Безопасность беспроводных сетей

Большая часть точек доступа, доступных на рынке, снабжены некоторым  интерфейсом управления. Это может  быть веб-интерфейс или интерфейс SNMP. По возможности используйте HTTPS для управления точкой доступа и  предотвращайте доступ злоумышленника посредством использования высоконадежных паролей.

Последнее, что необходимо принимать в расчет при рассмотрении точек доступа, – их расположение. Помните, что беспроводные сигналы  могут распространяться на значительные расстояния. Сигналы могут элементарно  доходить до других этажей здания, автомобильной  парковки или вовсе за пределы  территории предприятия. Попытайтесь  разместить точки доступа так, чтобы их диапазон действия как можно меньше выходил за пределы помещения или здания, занимаемого компанией.

В организациях редко удается  полностью ограничить распространение  сигнала таким образом. Однако следует  помнить, что данный подход подразумевает  максимально возможное ограничение  радиуса действия. Если возможно предотвратить доступ постороннего человека во внутреннюю сеть с обычным адаптером беспроводной сети, проходящего по улице за пределами предприятия, то необходимо принять соответствующие меры.

Безопасность передачи данных.

Даже, несмотря на серьезные  уязвимости, присутствующие в WEP, необходимо использовать этот протокол. Защита WEP может быть преодолена, однако для  этого потребуется много усилий, и нет никаких причин для того, чтобы позволять злоумышленнику действовать совершенно свободно.

Принимая во внимание, что WEP недостаточно защищает важную информацию, рекомендуется использовать иной тип  системы шифрования, помимо WLAN. Следует  применять VPN при соединении рабочих  станций WLAN с внутренней сетью. Большая  часть VPN-продуктов предусматривает  надежные алгоритмы шифрования, в  которых отсутствуют недостатки, присущие WEP.

Размещать WLAN, лучше всего, в зоне, защищаемой межсетевым экраном  или другим устройством контроля доступа, и использовать VPN при соединении с этой системой.

Безопасность рабочей  станции.

Если злоумышленник хочет  проникнуть в сеть WLAN, то будет использовать снифферы для обнаружения других рабочих станций. Даже если не получится проникнуть во внутренние системы или прослушать информацию, передаваемую в сети, он сможет атаковать другие рабочие станции.

Необходимо установить соответствующее антивирусное ПО. Но если риск велик, на рабочих станциях следует применить еще персональные межсетевые экраны.

 

Безопасность сайта.

Не существует различия между  сетями WLAN и подобными системами: их необходимо отделять от внутренней сети. Следовательно, сети WLAN необходимо развертывать в отдельных сегментах  сети и установить межсетевой экран  между сетью WLAN и внутренней сетью  организации.

Наряду с сегментацией сети следует установить в WLAN систему  обнаружения вторжений для выявления  несанкционированных посетителей. И тогда при осуществлении  попытки выполнения какой-либо активной атаки, вы будете уведомлены.

При использовании рабочей  станции в сети WLAN необходимо использовать надежный механизм аутентификации. Стандарт 802.1X предусматривает более надежную аутентификацию, нежели SSID или MAC-адрес, однако он не защищен от перехвата  сеанса соединения. Использование надежной аутентификации совместно с VPN значительно  снизит возможность злоумышленника получить доступ к внутренним системам.

Нелегальные и несанкционированные  точки доступа также представляют собой проблему, которую организации  должны разрешать с целью предотвращения неприятностей. Выявлять данные точки  можно с помощью таких утилит, как NetStumber или средства обнаружения точек доступа во внутренней сети APTools.

Широкомасштабное развертывание WLAN – это проект, для реализации которого потребуется привлечь сетевых  и системных администраторов, а  также сотрудников отдела безопасности. Руководство многих организаций  привлекает низкая стоимость беспроводных технологий в сравнении с модернизацией  имеющихся кабельных сетевых  соединений. Меры безопасности, которые  необходимо применить в сети WLAN, повысят стоимость развертывания. Следует учесть все вопросы, связанные  с управлением и выполнением  операций, так как может представиться  возможность для использования процедур поддержания безопасности WLAN.

 

Заключение.

В заключении я бы хотел  подытожить всю информацию и дать рекомендации по защите беспроводных сетей.

