Проблемы безопасности беспроводного доступа

506 
Electrical and Electronic Engineers) 802.11 такой тип аутентификации не 
предусматривает. 
Аутентификация по MAC-адресу без использования дополнительных 
методов обеспечения безопасности малоэффективна. Злоумышленнику 
достаточно просто получить доступ к беспроводной сети, в которой настроена 
только 
аутентификация 
по 
MAC-адресу. 
Для 
этого 
необходимо 
проанализировать радиоканал, на котором точка радиодоступа работает с 
клиентами, и получить список MAC-адресов устройств, которым открыт доступ 
к сети. Для получения доступа к сетевым ресурсам по беспроводной сети 
необходимо заменить MAC-адрес своей беспроводной карты на известный MAC-
адрес клиента. 
3.
Шифрованием с использованием статических ключей WEP. 
WEP (Wired Equivalent Privacy) - протокол, который предназначен для 
шифрования трафика между точкой радиодоступа и ее пользователями. 
Шифрование WEP основано на недостаточно криптоустойчивом алгоритме 
шифрования RC4. Длина WEP ключа составляет 40 или 104 бита. К ключу 
добавляется 
нешифрованная 
последовательность 
символов 
(вектор 
инициализации) для успешного декодирования сигнала на обратной стороне 
размером 24 бита. Таким образом, принято говорить о длинах ключей 64 и 128 
бит, однако эффективная часть ключа составляет всего лишь 40 и 104 бита. 
Существует пассивные и активные атаки на WEP. К пассивным можно 
отнести следующие: 

атака методом полного перебора; 

атака FMS - предложена в 2001 году Скотом Флурером, Ицик 
Мантином и Ади Шамиром [1]; 

улучшенная атака FMS [2]. 
Эти атаки основаны на анализе перехваченных пакетов беспроводной сети, 
и эффективность их работы зависит от количества собранных данных. Для 
получения секретного ключа WEP теоретически требуется перехватить порядка 
6000000 пакетов, что может занять 3-4 часа [3]. 

507 
Суть активных атак заключается в воздействии на беспроводную сеть с 
целью получения данных, после обработки которых будет получен доступ к 
ресурсам радиосети. К ним относятся: 

повторное использование вектора инициализации. Злоумышленник 
многократно посылает одну и ту же информацию (заранее известного 
содержания) пользователю, который работает в атакуемом беспроводном 
сегменте, через внешнюю сеть. Все время, пока злоумышленник посылает 
информацию пользователю, он также прослушивает радиоканал (канал между 
пользователем и атакуемой точкой радиодоступа) и собирает шифрованные 
данные, в которых содержится посланная им информация. Затем злоумышленник 
вычисляет ключевую последовательность, используя полученные шифрованные 
данные и известные нешифрованные; 

манипуляция битами. Атака основана на уязвимости вектора 
контроля целостности. Например, злоумышленник манипулирует битами 
пользовательских данных внутри фрейма с целью искажения информации 
третьего уровня. Фрейм не претерпел изменений на канальном уровне, проверка 
целостности на точке радиодоступа проходит успешно, и фрейм передается 
дальше. Маршрутизатор, получив фрейм от точки радиодоступа, распаковывает 
его и проверяет контрольную сумму пакета сетевого уровня, контрольная сумма 
пакета оказывается неверной. Маршрутизатор генерирует сообщение об ошибке 
и отсылает фрейм обратно на точку радиодоступа. Точка радиодоступа шифрует 
пакет и отправляет клиенту. Злоумышленник захватывает зашифрованный пакет 
с заранее известным сообщением об ошибке, после чего вычисляет ключевую 
последовательность. 
4.
Применение протокола WPA (Wi-Fi Protected Access). 
В связи с множеством уязвимостей протокола WEP был разработан и 
принят в 2003 году новый протокол безопасного беспроводного доступа WPA 
[4]. Для шифрования WPA использует Temporal Key Integrity Protocol (TKIP) с 
динамически генерируемыми ключами длиной 128 бит. Для усиления 
аутентификации применяется стандарт IEEE 802.1х и Extensible Authentification 

508 
Protocol (EAP). 
В случае если аутентификация не производится средствами протокола 
802.1х и сервером RADIUS, то применяется предварительно разделенный ключ 
(Preshared Key - PSK). Хотя на каждом клиентском компьютере может быть свой 
PSK, но в настоящее время во всех реализациях используется один PSK на 
каждый ESSID точно так же, как в протоколе WEP. Поэтому в случае 
использования PSK возможны успешные атаки на TKIP путем получения и 
анализа перехваченных пакетов во время процедуры аутентификации. 
В 2004 году был представлен стандарт беспроводного доступа второго 
поколения WPA2. В отличие от его предшественника WPA, он полностью 
базируется на заключительной редакции стандарта IEEE 802.11i и в качестве 
протокола шифрования использует AES (Advanced Encryption Protocol) с длиной 
ключа 128 бит. 
Следует отметить, что беспроводные сети также могут подвергаться 
атакам DoS (Deny of Service), результатом которых становится отказ в 
обслуживании клиентов беспроводной сети. Суть этих атак заключается в том, 
чтобы парализовать работу беспроводной сети. 
Необходимо заметить, что данная атака может быть применима не только 
к оборудованию, работающему в стандарте 802.11b, но и к оборудованию 
стандарта 802.11g, хотя он не использует технологию DSSS. Это возможно тогда, 
когда точка радиодоступа, работающая в стандарте 802.11g, поддерживает 
обратную совместимость со стандартом 802.11b. 
На сегодняшний день защиты от DoS атак для оборудования стандарта 
802.11b не существует, но для избежания такой атаки целесообразно 
использовать оборудование стандарта 802.11g (без обратной совместимости с 
802.11b). 
Обсуждение и рекомендации 
При проектировании и построении беспроводной сети необходимо 
уделить основное внимание безопасности, надежности, а также максимально 
упростить эксплуатационный процесс. 

509 
Перед построением сети беспроводного доступа необходимо произвести 
изучение местности, т.е., вооружившись точкой радиодоступа и портативным 
компьютером, выехать на объект предполагаемой инсталляции. Это позволит 
определить места наиболее удачного расположения точек радиодоступа, 
позволяя добиться максимальной зоны покрытия местности. 
При построении системы безопасности беспроводного доступа 
необходимо помнить о трех составляющих: 
1)
архитектура аутентификации; 
2)
механизм аутентификации; 
3)
механизм обеспечения конфиденциальности и целостности данных. 
В качестве архитектуры аутентификации используется стандарт IEEE 
802.1х. Он описывает единую архитектуру контроля доступа к портам устройств 
с использованием различных методов аутентификации абонентов. 
В качестве механизма аутентификации целесообразно использовать 
протокол EAP (Extensible Authentication Protocol). Протокол EAP позволяет 
осуществлять аутентификацию на основе имени пользователя и пароля, а также 
поддерживает возможность динамической смены ключа шифрования. Имена 
пользователей и пароли необходимо хранить на сервере RADIUS. Схема 
проектируемой сети представлена на рис. 

Download 20,94 Mb.

Do'stlaringiz bilan baham: