Подписаться  на наше издание быстро и дешевле чем где-либо Вы можете прямо сейчас! Подписаться! 

 

 

Если вы считаете, что получение в Укрчастотнадзоре разрешения на использование беспроводных устройств — это проблема, то ошибаетесь. Проблемы могут начаться после…


Скрытая угроза


Компьютерные сети всегда имели риск быть использованными злоумышленниками. С приходом беспроводных технологий эта опасность только возрастает — такие коммуникации не только чувствительны к традиционным атакам по протоколу TCP/IP, но и могут быть скомпрометированы специфичными для стандарта 802.11 методами. Беспокоиться приходится по многим вопросам: неправильно сконфигурированная точка доступа, захват сессии, провокация отказа от обслуживания. Можно выделить несколько аспектов архитектуры WLAN, являющихся потенциально уязвимыми.


В стандарте 802.11 для шифрования данных используется метод Wired Equivalent Privacy (WEP). Считается, что он может быть вскрыт с помощью "брутфорс". Взломщик может также использовать специально сконфигурированную точку доступа, чтобы заставить беспроводные адаптеры установить сеанс соединения с хакерским оборудованием. Это вполне возможно — если учесть, что беспроводные адаптеры будут предпочитать контакт с лучшим уровнем сигнала.


Своеобразно посодействовать злоумышленнику могут и пользователи, самостоятельно установившие WAP и небрежно его сконфигурировавшие. В этом случае для хакера создается черный ход, которым можно воспользоваться, чтобы миновать системы защиты, установленные в проводной сети. Как видите, преимущества беспроводки — легкость установки и гибкость — могут обернуться минусами.

 


Чистая беспроводная сеть — это совершенство простоты и мобильности.
К сожалению, контролировать ее очень трудно


Сети 802.11 легко уязвимы для атак типа отказ от обслуживания (DoS). Дело в том, что эта технология очень зависима от уровня сигнала, установленного между ее объектами. В случае деградации сигнала беспроводные адаптеры вынуждены запускать заново процессы аутентификации — и в этом случае у хакера появляется дополнительный шанс. К тому же он может генерировать последовательность сигналов отключения/аутентификации, чтобы загрузить сеть неэффективными пакетами.


Сеть XXI века


Для традиционных сетей существуют программные средства по обнаружению вторжения (Intrusion Detection System, IDS). Подобные утилиты разработаны и для беспроводных сетей. Базируются они во многом на тех же методах, что и традиционные, но снабжены дополнительными функциями. Ясно, что для проникновения в проводные сети нужно иметь физический доступ к ее инфраструктуре или воспользоваться незащищенным удаленным доступом. В любом случае, работа IDS основывается на внедрении в сеть сенсора, который находится как раз на перекрестке трафика и имеет возможность анализировать все данные, циркулирующие в сети. Сейчас мы увидим, что этот метод не всегда подходит для беспроводных сетей.

 


Наиболее распространенный случай: несколько беспроводных устройств
нужно соединить с корпоративной Ethrnet LAN.
Точка доступа — идеальный объект для реализации сенсора


Поскольку стандарт IEEE 802.11 позволяет создавать два типа беспроводных сетей, функционирование IDS в них (Wireless Intrusion Detection System, WIDS) значительно усложняется. Одна из возможных архитектур WLAN изображена на рисунке ниже, называется она ad-hok, или Independent Basic Service Set (IBSS). Такое построение подразумевает, что все беспроводные адаптеры реализуют связи точка-точка. ;другая топология WLAN, называемая Basic Service Set (BSS), или "infrastructure", напротив, предназначена для распределенных сетей — там где беспроводные технологии вступают во взаимодействие с традиционными. В этом случае все коммуникационные пакеты проходят через WAP.


Совершенно ясно, что топология ad-hok более трудоемка для средств защиты:

  • все хосты работают как независимые станции и компрометация любого из них сделает уязвимой всю сеть;
  • отсутствует центральная точка, с помощью которой можно было бы анализировать все пакеты;
  • нет явного различия между нормальным и аномальным трафиком; вполне легальные мобильные устройства могут генерировать трафик, характерный для атаки.

