|
|
Обзор подготовлен
Современную информационную среду сложно представить без использования беспроводных каналов передачи данных, постороенных с применением технологии Wi-Fi. В связи с этим актуальность проблемы защиты передаваемых по такому каналу данных только растет.
Архитектурно беспроводные каналы связи содержат ряд присущих им уязвимостей, среди которых наиболее распространенными считают:
Подключение неавторизованных клиентов. В случае с беспроводными решениями злоумышленнику достаточно попасть в зону действия сети, и он при помощи радиооборудования может инициировать подключение.
Клонирование точки доступа. Для связи клиентское оборудование обычно выбирает точку доступа с наиболее качественным сигналом. Подменить базовую точку доступа не составляет труда: для этого нужно выставить для клонированной точки идентичный оригинальной SSID (а без дополнительных настроек он известен всем) и обеспечить сильный сигнал в выбранной зоне.
Атаки типа «отказ в обслуживании» (DoS-атаки) использующие стандартные механизмы защиты от НСД встроенные в протокол WPA. Механизм атаки следующий: злоумышленник посылает каждую секунду два пакета со случайными ключами шифрования, в результате чего точка доступа следующая стандарту, приняв эти пакеты, решает, что произведена попытка НСД, и закрывает все соединения.
Подбор ключей. В связи с тем, что все передаваемые данные, включая обмен необходимый для выработки сессионных ключей, элементарно перехватываются, их можно сохранить и проводить подбор используемого PSK ключа в оффлайне с использованием любых доступных злоумышленнику ресурсов. С учётом возможности таких атак пароли длиной до 20 символов считаются потенциально опасным.
Перехват трафика пользователей с известным PSK. Несмотря на то, что при использовании протокола WPA и авторизации на основе разделяемого ключа для каждого клиента вырабатывается свой сессионный ключ и невозможно расшифровать чужой трафик напрямую даже зная сам PSK, злоумышленник владеющий PSK может легко вызвать пересоздание сессионного ключа с помощью встроенных механизмов WPA. При этом, наблюдая диалог выработки сессионного ключа между точкой и клиентом с самого начала, он сможет воссоздать этот ключ, а затем без труда расшифровывать трафик между точкой и клиентом. Проблема особенно актуальна при необходимости обеспечения гостевого доступа к сети.
Так каким же образом бороться с многочисленными угрозами в беспроводной сети - перехватом данных из эфира вещания, атаками отказа в обслуживании (DoS), внедрением ложной точки доступа (AP)?
Для авторизации клиентов рекомендуется использовать авторизацию EAP-TLS с использованием инфраструктуры PKI. Развёрнутая инфраструктура PKI позволяет легче решать проблемы разграничения доступа (включая настройку защищённого гостевого входа), а использование авторизации в режиме EAP-TLS решает как проблему подбора пароля, так и проблему перехвата чужого трафика. При настройке по умолчанию с использованием авторизации точки доступа на клиентах также решается проблема клонирования точки доступа.
Для усиления защиты от клонирования точки доступа и проведения DoS-атак применяются также следующие методы:
Использование модифицированных протоколов. Этот метод признан наиболее действенным способом борьбы, поскольку вводит в заблуждение программное обеспечение, применяемое при сканировании эфира, и делает анализ перехваченных пакетов невозможным.
Определение временных и специфических характеристик протоколов и ОС для удостоверения неизменности конечных точек. Используя данный подход, можно создавать "отпечаток" ОС, проверка которого позволяет исключить внедрение ложной точки доступа или проведение атаки man-in-the-middle.
Для дополнительной защиты может также использоваться связка Wi-Fi и VPN. В этом случае программное обеспечение VPN-сервера проводит окончательную идентификацию и аутентификацию пользователя и осуществляет его связь с ресурсами защищенной сети.
Для защиты данных, передаваемых в Wi-Fi сетях, компанией «АльтЭль» была разработана защищенная точка доступа, получившая название ALTELL NEO Wi-Fi. Конструктивно, точка доступа представляет собой аппаратное устройство в настольном исполнении (возможна поставка комплекса в защищенном исполнении в соответствии с требованиями заказчика), оснащенное несколькими портами типа Ethernet для подключения проводных сетей. Доступ к точке осуществляется удалённо, через проводной или беспроводной интерфейс, либо через RS232-порт.
К преимуществам комплекса ALTELL Wi-Fi можно отнести:
Защита от сканирования управляющего трафика. Управляющая информация, способствующая проведению атак - например, пароли и имена пользователей защищена СКЗИ (средством криптографической защиты информации).
Многофакторная авторизация пользователя. Авторизация пользователя производится с помощью пароля и защищенного носителя типа USB-token, что предотвращает несанкционированный доступ.
Защита от подмены программных компонентов. Реализован многоуровневый контроль целостности ПО точки доступа на уровне базовой системы ввода-вывода (BIOS), что обеспечивает полный контроль над программным обеспечением точки доступа.
Защита от использования возможных уязвимостей программного обеспечения точки доступа. Реализованы механизмы защиты от переполнения буфера, случайное выделение и маскировка памяти, мандатный механизм контроля доступа.
Контроль целостности базовой системы ввода-вывода (BIOS) и загружаемых компонентов. В момент загрузки BIOS проверяет целостность себя самого и загружаемых компонентов.
Гипервизор, встроенный в базовую систему ввода-вывода (BIOS) на АРМ. Конструктивно гипервизор находится в микросхеме EEPROM, где размещён образ BIOS; при этом сам гипервизор является неотъемлемой составной частью BIOS.
Изоляция пользовательского окружения на АРМ. Пользовательское окружение запущено в полностью виртуальной машине под управлением ОС Windows. Драйвер Wi-Fi адаптера, стек IEEE 802.11, СКЗИ и программное обеспечение управления и авторизации запущены и работают в виртуальной машине монитора. Гипервизор обеспечивает изоляцию, пользователь полностью отделён от управляющих компонентов, и не может на них повлиять. Доступ к беспроводной сети осуществляется через виртуальный сетевой интерфейс, организованный средствами гипервизора.
Точка доступа ALTELL NEO Wi-Fi имеет в своем составе весь спектр архитектурных и технологических решений, необходимых для реализации безопасной беспроводной сети. Кроме того, ALTELL NEO Wi-Fi полностью гарантирует безопасность работы в локальной сети, Интернете и с электронной почтой.
Для защиты передаваемы по беспроводному каналу данных применяется модифицированный протокол WPA2 с поддержкой шифрования на основе алгоритмов ГОСТ как для симметричного шифрования передаваемого трафика, как и в инфраструктуре PKI используемой для аутентификации и выработки сессионного ключа. В случае применения процедуры централизованной авторизации на некой точке принятия решений, возможна выработка политики безопасности, ограничивающей доступ к различным ресурсам и обеспечивающей наблюдение и контроль за действиями пользователей.
Точка доступа ALTELL Wi-Fi обладает функциональными возможностями, присущими всему модельному ряду устройств серии ALTELL NEO (межсетевым экранам, VPN-шлюзам и UTM-устройствам):
Защита локальной сети
Защита Интернет-подключений
Антивирусная защита
Антиспам
Средства управления безопасностью сети
Сетевые подключения
Модель точки доступа ALTELL NEO Wi-Fi
Модель абонентского пункта Wi-Fi
Сообщить факт о Windows XP
Почему устарела Windows XP?
Сообщить цифры о Windows XP