ОБЗОР УГРОЗ И ТЕХНОЛОГИЙ ЗАЩИТЫ WI-FI СЕТЕЙ

С появлением в современном мире компактных устройств для работы в Интернете перед разработчиками встала новая задача - обеспечить доступ к сети в местах, находящихся на удаленном расстоянии от кабельного интернета. Именно так и появились сети, работающие по радиоканалу и позволяющие людям посетить различные сетевые ресурсы при использовании карманных персональных компьютеров (далее КПК).

Беспроводные сети являются новым шагом в развитии технических средств доступа к сети. Их развитие продолжается и в настоящее время. Согласно исследованию американской организации Juniper Research, проведенному в 2015 году: «Все большая доля мобильного трафика со смартфонов и планшетов будет передаваться не через сети 2G/3G/4G, а именно через Wi-Fi. В течение четырех ближайших лет у сотовых операторов во всем мире останется лишь 40% трафика. А к 2020 году ожидается увеличение объема передачи данных по сетям 802.11 с 30 000 петабайт до 115 000 петабайт. Такая тенденция будет активнее реализовываться на территории Северной Америки и Европы» [15].

На основе таких исследований можно сделать вывод, что увеличение, как охвата сетей, так и количества пользователей, требует достаточно серьезных вложений в защиту Wi-Fi комплексов.

В качестве основы Wi-Fi сетей лежит группа международных стандартов семейства IEEE 802, которые регулируют работу локальных вычислительных сетей (далее LAN) и сетей, расположенных в мегаполисах (далее MAN). Службы и протоколы данного семейства стандартов работают на двух нижних уровнях семиуровневой сетевой модели OSI: канальном и физическом.

Физический уровень определяет метод передачи данных, которые представлены в виде двоичных комбинаций, от одного устройства к другому.

Канальный уровень предназначен для обеспечения взаимодействия сетей на физическом уровне и применения способов контроля над возникающими ошибками. Согласно спецификации IEEE 802 данный уровень разделен на два подуровня: MAC (англ. Media Access control) и LLC (logical link control).

Основным стандартом, управляющим Wi-Fi сетями, является IEEE 802.11, в который входят дополнительные стандарты, представленные таблице 1.

Таблица 1

Стандарты беспроводной связи Wi-Fi [1-7]

Но прежде чем создавать систему защиты информации в Wi-Fi сетях, нужно получить представление о самом нарушителе. Чтобы понять это, необходимо составить потенциальную модель нарушителя.

Нарушителей принято подразделять на три основные категории:

1. Любопытные. Они выполняют взлом ради своего самоутверждения или забавы. Большинство из них не представляют серьезной угрозы безопасности сети, а некоторые могут даже сообщить администратору о найденных ими уязвимостях. Эти люди при должном внимании к своим навыкам и умениям смогут вырасти в неплохих специалистов по информационной безопасности.
2. Охотники за каналами связи. Эти люди представляют несколько другую когорту участников информационного обмена. Интерес этих лиц направлен на попытку пользования чужими сетями для передачи различного контента в сеть. Чаще всего данные имеют не совсем законный характер. Согласно международному законодательству любая попытка проникновения в чужую сеть имеет за собой серьезные последствия вплоть до тюремного заключения.
3. Преступники. Третья категория самая опасная. Её представители умеют и знают, каким образом лучше всего осуществить подобный взлом. Их беспроводные сети привлекают анонимностью, наличием внеполосных каналов доступа. В компании, имеющей большое количество устройств, подключенных к сети, очень сложно отследить, через какое устройство произошла передача данных. Самые сильные атаки они совершают группой лиц, имеющих довольно хорошее образование в области компьютерных технологий и не понаслышке знакомых с принципами радиофизики [9].

Для создания системы защиты Wi-Fi сетей необходимо иметь представление о различных видах атак, которые могут применяться нарушителями.

