`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Арсен Бандурян

Разбираемся с Wi-Fi Direct - ч3 - Безопасность

+44
голоса

Заканчиваем разговор, начатый в первой и второй частях. Сегодня будем разбираться с безопасностью.

Как уже упоминалось раньше, Wi-Fi Direct поддерживает WPA2-PSK для шифрования данных и WPS для безопасного установления соединения. WPA2 использует AES (и отключить его нельзя), а WPS использует EAP. Теоретически, это почти эквивалент WPA2-Enterprise, чего должно быть вполне достаточно для безопасной работы домашних пользователей. Однако, поскольку установление соединения теперь происходит а-ля Bluetooth, есть вероятность того, что все методики атаки BT теперь будут применимы и для Wi-Fi Direct. Наиболее вероятным сценарием представляется имперсонация HostAP и последующий Man in The Middle. Обе эти атаки работают на «8 уровне модели OSI» (человеческом) и не зависят от наличия технических мер защиты, таких как AES и EAP. (Тут можно рассказывать про защищенное туннелирование EAP, но успешные MITM-атаки на SSL показывают, что никакой пупер-механизм не защитит от невнимательности пользователя). Более общий, но сложнее реализуемый вариант – эксплуатация уязвимостей в драйверах/прошивках Wi-Di периферии и использование их как прокси для атаки других участников сети. Тут уж как повезет с разработчиками прошивок и драйверов.

В любом случае, для домашнего пользователя риск относительно невелик. Однако все становится серьезнее, если домашний пользователь с ноутбуком/смартфоном с поддержкой Wi-Di пришел на работу и подключился к корпоративной сети. Вдумайтесь – к вам в офис с утра «пришли» 50 точек доступа, и контроля над ними у вас нет! Описывать последствия, думаю, не имеет смысла. Кроме того, можно реализовать Man In The Middle, имперсонировав «легальное» периферийное устройство Wi-Fi Direct.

Все эти проблемы («корпоративный компьютер с подключением к LAN и включенным Wi-Fi», «подключение корпоративного компьютера к некорпоративной точке доступа», «Несанкционированная точка доступа в сети» она же Rogue) известны достаточно давно, просто с распространением WI-Fi Direct вероятность возникновения этих ситуаций увеличится в разы. Традиционный способ защиты: разрешить иметь только одно активное сетевое подключение, разрешить подключаться только к корпоративным ТД, использовать систему выявления и подавления чужаков. Правда это, фактически, обозначает, полный запрет Wi-Fi Direct (то же самое случилось с Ad-Hoc). Вопрос, только, как следить за выполнением этого запрета? Если компьютеры пользователей еще находятся (иногда) под контролем ИТ, то, скажем, смартфоны – уже нет. Поэтому помимо административных мер, нужны еще технические средства.

Традиционно, для «отлова и отстрела» Ad-Hoc применялись Wireless IPS. Wi-Fi Direct, скорее всего, только поспособствует росту спроса на них. Wireless IPS позволяет анализировать трафик в эфире и банально «отстреливать» все подключения «наших» устройств к «чужим», и наоборот. Таким образом, пока что, это единственная более-менее эффективная мера защиты сразу от Ad-Hoc, криво сконфигурированного Wi-Fi, попыток подключения в обход корпоративной сети, «слива» и до, которая не зависит от типа устройства. Последнее важно, т.к. не на всё можно поставить политику и следить за ее выполнением, как было упомянуто выше,

Подытоживая хочется сказать, что Wi-Fi Direct – это хорошая и полезная инициатива направленное на упрощение жизни рядовых человеков без существенного ущерба их безопасности, однако ценой некоторого бардака в эфире и головной боли корпоративных администраторов. Консумеризация ИТ - это, конечно, заманчиво - но домашнее держите дома :)

+44
голоса

Напечатать Отправить другу

Читайте также

А вот и первая дыра в WPS подоспела
http://www.opennet.ru/opennews/art.shtml?num=32696

О! Как в старых добрых атаках на пароли Windows NT :)
Спасибо за новость!

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT