С новейшими беспроводными точками доступа атаки хакеров не страшны

Удобство беспроводных сетей неоспоримо: они обеспечивают связь и доступ в Internet за пределами нашего рабочего места или офиса. Стоимость беспроводной точки доступа (Access Point, AP) начального уровня — менее 75 долл., поэтому они стали одними из наиболее популярных периферийных устройств после плейера iPod. Кроме того, достаточно подключить эти устройства к электрической сети, чтобы Wi-Fi-совместимые ноутбуки смогли устанавливать сетевые соединения без проводов. С другой стороны, удобный сетевой доступ связан с огромным риском для сети и данных, так как в выбираемом по умолчанию режиме многих недорогих беспроводных AP злоумышленники могут легко подключиться к сети и похитить данные. К счастью, большинство беспроводных AP располагает простыми процедурами настройки, благодаря которым резко повышается уровень защиты устройств. Выполнив шесть несложных операций, можно надежно защитить небольшую беспроводную сеть с недорогим оборудованием 802.11g.

802.11g — стандарт комитета IEEE, но большинство поставщиков снабжают свои беспроводные AP многочисленными дополнительными возможностями. Однако меры безопасности, как правило, одни и те же, хотя названия похожих функций у разных поставщиков различаются. В примере процедуры настройки в качестве точки доступа используется Linksys WRT54G. Недорогая модель WRT54G широко применяется в малых офисах, домашних офисах и даже лабораториях более крупных компаний. Эта и аналогичные AP не располагают функциональностью корпоративного уровня, как продукты семейств Proxim ORiNOCO или Cisco Systems Aironet; в данной статье рассматриваются способы защиты простых точек доступа начального уровня.

Ненадежная стандартная конфигурация

Недостаток многих недорогих беспроводных AP — акцент на простоту установки в ущерб безопасности. Например, если распаковать и подключить к сети такое устройство, то после активизации беспроводного сетевого адаптера в компьютере с Windows XP Service Pack 2 (SP2) Windows выдаст сообщение об обнаружении новой беспроводной AP и спросит, нужно ли установить соединение с нею. Соединение с сетью после положительного ответа устанавливается моментально.

Производители совершенствуют свои решения: новейшая (пятая) версия распространенной точки доступа Linksys WRT54G располагает мастером SecureEasySetup, в котором объединены аппаратные и программные шаги, необходимые для безопасной настройки AP. В приложении к руководству можно найти ответы даже на сложные вопросы по беспроводной безопасности, которые нередко возникают у пользователя. Однако владельцам более ранних моделей точек доступа Linksys следует проверить процедуру установки, так как в этих моделях многие описанные в статье параметры изначально отключены.

Незащищенная конфигурация выбрана специально; в руководстве для первых моделей Linksys неоднократно указывалось, что маршрутизатор должен корректно функционировать после подключения к сети. После подключения компьютер может установить соединение с любым другим компьютером сети и даже использовать Internet-соединение. Благодаря функциям беспроводной настройки XP установить соединение с незащищенной AP очень просто. К сожалению, те самые функции, которые облегчают подключение к сети, упрощают задачу любого постороннего владельца Wi-Fi-устройства в радиусе нескольких десятков метров, желающего проникнуть в сеть компании.

В следующих двух разделах будут описаны этапы организации защиты простой беспроводной AP. Изменения в параметрах просты — их может использовать любой администратор беспроводной сети. В описываемой конфигурации применяется чуть более старая модель Linksys WRT54G и предполагается, что читателю известно, как обратиться к экранам настройки AP. Старая модель была выбрана по двум причинам: во-первых, многие из этих устройств встречаются в общедоступных местах; во-вторых, в новом устройстве Linksys WRT54G применяется фирменный мастер, тогда как экраны настройки в старых моделях более типичны, и мои рекомендации проще применить к другим продуктам. Даже владельцам новейших моделей любых AP полезно сверить конфигурацию своего устройства с простой процедурой, описанной в данной статье.

