Защита трафика беспроводной сети (часть 5)

• Защита трафика беспроводной сети (часть 7)
• Защита трафика беспроводной сети (часть 8)
• Защита трафика беспроводной сети (часть 9)

Введение

До сих пор в этой серии статей я говорил о некоторых различных функциях безопасности, которые обычно встроены в беспроводные точки доступа. Теперь я хочу отвлечься от аппаратных функций безопасности и начать говорить об этих функциях безопасности, встроенных в Windows.

Насколько безопасны беспроводные сети?

Хотя изначально я планировал начать разговор о безопасности на уровне операционной системы для беспроводных сетей, я хотел взять тайм-аут и ответить на вопрос, который возник у многих из вас. Я получил много писем по электронной почте об этой серии, но один вопрос, который возникает снова и снова, заключается в том, можно ли когда-нибудь сделать беспроводную сеть такой же безопасной, как проводная сеть. Ведь хакеру даже не нужно получать физический доступ к объекту, чтобы скомпрометировать беспроводную сеть. С помощью специальной антенны хакер может атаковать беспроводную сеть за несколько километров.

Мое личное мнение заключается в том, что при правильной реализации беспроводная сеть на самом деле более безопасна, чем обычная проводная сеть. Причина этого в том, что если организация не использует первоклассную безопасность, существует одна серьезная уязвимость безопасности, присущая их проводной сети. Большинство проводных сетей, которые я видел, построены таким образом, что любое устройство, подключенное к сети, считается заслуживающим доверия.

Хотя я согласен с тем, что организация должна иметь достаточно хорошую физическую безопасность, чтобы никто не мог подключить мошенническое устройство к сети, такие атаки могут происходить и иногда происходят.

Много лет назад я работал в организации, которая, как правило, очень заботилась о безопасности. У меня был постоянный приказ следить за любыми уязвимостями в системе безопасности. Если я подозревал, что существует уязвимость, мне разрешалось сделать все необходимое, чтобы выяснить, действительно ли предполагаемая уязвимость представляет собой проблему.

Я уже знал, что в здании слабая физическая охрана. Поскольку мне часто приходилось приходить посреди ночи, чтобы провести модернизацию или срочный ремонт, я знал, что в организации есть два ночных охранника, каждый из которых стоит у одного из двух входов в здание. Я также знал, что каждые полчаса они покидают свои посты для патрулирования здания.

Я хотел выяснить, насколько легко злоумышленнику будет проникнуть в здание и поставить под угрозу безопасность нашей сети. Поскольку я знал расписание охранников, я решил проникнуть в здание, пока охранники отсутствовали на своих постах, патрулирующих здание. В здании был один из тех олдскульных замков, которые можно было легко открыть с помощью кредитной карты, так что попасть в здание не составило труда. Оказавшись внутри, я направился к пустой части здания, которая ранее была занята временными рабочими. Я подключил ноутбук к пустому сетевому разъему и запустил программу захвата пакетов. Я спрятал ноутбук под столом и загородил его несколькими картонными коробками, которые валялись вокруг. Потом я выскользнул из здания.

Следующей ночью я вернулся в здание, забрал ноутбук и выскользнул обратно. Я успешно перехватил сетевой трафик за целый день.

После того, как у меня было некоторое время, чтобы просмотреть перехваченные пакеты и точно определить, что мне удалось получить, я подошел к своему боссу и объяснил, что пустые сетевые разъемы представляют собой серьезную угрозу безопасности. Конечно, у меня были административные учетные данные для сети и круглосуточный доступ к зданию, но я ничего из этого не использовал при тестировании на проникновение. Я вломился и пронюхал сеть так же, как это сделал бы преступник. Имейте в виду, однако, что у меня было разрешение проверить безопасность сети любыми необходимыми средствами. Если у вас нет такого разрешения, я не рекомендую предпринимать подобные трюки, потому что это может привести к тому, что вас уволят и, возможно, даже арестуют.

