Лабораторная работа
Защита Wi-Fi-сетей
Wi-Fi – это одна из самых перспективных, на сегодняшний день, технологий в области беспроводной компьютерной связи. WiFi (Wireless Fidelity) – формат передачи цифровых данных по радиоканалам.
На рынке сетевых устройств широко распространены следующие разновидности Wi-Fi: 802.11a, 802.11b, 802.11g и 801.11n.
IEEE 802.11а работает на частоте 5 ГГц, может развивать скорость вплоть до 54 Мб/с в идеальных условиях. Скорость передачи данных с разным типом модуляции может быть также: 6, 9, 12, 18, 24, 36, 48 Мб/с
Оборудование стандарта 802.11b поддерживает скорость передачи до 11 Мбит/сек и работает на частоте 2.4 ГГц. Преимуществами данного стандарта являются: большая дальность приема, чем у 802.11a, широкая совместимость. К недостаткам можно отнести низкую скорость и высокий риск помех.
Оборудование стандарта 802.11g работает на частоте 2.4 ГГц и представляет собой развитие стандарта 802.11b. Устройства, работающие в этом стандарте, позволяют передавать данные со скоростью до 54 Мбит/сек. Данный стандарт совместим с 802.11b, т.е. сетевые адаптеры 802.11g могут быть использованы для работы в сети стандарта 802.11b. Преимуществом этого стандарта является более высокая скорость передачи данных.
Новый стандарт беспроводной связи 802.11n предусматривает возможность передачи данных со скоростью до 600 Мбит/сек. При использовании частотных диапазонов 5 ГГц и 2.4 ГГц стандарт 802.11n полностью совместим со стандартами 802.11a, 802.11b и 802.11g. Высокая скорость связи особенно актуальна в беспроводных мультимедийных устройствах для передачи высококачественных цифровых аудио- и видеосигналов. На данный момент эта технология является самой быстрой из существующих.
Следует отметить, что скорость каждой из технологий является лабораторно-выверенной, но в условиях реальной эксплуатации зачастую показывают гораздо меньший результат.
Каждая беспроводная сеть имеет название. В сети только с одной точкой доступа названием является ID набора основных служб – Basic Service Set ID (BSSID). Когда сеть содержит более чем одну точку доступа, название превращается в ID расширенного набора служб – Extended Service Set ID (ESSID). Стандартным обозначением всех сетевых названий является SSID – термин, который наиболее часто встречается в конфигурационных утилитах для беспроводных точек доступа и клиентов. При конфигурировании точек доступа для сети вы должны присвоить ей SSID. Каждая точка доступа и сетевой клиент в сети должны использовать один и тот же SSID.
При обнаружении двух или более точек доступа с одинаковым SSID пользователь предполагает, что все они являются частью одной и той же сети (даже если точки доступа работают на разных радиоканалах), и связывается с точкой доступа, обеспечивающей наиболее сильный или чистый сигнал. Если вследствие помех или затухания данный сигнал ухудшится, клиент попытается перейти на другую точку доступа, которая, как он считает, принадлежит этой же сети. В целом Стандарт Wi-Fi даёт клиенту полную свободу при выборе критериев для соединения.
Защита Wi-Fi-сетей
Любая сеть, построенная на базе беспроводных технологий, всегда является менее защищенной по сравнению с традиционными проводными сетями. Однако этот фактор стимулирует специалистов по информационной безопасности разрабатывать все более надежные протоколы шифрования и аутентификации. Общим для этих решений является использование ключей шифрования динамических или статических. Рассмотрим наиболее популярные протоколы защиты.
Wep
Wired Equivalent Privacy (WEP) — алгоритм для обеспечения безопасности сетей Wi-Fi. Используется для обеспечения конфиденциальности и защиты передаваемых данных авторизированных пользователей беспроводной сети от прослушивания. Существует две разновидности WEP: WEP-40 и WEP-104, различающиеся только длиной ключа. В настоящее время данная технология является устаревшей, так как ее взлом может быть осуществлен всего за несколько минут. Тем не менее, она продолжает широко использоваться.
Использование WEP уже очень давно является нежелательным. Все Wi-Fi-оборудование, которое выпускают на рынок крупные производители, имеет в своем составе более надежные протоколы. Несколько советов о том, как же минимизировать риск взлома сети при использовании WEP.
