Руководство по безопасности беспроводной сети 101

Первая статья в серии из двух частей, которая служит введением в беспроводную связь, а также описанием беспроводных сетей, протоколов и стандартов безопасности. Во второй части этой серии будут проанализированы различные способы атаки на беспроводную сеть. (Если вы хотите получать электронное письмо, когда будет выпущена часть 2 этой статьи, подпишитесь на обновления статей WindowSecurity.com в режиме реального времени на нашей странице подписки на рассылку новостей).

Руководство по безопасности беспроводной сети 101

«Чтобы получить полное руководство по безопасности, ознакомьтесь с учебным пособием Security+ Study Guide and DVD Training System на Amazon.com».

Роб Шимонски хотел бы поблагодарить Мартина Грасдала (соавтора книги Security+) за создание оригинального контента. Мартин, безусловно, создал одну из самых выдающихся и полных глав по основам беспроводной связи и безопасности в книге Security+, которую вы найдете где угодно.

Обзор беспроводной связи в беспроводной сети

Беспроводные сети, как и их проводные аналоги, полагаются на манипулирование электрическим зарядом для обеспечения связи между устройствами. Изменения или колебания мощности сигнала от 0 до некоторого максимального значения (амплитуды) и скорости этих колебаний (частоты) используются по отдельности или в сочетании друг с другом для кодирования и декодирования информации.

Когда два устройства понимают метод(ы), используемые для кодирования и декодирования информации, содержащейся в изменениях электрических свойств среды связи, они могут взаимодействовать друг с другом. Сетевой адаптер способен декодировать изменения электрического тока, которые он ощущает в проводе, и преобразовывать их в значимую информацию (биты), которую он может впоследствии отправить на более высокие уровни для обработки. Точно так же сетевой адаптер может кодировать информацию (биты), манипулируя свойствами электрического тока для передачи по коммуникационной среде (кабелю в случае проводных сетей).

Очевидное и основное различие между проводными и беспроводными сетями заключается в том, что в беспроводных сетях используется особый тип электрического тока, широко известный как радиочастота (РЧ), который создается путем подачи переменного тока (AC) на антенну для создания электромагнитного поля. ЭМ). Результирующее радиочастотное поле используется устройствами для вещания и приема. В случае беспроводных сетей средой для связи является электромагнитное поле, область пространства, на которую влияет электромагнитное излучение (в отличие от звуковых волн, для распространения радиоволн не требуется среда, такая как воздух или вода). Как и в проводных сетях, амплитуда уменьшается с расстоянием, что приводит к ухудшению мощности сигнала и способности общаться. Однако ЭМ поле тоже рассредоточено в соответствии со свойствами передающей антенны, а не жестко ограничено, как в случае связи по проводу. Область, над которой распространяются радиоволны от электромагнитного источника, известна как зона Френеля.

Подобно волнам, возникающим при броске камня в бассейн с водой, на радиоволны влияет наличие препятствий, и они могут отражаться, преломляться, дифрагировать или рассеиваться в зависимости от свойств препятствия и его взаимодействия с радиоволнами. Отраженные радиоволны могут быть источником помех в беспроводных сетях. Помехи, создаваемые отраженными радиоволнами, называются многолучевыми помехами.

При отражении радиоволн создаются дополнительные волновые фронты. Эти разные волновые фронты могут достигать приемника в разное время и быть в фазе или в противофазе с основным сигналом. Когда пик волны добавляется к другой волне (в фазе), волна усиливается. Когда пик волны встречается с впадиной (не в фазе), волна эффективно подавляется. Многолучевые помехи могут быть источником проблем, которые трудно устранить. При планировании беспроводной сети администраторы должны учитывать наличие общих источников многолучевых помех. К ним относятся металлические двери, металлические крыши, вода, металлические вертикальные жалюзи и любой другой источник, сильно отражающий радиоволны. Антенны могут помочь компенсировать эффекты многолучевых помех, но их необходимо тщательно выбирать. На самом деле многие точки беспроводного доступа имеют две антенны именно для этой цели. Но одна всенаправленная антенна может быть вообще бесполезна для такого рода помех.

