Раздел: Компьютерная документация -> Безопасность -> Защита информации

Надежность воздушных границ

Скрытая угроза

Компьютерные сети всегда имели риск быть использованными злоумышленниками. С приходом беспроводных технологий эта опасность только возрастает — такие коммуникации не только чувствительны к традиционным атакам по протоколу TCP/IP, но и могут быть скомпрометированы специфичными для стандарта 802.11 методами. Беспокоиться приходится по многим вопросам: неправильно сконфигурированная точка доступа, захват сессии, провокация отказа от обслуживания. Можно выделить несколько аспектов архитектуры WLAN, являющихся потенциально уязвимыми.

В стандарте 802.11 для шифрования данных используется метод Wired Equivalent Privacy (WEP). Считается, что он может быть вскрыт с помощью "брутфорс". Взломщик может также использовать специально сконфигурированную точку доступа, чтобы заставить беспроводные адаптеры установить сеанс соединения с хакерским оборудованием. Это вполне возможно — если учесть, что беспроводные адаптеры будут предпочитать контакт с лучшим уровнем сигнала.

Своеобразно посодействовать злоумышленнику могут и пользователи, самостоятельно установившие WAP и небрежно его сконфигурировавшие. В этом случае для хакера создается черный ход, которым можно воспользоваться, чтобы миновать системы защиты, установленные в проводной сети. Как видите, преимущества беспроводки — легкость установки и гибкость — могут обернуться минусами.

Чистая беспроводная сеть — это совершенство простоты и мобильности.
К сожалению, контролировать ее очень трудно

Сети 802.11 легко уязвимы для атак типа отказ от обслуживания (DoS). Дело в том, что эта технология очень зависима от уровня сигнала, установленного между ее объектами. В случае деградации сигнала беспроводные адаптеры вынуждены запускать заново процессы аутентификации — и в этом случае у хакера появляется дополнительный шанс. К тому же он может генерировать последовательность сигналов отключения/аутентификации, чтобы загрузить сеть неэффективными пакетами.

Сеть XXI века

Для традиционных сетей существуют программные средства по обнаружению вторжения (Intrusion Detection System, IDS). Подобные утилиты разработаны и для беспроводных сетей. Базируются они во многом на тех же методах, что и традиционные, но снабжены дополнительными функциями. Ясно, что для проникновения в проводные сети нужно иметь физический доступ к ее инфраструктуре или воспользоваться незащищенным удаленным доступом. В любом случае, работа IDS основывается на внедрении в сеть сенсора, который находится как раз на перекрестке трафика и имеет возможность анализировать все данные, циркулирующие в сети. Сейчас мы увидим, что этот метод не всегда подходит для беспроводных сетей.

Наиболее распространенный случай: несколько беспроводных устройств
нужно соединить с корпоративной Ethrnet LAN.
Точка доступа — идеальный объект для реализации сенсора

Поскольку стандарт IEEE 802.11 позволяет создавать два типа беспроводных сетей, функционирование IDS в них (Wireless Intrusion Detection System, WIDS) значительно усложняется. Одна из возможных архитектур WLAN изображена на рисунке ниже, называется она ad-hok, или Independent Basic Service Set (IBSS). Такое построение подразумевает, что все беспроводные адаптеры реализуют связи точка-точка. ;другая топология WLAN, называемая Basic Service Set (BSS), или "infrastructure", напротив, предназначена для распределенных сетей — там где беспроводные технологии вступают во взаимодействие с традиционными. В этом случае все коммуникационные пакеты проходят через WAP.

Совершенно ясно, что топология ad-hok более трудоемка для средств защиты:

• все хосты работают как независимые станции и компрометация любого из них сделает уязвимой всю сеть;
• отсутствует центральная точка, с помощью которой можно было бы анализировать все пакеты;
• нет явного различия между нормальным и аномальным трафиком; вполне легальные мобильные устройства могут генерировать трафик, характерный для атаки.

В этом случае нет другого выхода кроме как делать каждое устройство независимым средством WIDS, работающим как индивидуально, так и в кооперации с другими. Тогда, если данных, полученных с одного сенсора, недостаточно для окончательного решения относительно легитимности трафика, к анализу подключаются и другие устройства сети. Как правило, работа по определению вторжения базируется на трех модулях:

• мониторинг данных: анализ потоковых данных в совокупности с анализом локальной активности пользовательских и системных приложений;
• локальное обнаружение — основано на статистическом распределении активности каждой точки сети;
• кооперативное обнаружение: если предыдущий метод не дал твердого ответа по поводу определенного хоста, то поделиться информацией будут приглашены другие устройства сети.

Распределенная сеть (BBS) может более эффективно полагаться на описанные методы. Поскольку в этом случае весть трафик проходит через WAP, логично установить сенсор в непосредственной близости. Так как точка доступа является, по сути, мостом между двумя физическими сетями, то утилиты слежения, с одной стороны, могут анализировать общий для сетей стек протокола TCP, а с другой — должны уметь читать фреймы, характерные для этих типов сети.

APTools — одна из немногих утилит безопасности, разработанных
для конкурирующих платформ Unix и Windows

Какие же конкретно данные особенно интересны для систем обнаружения? Так же как IP, 802.11-фреймы передают важную информацию, которую должны использовать системы безопасности. Метки (тип 00, подтип 1000) регулярно передаются к точке доступа, для того чтобы беспроводные станции могли начать процесс аутентификации. Их анализ может обнаружить неблагонадежные WAP и зафиксировать опасный трафик. Изучение меток подобно снифингу в традиционных Ethernet-сетях. Для такого процесса беспроводный адаптер должен быть переведен в промис-режим (promisc mode), но не обязан иметь IP-адрес — то есть может оставаться невидимым для других адаптеров.

