Защита трафика беспроводной сети (часть 1)

• Защита трафика беспроводной сети (часть 5)
• Защита трафика беспроводной сети (часть 7)
• Защита трафика беспроводной сети (часть 8)
• Защита трафика беспроводной сети (часть 9)

Введение

Несмотря на то, что Wi-Fi существует уже много лет, я до сих пор периодически получаю сообщения электронной почты от людей, которые интересуются различными проблемами безопасности и конфиденциальности, связанными с использованием беспроводной сети. Обычно мне задают два основных вопроса:

1. Безопасен ли Wi-Fi?
2. Как сделать Wi-Fi безопасным?

Имея в виду эти вопросы, я хотел воспользоваться возможностью, чтобы поговорить о безопасности Wi-Fi. Я планирую посвятить большую часть этой статьи рискам, связанным с использованием Wi-Fi. Далее в этой серии я хочу поговорить об аппаратной безопасности, о том, как архитектура вашей беспроводной сети влияет на безопасность вашей беспроводной сети, и, наконец, я планирую рассказать о некоторых механизмах безопасности беспроводной сети, встроенных в Windows Server.

Каковы риски?

Одно из первых правил, касающихся безопасности, заключается в том, что если у вас нет четкого понимания рисков, то практически невозможно снизить эти риски. Другими словами, трудно разработать достойный план безопасности, если вы не знаете, от каких угроз вы должны защитить себя. Помня об этой философии, я хочу применить несколько неортодоксальный подход к разговору о безопасности Wi-Fi.

Большинство книг и статей по безопасности Wi-Fi, которые я прочитал, посвящены тому, как следует настраивать точки беспроводного доступа, а также общей архитектуре сети и ее влиянию на безопасность. Я планирую обсудить такие вещи позже. Однако прямо сейчас я хочу полностью выбросить безопасность из окна. При этом я хочу поговорить о том, какую информацию мог бы получить хакер, если бы в вашей беспроводной сети не было безопасности.

Хорошо, я понимаю, что немного странно подходить к безопасности Wi-Fi с этой точки зрения. Однако, как я уже говорил, важно понимать риски заранее. Однако помимо этого реальный мир полон небезопасных беспроводных сетей. Большинство ваших мобильных пользователей, вероятно, периодически подключаются к незащищенным беспроводным сетям. Эти сети могут быть в аэропортах, гостиницах, кафе или даже дома. Дело в том, что даже если вы приложили все усилия для защиты своей беспроводной сети, ваши пользователи все равно могут рискнуть раскрыть конфиденциальные данные, подключившись через внешнюю сеть, которая совершенно небезопасна.

Аутентификация веб-сайта

Имея это в виду, давайте представим, что у нас есть целый офис, полный людей, которые используют совершенно небезопасную беспроводную сеть. Какая информация на самом деле раскрывается, если кто-то прослушивает беспроводные пакеты?

Хотя заманчиво сказать, что все будет раскрыто, ответ на самом деле немного сложнее. Это связано с тем, что вся концепция ИТ-безопасности вращается вокруг глубокоэшелонированной защиты. Тот факт, что беспроводное соединение совершенно небезопасно, не означает, что другие механизмы безопасности, которые у вас могут быть, полностью недействительны.

Чтобы показать вам, что я имею в виду, представьте, что произойдет, если кто-то войдет в Outlook Web App, используя небезопасное беспроводное соединение. Если вы не знакомы с Outlook Web App, это веб-версия Microsoft Outlook, которая поставляется с Exchange Server 2010.

Outlook Web App требует, чтобы веб-браузеры SSL использовали шифрование SSL. Таким образом, если пользователь входит в Outlook Web App через незащищенную беспроводную сеть, вся информация пользователя будет зашифрована и останется в безопасности, как если бы пользователь использовал проводное подключение к Интернету.