После моего небольшого подвига административный персонал принял решение отключить все неиспользуемые сетевые разъемы в интересах предотвращения атаки, подобной той, которую я успешно провел. Тем не менее, это не было идеальным решением проблемы. Это потому, что у каждого сотрудника, у которого был компьютер, под столом все еще был сетевой разъем. Было бы просто отключить чей-то компьютер и подключить мошенническое устройство. Конечно, такое устройство можно легко найти, но представьте, что могло бы произойти, если бы атаку осуществил сотрудник. Кто-то, кто работает в компании, вероятно, знает, кто находится в отпуске и как долго они должны отсутствовать. Сетевой разъем отсутствующего сотрудника станет идеальной мишенью, потому что он все еще будет работать, и есть большая вероятность, что никто не войдет в офис отсутствующего сотрудника, пока его нет.

Как я уже говорил ранее, мой подвиг случился много лет назад. Сегодня эффективность такой атаки будет несколько ограничена, потому что все используют сетевые коммутаторы, а не концентраторы, которые использовались в то время. Даже если бы кто-то смог позиционировать себя так, чтобы можно было перехватывать множество пакетов, тип атаки, которую я провел, можно было бы легко предотвратить с помощью шифрования IPSec. Использование шифрования IPSec не помешает кому-либо подключить ноутбук к пустому сетевому разъему и запустить программу захвата пакетов, но сделает захваченные пакеты практически нечитаемыми.

Несмотря на это, я по-прежнему склонен думать, что большинство проводных сетей уязвимы для атак, потому что они предполагают, что любое устройство, имеющее физический доступ к сети, заслуживает доверия. Хотя шифрование IPSec может помешать кому-либо украсть какие-либо данные, ничто не мешает кому-либо использовать мошенническое устройство для внедрения пакетов в сеть.

За годы я слышал несколько историй о сетях, которые были скомпрометированы кем-то, кто подключил различные типы мошеннических устройств. Например, я недавно слышал, что одна сеть была скомпрометирована кем-то, кто подключил ноутбук, настроенный для работы в качестве сервера DHCP и DNS. Когда законные рабочие станции были включены, некоторым из этих рабочих станций были назначены адреса мошенническим DHCP-сервером. DHCP-клиенты обычно пытаются продлить аренду IP-адреса, который они использовали ранее, но если этот адрес недоступен, клиент получит другой адрес; возможно, даже с другого DHCP-сервера.

DHCP-сервер, использованный в атаке, инструктировал любую рабочую станцию, получившую от него аренду, использовать мошеннический DNS-сервер, а не законный DNS-сервер. Мошеннический DNS-сервер был настроен с записями, указывающими на вредоносные серверы в Интернете, а не на законные ресурсы.

Я хочу сказать, что если кто-то может получить физический доступ к проводной сети, то существует множество способов компрометации этой сети. Конечно, то же самое можно сказать и о беспроводных сетях. Если злоумышленнику удается установить соединение с беспроводной сетью, он может начать взламывать безопасность сети. Однако это предполагает, что точка беспроводного доступа подключена напрямую к проводной сети.

Однако большинство организаций, заботящихся о безопасности, этого не делают. Вместо этого они подключают беспроводную точку доступа к серверу шлюза. Этот шлюз действует очень похоже на VPN-сервер. Он служит для аутентификации соединения перед предоставлением пользователю доступа к сетевым ресурсам.

Вывод

Как видите, правильно реализованная беспроводная сеть более безопасна, чем обычная проводная сеть, поскольку устройства, подключенные к беспроводной сети, не считаются автоматически доверенными. Однако стоит отметить, что можно настроить проводную сеть так, чтобы не считать какие-либо подключенные устройства надежными.

В следующей части этой серии я расскажу о том, как можно использовать Windows Server 2008 для дополнительной защиты беспроводной сети.

• Защита трафика беспроводной сети (часть 7)
• Защита трафика беспроводной сети (часть 8)
• Защита трафика беспроводной сети (часть 9)