Существует три механизма  защиты беспроводной сети: настроить  клиент и AP на использование одного (не выбираемого по умолчанию) SSID, разрешить AP связь только с клиентами, MAC-адреса которых известны AP, и настроить  клиенты на аутентификацию в AP и  шифрование трафика. Большинство AP настраиваются  на работу с выбираемым по умолчанию SSID, без ведения списка разрешенных MAC-адресов клиентов и с известным  общим ключом для аутентификации и шифрования (или вообще без аутентификации и шифрования). Обычно эти параметры  документированы в оперативной  справочной системе на Web-узле изготовителя. Благодаря этим параметрам неопытный пользователь может без труда организовать беспроводную сеть и начать работать с ней, но одновременно они упрощают хакерам задачу проникновения в сеть. Положение усугубляется тем, что большинство узлов доступа настроено на широковещательную передачу SSID. Поэтому взломщик может отыскать уязвимые сети по стандартным SSID.

Первый шаг к безопасной беспроводной сети — изменить выбираемый по умолчанию SSID узла доступа. Кроме  того, следует изменить данный параметр на клиенте, чтобы обеспечить связь  с AP. Удобно назначить SSID, имеющий смысл  для администратора и пользователей  предприятия, но не явно идентифицирующий данную беспроводную сеть среди других SSID, перехватываемых посторонними лицами.

Следующий шаг — при  возможности блокировать широковещательную  передачу SSID узлом доступа. В результате взломщику становится сложнее (хотя возможность такая сохраняется) обнаружить присутствие беспроводной сети и SSID. В некоторых AP отменить широковещательную  передачу SSID нельзя. В таких случаях  следует максимально увеличить  интервал широковещательной передачи. Кроме того, некоторые клиенты  могут устанавливать связь только при условии широковещательной  передачи SSID узлом доступа. Таким  образом, возможно, придется провести эксперименты с этим параметром, чтобы  выбрать режим, подходящий в конкретной ситуации.

После этого можно разрешить  обращение к узлам доступа  только от беспроводных клиентов с  известными MAC-адресами. Такая мера едва ли уместна в крупной организации, но на малом предприятии с небольшим числом беспроводных клиентов это надежная дополнительная линия обороны. Взломщикам потребуется выяснить MAC-адреса, которым разрешено подключаться к AP предприятия, и заменить MAC-адрес собственного беспроводного адаптера разрешенным (в некоторых моделях адаптеров MAC-адрес можно изменить).

Выбор параметров аутентификации и шифрования может оказаться  самой сложной операцией защиты беспроводной сети. Прежде чем назначить  параметры, необходимо провести инвентаризацию узлов доступа и беспроводных адаптеров, чтобы установить поддерживаемые ими протоколы безопасности, особенно если беспроводная сеть уже организована с использованием разнообразного оборудования от различных поставщиков. Некоторые  устройства, особенно старые AP и беспроводные адаптеры, могут быть несовместимы с WPA, WPA2 или ключами WEP увеличенной  длины.

Еще одна ситуация, о которой  следует помнить, — необходимость  ввода пользователями некоторых  старых устройств шестнадцатеричного числа, представляющего ключ, а в  других старых AP и беспроводных адаптерах  требуется ввести фразу-пароль, преобразуемую в ключ. В результате трудно добиться применения одного ключа всем оборудованием. Владельцы подобного оборудования могут использовать такие ресурсы, как WEP Key Generator, для генерации случайных ключей WEP и преобразования фраз-паролей в шестнадцатеричные числа.

В целом WEP следует применять  лишь в случаях крайней необходимости. Если использование WEP обязательно, стоит  выбирать ключи максимальной длины  и настроить сеть на режим Open вместо Shared. В режиме Open в сети аутентификация клиентов не выполняется, и установить соединение с узлами доступа может каждый. Эти подготовительные соединения частично загружают беспроводной канал связи, но злоумышленники, установившие соединение в AP, не смогут продолжать обмен данными, так как не знают ключа шифрования WEP. Можно блокировать даже предварительные соединения, настроив AP на прием соединений только от известных MAC-адресов. В отличие от Open, в режиме Shared узел доступа использует ключ WEP для аутентификации беспроводных клиентов в процедуре запрос-отклик, и взломщик может расшифровать последовательность и определить ключ шифрования WEP.

Если можно применить WPA, то необходимо выбрать между WPA, WPA2 и WPA-PSK. Главным фактором при выборе WPA или WPA2, с одной стороны, и WPA-PSK — с другой, является возможность  развернуть инфраструктуру, необходимую WPA и WPA2 для аутентификации пользователей. Для WPA и WPA2 требуется развернуть серверы RADIUS и, возможно, Public Key Infrastructure (PKI). WPA-PSK, как и WEP, работает с общим ключом, известным беспроводному клиенту и AP. WPA-PSK можно смело использовать общий ключ WPA-PSK для аутентификации и шифрования, так как ему не присущ недостаток WEP.

 

 

Литература:

1)Джим Гейер «Беспроводные сети. Первый шаг».