Значит ли это, что вам не нужно беспокоиться о безопасности Wi-Fi? Конечно нет! Тот факт, что Outlook Web App останется безопасным даже при небезопасном соединении, не означает, что все остальное останется таким же. Прежде чем перейти к этому, я хочу поговорить о том, как такая простая вещь, как некоммерческий веб-сайт, может поставить под угрозу вашу безопасность.

Подумайте об этом на мгновение... Когда пользователь входит на веб-сайт, он обычно вводит набор учетных данных для аутентификации. Эти учетные данные не всегда шифруются. Например, я использую несколько бесплатных сайтов, для которых требуется только членство, чтобы вы могли участвовать в дискуссионных онлайн-форумах. Сайты не содержат конфиденциальной информации, поэтому процесс аутентификации не шифруется.

Вход на такой сайт сам по себе не является проблемой. Проблема в том, что некоторым пользователям нравится использовать один и тот же пароль для каждой учетной записи, которой они владеют. Если бы пользователь зашел на небезопасный веб-сайт через беспроводное соединение, любой, кто перехватывает беспроводные пакеты, смог бы извлечь учетные данные пользователя. Следующим логическим шагом для хакера было бы узнать, использует ли пользователь те же учетные данные для чего-либо еще.

Обмен сообщениями

Из всех приложений, используемых в бизнес-среде, пожалуй, ни одно не является более уязвимым, чем электронная почта. Прежде чем я объясню, почему это так, я должен указать, что некоторые почтовые системы более безопасны, чем другие. Например, Exchange Server 2010 автоматически шифрует обмен данными между собой и другими серверами Exchange 2010.

Однако когда дело доходит до базовых соединений POP3 и SMTP, незащищенные соединения Wi-Fi раскрывают все. Несмотря на то, что серверы обмена сообщениями, на которых размещены такие протоколы, как SMTP, POP3 и IMAP4, обычно требуют аутентификации, учетные данные почти всегда отправляются в виде открытого текста, что делает их уязвимыми для перехвата пакетов.

Даже если организация зашифровала процесс аутентификации, сами сообщения не зашифрованы, если организация не реализовала форму шифрования S/MIME или что-то подобное. Таким образом, тому, кто прослушивает эфир, невероятно легко перехватить и прочитать поток почты. Хакер даже может ответить на сообщение, которое он перехватил, или отправить мошенническое сообщение, выдавая себя за кого-то другого.

Общие ресурсы

Другая возможная уязвимость, связанная с использованием незащищенной беспроводной сети, связана с доступом к общим ресурсам. Один пример, который я люблю использовать, — это то, что произошло около пяти лет назад. Работая над чем-то посторонним, я заметил, что в моем списке доступных беспроводных сетей появилась новая точка доступа. Один взгляд на название новой беспроводной сети подтвердил, что она принадлежит хорошему другу, который жил по соседству. Поскольку мой друг не защитил свою беспроводную сеть, я счел своим долгом показать ему опасности работы с открытой беспроводной сетью. Короче говоря, я напечатал короткое сообщение в Microsoft Word, в котором просил его позвонить мне, а затем распечатал сообщение на его принтере.

Открытый доступ к общим ресурсам обычно не является большой проблемой в корпоративных сетях, поскольку контроллеры домена обеспечивают аутентификацию типа запрос/ответ. Если предположить, что ресурсы сервера защищены должным образом, реальная уязвимость существует на рабочем столе/ноутбуке пользователя. Если пользователь работает под управлением Windows XP, то довольно легко выяснить имя компьютера пользователя и подключиться к любым общим ресурсам на этом компьютере.

Вывод

Как видите, существует множество уязвимостей, связанных с работой в незащищенной беспроводной сети (их гораздо больше, чем то, что я рассмотрел). Во второй части я продолжу обсуждение, рассказав о том, как можно заблокировать беспроводное оборудование.

• Защита трафика беспроводной сети (часть 4)
• Защита трафика беспроводной сети (часть 5)
• Защита трафика беспроводной сети (часть 7)
• Защита трафика беспроводной сети (часть 8)
• Защита трафика беспроводной сети (часть 9)