Обзор угроз и технологий защиты Wi-Fi-сетей

Михаил Савченко,
руководитель группы тестирования и анализа ООО "АльтЭль"

СОВРЕМЕННУЮ информационную среду сложно представить без использования Wi-Fi-технологии. В связи с этим актуальность проблемы передачи защищенной информации по этому каналу только растет.

Как и любой канал связи, Wi-Fi-доступ содержит ряд уязвимостей, среди которых наиболее распространенными считают:

• Подключение неавторизованных клиентов. В случае с беспроводными решениями злоумышленнику достаточно попасть в зону действия сети, и он при помощи радиооборудования может инициировать подключение.
• Клонирование точки доступа. Для связи клиентское оборудование обычно выбирает точку доступа с наиболее качественным сигналом. Подменить базовую точку доступа не составляет труда: для этого нужно обеспечить сильный сигнал в выбранной зоне и узнать SSID.
• Атаки на отказ в обслуживании (DoS-атаки). Чаще всего производятся на сеть на базе WPA. Механизм атаки следующий: злоумышленник посылает каждую секунду два пакета со случайными ключами шифрования, в результате чего точка доступа, приняв эти пакеты, решает, что произведена попытка НСД, и закрывает все соединения.
• Подбор ключей. Большинство программных реализаций WPA строят криптографический ключ для шифрования на основе введенного пароля и сетевого имени (либо MAC-адреса), являющегося общедоступным. Информация, зашифрованная этим ключом, свободно передается по сети. Методом брутфорса подбирается исходный пароль. В данном случае пароль длиной до 20 символов считается потенциально опасным.

Так каким же образом бороться с многочисленными угрозами в беспроводной сети (перехватом данных из эфира вещания, атаками отказа в обслуживании (DoS), внедрением ложной точки доступа (AP))?

Мы рекомендуем использовать следующие методы защиты.

Авторизация и методы верификации

Для авторизации клиентов рекомендуется использовать авторизацию с помощью RADIUS либо верификацию клиентов с помощью TPM (trusted platform module). Авторизации по стандартной технологии с применением внешнего авторизующего ресурса открывает богатые возможности для разграничения доступа на основе предоставленных учетных данных, индивидуальных для каждого конечного потребителя, и позволяет легко настроить защищенный гостевой вход.

Для устранения проблемы клонирования точки доступа и проведения DoS-атак применяют следующие методы верификации:

• Использование модифицированных протоколов. Этот метод признан наиболее действенным способом борьбы, поскольку вводит в заблуждение программное обеспечение, применяемое при сканировании эфира, и делает анализ перехваченных пакетов невозможным.
• Определение временных и специфических характеристик протоколов и ОС для удостоверения неизменности конечных точек. Используя данный подход, можно создавать "от печаток" ОС, проверка которого позволяет исключить внедрение ложной точки доступа или проведение атаки man-in-the-middle.

На канальном уровне наивысшую защиту дает связка Wi-Fi+VPN. В этом случае программное обеспечение VPN-сервера проводит окончательную идентификацию и аутентификацию пользователя и осуществляет его связь с ресурсами защищенной сети.

Универсальная схема защиты

В завершение приведем универсальную схему защиты, с использованием чипа TPM (рис. 1).

В рамках этой технологии основным компонентом при построении системы защиты является специализированный чип Trusted Platform Module, которым должны быть оборудованы все устройства сети.

Чип TPM позволяет со 100%-ной точностью авторизовать клиента Wi-Fi-сети, так как каждый TPM содержит уникальный аппаратный сертификат.

Во время начальной загрузки TPM идентифицирует программную и аппаратную часть. В процессе идентификации осуществляется анализ контрольных значений различных компонентов системы и отправка результатов в TPM. Результаты заносятся в специализированную область памяти, неизменную даже в случае горячей перезагрузки системы. При соединении с сетью TPM посылает контрольные значения из памяти в модуль принятия решений, который сравнивает полученные значения со значениями базы данных. В случае совпадения значений с базой данных ПК соединяется с сетью, в противном случае доступ в сеть отклоняется.

Таким образом, с помощью ТРМ можно запретить доступ в сеть неавторизованным компьютерам и программному обеспечению.