Еще одним источником потери сигнала является наличие препятствий. Хотя радиоволны могут проходить через физические объекты, они будут ухудшаться в зависимости от свойств объекта, через который они проходят. Окно, например, довольно прозрачно для радиоволн, но может уменьшить эффективную дальность действия беспроводной сети на 50–70 %, в зависимости от наличия и характера покрытий на стекле. Сплошная основная стена может уменьшить эффективную дальность действия беспроводной сети на 90 % и более.

ЭМ поля также подвержены помехам и ухудшению сигнала из-за присутствия других ЭМ полей. В частности, беспроводные сети 802.11 подвержены помехам, создаваемым беспроводными телефонами, микроволновыми печами и широким спектром устройств, которые используют одни и те же нелицензированные диапазоны промышленных, научных и медицинских (ISM) или нелицензированных диапазонов национальной информационной инфраструктуры (UNII). Чтобы смягчить воздействие помех от этих устройств и других источников электромагнитных помех, в беспроводных сетях на основе РЧ используются технологии расширения спектра. Расширенный спектр позволяет «делить» полосу пропускания с другими устройствами, которые могут работать в том же частотном диапазоне. Вместо того, чтобы работать на одной выделенной частоте, как в случае радио- и телевещания, беспроводные сети используют для связи «спектр» частот.

Впервые задуманный Хеди Ламарр и Джорджем Антейлом (голливудской актрисой и композитором соответственно) в 1940 году как метод защиты военной связи от помех и прослушивания во время Второй мировой войны, расширенный спектр определяет методы для беспроводных устройств, чтобы использовать ряд узкополосных частот в диапазоне частот одновременно для связи. Узкополосные частоты, используемые между устройствами, изменяются в соответствии со случайным, но определенным шаблоном, что позволяет использовать отдельные частоты для включения частей передачи. Кто-то, кто слушает передачу с использованием расширенного спектра, услышит только шум, если только его устройство заранее не понимает, какие частоты используются для передачи, и не может синхронизироваться с ними.

Двумя методами синхронизации беспроводных устройств являются расширение спектра со скачкообразной перестройкой частоты (FHSS) и расширение спектра с прямой последовательностью (DSSS). Как следует из названия, FHSS работает путем быстрого перехода от одной частоты к другой в соответствии с псевдослучайным образом. Частотный диапазон, используемый скачком частоты, относительно велик (83,5 МГц), что обеспечивает превосходную защиту от помех. Количество времени, проведенное на любой заданной частоте, известно как время задержки; количество времени, необходимое для перехода с одной частоты на другую, называется временем скачка. Устройства FHSS начнут свою передачу на одной частоте и перейдут на другие частоты в соответствии с предварительно определенной псевдослучайной последовательностью, а затем повторят последовательность после достижения конечной частоты в шаблоне. Время перехода обычно очень короткое (200–300 мс) и незначительно по сравнению с временем задержки (100–200 мс). Однако устройства Bluetooth используют очень короткое время задержки, и время перехода в этом случае может быть значительным, что приводит к снижению пропускной способности. Как правило, чем больше время задержки, тем выше пропускная способность и тем более восприимчива передача к узкополосным помехам.

Последовательность скачкообразной перестройки частоты создает канал, позволяя нескольким каналам сосуществовать в одном частотном диапазоне, не мешая друг другу. До 79 устройств FHSS, соответствующих требованиям FCC, использующих диапазон ISM 2,4 ГГц, могут быть расположены рядом друг с другом. Однако затраты на внедрение такого большого количества систем ограничивают практическое количество совместно расположенных устройств намного ниже этого числа. Беспроводные сети, использующие FHSS, включают HomeRF и Bluetooth, обе из которых работают в нелицензируемом диапазоне ISM 2,4 ГГц. FHSS менее подвержен электромагнитным помехам, чем DSSS, но обычно работает с более низкими скоростями передачи данных (обычно 1,6 Мбит/с, но может достигать 10 Мбит/с), чем сети, использующие DSSS.

