Как Защититься От Атак На Wi-Fi Сети

Не смотря на то, владеете ли вы беспроводной сетью в частных целях или используете в крупной компании, сеть требует защиты, потому что сигналы, которые она передает, доступны для перехвата. Утечка информации, очевидно, негативно скажется на владельце данной беспроводной сети, поэтому важно позаботиться о её безопасности. В данной статье будут рассмотрены различные уязвимости беспроводных сетей и предложены варианты защиты.

Определим, для начала, несколько причин, почему для хакеров имеет интерес взлом именно беспроводных сетей:

• Для взлома беспроводных сетей не всегда обязательное нахождение непосредственно в месте атаки, можно просто быть в зоне покрытия этой сети.
• Взламывая беспроводную сеть, довольно просто скрыть свою личность. В таком взломе не участвует сервис-провайдер, а след ведет к атакованной и скомпрометированной беспроводной сети, после чего практически исчезает. Тем более, если до и после атаки взломщик изменил MAC-адрес на своей плате для беспроводного доступа и стер со своего компьютера все программы и данные, связанные с атакой, то доказать его вину практически невозможно.
• Если сеть действительно незащищена и находится в открытом доступе, то не составит труда просто к ней подключиться обычному человеку, не говоря уже о хакере, который может навредить.

На основе вышесказанного можно сделать вывод, что безопасность беспроводных сетей имеет высокую важность, не стоит этим пренебрегать, чтобы не случилось перехвата конфиденциальной информации.

Убедившись, насколько легко и безнаказанно можно взломать беспроводную сеть, рассмотрим, каким же образом можно это осуществить, чтобы проанализировать данные и предложить способы защиты. Существующие угрозы безопасности беспроводной сети можно разделить на пассивный мониторинг, неавторизованный доступ и отказ в обслуживании. Разберем подробнее каждый из них.

Пассивный мониторинг

Суть мониторинга трафика заключается в том, что можно отследить пакеты незащищенной беспроводной сети. В этом случае происходит их кража, и в руках злоумышленника оказываются личные данные пользователей сети.

Неавторизованный доступ и атака «человек посередине»

Следующий вариант -  установка подставной точки доступа, которая представляет собой неавторизованную точку доступа, включенную в сеть. Хакер может поместить её в здании, умышленно подключив незащищенную точку доступа к взламываемой сети, тем самым он пропускает трафик через эту точку, может просматривать и даже модифицировать проходящий трафик.

Отказ в обслуживании

Атака типа "отказ в обслуживании" — это нападение, в результате которого беспроводная сеть приходит в негодность или ее работа блокируется. Её можно осуществить несколькими способами. Например, произвести массовую рассылку пакетов, для которой задействуются все ресурсы сети, в результате чего она прекращает работу. Хакер может провести DoS-атаку путем отправки бесполезных пакетов серверу с других компьютеров сети. Это вызывает существенные непроизводительные расходы в сети и не позволяет использовать ее пропускную способность легитимным пользователям. Другим способом приостановки работы большинства беспроводных сетей является использование мощного радиосигнала, который генерирует разные помехи и заглушает остальные сигналы. Еще один способ – отправка сообщений об ошибках. Получив их несколько раз подряд, устройства на время перестают передавать трафик. Поэтому, периодично отправляя подобные сообщения, сеть не вернется в строй, так как не будет успевать исправлять ошибки.

Рассмотрев возможные атаки на беспроводные сети, разобремся, какие существуют протоколы для защиты беспроводных сетей. На сегодняшний день используют следующие средства:

• Протоколы шифрования, такие как WEP, WPA
• Протоколы аутентификации (802.1X, RADIUS, EAP)
• Виртуальная частотная сеть (VPN) [3, с. 189]

Протокол WEP

Технология WEP относится к средствам безопасности беспроводных сетей, существовавшим в оригинальном стандарте IEEE 802.11. Алгоритм WEP работает по принципу электронной кодовой книги, в которой каждый блок открытого текста заменяется блоком зашифрованного. Шифрование начинается после передачи секретных ключей взаимодействующим устройствам. Использовать этот протокол сейчас довольно ненадежно. Это связано с тем, что поток данных шифруется временным ключом, часть которого есть в каждом пакете. Если  перехватить необходимое число пакетов, используя пассивное прослушивание, появляется возможность получить ключ любой длины.