Существует несколько утилит, позволяющих это делать:

• www.netstumbler.com
  NetStabler. Графическая утилита под Windows, позволяющая сделать карту беспроводной сети и следить за трафиком, активностью каждого адаптера.
• www.dachb0den.com/projects/bsd-airtools.html 
  BSD-Airtools — пакет, представляющий комплексные средства для отслеживания 802.11 коммуникаций. Как можно понять из названия, утилита содержит средства взлома ключа WEP для операционок семейства BSD. Эта программа также ориентирована на выявление программ типа NetStambler, которые инвентаризируют беспроводную сеть. Этот комплект может быть расширен специальными плагинами, что в результате позволит проводить больше десятка различных тестов сети.
• http://aptools.sourceforge.net 
  APTools — это программа, которая анализирует ARP-таблицу и контент-адресуемую память (Content-Addresable Memory, CAM) для определения пространства адресов, ассоциируемых с точками доступа. Она также пытается, если это возможно, использовать Cisco Discovery Protocol. Если был идентифицирован Cisco Aironet MAC Address, возможен аудит конфигурации безопасности точки доступа через механизмы HTML. Утилита поддерживает большое число устройств Cisco, 3COM, CompaQ, D-Link, Linksys, Intel и пр. Программа работает на платформе Unix/Win32
• www.research.ibm.com/gsal/wsa 
  IBM Wireless Security Auditor — это прототип аудитора безопасности сетей 802.11, работающий на Linux и iPaq. Эта утилита может в автоматическом режиме просканировать сеть на предмет обнаружения потенциальных уязвимостей. В процессе работы эта утилита проводит весь необходимый анализ пакетов, а также запрашивает у пользователя ответы на критически важные вопросы. Результат имеет вид цветовой индикации: красный — опасность, зеленый — удачная настройка

На первом этапе, когда хакер закончил инвентаризировать сетевые SSID, он может начать попытку проникновения в кабельную сеть, используя какой-либо WAP. Правда прежде хакеру необходимо пройти процесс аутентификации. Самые первые сетевой данные, который посылает беспроводная станция, является Association Request Management фреймом (подтип 0000), на который должен прийти ответ в виде Association Response Management фреймом (подтип 0001). Этот ответ содержит двухбайтовый код (0 — успешно, все остальные значения определяют какую-либо ошибку). Итак, MAC-адрес хакера будет передан в среду беспроводной сети. Анализ данных, возникающих в процессе присоединения к сети,— это хорошая возможность для обнаружения попытки взлома.

Существует несколько утилит, работающих по такому принципу:

• www.ethereal.com
  Ethereal, работающий в Linux и FreeBSD, имеет графический интерфейс и умеет анализировать 802.11 фрейм. Сейчас этот продукт находится в стадии беты (версия 0.9.14).Утилита предлагает широкий спектр возможностей: получение данных из сетевого соединения или файла; прием данных которые были приняты другими сетевыми утилитами (tcpdump или популярными сниферами); поддержка множества сетевых архитектур (Ethernet, FDDI, PPP, Token-Ring, IEEE 802.11, IP over ATM). Кроме того, полученные данные могут быть просмотрены в графическом или текстовом виде с помощью терминальной программы и т.д.
• http://www.wildpackets.com/products/airopeek 
  Коммерческий продукт Airopeek from Wild Packets для Windows — это анализаторы сети реального времени для Wireless-сетей уровня предприятия. Семейство включает три продукта: Expert Voice over Wireless LAN, Expert Wireless LAN Analyzer и Wireless LAN Protocol Analyzer. Предназначение этого программного решения обширно: просмотр состава сети, ассистентские услуги по настройке безопасности, помощь в разрешении проблем клиентских устройств, мониторинг WLAN, комплексный анализ VoIP-сессий.
• http://www.networkgeneral.com 
  Модуль Sniffer Wireless Intelligence, входящий в состав коммерческого продукта Sniffer Enterprise Solutions, позволяет оперативно выявлять дыры в защите сети, просматривать текущую сетевую конфигурацию и частотную активность, дешифровать и просматривать используемые устройствами WEP-ключи.

Протокол разрешения сетевых адресов ARP необходим для построения соответствий между IP-адресами и собственно устройствами. Соответствующая таблица хранится в кэше сетевых адаптеров, и ее подмена может использоваться для злонамеренных целей. Существует инструмент arpwatch (www-nrg.ee.lbl.gov) для мониторинга изменений этой таблицы, что должно применяться в системах обнаружения взлома. Применительно к WLAN эта утилита может получить информацию о точках доступа, прошедших авторизацию. Практически же эта информация применяется для сравнения таблиц адресов, находящихся по разные стороны моста Wireless LAN — Ethernet LAN.

Поймать невидимку

Понятно, что многие администраторы поддадутся соблазну строить беспроводные сети. Тем более что для этого потребуется минимум и времени, и работ. Да и затраты на проводку кабельной сети могут компенсировать стоимость Wireless-адаптеров. Аргументом может быть также мобильность: зачастую офисы не задерживаются в арендуемом помещении подолгу, и каждый раз строить новые коммуникации только себе в ущерб. Беспроводная сеть еще и дружелюбна. Если к вам в офис придет клиент с ноутбуком, он может автоматически включиться в работу.

Но вот проблема — так же легко в ваши владения может проникнуть и шпион. Лежащий в его дипломате КПК незаметно для всех просканирует сеть и, если повезет, отыщет лазейку к конфиденциальным данным.

Таким образом, беспроводка требует большего внимания к своей безопасности. Системному администратору ни в коем случае не следует пренебрегать программными средствами, призванными хранить целостность и неуязвимость Wireless-границ.

Автор: Николай Ткаченко
Источник: www.cpp.com.ua