Атакой на систему называется действие или совокупность действий злоумышленника, направленных на получение доступа к информационной системе [13].

Для удобства понимания сути атак их обычно объединяют в различные группы, исходя из общих свойств:

1. Атака на настройки параметров канального уровня в сетях 802.11.

Одна из таких атак - атака на настройку режима экономии энергии. Злоумышленник подменяет устройство клиента, которое находится в состоянии так называемого «спящего» режима, осуществляя сбор кадров. После того как клиент примет кадры, точка доступа очистит буфер и, таким образом, клиент не получит своих кадров. Этот способ реализации, но уже с подделкой кадров осуществляется при применении карты индикации трафика, которая сообщит клиенту об отсутствии новых пакетов. Такая атака сложна в реализации из-за выполнения операции по перекрытию доступа настоящих TIM кадров к атакуемым хостам [14].

2. DoS атаки.

Применяются в качестве одного из способов проникновения в сеть. Из-за физической природы радиоволн, как средства передачи информации, и конструктивных особенностей протоколов IEEE 802.11 они не могут быть защищены от атак на физическом уровне. Такие атаки в свою очередь подразделяются на несколько видов:

• Атака на физический уровень (глушение) – такая операция приводится в исполнение при помощи специально сконструированного передатчика или беспроводной карты, которые забивают канал связи несанкционированным трафиком. Основной недостаток такой операции в обязательном требовании к расположению передатчика в непосредственной близости к атакуемой сети.
• Затопление сеанса связи поддельными фреймами - такая атака, как и глушение, практически неотразима. В отличие от предыдущего вида атак, здесь помимо аппаратной части присутствует программная, представленная программой Vodill.Эта программа как раз и генерирует фальшивые фреймы, отправляя их через основной передатчик [11].
• Атака при помощи неправильно сформированных кадров аутентификации - в этом случае злоумышленник посылает кадры с запросом на аутентификацию, причем в самом кадре записаны адрес точки, адрес клиента и неизвестный для такой точки доступа алгоритм аутентификации. В результате точка доступа может выдать сообщение: «Получен кадр аутентификации с неожиданным номером транзакции». В результате этого соединение прерывается.
•  Заполнение буфера точки доступа.
• Чрезмерное количество запросов на соединение. Такая операция может происходить в случае постоянного изменения MAC адресов подключаемого устройства.
• Атака путем удаления кадров.
• Изменение контрольной суммы избыточного кода (далее CRC32) заставляет точку доступа отвергнуть запрос на подключение. Осуществление атаки возможно лишь в случаях отправления искаженного кадра одновременно с настоящим отправителем или же в тот момент, когда абонент отправляет последние четыре байта кадра, запустить шумовые помехи. Защита от такой атаки довольно проблематична [12].
• DoS-атака, основанная на циклическом переборе идентификаторов EAP. Extensible Authentication Protocol (далее EAP, расширяемый протокол аутентификации) используется в популярных механизмах аутентификации WPA и WPA2PSK. Идентификатор EAP, который имеет диапазон (0-255), должен быть уникален только в пределах одного порта, но некоторые точки доступа могут отказывать новым абонентам в возможности подключения [14].

3. Атаки на систему аутентификации.

Атака на фильтрацию MAC–адресов. Для совершения такой атаки требуются следующие действия по анализу сетевого трафика для поиска MAC–адресов: проверка наличия в сети выбранного хоста и ожидание его выхода из сети. Иногда допускается и нахождение в одной сети с клиентом, чей адрес используется, в таком случае требуется отключить протокол ARP (протокол определения адреса) и отказаться от использования межсетевого экрана. Необходимо также   производить наблюдение за отправлением пакетов с этого хоста и сообщений об отсутствии доступа к порту по протоколу ICMP (протокол контроля сообщений), чтобы избежать срабатывания системы IDS (система обнаружения вторжений). Иногда злоумышленник может отключить атакуемый хост, применяя способ подмены своего MAC–адреса на адрес атакуемого хоста.