· Используйте длинные WEP ключи, это затруднит взломщику работу. Если оборудование поддерживает 128-битное шифрование, то конечно желательно использовать его.
· Периодически меняйте ключи.
· Размещайте точки доступа за файрволом, вне локальной сети.
· Используйте VPN для всех протоколов, которые могут передавать важную информацию.
· Используйте несколько техник для шифрования трафика, например IPSec.
WPA-PSK и WPA-Enterprise
На смену WEP пришел WPA, или Wi-Fi Protected Access. Основа WPA - Temporal Key Integrity Protocol (TKIP). TKIP оснащен механизмом достаточно стойкого шифрования, а также меняет ключ для каждого передаваемого пакета. (Существует и облегченная версия WPA - WPA Pre-Shared Key (WPA-PSK). Она больше подходит для небольших сетей. В ней как и в WEP существует статический ключ, но используется и TKIP, автоматически меняющий ключ в определенных временных интервалах.) В более поздних разработках появилась возможность использования AES-шифрования.
Другая вариация WPA - WPA-Enterprise, использующая TKIP, а плюс к этому аутентифицирующий сервер или устройство, которое работает по Extensible Authentication Protocol (обратите внимание, что тут необходим дополнительный сервер, который будет раздавать привилегии, например RADIUS, такую ситуацию называют EAP-over-RADIUS; есть и иное, более дешевое решение - так называемый Wireless Guard, он авторизует пользователя именем и паролем).
Естественно, технология WPA не лишена и своих проблем. Robert Moskowitz из ICSA Labs обнаружил, что ключевая фраза WPA может быть взломана. Это происходит из-за того, что хакер может заставить точку доступа регенерировать обмен ключами менее чем за 60 секунд. И даже если обмен ключами достаточно безопасен для мгновенного взлома, его можно будет сохранить и использовать для оффлайнового перебора. Еще один вопрос заключается в том, что EAP передает данные открытым текстом. Изначально для шифрования EAP сессий использовался Transport Layer Security (TLS), но для его работы на каждом клиенте требуется сертификат. TTLS несколько исправил эту проблему, но Microsoft (в Windows XP есть поддержка WPA) и Cisco решили вопрос по своему и создали Protected EAP, отличную от TTLS. Сейчас две технологии конкурируют и, вероятно, поддержка таких грандов склонит победу к PEAP.
WPA2-Personal и WPA2-Enterprise
WPA2 обеспечивает самый высокий уровень защиты данных и контроль доступа в беспроводную сеть для корпоративных (WPA2-Enterprise) и индивидуальных пользователей (WPA2-Personal).
WPA2 (Wireless Protected Access ver. 2.0) – это вторая версия набора алгоритмов и протоколов обеспечивающих защиту данных в беспроводных сетях Wi-Fi. Как предполагается, WPA2 должен существенно повысить защищенность беспроводных сетей Wi-Fi по сравнению с прежними технологиями. Новый стандарт предусматривает, в частности, использование более мощного алгоритма шифрования AES (Advanced Encryption Standard) и аутентификации 802.1X.
На сегодняшний день для обеспечения надежного механизма безопасности в корпоративной беспроводной сети необходимо (и обязательно) использование устройств и программного обеспечения с поддержкой WPA2. Предыдущие поколения протоколов - WEP и WPA содержат элементы с недостаточно сильными защитой и алгоритмами шифрования. Более того, для взлома сетей с защитой на основе WEP уже разработаны программы и методики, которые могут быть легко скачаны из сети Интернет и с успехом использованы даже неподготовленными хакерами-новичками.
Протоколы WPA2 работают в двух режимах аутентификации: персональном (Personal) и корпоративном (Enterprise). В режиме WPA2-Personal из введенной открытым текстом парольной фразы генерируется 256-разрядный ключ PSK (PreShared Key). Ключ PSK совместно с идентификатором SSID (Service Set Identifier) используются для генерации временных сеансовых ключей PTK (Pairwise Transient Key), для взаимодействия беспроводных устройств. Как и статическому протоколу WEP, протоколу WPA2-Personal присуще определенные проблемы, связанные с необходимостью распределения и поддержки ключей на беспроводных устройствах сети, что делает его более подходящим для применения в небольших сетях из десятка устройств, в то время как для к орпоративных сетей оптимален WPA2-Enterprise.