Протокол безопасности WEP предусматривает два способа аутентификации пользователей: открытый и общий. При использовании открытой аутентификации любой пользователь может получить доступ в беспроводную сеть. Но даже при ее использовании допускается использование WEP-шифрования данных.

Протокол WPA и WPA2

Вместо протокола WEP в WPA использовался протокол TKIP (который использует временные ключи, генерирующиеся в процессе аутентификации на основе стандарта IEEE 802.1X). Протокол также включает поддержку проверки целостности сообщений. В WPA восстановление основного ключа невозможно, но есть способ узнать ключ, который необходим для проверки целостности, а также ключевой поток данных. Для этого необходимо знать MAC-адрес клиента, подключённого к wi-fi сети, для дальнейшей кражи этого адреса и подмены на своём устройстве, в уязвимой сети wi-fi должна быть поддержка WMM и QoS и смена временного ключа не ниже 3600 секунд. Самая простая защита от данного вида уязвимости, просто уменьшить значения временного ключа.

Протокол WPA2 основан на WPA и использует протокол шифрования CCMP. Аутентификация, как и в WPA, выполняется на основе проколов IEEE 802.1X с EAP для корпоративных пользователей и PSK для домашнего использования.

Рассмотрим также особенности настройки данных протоколов защиты и способы защиты беспроводной сети.

Каждая сеть имеет свой идентификатор – ESSID. Он используется для шифрования трафика беспроводной сети. Индекс ESS присваивается каждому из роутеров для обозначения его в системе и необходим только для настройки оборудования между собой. В целях безопасности для небольшой сети можно отключить трансляцию ESSID или же изменить ее название, чтобы оно было непримечательным. Для типовых значений идентификатора существуют Rainbow-таблицы, которые содержат значения зашифрованных с помощью данных идентификаторов пакетов. Поэтому лучший вариант – использовать значение ESSID, которое никак не идентифицирует, что это именно Ваша сеть.

Еще один хороший способ защитить сеть – использовать инфраструктуру открытого ключа PKI. Но чтобы этот способ был полезным, нужно не допустить ошибок в настройке. Сертификат ключа в целях безопасности необходимо хранить на подключаемом носителе. Также нужно правильно настроить двустороннюю аутентификацию как клиента сервером, так и сервера клиентом.

Для предотвращения атаки «человек посередине» необходимо настроить мониторинг бепроводных устройств средствами IPS, которые смогут определить подозрительную активность и сообщить об этом.

Итак, подведем небольшие итоги. Проанализировав способы нападения на беспроводные сети, можно предложить несколько способов защиты. Необходимо:

• Уменьшить мощность сигнала, чтобы он распространялся непосредственно в пределах помещения, в котором используется
• Ограничить доступ к сетевому оборудованию
• Обеспечить подключение сетевых устройств к источникам бесперебойного питания
• Запретить клиентским рабочим станциям подключаться к доступным сетям и использовать незащищенные сети
• Использовать фильтрацию MAC-адресов клиентских устройств для отслеживания подключений к беспроводной сети
• Настроить мониторинг беспроводных устройств средствами IPS
• Развернуть шифрование WPA с использованием 802.1x
• Изменить значение ESSID

Такие несложные рекомендации обеспечат хоть и не стопроцентную защиту беспроводных сетей, но однозначно будут полезны для профилактики взлома. Не стоит пренебрегать безопасностью, особенно когда дело касается конфиденциальной информации.