Рассмотрим основные способы защиты от вторжений в сетях IEEE802.11. Не существует систем абсолютной защиты Wi-Fi сетей. Для обеспечения безопасности  в таких сетях нужно принимать следующие меры:

• уменьшить зону радиопокрытия (правильно, если сигнал не будет выходить за пределы контролируемой зоны);
• установить новый пароль администратора (отличный от установленного по умолчанию);
• включить фильтрацию по MAC–адресам;
• изменить стандартный идентификатор сети (SSID) и периодически его изменять;
• активизировать внутрисетевое шифрование;
• изменять в установленные сроки ключи шифрования;
• установить межсетевые экраны и антивирусы;
• обеспечить реализацию алгоритмов фильтрации трафика на межсетевых экранах;
• учредить специальную схему резервирования оборудования и резервного копирования программного обеспечения, установленного в сети;
• производить периодический контроль за оборудованием, работающим в сети.

Все эти меры должны быть описаны в политике безопасности предприятия и иметь возможность реализации на оборудовании любого типа (сейчас реализация данных требований возможна практически на всех устройствах).

В данной статье рассмотрены различные угрозы информационной безопасности беспроводных сетей IEEE 802.11 и способы защиты от них. Некоторые из видов атак до сих пор не имеют качественного способа противодействия. В недалеком будущем, скорее всего, появятся новые стандарты безопасности для Wi-Fi сетей, которые позволят поднять общую планку безопасности [14].

Список литературы:

1. 802.11-1999 - Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications.
2. 802.11a-1999 - Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications: High-speed Physical Layer in the 5 GHz Band.
3. 802.11b-1999 - Part 11: WLAN MAC and PHY specifications: Higher-Speed Physical Layer Extension in the 2.4 GHz Band.
4. 802.11b-1999_Cor1-2001 - Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications. Amendment 2: Higher-speed Physical Layer (PHY) extension in the 2.4 GHz band — Corrigendum 1.
5. 802.11d-2001 - Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications. Amendment 3: Specification for operation in additional regulatory domains.
6. 802.11F-2003 - IEEE Trial-Use Recommended Practice for Multi-Vendor Access Point Interoperability via an Inter-Access Point Protocol Across Distribution Systems Supporting IEEE 802.11™ Operation.
7. 802.11g-2003 - Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications Amendment 4: Further Higher Data Rate Extension in the 2.4 GHz Band.
8. Вишневский В.М., Ляхов А.И., Портной С.Л. и др. Широкополосные беспроводные сети передачи информации. - М.: Техно­ сфера, 2005. - 592 с.
9. Владимиров А.А. Wi-фу: «боевые» приемы взлома и защи­ты беспроводных сетей. - М.: НТ-Пресс, 2005. - 463 с.
10. Лукацкий А.В. Обнаружение атак. - СПб.: БХВ-Петербург, 2001. - 367 с.
11. Мерит М., Полино Д. Безопасность беспроводных сетей./ Пер. с англ. А.В.Семенова. - М.: Компания АйТи, ДМК Пресс, 2004. - 288 с.
12. Педжман Р., Лиери Д. Основы построения беспроводных локальных сетей стандарта 802.11. - М: Вильямс, 2004. - 294 с.
13. Приходько А.Я. Словарь-справочник по информационной безопасности. - М.: Синтег, 2001. - 124 с.
14. Щербаков В.Б., Ермаков С.А. Безопасность беспроводный сетей: стандарт IEEE 802.11. - М: РадиоСофт, 2010. - 255 с.
15. Wi-Fi to Carry up to 60% of mobile traffic by 2019// Hamphir UK.–2015– [Эл. ресурс] – Режим доступа. – URL: http://www.juniperresearch.com/press/press-releases/wifi-to-carry-60pc-of-mobile-data-traffic-by-2019 (дата обращения 15.09.2016)