В этом случае нет другого выхода кроме как делать каждое устройство независимым средством WIDS, работающим как индивидуально, так и в кооперации с другими. Тогда, если данных, полученных с одного сенсора, недостаточно для окончательного решения относительно легитимности трафика, к анализу подключаются и другие устройства сети. Как правило, работа по определению вторжения базируется на трех модулях:

  • мониторинг данных: анализ потоковых данных в совокупности с анализом локальной активности пользовательских и системных приложений;
  • локальное обнаружение — основано на статистическом распределении активности каждой точки сети;
  • кооперативное обнаружение: если предыдущий метод не дал твердого ответа по поводу определенного хоста, то поделиться информацией будут приглашены другие устройства сети.

Распределенная сеть (BBS) может более эффективно полагаться на описанные методы. Поскольку в этом случае весть трафик проходит через WAP, логично установить сенсор в непосредственной близости. Так как точка доступа является, по сути, мостом между двумя физическими сетями, то утилиты слежения, с одной стороны, могут анализировать общий для сетей стек протокола TCP, а с другой — должны уметь читать фреймы, характерные для этих типов сети.

 


APTools — одна из немногих утилит безопасности, разработанных
для конкурирующих платформ Unix и Windows


Какие же конкретно данные особенно интересны для систем обнаружения? Так же как IP, 802.11-фреймы передают важную информацию, которую должны использовать системы безопасности. Метки (тип 00, подтип 1000) регулярно передаются к точке доступа, для того чтобы беспроводные станции могли начать процесс аутентификации. Их анализ может обнаружить неблагонадежные WAP и зафиксировать опасный трафик. Изучение меток подобно снифингу в традиционных Ethernet-сетях. Для такого процесса беспроводный адаптер должен быть переведен в промис-режим (promisc mode), но не обязан иметь IP-адрес — то есть может оставаться невидимым для других адаптеров.

 

Существует несколько утилит, позволяющих это делать:

  • www.netstumbler.com
    NetStabler. Графическая утилита под Windows, позволяющая сделать карту беспроводной сети и следить за трафиком, активностью каждого адаптера.
  • www.dachb0den.com/projects/bsd-airtools.html 
    BSD-Airtools — пакет, представляющий комплексные средства для отслеживания 802.11 коммуникаций. Как можно понять из названия, утилита содержит средства взлома ключа WEP для операционок семейства BSD. Эта программа также ориентирована на выявление программ типа NetStambler, которые инвентаризируют беспроводную сеть. Этот комплект может быть расширен специальными плагинами, что в результате позволит проводить больше десятка различных тестов сети.
  • http://aptools.sourceforge.net 
    APTools — это программа, которая анализирует ARP-таблицу и контент-адресуемую память (Content-Addresable Memory, CAM) для определения пространства адресов, ассоциируемых с точками доступа. Она также пытается, если это возможно, использовать Cisco Discovery Protocol. Если был идентифицирован Cisco Aironet MAC Address, возможен аудит конфигурации безопасности точки доступа через механизмы HTML. Утилита поддерживает большое число устройств Cisco, 3COM, CompaQ, D-Link, Linksys, Intel и пр. Программа работает на платформе Unix/Win32
  • www.research.ibm.com/gsal/wsa 
    IBM Wireless Security Auditor — это прототип аудитора безопасности сетей 802.11, работающий на Linux и iPaq. Эта утилита может в автоматическом режиме просканировать сеть на предмет обнаружения потенциальных уязвимостей. В процессе работы эта утилита проводит весь необходимый анализ пакетов, а также запрашивает у пользователя ответы на критически важные вопросы. Результат имеет вид цветовой индикации: красный — опасность, зеленый — удачная настройка

На первом этапе, когда хакер закончил инвентаризировать сетевые SSID, он может начать попытку проникновения в кабельную сеть, используя какой-либо WAP. Правда прежде хакеру необходимо пройти процесс аутентификации. Самые первые сетевой данные, который посылает беспроводная станция, является Association Request Management фреймом (подтип 0000), на который должен прийти ответ в виде Association Response Management фреймом (подтип 0001). Этот ответ содержит двухбайтовый код (0 — успешно, все остальные значения определяют какую-либо ошибку). Итак, MAC-адрес хакера будет передан в среду беспроводной сети. Анализ данных, возникающих в процессе присоединения к сети,— это хорошая возможность для обнаружения попытки взлома.