В режиме WPA2-Enterprise решаются проблемы, касающиеся распределения статических ключей и управления ими, а его интеграция с большинством корпоративных сервисов аутентификации обеспечивает контроль доступа на основе учетных записей. Для работы в этом режиме требуются такие регистрационные данные, как имя и пароль пользователя, сертификат безопасности или одноразовый пароль, аутентификация же осуществляется между рабочей станцией и центральным сервером аутентификации. Точка доступа или беспроводной контроллер проводят мониторинг подключений и направляют аутентификационные запросы на соответствующий сервер аутентификации (как правило, это сервер RADIUS, например Cisco ACS). Базой для режима WPA2-Enterprise служит стандарт 802.1X, поддерживающий аутентификацию пользователей и устройств, пригодную как для проводных коммутаторов, так и для беспроводных точек доступа.
Другие способы защиты
Помимо применения указанных технологий есть еще несколько приемов, позволяющих увеличить безопасность сети. Их нельзя назвать радикальными, опытного злоумышленника они не остановят, но пренебрегать ими не стоит.
· Отключение широковещательных SSID-рассылок – затрудняет для злоумышленника возможность обнаружения сети;
· Фильтрация по mac-адресу – разрешает доступ к точке доступа только клиентов с указанными аппаратными адресами (как вариант – запрещает доступ с определенных mac-адресов, разрешая с любых других);
· Отключение DHCP – требует индивидуальной настройки IP-адреса на каждом компьютере сети отдельно, затрудняет получение злоумышленником IP-адреса в сети.
Практическое задание
Работа с разными стандартами Wi-Fi
1) Поместите в рабочую область любой компьютер. Отключите его.
2) Обратите внимание, что ethenet-интерфейс компьютера можно сменить на любой другой. В данном случае нас интересуют wi-fi-адаптеры Linksys-WPC300N, PT-LAPTOP-NM-1W и PT-LAPTOP-NM1W-A. Для того, чтобы установить любой из этих адаптеров, нужно нажать левой кнопкой мыши на уже имеющийся и не отпуская кнопку перетянуть его в область внизу окна, а затем выбрать новый адаптер и перенести его на место старого.
3) Соберите схему как показано на рисунке. Строка под каждым компьютером указывает, какой адаптер должен в нем стоять. Точки доступа вы можете выбрать в разделе “Wireless Devices”.
4) Обратите внимание, что Laptop0 (L0) подключился к первой точке доступа. И точка доступа и сетевой адаптер компьютера работают по стандарту 802.11b/g, L2 и вторая точка доступа работаю по стандарту 802.11a, L1 и третья точка доступа – по 802.11n.
5) Задайте компьютерам произвольные IP-адреса из одной подсети. Проверьте их доступность друг для друга.
6) Проведите эксперимент. Как известно, существует обратная совместимость 802.11n с 802.11b/g. Отключите первую точку доступа. Когда L0 восстановит связь, получится результат как на изображении ниже.
7) Теперь включите первую точку доступа. L0 так и останется подключенным к третьей. Убедитесь, что компьютеры доступны друг для друга.
8) Повторите те же действия, но отключив теперь третью точку доступа.
9) Теперь необходимо заставить компьютеры подключаться только к своей точке доступа. Для этого задайте в настройках каждой точки доступа произвольный SSID. Принципиально, чтобы SSID не совпадали.
10) Таким же образом задайте SSID на каждом из компьютеров. Идентификатор сети компьютера и обслуживающей его точки доступа должны совпадать.
11) Повторите предыдущий эксперимент. Теперь компьютеры не могут подключиться к “чужой” точке доступа.
12) Убедитесь, что компьютеры доступны друг для друга.
Настройка протоколов шифрования
13) Основываясь на уже имеющейся сети выполните настройки безопасности. На первой точке доступа настройте WEP. Для этого перейдите в настройки точки доступа и повторите то, что изображено на рисунке ниже.
Обрати внимание, на тип шифрования. Он подразумевает, что ключ будет представлять собой десятизначное шестнадцатеричное число (использование хотя бы одного символа a,b,c,d,e или f обязательно, регистр букв имеет значение, символы “A” и “a” считаются разными).
14) Те же настройки задайте на компьютере
15) Убедитесь, что компьютер восстановился в сети.