Этап 1. Защита AP Administration Page

Первый шаг — изменить выбираемый по умолчанию пароль на вкладке Administration Web-интерфейса точки доступа Linksys. Если беспроводная точка доступа одновременно выполняет функции широкополосного маршрутизатора, необходимо убедиться в возможности управления устройством только с внутреннего интерфейса, а не непосредственно из Internet. Нежелательно, чтобы кто-то установил Web-соединение с общедоступным Internet-адресом через внешний интерфейс беспроводной точки доступа и изменил параметры этого интерфейса, чтобы завладеть AP.

Этап 2. Изменение SSID и запрет широковещательной передачи SSID

В результате изменения или блокировки SSID беспроводной AP случайным взломщикам становится труднее отыскать сеть, но это препятствие не отпугнет даже начинающего хакера. Каждый владелец беспроводного анализатора, такого как NetStumbler (http://www.netstumbler.com), может обнаружить точку доступа и определить ее нестандартный SSID. Узнав SSID точки доступа, взломщик может установить соединение с AP. Тем не менее лучше изменить выбираемое по умолчанию значение SSID, чем открывать его любому обладателю беспроводной точки AP данной модели.

Чтобы изменить SSID, следует перейти в область Basic Wireless Settings вкладки Wireless встроенной программы настройки Linksys и изменить значение Wireless Network Name (SSID), как показано на экране 1. Рекомендуется выбрать неброское имя; например, не стоит использовать название компании или слово Finance. Эти имена могут заинтересовать взломщиков.

На той же странице встроенной программы Linksys следует выбрать режим Disable, чтобы блокировать широковещательную передачу SSID по беспроводной сети (экран 1). После изменения имени SSID и блокировки широковещательной передачи SSID необходимо вручную указать на беспроводных клиентах значение SSID, чтобы установить связь с AP. Шаги для клиента будут описаны ниже.

Этап 3. Используйте WPA, если можно, но WEP — все же лучше, чем ничего

Протоколы Wired Equivalent Privacy (WEP), Wi-Fi Protected Access и продолжение WPA, WPA2, обеспечивают общую для поставщиков инфраструктуру для управления доступом и защиты и шифрования данных, пересылаемых между беспроводной AP и беспроводным клиентом. На каждой точке доступа необходимо активизировать WEP или WPA. При возможности выбора между тремя технологиями WPA2 предпочтительнее WPA, а WPA предпочтительнее WEP. В структуре и реализации WEP имеются серьезные недостатки, а разгадать ключ шифрования и взломать защиту WEP можно с помощью целого ряда инструментов.

В основе протокола WPA, который пришел на смену WEP, лежит подмножество стандарта IEEE 802.11i, а WPA2 основан на окончательной редакции стандарта IEEE 802.11i. В WPA применяется несколько способов и алгоритмов, в частности Temporal Key Integrity Protocol (TKIP) и Advanced Encryption Standard (AES), для совершенствования методов управления ключом и шифрования. Большинство современных беспроводных AP совместимы с WPA, а в некоторых старых моделях можно обновить встроенное программное обеспечение, дополнив его функциями WPA, — по этому вопросу необходимо проконсультироваться у поставщика. Но следует помнить, что выбор WPA возможен, только если точка доступа и все клиенты совместимы с WPA.

WEP и WPA шифруют данные, пересылаемые между AP и удаленными клиентами. Говоря простым языком, ключ (строка символов), известный как беспроводной AP, так и клиенту, используется для шифрования и восстановления данных, пересылаемых между этими устройствами. Взломщик, завладевший ключом, может расшифровать данные, пересылаемые между беспроводными AP и клиентом, или установить соединение с беспроводной AP.

Существенный недостаток WEP — необходимость вручную вводить ключ, используемый для шифрования как в беспроводной AP, так и на клиенте. Это трудоемкий процесс, и большинство пользователей вводят ключ один раз и никогда не меняют его. Из-за других недостатков WEP целеустремленные хакеры могут взломать ключ, а затем использовать его для доступа к беспроводной AP или дешифрации данных, передаваемых между беспроводной точкой доступа и клиентами. Поскольку ключ автоматически не изменяется, взломщики могут получить доступ к данным на длительное время, пока кто-нибудь не изменит ключ.

