроводных сетей. В качестве достойной замены ему в апреле 2003 года был выпущен новый стандарт безопасности WPA (Wi-Fi Protected Access – защищенный доступ к Wi-Fi), существенно отличающийся от WEP.
Выбор доступа к WiFi-сети - автоматически происходит выбор TKIP в качесве протокола защиты
Во-первых, наконец-то реализована динамическая генерация ключей шифрования (это исключает возможность прослушивания трафика и вычисления статического ключа), в основу которой положен протокол TKIP (Temporal Key Integrity Protocol). Его основными задачами является проверка целостности WEP-пакетов и шифрование каждого WEP-пакета отдельным ключом. Фактически это означает, что теперь каждый пакет в сети имеет свой собственный уникальный ключ, и вдобавок к этому каждое устройство в сети наделяется ключом, опять же изменяющимся через определенные промежутки времени.
Шифрование пакета осуществляется следующим образом: генерируется случайное число IV (Initialization Vector – вектор инициализации) и WEP-ключ (основой для него служит master key), затем они складываются, и полученным ключом шифруется пакет данных. Подобный подход дает огромное количество вариантов ключей, по заверениям разработчиков этого протокола вероятность получения одинакового ключа хотя бы для двух пакетов мизерна, утверждается, что повторение возможно где-то лет через 50-70, да и то при условии постоянной работы.
Второй полезной функцией WPA является возможность аутентификации пользователя при входе в сеть. Это означает, что для доступа пользователь будет обязан ввести логин и пароль, которые будут сверяться с учетными записями сервера аутентификации. Разумеется, это только принцип, на самом деле процесс более сложен и регламентируется протоколом EAP (Extensible Authentication Protocol).
Теперь немного об особенностях WPA. В первую очередь, для того, чтобы защититься, требуется, как минимум включить WPA. Здесь есть одна небольшая тонкость – необходимо, чтобы абсолютно все устройства в сети поддерживали этот стандарт. Если хотя бы у одного эта функция отсутствует или отключена, то результат нулевой – для всей сети используется обычное WEP-шифрование.
Дальше, раз появились пароли, то возникает проблема их выбора. Поскольку пароль является основой для получения ключа шифрования, тщательность его выбора имеет решающее значения для безопасности всей сети. Злоумышленнику вполне по плечу несколько раз инициализировать процедуру обмена ключами с точкой доступа с последующим анализом трафика на предмет получения пароля.
Диалог создания правил для досупа в сеть: устройства фильтруются по MAC-адресу и имени
Так, по мнению Роберта Московица, технического директора ICSA Labs, эта задача вполне осуществима. Здесь следует заметить, что поскольку WPA является «переходным» стандартом, то зачастую наряду с аппаратной реализацией (она более предпочтительна), встречается и программная реализация. К примеру, ноутбуки на базе Intel Centrino с Windows XP получают возможность использовать WPA при установке Service Pack SP1. Так вот, большинство программных реализаций WPA строят ключ на основании пароля пользователя и сетевого имени машины. Имя машины обычно известно, а если узнать пароль, то этого вполне достаточно для взлома защищенной WPA сети. В случае использования простых паролей, возможен перехват трафика и его анализ при помощи метода «словарной атаки». Московиц считает, что пароли, имеющие менее 20 знаков или состоящие из устойчивых выражений, весьма серьезно снижают безопасность сети.
Однако, это всего лишь тезисы. На сегодняшний день нам пока неизвестны реальные нарушения защиты сетей с WPA (чего не скажешь о WEP). Даже если это осуществимо, то только профессионалами высокого полета. Следует признать, что WPA при правильном использовании дает реальную безопасность беспроводным сетям и самым серьезным ее недостатком можно считать «незаконность». До недавних пор этот стандарт отсутствовал в официальных спецификациях 802.11, соответственно, поддерживался не всеми производителями, использовались его упрощенные или программные версии и т.д. Это вопрос наконец-то, в конце июня 2004 года решен.
Панацея - 802.11i
Идея этой версии стандарта 802.11 витала давно, производители оборудования уже более полугода продавали свои продукты на основе предварительных версий. Но теперь протокол WPA стал законным и единым стандартом безопасности беспроводных сетей, и является составной частью 802.11i. Самым сильным элементом этого протокола, получившего название WPA2, стал Advanced Encryption Standard (AES) - алгоритм шифрования, обеспечивающий более надежную защиту и поддерживающий ключи длиной 128, 192 и 256 бит.
Что касается новых продуктов, построенных в соответствии с 802.11i, то они в массовом количестве появятся только в начале 2005 года. Так, в планах компании Intel сделать все свои продукты Centrino совместимыми с новой версией где-то к концу текущего года. На сегодняшний день уже существует несколько устройств компаний Intel, Cisco, Realtek, Broadcom и др., получивших сертификат WPA2 (например, сетевая карта Intel PRO/Wireless 2915ABG).
Решение проблемы безопасности в сетях Wi-Fi на уровне стандарта значит многое для беспроводной индустрии. Желаемый результат – реальная безопасность сетей, достигнут, что позволяет предполагать увеличение интереса к этим сетям со стороны профессиональных пользователей. Однако уже сегодня очевидно, что 802.11i это не окончательное решение, корпоративным клиентам требуется более гибкая система безопасности, настройка политик доступа, управление шириной канала и т.д. Пока об этом даже не идет речь, но в том, что эти проблемы когда-либо возникнут, сомневаться не приходится. А значит, история еще не кончилась.
Что делать?
Не стоит полагаться на русский «авось», настроить элементарную WEP-защиту может даже начинающий пользователь. Правда, с WPA придется повозиться, этот протокол рассчитан на высокий уровень квалификации пользователей, поэтому очень важно разобраться во всех предлагаемых опциях и грамотно их настроить. Кстати, многие полагают, что беспроводная сеть отличается от проводной в принципе. Ничего подобного, все работает по тем же законам, и нужно использовать те самые элементарные правила безопасности. Ведь вы же, работая в проводной сети, не открываете всем доступ к папкам, в которых есть ценная информация. Поступайте точно так же и в беспроводной, и смело подключайтесь к общественной точке доступа.
Если подытожить все вышесказанное, то ответ очевиден, – пользоваться и еще раз пользоваться беспроводными сетями, потому что это, по крайней мере, удобно. И при этом применять все доступные способы обеспечения безопасности. Конечно, вероятность взлома сети существует всегда (вы ведь в Интернет выходите и тоже подвергаете свой компьютер риску), и основным критерием интереса вашей сети для злоумышленника является ее ценность. Об обычных сетевых хулиганах говорить, наверное, не стоит. Для того чтобы «вскрыть» даже WEP-шифрование, требуется, как минимум Wi-Fi-ноутбук и знания. Во всех остальных случаях возможность несанкционированного вторжения в сеть напрямую зависит от ценности находящейся в ней информации (ведь она должна окупить затраты на взлом). А что касается WPA, то на наш взгляд, использования этого протокола для небольших сетей вполне достаточно.