DSSS работает несколько иначе. При использовании DSSS данные разделяются и одновременно передаются на как можно большем количестве частот в определенной полосе частот (канале). DSSS добавляет к данным избыточные биты данных, известные как чипы, для представления двоичных нулей или единиц. Отношение элементарных посылок к данным известно как коэффициент расширения: чем выше это отношение, тем более устойчивым к помехам является сигнал, потому что, если часть передаваемого сигнала повреждена, данные все равно можно восстановить из оставшейся части кода фрагментации. Этот метод обеспечивает более высокие скорости передачи, чем FHSS, который использует ограниченное количество частот, но меньшее количество каналов в заданном частотном диапазоне. Кроме того, он защищает от потери данных из-за избыточной одновременной передачи данных. Однако, поскольку DSSS заполняет канал, который он использует, он также более уязвим для помех от электромагнитных устройств, работающих в том же диапазоне. В диапазоне частот 2,4–2,4835 ГГц, используемом стандартом 802.11b, передачи DSSS могут транслироваться по любому из 14 каналов шириной 22 МГц. Количество частот центрального канала, используемых устройствами 802.11 DSSS, зависит от страны. Например, в Северной Америке разрешено 11 каналов, работающих в диапазоне 2,4–2,4835 ГГц, в Европе — 13, а в Японии — 1. Поскольку каждый канал имеет ширину 22 МГц, каналы могут перекрываться друг с другом. Из 11 каналов, доступных в Северной Америке, одновременно можно использовать максимум 3 канала (1, 6 и 11) без использования перекрывающихся частот.

При сравнении технологий FHSS и DSSS следует отметить, что сети FHSS по своей сути не являются более безопасными, чем сети DSSS, вопреки распространенному мнению. Даже если бы относительно немного производителей устройств FHSS не опубликовали последовательность скачкообразных изменений, используемую их устройствами, опытный хакер, вооруженный анализатором спектра и компьютером, мог бы легко определить эту информацию и подслушать сообщения.

Беспроводные сети работают на физическом уровне и уровне канала передачи данных модели OSI. Физический уровень связан с физическими соединениями между устройствами, такими как среда и то, как биты (0 и 1) кодируются и декодируются. И FHSS, и DSSS, например, реализованы на физическом уровне. Уровень канала передачи данных разделен на два подуровня: уровень управления доступом к среде (MAC) и уровень управления логическим каналом (LLC). Уровень MAC отвечает за такие вещи, как кадрирование данных, контроль ошибок, синхронизация, а также обнаружение и предотвращение коллизий. На этом уровне определен стандарт Ethernet 802.3, определяющий метод множественного доступа с контролем несущей и обнаружением конфликтов (CSMA/CD) для защиты от потери данных в результате конфликтов данных в кабеле.

Беспроводные локальные сети

Беспроводные локальные сети (WLAN) охватываются стандартами IEEE 802.11. Целью этих стандартов является обеспечение беспроводного эквивалента сетей на основе Ethernet IEEE 802.3. Стандарт IEEE 802.3 определяет метод обработки коллизий (CSMA/CD), скорости работы (10 Мбит/с, 100 Мбит/с и выше) и типы кабелей (витая пара и оптоволокно категории 5). Стандарт обеспечивает совместимость различных устройств, несмотря на разные скорости и типы кабелей.

Как и стандарт 802.3, стандарт 802.11 определяет методы обработки конфликтов и скорости работы. Однако из-за различий в средах (воздух в отличие от проводов), используемых устройствах, потенциальной мобильности пользователей, подключенных к сети, и возможных топологиях беспроводной сети стандарты 802.11 значительно отличаются от стандарта 802.3. Как мы упоминали ранее в этой главе, сети 802.11 используют множественный доступ с контролем несущей и предотвращением конфликтов (CSMA/CA) в качестве метода устранения потенциальных конфликтов, в отличие от CSMA/CD, используемого в сетях Ethernet, поскольку не все станции в беспроводной сети сеть может быть в состоянии услышать коллизии, которые могут произойти в сети.