Для устранения этого недостатка протокол WPA дополнен функциями управления ключом. Как и в WEP, ключ здесь используется для шифрования данных. Однако он вводится один раз, а впоследствии с помощью этого ключа WPA генерирует настоящий ключ для шифрования данных. WPA периодически меняет ключ. Следовательно, даже если взломщику повезет и он разгадает ключ шифрования, тот будет полезен только до тех пор, пока беспроводная AP и клиент автоматически не изменят его. По умолчанию ключ шифрования в беспроводных точках доступа Linksys меняется один раз в час.

В старых моделях точек доступа Linksys меры беспроводной безопасности отключены. Чтобы активизировать их, следует нажать на кнопку Wireless Security во вкладке Wireless встроенной программы Linksys. В раскрывающемся окне Security Mode следует выбрать предпочтительный режим беспроводной защиты. В старых моделях Linksys AP реализованы режимы с именами WPA Pre-Shared Key, WPA RADIUS, RADIUS и WEP. В новейшей модели WPA Pre-Shared Key и WPA RADIUS переименованы соответственно в WPA Personal и WPA Enterprise и добавлен протокол WPA2. Большинство поставщиков используют те же технологии, но могут дать им другие имена.

Оптимальный режим для пользователей малого или домашнего офиса — WPA Pre-Shared Key (WPA-PSK) или WPA Personal, который обеспечивает надежную защиту WPA и прост в настройке. Для средних и крупных предприятий предпочтителен режим WPA RADIUS (WPA Enterprise) устройств Linksys с обязательным сервером RADIUS (Remote Authentication Dial-In User Service — служба дистанционной аутентификации пользователей по коммутируемым линиям), хотя такие пользователи, вероятно, пожелают приобрести AP корпоративного класса вместо модели начального уровня, рассматриваемой в данной статье. Более подробно о WPA RADIUS рассказано во врезке «Более тщательная аутентификация». Режим RADIUS в устройствах Linksys, как и WEP, применяется в основном в унаследованных решениях, поэтому его следует выбирать только при наличии беспроводных клиентов, несовместимых с WPA.

Для настройки Linksys для использования режима WPA-PSK нужно выбрать параметр WPA Pre-Shared Key (экран 2). В точках доступа Linksys реализованы два алгоритма WPA: TKIP и AES. TKIP — промежуточная мера, предназначенная для того, чтобы устранить многочисленные проблемы WEP до широкого распространения протокола следующего поколения WPA (WPA2). В TKIP используется тот же алгоритм шифрования, что и в WEP, но многие изъяны WEP устранены благодаря динамической смене ключа шифрования данных, шифрованию данных настройки, представленных обычным текстом в WEP, и проверке целостности сообщений. AES — новый, исключительно надежный алгоритм шифрования, используемый в стандарте 802.11i и WPA2. Однако он пока не реализован во всех аппаратных средствах и программном обеспечении. По возможности следует выбирать AES.

Затем вводится ключ WPA Shared Key. Необходимо ввести один и тот же ключ на всех клиентах, которые устанавливают связь с точкой доступа Linksys. Следует выбирать длинный, трудно разгадываемый ключ. В устройствах Linksys его длина может составлять 63 символа, а рекомендуемая длина ключа — не менее 20 символов.

В поле Group Key Renewal указывается, как часто изменяется автоматически генерируемый ключ (в секундах). Как отмечалось выше, выбираемое по умолчанию значение Group Key Renewal — 1 час, что приемлемо для большинства сетей малых и домашних офисов.