 

Существует несколько утилит, работающих по такому принципу:

  • www.ethereal.com
    Ethereal, работающий в Linux и FreeBSD, имеет графический интерфейс и умеет анализировать 802.11 фрейм. Сейчас этот продукт находится в стадии беты (версия 0.9.14).Утилита предлагает широкий спектр возможностей: получение данных из сетевого соединения или файла; прием данных которые были приняты другими сетевыми утилитами (tcpdump или популярными сниферами); поддержка множества сетевых архитектур (Ethernet, FDDI, PPP, Token-Ring, IEEE 802.11, IP over ATM). Кроме того, полученные данные могут быть просмотрены в графическом или текстовом виде с помощью терминальной программы и т.д.
  • http://www.wildpackets.com/products/airopeek 
    Коммерческий продукт Airopeek from Wild Packets для Windows — это анализаторы сети реального времени для Wireless-сетей уровня предприятия. Семейство включает три продукта: Expert Voice over Wireless LAN, Expert Wireless LAN Analyzer и Wireless LAN Protocol Analyzer. Предназначение этого программного решения обширно: просмотр состава сети, ассистентские услуги по настройке безопасности, помощь в разрешении проблем клиентских устройств, мониторинг WLAN, комплексный анализ VoIP-сессий.
  • http://www.networkgeneral.com 
    Модуль Sniffer Wireless Intelligence, входящий в состав коммерческого продукта Sniffer Enterprise Solutions, позволяет оперативно выявлять дыры в защите сети, просматривать текущую сетевую конфигурацию и частотную активность, дешифровать и просматривать используемые устройствами WEP-ключи.

Протокол разрешения сетевых адресов ARP необходим для построения соответствий между IP-адресами и собственно устройствами. Соответствующая таблица хранится в кэше сетевых адаптеров, и ее подмена может использоваться для злонамеренных целей. Существует инструмент arpwatch (www-nrg.ee.lbl.gov) для мониторинга изменений этой таблицы, что должно применяться в системах обнаружения взлома. Применительно к WLAN эта утилита может получить информацию о точках доступа, прошедших авторизацию. Практически же эта информация применяется для сравнения таблиц адресов, находящихся по разные стороны моста Wireless LAN — Ethernet LAN.


Поймать невидимку


Понятно, что многие администраторы поддадутся соблазну строить беспроводные сети. Тем более что для этого потребуется минимум и времени, и работ. Да и затраты на проводку кабельной сети могут компенсировать стоимость Wireless-адаптеров. Аргументом может быть также мобильность: зачастую офисы не задерживаются в арендуемом помещении подолгу, и каждый раз строить новые коммуникации только себе в ущерб. Беспроводная сеть еще и дружелюбна. Если к вам в офис придет клиент с ноутбуком, он может автоматически включиться в работу.


Но вот проблема — так же легко в ваши владения может проникнуть и шпион. Лежащий в его дипломате КПК незаметно для всех просканирует сеть и, если повезет, отыщет лазейку к конфиденциальным данным.


Таким образом, беспроводка требует большего внимания к своей безопасности. Системному администратору ни в коем случае не следует пренебрегать программными средствами, призванными хранить целостность и неуязвимость Wireless-границ.

2005.11.02
19.03.2009
В IV квартале 2008 г. украинский рынок серверов по сравнению с аналогичным периодом прошлого года сократился в денежном выражении на 34% – до $30 млн (в ценах для конечных пользователей), а за весь календарный год – более чем на 5%, до 132 млн долл.


12.03.2009
4 марта в Киеве компания Telco провела конференцию "Инновационные телекоммуникации", посвященную новым эффективным телекоммуникационным технологиям для решения задач современного бизнеса.


05.03.2009
25 февраля в Киеве компания IBM, при информационной поддержке "1С" и Canonical, провела конференцию "Как сохранить деньги в условиях кризиса?"


26.02.2009
18-19 февраля в Киеве прошел юбилейный съезд ИТ-директоров Украины. Участниками данного мероприятия стали ИТ-директора, ИТ-менеджеры, поставщики ИТ-решений из Киева, Николаева, Днепропетровска, Чернигова и других городов Украины...


19.02.2009
10 февраля в Киеве состоялась пресс-конференция, посвященная итогам деятельности компании "DiaWest – Комп’ютерний світ" в 2008 году.


12.02.2009
С 5 февраля 2009 г. в Киеве начали работу учебные курсы по использованию услуг "электронного предприятия/ учреждения" на базе сети информационно-маркетинговых центров (ИМЦ).


04.02.2009
29 января 2009 года в редакции еженедельника "Computer World/Украина" состоялось награждение победителей акции "Оформи подписку – получи приз!".


29.01.2009
22 января в Киеве компания "МУК" и представительство компании Cisco в Украине провели семинар для партнеров "Обзор продуктов и решений Cisco Small Business"

 

 
 
Copyright © 1997-2008 ИД "Комиздат".