В дополнение к решению проблем, возникающих в результате коллизий в беспроводной сети, стандарт 802.11 должен решать и другие проблемы, характерные для беспроводных устройств и беспроводной связи в целом. Например, беспроводные устройства должны иметь возможность обнаруживать другие беспроводные устройства, такие как точки доступа, и иметь возможность связываться с ними. Пользователи беспроводной сети мобильны и поэтому должны иметь возможность беспрепятственно перемещаться из одной беспроводной зоны в другую. Многие устройства с поддержкой беспроводной связи, такие как ноутбуки, потребляют энергию аккумулятора и должны иметь возможность экономить энергию, когда они не взаимодействуют активно с сетью. Беспроводная связь по воздуху должна быть безопасной, чтобы противостоять как пассивным, так и активным атакам.

WAP

Протокол беспроводных приложений (WAP) — это открытая спецификация, разработанная для того, чтобы позволить мобильным беспроводным пользователям легко получать доступ и мгновенно взаимодействовать с информацией и услугами. WAP предназначен для портативных цифровых беспроводных устройств, таких как мобильные телефоны, пейджеры, рации, смартфоны и другие коммуникаторы. Он работает в большинстве беспроводных сетей и может быть встроен во многие операционные системы, включая PalmOS, Windows CE, JavaOS и другие. Операционная модель WAP основана на модели программирования World Wide Web (WWW) с некоторыми улучшениями. Эта модель показана на рисунке 1.

Модель программирования архитектуры WAP 2.0

Браузеры WAP в беспроводном клиенте аналогичны стандартным браузерам WWW на компьютерах. URI WAP совпадают с URI, определенными для традиционных сетей, и также используются для идентификации локальных ресурсов в клиенте с поддержкой WAP. Спецификация WAP добавила два существенных усовершенствования к вышеуказанной модели программирования: поддержка push-уведомлений и телефонии (приложение беспроводной телефонии — WTA). WAP также предусматривает использование прокси-серверов, а также вспомогательных серверов, предоставляющих такие функции, как поддержка PKI, поддержка профилей пользователей и поддержка инициализации.

WTLS

Wireless Transport Layer Security (WTLS) — это попытка Форума WAP ввести меру безопасности в протокол беспроводного доступа (WAP).  Протокол WTLS основан на протоколе безопасности транспортного уровня (TLS), который сам является производным от протокола SSL.  Однако в протоколы были внесены некоторые изменения, чтобы адаптировать их для работы в рамках WAP.  Эти изменения включают в себя:

• Поддержка как дейтаграмм, так и протоколов, ориентированных на соединение

• Поддержка длительного времени приема-передачи.

• Низкая пропускная способность, ограниченные возможности памяти и процессора.

WTLS предназначен для обеспечения конфиденциальности, а также надежности как для клиента, так и для сервера в небезопасной сети. Это относится к приложениям, использующим WAP. Эти приложения, как правило, ограничены памятью, возможностями процессора и средами с низкой пропускной способностью.

ИЭЭЭ 802.11

Первоначальный стандарт 802.11 был разработан в 1989 году и определяет работу беспроводных сетей, работающих в диапазоне 2,4 ГГц, с использованием либо DSSS, либо FHSS на физическом уровне модели OSI. Стандарт также определяет использование инфракрасного излучения для беспроводной связи. Целью стандарта является предоставление беспроводного эквивалента для стандартов, таких как 802.3, которые используются для проводных сетей. Устройства DSSS, соответствующие стандарту 802.11, обмениваются данными со скоростью 1 и 2 Мбит/с и обычно имеют радиус действия около 100 метров. Из-за потребности в более высоких скоростях передачи данных и необходимости обеспечения большей функциональности на уровне MAC целевые группы 802.11 разработали другие стандарты (или в некоторых случаях стандарты 802.11 были разработаны на основе технологий, которые им предшествовали).

Стандарт IEEE 802.11 предоставляет все необходимые определения и конструкции для беспроводных сетей. Предоставляется все, от спецификаций физической передачи до согласования аутентификации. Беспроводной трафик, как и проводной, состоит из кадров, передаваемых от одной станции к другой. Основная особенность, отличающая беспроводные сети от проводных, заключается в том, что один конец коммуникационной пары является либо другим беспроводным клиентом, либо точкой беспроводного доступа.