Если клиенты несовместимы с WPA, лучше использовать WEP, чем вовсе отказаться от защиты. Для настройки WEP в Linksys WRT54G следует указать режим безопасности (Security Mode) WEP, выбрать ключ для использования в качестве стандартного ключа передачи (ключ с номером от 1 до 4) и тип шифрования WEP, как правило 64- или 128-разрядный (чем больше, тем лучше) с представлением в шестнадцатеричном или ASCII-формате. Ключ следует ввести в поле Key, которое соответствует выбранному стандартному ключу передачи. Например, если выбран 64-разрядный шестнадцатеричный ключ, то можно ввести строку из десяти шестнадцатеричных цифр, такую как af592de129. Эту конфигурацию WEP-ключа необходимо повторить во всех клиентах, поэтому следует выбирать вариант, приемлемый для всех устройств.

Процедура настройки WEP различается между продуктами разных поставщиков в большей степени, чем настройка WPA, поэтому рекомендации по WEP труднее адаптировать к конкретной ситуации.

Этап 4. Для самых малых сетей — фильтрация MAC-адресов

Для дополнительной защиты небольших сетей можно использовать фильтрацию адресов MAC (media access control), которая реализована в большинстве беспроводных AP. Все беспроводные сетевые адаптеры имеют уникальный MAC-адрес. Чтобы узнать MAC-адрес адаптера клиента, достаточно ввести в командной строке клиента следующую команду:

ipconfig /all

MAC-адреса всех клиентов, которым предстоит обращаться к беспроводной AP, следует ввести в фильтр MAC Address (экран 3). Обратиться к этой странице можно из вкладки Wireless встроенной программы точки доступа Linksys. Только указанные в списке фильтра адаптеры смогут устанавливать связь с AP.

Экран 3. Указание Mac-адресов клиентов

Некоторые программы могут подделывать MAC-адреса, а пользователи иногда меняют свои Wi-Fi-адаптеры, поэтому, хотя с помощью фильтрации MAC-адресов можно остановить случайных взломщиков, метод не так безопасен, как более надежные механизмы аутентификации, в частности WPA RADIUS на базе 802.1x. Своевременно обновлять список MAC-адресов трудно для любых сетей, кроме действительно очень небольших. Однако фильтрация MAC-адресов поможет остановить злоумышленника, получившего общий ключ WPA от сотрудника предприятия, хотя опытный хакер может обойти и MAC-фильтр.

Этап 5. Изоляция беспроводной точки доступа

Следует обратить внимание на место соединения беспроводной AP с сетью. Точка доступа Linksys оснащается сетевым экраном, и большинство пользователей задействуют устройство не только как беспроводную AP, но и в качестве Internet-шлюза. Если доверие к беспроводной сети меньше, чем к проводной, то для передачи конфиденциальной информации рекомендуется подключить беспроводную AP между брандмауэром проводной сети и Internet. Устанавливая беспроводную AP на периметре сети, можно еще более сузить круг компьютеров внутренней сети, к которым могут обращаться беспроводные клиенты.

Этап 6. Настройка конфигурации клиентов

Защита беспроводной AP — лишь одна часть уравнения. Необходимо еще настроить параметры безопасности беспроводных клиентов. Чтобы максимально расширить возможности защиты, следует установить на клиентах операционную систему XP SP2 и новейшие драйверы беспроводных сетевых адаптеров. По возможности следует выбрать беспроводные платы, совместимые с WPA или WPA2. Текущие модели беспроводного адаптера Linksys с новейшим программным обеспечением во встроенной постоянной памяти и драйверами поддерживают как WPA и WPA2, так и алгоритмы шифрования TKIP и AES.

Чтобы назначить беспроводному клиенту такие же параметры шифрования, как в AP, следует щелкнуть на Start, Connect To, Wireless Network Connection, View Available Wireless Networks, Change Advanced Settings. Затем требуется перейти на вкладку Wireless Networks и щелкнуть на кнопке Add в разделе Preferred networks, чтобы открыть диалоговое окно свойств беспроводной сети. Другой способ — щелкнуть правой кнопкой мыши на адаптере беспроводной сети, а затем на пункте Properties. Следует выбрать вкладку Association (экран 4).

