Современную информационную среду сложно представить без использования Wi-Fi-технологии. В связи с этим актуальность проблемы передачи защищенной информации по этому каналу только растет. Как и любой канал связи, Wi-Fi-доступ содержит ряд уязвимостей, среди которых наиболее распространенными считают:
- подключение неавторизованных клиентов. В случае с беспроводными решениями злоумышленнику достаточно попасть в зону действия сети, и он при помощи радиооборудования может инициировать подключение;
- клонирование точки доступа. Для связи клиентское оборудование обычно выбирает точку доступа с наиболее качественным сигналом. Подменить базовую точку доступа не составляет труда: для этого нужно обеспечить сильный сигнал в выбранной зоне и узнать SSID;
- атаки на отказ в обслуживании (DoS-атаки). Чаще всего производятся на сеть на базе WPA. Механизм атаки следующий: злоумышленник посылает каждую секунду два пакета со случайными ключами шифрования, в результате чего точка доступа, приняв эти пакеты, решает, что произведена попытка НСД, и закрывает все соединения;
- подбор ключей. Большинство программных реализаций WPA строят криптографический ключ для шифрования на основе введенного пароля и сетевого имени (либо MAC-адреса), являющегося общедоступным. Информация, зашифрованная этим ключом, свободно передается по сети. Методом брутфорса подбирается исходный пароль. В данном случае пароль длиной до 20 символов считается потенциально опасным.
Так каким же образом бороться с многочисленными угрозами в беспроводной сети (перехватом данных из эфира вещания, атаками отказа в обслуживании (DoS), внедрением ложной точки доступа (AP)?
Мы рекомендуем использовать следующие методы защиты:
Авторизация и методы верификации.
Для авторизации клиентов рекомендуется использовать авторизацию с помощью RADIUS либо верификацию клиентов с помощью TPM (trusted platform module). Авторизации по стандартной технологии с применением внешнего авторизующего ресурса открывает богатые возможности для разграничения доступа на основе предоставленных учетных данных, индивидуальных для каждого конечного потребителя, и позволяет легко настроить защищенный гостевой вход.
Для устранения проблемы клонирования точки доступа и проведения DoS-атак применяют следующие методы верификации:
- использование модифицированных протоколов. Этот метод признан наиболее действенным способом борьбы, поскольку вводит в заблуждение программное обеспечение, применяемое при сканировании эфира, и делает анализ перехваченных пакетов невозможным;
- определение временных и специфических характеристик протоколов и ОС для удостоверения неизменности конечных точек. Используя данный подход, можно создавать «от печаток» ОС, проверка которого позволяет исключить внедрение ложной точки доступа или проведение атаки man-in-the-middle.
На канальном уровне наивысшую защиту дает связка Wi-Fi+VPN. В этом случае программное обеспечение VPN-сервера проводит окончательную идентификацию и аутентификацию пользователя и осуществляет его связь с ресурсами защищенной сети.
Универсальная схема защиты.
В завершение приведем универсальную схему защиты, с использованием чипа TPM. В рамках этой технологии основным компонентом при построении системы защиты является специализированный чип Trusted Platform Module, которым должны быть оборудованы все устройства сети. Чип TPM позволяет со 100%-ной точностью авторизовать клиента Wi-Fi-сети, так как каждый TPM содержит уникальный аппаратный сертификат.
Во время начальной загрузки TPM идентифицирует программную и аппаратную часть. В процессе идентификации осуществляется анализ контрольных значений различных компонентов системы и отправка результатов в TPM. Результаты заносятся в специализированную область памяти, неизменную даже в случае горячей перезагрузки системы. При соединении с сетью TPM посылает контрольные значения из памяти в модуль принятия решений, который сравнивает полученные значения со значениями базы данных. В случае совпадения значений с базой данных ПК соединяется с сетью, в противном случае доступ в сеть отклоняется.
Таким образом, с помощью ТРМ можно запретить доступ в сеть неавторизованным компьютерам и программному обеспечению.