В наше время бурно развиваются беспроводные технологии в области информатизации, так как не всегда удобен, а иногда даже не возможен монтаж проводных линий связи. Но насколько безопасна передача информации по такому виду связи, какие способы хищения и защиты существуют на сегодняшний день, всё это весьма актуально на сегодняшний день. В данной работе проведён анализ беспроводных сетей Wi-Fi открытого и закрытого типа. Показаны, какие факторы влияют на надёжность передаваемой информации в открытой сети. Описаны технологии сетей закрытого типа, как правило, использующие шифрование для защиты пакетов данных в канале передачи информации. Показана защита от такого вида уязвимости, как обнаружение ключа для проверки целостности.
Ключевые слова: беспроводные сети, защита беспроводных сетей, защита информации, методы защиты, источники угроз, открытые и закрытые беспроводные сети, шифрование пакетов данных, злой двойник, уязвимость протокола.
С развитием беспроводных технологий, наиболее востребованным способом доступа в глобальную сеть интернет и к локальным вычислительным сетям является технология Wi-Fi. Её использование, начинается с появлением ноутбуков, персональных компьютеров, мобильных устройств и заканчивается «умной» бытовой техникой. Данный вид связи значительно упростил доступ к сети пользователям и открыл возможности, недоступные при использовании проводных видов связи, однако не каждый знает, сколько опасности поджидает каждого пользователя при неграмотной настройки использовании Wi-Fi.
Беспроводные сети Wi-Fi делятся на два типа — открытые и закрытые.
Сети открытого типа (OPEN), как правило, не используют защиту для подключения к самому устройству или используют удалённую защиту доступа к сети, когда аутентификация пользователя происходит не на самом устройстве, а на удалённом сервере. Однако ни один из вышенаписанных способов не защищает пользователей, подключённых к самой Wi-Fi сети от атак типа MITM (человек посередине), это когда вся информация в сети проходит через злоумышленника, что негативно сказывается на надёжности передаваемой информации в открытой сети. Такой вид сети не рекомендуется для использования с точки зрения защиты информации, когда есть необходимость использования данного вида сети для передачи конфиденциальной информации, то рекомендуется использовать VPN (виртуальная частная сеть) для защиты самого канала передачи данных, а также использовать HTTPS (расширенный протокол HTTP использующий шифрование SSL для скрытия запросов от клиента к серверу). Эта технология позволяет просмотреть передаваемые пакеты данных при их перехвате, что повышает надёжность передачи информации в сети Wi-Fi.
Другой вид беспроводной сети — сети закрытого типа, как правило, используют шифрование для защиты пакетов данных в канале передачи информации. Для них используются наиболее популярные технологии защиты такие, как: Wired Equivalent Privacy (WEP — устаревшая технология для обеспечения безопасности беспроводной Wi-Fi сети), Wi-Fi Protected Access (WPA и WPA2 — представляет собой обновлённую технологию защиту устройств беспроводной связи, и Wi-Fi Protected Setup/Quick Security Setup (WPS/QSS — защищённая установка, использующаяся в WPA/WPA2). Надо отметить, что у сети закрытого типа тоже есть уязвимости, но при правильной конфигурации, риски можно минимизировать.
Технология WEP одна из самых первых технологий защиты. В настоящее время крайне ненадёжная и не рекомендуется для использования. Проблема в том, что поток данных шифруется временным ключом, часть которого есть в каждом пакете. Следовательно, если перехватить необходимое число пакетов, появляется возможность получить ключ любой длины. Защита данной технологии нецелесообразна, так как время перехвата ключа зависит от объёма передаваемой информации по беспроводной сети, чем её больше передаётся, тем быстрее у злоумышленника появляется возможность перехвата ключа.
Технология WPA, которая является суммой протоколов EAP, MIC, TKIT, 802.1X позволяющая её использовать в коммерческом секторе. В отличие от WEP в WPA восстановление основного ключа невозможно, но есть способ узнать ключ, который необходим для проверки целостности, а также ключевой поток данных. Чтобы реализовать такой атаки злоумышленнику необходимо знать MAC адрес клиента, подключённого к Wi-Fi сети, для дальнейшей кражи этого адреса и подмены на своём устройстве, в уязвимой сети Wi-Fi должна быть поддержка WMM и QoS и смена временного ключа не ниже 3600 секунд. Самая простая защита от данного вида уязвимости, просто уменьшить значения временного ключа, что даст гарантию от второго вида взлома — это стандартный брутфорс, то есть, подбор всех возможных комбинаций обычным перебором. Защита от данного метода взлома, ежемесячная смена пароля.
Технология WPA2 дополненная версия технологии WPA. В ней устранена уязвимость с хищением и подменой ключевого потока, так же добавлен новый протокол AES/CCMP с совершенно новым алгоритмом шифрования основанном на AES256 с дополнительной защитой и проверкой на целостность. Данную технологию, возможно, взломать только с помощью брутфорса, защита от которого является ежемесячная смена ключа. WPA2 на сегодняшний день является самым надёжным способом защиты беспроводных сетей Wi-Fi.
Протокол WPS/QSS разработан для создания защищённой WPA2 сети, а так же простому подключению к ней. В данном протоколе предусмотрено подключение по восьми значному PIN-коду. Уязвимость данного протокола заключается в следующем. Так как в PIN-коде используется восемь цифр — подбор PIN-кода составляется 108 вариантов. Последняя цифра является контрольной суммой, которая высчитывается по семи первым цифрам — следовательно, подбор PIN-кода составляет 107. Однако в самом протоколе изначально есть уязвимость, которая позволяет разделить PIN-код на две части, 4 и 3, которые подбираются отдельно друг от друга в таком случаи подбор PIN-кода 104 и 103 составляет 11000 комбинаций. Данный протокол крайне уязвим, так как после получения PIN-кода, отсылается информация о ключе WPA2 клиенту, делавшему запрос на подключение, который впоследствии может быть использован. Однозначного решения проблемы нет, наиболее эффективно, использовать таймер «охлаждения» после неправильного ввода пароля. Рекомендуется отключать данный протокол в настройках сети, для предотвращения кражи ключа WPA2 и несанкционированного подключения к беспроводной сети.
Существует вид атаки под названием «злой двойник», который используется в многолюдных местах. Суть атаки заключается в копирование имени SSID беспроводной сети, и на основании его создаётся поддельная беспроводная сеть с более сильным сигналом излучения, чем у настоящей беспроводной сети. Для уменьшения риска от данной атаки, рекомендуется уменьшить время смены частоты радиоканалов, а также использовать шифрование при переда данных.
Таким образом, на основе проведенного анализа популярных технологий защиты беспроводной сети Wi-Fi, на сегодняшний день наиболее оптимальная технология защиты — это WPA2, внутри которой используется шифрование канала передачи данных. Это позволит пользователям беспроводной сети Wi-Fi защититься от взлома злоумышленников.
Литература:
1. Э.Таненбаум, Д.Уэзеролл «Компьютерные сети» 5-е издание. 2012г.
2. www.ieee802.org/11/ — The Working Group for WLAN Standards.
3. https://forum.antichat.ru/forum113.html — Форум АНТИЧАТ > Безопасность и Уязвимости > Беспроводные технологии/Wi-Fi/Wardriving
4. Stefan Viehböck «Brute forcing Wi-Fi Protected Setup» 26.12.2011 Version 3
5. http://www.webcitation.org/6DwMc0X27 — Evil Twins FAQ
6. http://www.aircrack-ng.org/ — Advanced Wi-Fi Penetration Testing