IEEE 802.11b

Стандарт 802.11b, наиболее распространенный сегодня для беспроводных сетей, определяет сети DSSS, которые используют диапазон ISM 2,4 ГГц и обмениваются данными со скоростями 1, 2, 5,5 и 11 Мбит/с. Стандарт 802.11b определяет работу только устройств DSSS и обратно совместим с устройствами 802.11 DSSS. Стандарт также касается только уровней PHY и MAC: протоколы уровня 3 и выше считаются полезной нагрузкой. В сетях 802.11b используется только один тип кадра, и он значительно отличается от кадров Ethernet. Тип кадра 802.11b имеет максимальную длину 2346 байт, хотя он часто фрагментируется до 1518 байт, поскольку проходит через точку доступа для связи с сетями Ethernet. Тип кадра предусматривает 3 основные категории кадров: кадры управления, кадры управления и кадры данных. В общем, тип фрейма предоставляет беспроводным устройствам методы обнаружения, связывания (или разъединения) и аутентификации друг друга; изменять скорость передачи данных по мере того, как сигналы становятся сильнее или слабее; экономить электроэнергию, переходя в спящий режим; обрабатывать коллизии и фрагментацию; и включить шифрование через WEP. Что касается WEP, следует отметить, что стандарт определяет использование только 64-битного (также иногда называемого 40-битным, чтобы внести путаницу) шифрования, что может вызвать проблемы взаимодействия между устройствами от разных производителей, которые используют 128 -битное или более высокое шифрование.

Конфигурация сети Ad-Hoc и инфраструктуры

Стандарт 802.11 предусматривает два режима связи беспроводных клиентов: ad-hoc и инфраструктура. Режим ad-hoc предназначен для сети станций, находящихся в пределах досягаемости друг друга. Ad-hoc сети создаются спонтанно между участниками сети. В режиме инфраструктуры точки доступа (AP) обеспечивают более постоянную структуру сети. Инфраструктура состоит из одной или нескольких точек доступа, а также системы распределения (т.е. проводной сети) за точками доступа, которые связывают беспроводную сеть с проводной сетью. На рисунках 2 и 3 показаны как сеть ad-hoc, так и инфраструктурная сеть соответственно.

Специализированные сетевые конфигурации

Конфигурации сети инфраструктуры

Чтобы различать разные беспроводные сети, стандарт 802.11 определяет SSID (идентификатор набора услуг). SSID можно рассматривать как идентификационный элемент, который «склеивает» вместе различные компоненты беспроводной локальной сети. Трафик от беспроводных клиентов, использующих один SSID, можно отличить от другого беспроводного трафика, использующего другой SSID. Используя SSID, точка доступа может определить, какой трафик предназначен для нее, а какой для других беспроводных сетей.

Трафик 802.11 можно разделить на три части: кадры управления, кадры управления и кадры данных. Кадры управления включают в себя такую информацию, как сообщения «запрос на отправку» (RTS), «разрешение на отправку» (CTS) и «подтверждение» (ACK). Кадры управления включают в себя кадры маяка, зондирующий запрос/ответ, кадры аутентификации и кадры ассоциации. Кадры данных, как следует из названия, представляют собой трафик 802.11, который несет данные. Эти данные обычно считаются сетевым трафиком, таким как IP-инкапсулированные кадры.

WEP

Стандарт IEEE 802.11 охватывает связь между компонентами WLAN. RF создает проблемы для конфиденциальности, поскольку он проходит через физические объекты и вокруг них. Из-за характера беспроводных локальных сетей 802.11 рабочая группа IEEE внедрила механизм для защиты конфиденциальности отдельных передач. Намерение состояло в том, чтобы отразить конфиденциальность проводной локальной сети, и этот механизм стал известен как Wired Equivalent Privacy или WEP. Поскольку WEP использует криптографическую контрмеру безопасности для достижения заявленной цели обеспечения конфиденциальности, он имеет дополнительное преимущество, заключающееся в том, что он становится механизмом аутентификации. Это преимущество реализуется за счет проверки подлинности с общим ключом, которая позволяет шифровать и расшифровывать беспроводные передачи. На точке доступа или клиенте может быть определено до четырех ключей, и их можно чередовать, чтобы добавить сложности для более высокого стандарта безопасности в политике WLAN.