16) Теперь усильте шифрование до 26 шестнадцатеричных чисел на обоих устройствах и установите соответствующий пароль.
17) Убедитесь, что компьютер восстановился в сети.
18) На второй и третьей точках доступа установите соответственно WPA-PSK и WPA2-PSK. Их настройки идентичны. Введите две разных кодовых фразы (не менее 8-ми символов) и выберите тип шифрования (TKIP или AES).
19) Те же действия повторите с компьютерами. Не забывайте, что кодовая фраза компьютера и точки доступа, к которой он подключен, должны совпадать.
WPA2-Enterprise
20) Соберите схему как показано на рисунке. Устройства могут быть произвольными. Должен присутствовать как минимум один компьютер с wi-fi-адаптером, отличным от 802.11a. Radius-сервер должен быть подключен к любому локальному порту маршрутизатора Linksys прямым кабелем.
21) Произведите полную настройку безопасности маршрутизатора. Для этого откройте его GUI.
22) В первой вкладке отключите DHCP. IP-адреса сетевых устройств будут заданы вручную.
23) Сохраните изменения при помощи кнопки 
24) Перейдите на вкладку 
. Обратите внимание на доступные настройки. Выставьте значения как показано ниже.
Network Mode указывает устройства каких стандартов могут подключаться к маршрутизатору, режим Mixed позволяет одновременно работать b-,g-,n-устройствам.
SSID как и в предыдущем примере необходимо изменить.
Radio Band определяет частоту работы wi-fi.
Wide Channel зависит от частоты, устанавливает ширину канала.
Standart Channel определяет канал по-умолчанию.
SSID Broadcsat включает/выключает широковещание имени сети.
25) Сохраните изменения.
26) Перейдите на вкладку “wireless security”. Выполните настройки как показано ниже.
В данном случае производится настройка WPA2 с шифрованием AES и авторизацией на радиус-сервере 192.168.0.111 по стандартному порту 1645 посредством кодового слова “secret”. Обмен ключами происходит каждые 3600 секунд.
27) Сохраните изменения.
28) Перейдите на владку “wireless mac filter”. Выставьте режим фильтрации enable. Задайте режим разрешения указанных адресов и впишите mac-адреса всех трех wi-fi устройств.
29) Сохраните изменения.
30) Настройте Radius-сервер. Задайте ему ip-адрес 192.168.0.111, и шлюз 192.168.0.1.
31) Выполните настройки AAA как показано на рисунке ниже.
32) Настройте wi-fi-устройства. Установите SSID, тип протокола WPA2, имя пользователя и пароль, а также IP-адрес и маску.
33) Убедитесь, что устройства доступны друг для друга.
34) Перейдите в режим симуляции и отправьте сообщение от одного устройства к другому.
35) Просмотрите формат wi-fi-кадра.
Frame Control (управление кадром) – указывает тип кадра, предоставляет управляющую и служебную информацию.
Duration (длительность) - задает время передачи кадра и его подтверждение, измеряется в микросекундах, на указанное время выделяется канал передачи.
Адреса - возможны следующие типы адреса: источника, назначения, передающей станции, принимающей станции.
Sequence contro l (управление очередностью) - содержит 4-битовое поле номера фрагмента, используемое для фрагментации и повторной сборки, и 12-битовый порядковый номер, используемый для нумерации кадров, передаваемых между приемником и передатчиком.
Data – поле, содержащее передаваемые данные.
FCS - контрольная последовательность кадра, 32-битовая проверка четности с избыточностью.
36) К отчету предоставьте зарисованную схему сети, листинг настроек роутера и формат wi-fi кадра.
Контрольные вопросы
1) Что такое Wi-Fi?
2) Какие разновидности Wi-Fi вы знаете?
3) Чем они отличаются?
4) Что такое SSID?
5) Какие протоколы шифрования используются в Wi-Fi?
6) Чем принципиально отличаются WEP и WPA?
7) Чем отличаются WPA2-Personal и WPA2-Enterprise?
8) Какие еще способы защиты Wi-Fi-сетей вы знаете?
9) Опишите формат Wi-Fi-кадра.
Дата добавления: 2015-09-29; просмотров: 28 | Нарушение авторских прав
| <== предыдущая лекция | | | следующая лекция ==> |
| в холле первого этажа ИМОП; | | |