Экран 4. Настройка параметров безопасности в XP SP2

Чтобы настроить клиентов на соединение с беспроводной AP с нестандартным SSID, необходимо ввести имя сети (т. е. SSID) беспроводной AP, в данном случае private. Если беспроводная AP и другие беспроводные клиенты поддерживают WPA-PSK и AES, нужно выбрать эти значения для полей Network Authentication и Network Authentication соответственно. Затем требуется ввести общий ключ, назначенный для беспроводной AP. На этом завершаются настройки, которые необходимо выполнить в данном диалоговом окне. Если приходится работать с WEP, то необходимо поменять режим Network Authentication на открытый или совместный, изменить тип шифрования на WEP и ввести индекс и ключ, точно соответствующие конфигурации ключа точки доступа. После того как параметры клиента будут точно соответствовать параметрам беспроводной AP, клиент должен автоматически установить соединение и может безопасно обмениваться данными с беспроводной AP.

Защищаем конфиденциальные данные

Сфера применения беспроводных сетей расширяется, в чем легко убедиться, если просто пройтись по любому городу с Wi-Fi-ноутбуком или PDA. По пути вам встретится немало открытых беспроводных AP, подключиться к которым не составляет труда. Так что самое время защитить свою сеть от любопытных глаз с помощью простых мер безопасности.

Джеф Феллинг - Директор по информационной безопасности компании Quantive. Автор книги IT Administrator?s Top 10 Introductory Scripts for Windows (издательство Charles River Media). jeff@blackstatic.com


Более тщательная аутентификация

В режиме WPA Pre-Shared Key (WPA-PSK) любое клиентское устройство с корректным общим ключом может получить доступ к сети, связанной с беспроводной точкой доступа. Общий ключ легко назначить, но у него есть ряд недостатков. Во-первых, сетевой администратор должен вручную ввести верный общий ключ на каждом беспроводном клиенте. Кроме того, общий ключ не гарантирует авторизации или одобрения всех подключенных устройств. Например, если один пользователь сообщает такой ключ другому пользователю, то оба устройства успешно устанавливают соединение с беспроводной AP.

Чтобы решить данную проблему, необходимо аутентифицировать всех пользователей или устройства, подключенные к беспроводной AP. Функция WPA RADIUS устройства Linksys WRT54G (называется WPA Enterprise в новейшей версии продукта) обеспечивает ряд дополнительных возможностей аутентификации входящих клиентов.

Стандарт аутентификации IEEE 802.1x используется в WPA RADIUS для проверки всех новых беспроводных устройств на удаленном сервере RADIUS. После того как настроенный сервер RADIUS успешно аутентифицирует клиента, соединение будет одобрено и беспроводная AP разрешит устройству подключиться к сети. Компания Microsoft поставляет сервер RADIUS — службу Internet Authentication Service (IAS) — в составе Windows Server 2003. Благодаря серверу RADIUS возможности аутентификации значительно расширяются, в частности можно потребовать у клиентов использования доменного пароля и имени пользователя, смарт-карт или сертификатов, прежде чем разрешить им соединение с беспроводной AP.

Чтобы активизировать WPA RADIUS или WPA Enterprise в точке доступа Linksys WRT54G, требуется ввести IP-адрес сервера RADIUS и общий ключ RADIUS. Необходимо также настроить сервер RADIUS, такой как Windows 2003, с запущенной службой IAS. На Web-узле Microsoft TechNet представлено несколько руководств для настройки сертификатов, RADIUS и беспроводных сетей. Более подробно о 802.1x рассказано в статье «Безопасная беспроводная сеть», опубликованной в Windows IT Pro/RE № 4 за 2004 год, и в статье «Как защитить WLAN с помощью сертификатов» из № 3 за 2005 год. Настроить WPA RADIUS несложно, но процедура несколько более трудоемкая; для пользователей малых и домашних офисов WPA-PSK обеспечивает хороший баланс безопасности и простоты управления.