WEP никогда не задумывался как абсолютный авторитет в области безопасности. Стандарт IEEE 802.11 утверждает, что WEP обеспечивает защиту от «случайного прослушивания». Вместо этого движущей силой WEP была конфиденциальность. В случаях, требующих высокой степени безопасности, следует использовать другие механизмы, такие как аутентификация, контроль доступа, защита паролем и виртуальные частные сети.

Несмотря на свои недостатки, WEP по-прежнему обеспечивает некоторый уровень безопасности при условии, что все его функции используются правильно. Это означает большую осторожность при управлении ключами, избегание параметров по умолчанию и обеспечение адекватного шифрования при каждой возможности.

Предлагаемые улучшения в стандарте должны устранить многие ограничения исходных опций безопасности и должны сделать WEP более привлекательным в качестве решения для обеспечения безопасности. Кроме того, по мере того, как технология WLAN набирает популярность, а пользователи требуют функциональности, как комитеты по стандартам, так и поставщики оборудования будут предлагать усовершенствования. Крайне важно быть в курсе программных исправлений и изменений, связанных с поставщиками, которые улучшают общее состояние безопасности беспроводной локальной сети.

Большинство точек доступа заявляют, что они поддерживают WEP как минимум с 40-битным шифрованием, но часто поддерживается и 128-битный вариант. Для корпоративных сетей как минимум следует рассматривать устройства с поддержкой 128-битного шифрования. Если защита данных включена в закрытой сети, настройки клиента для SSID и ключей шифрования должны совпадать с точкой доступа при попытке подключения к сети, иначе произойдет сбой. Следующие несколько абзацев обсуждают WEP в его связи с функциональностью стандарта 802.11, включая стандартное определение WEP, созданную конфиденциальность и аутентификацию.

WEP обеспечивает некоторую безопасность и конфиденциальность при передаче, чтобы любопытные или случайные браузеры не могли просмотреть содержимое передачи между точкой доступа и клиентами. Чтобы получить доступ, уровень сложности злоумышленника должен повыситься, и требуется конкретное намерение получить доступ. Некоторые другие преимущества реализации WEP:

• Все сообщения шифруются с использованием контрольной суммы CRC-32 для обеспечения некоторой степени целостности.

• Конфиденциальность поддерживается с помощью шифрования RC4. Без владения секретным ключом сообщение не может быть легко расшифровано.

• WEP чрезвычайно прост в реализации. Все, что требуется, — это установить ключ шифрования на точках доступа и на каждом клиенте.

• WEP обеспечивает базовый уровень безопасности для приложений WLAN.

• Ключи WEP определяются пользователем и не ограничены (в определенных пределах). Их можно и нужно часто менять.

Роб Шимонски хотел бы поблагодарить Мартина Грасдала (соавтора книги Security+) за создание оригинального контента. Мартин, безусловно, создал одну из самых выдающихся и полных глав по основам беспроводной связи и безопасности в книге Security+, которую вы найдете где угодно.

страницу подписки

Роберт Дж. Шимонски (Truesecure TICSA, Cisco CCDP, CCNP, Nortel NNCSS, Microsoft MCSE, MCP+I, Novell Master CNE, CIP, CIBS, IWA CWP, DCSE, Prosoft MCIW, SANS GSEC, GCIH, CompTIA Server+, Network+, Inet+, A+, e-Biz+, Symantec SPS и NAI Sniffer SCP) — ведущий инженер по сетям и безопасности в ведущей компании-производителе. Роберт специализируется на проектировании сетевой инфраструктуры с помощью линейки продуктов Cisco и Nortel, разработке и управлении сетевой безопасностью с помощью межсетевых экранов CiscoSecure и PIX, управлении сетью и устранении неполадок с помощью технологий CiscoWorks, CiscoSecure, Sniffer и HPOV. Роберт является автором многих статей и опубликованных книг, связанных с безопасностью, в том числе нового Руководства по оптимизации сети и устранению неполадок Sniffer, а также готовящегося к выпуску учебного пособия Security+ и обучающей системы на DVD от Syngress Media, Inc. Вы можете связаться с Робертом по адресу [email protected]