Безопасность – это процесс

17 июль, 2005 - 23:00Иван Мартынюк

Беспроводные технологии продолжают победоносно шествовать по планете. На смену устаревшим приходят новые, и сегодня беспроводные сети начинают использовать в тех областях, где раньше их применение считалось практически невозможным. Однако безопасность таких сетей по-прежнему продолжает волновать умы сетевых администраторов и IT-менеджеров.

Прошел год. Что изменилось?

Не так давно мы уже затрагивали тему безопасности в беспроводных сетях. Что же изменилось за это время? А изменилось очень многое. Сразу оговоримся, что в дальнейшем речь будет идти о безопасности сетей Wi-Fi, т. е. работающих на основе протоколов серии IEEE 802.11 (в сетях, использующих другие беспроводные технологии, например Bluetooth, WiMAX, CDMA и др., применяются иные способы обеспечения безопасности).

Главное событие прошедшего года – принятие 24 июня 2004 г. стандарта обеспечения безопасности в беспроводных сетях. Событие настолько знаменательное, что значение его трудно переоценить. Данный стандарт, который не могли ратифицировать более четырех лет, вышел как поправка № 6 к IEEE 802.11 редакции 1999 г. и имеет полное название «IEEE 802.11i Medium Access Control (MAC) Security Enhancements», т. е. расширения по безопасности для MAC-уровня. В описании сказано, что в данной поправке определены механизмы безопасности для стандарта IEEE 802.11, включающие WEP для обеспечения обратной совместимости с оригинальным стандартом редакции 1999 г. Эта поправка определяет протоколы TKIP и CCMP, которые предлагают более надежные механизмы защиты данных, чем WEP. Здесь же вводятся концепция безопасных ассоциаций в IEEE 802.11 и протоколы управления безопасными ассоциациями, названными 4-Way Handshake и Group Key Handshake. Кроме того, указано, как IEEE 802.1x может быть использован протоколом IEEE 802.11 для эффективной аутентификации.

Как видно даже из описания, в стандарте появился новый протокол – CCMP, и отсутствует WRAP, который, как предполагалось, войдет в качестве опционального. Он был исключен, поскольку его использование нарушало права на интеллектуальную собственность.

Что такое WPA2

Какое отношение IEEE 802.11i имеет к WPA2 и какая между ними разница? Цитируем документ: «WPA2 основывается на стандарте IEEE 802.11i. Все продукты, которые сертифицированы для WPA2, основываются на стандарте IEEE 801.11i и поддерживают обязательные элементы стандарта. WPA2 – это одобренная Wi-Fi-альянсом функционально совместимая реализация IEEE 802.11i». Другими словами, данные термины практически идентичны и могут быть взаимозаменяемыми.

О недостатках стандарта WEP, а также о том, что нового внес механизм TKIP (WPA), мы писали год назад. Что же добавили к обеспечению безопасности беспроводных сетей механизм CCMP и стандарт IEEE 802.11i? Последний вводит понятие надежно защищенной сети (Robust Security Network, RSN) и надежно защищенного сетевого соединения (Robust Security Network Association, RSNA), после чего делит все алгоритмы на:

  • RSNA-алгоритмы (для создания и использования RSNA);
  • Pre-RSNA-алгоритмы.

К Pre-RSNA-алгоритмам относятся:

  • WEP;
  • cуществующая аутентификация IEEE 802.11 (имеется в виду аутентификация, определенная в стандарте редакции 1999 г.).

То есть к данным типам алгоритмов относятся аутентификация Open System с WEP-шифрованием или без (точнее, отсутствие аутентификации) и Shared Key.

К RSNA-алгоритмам относятся:

  • TKIP;
  • CCMP;
  • процедура установления и терминации RSNA (включая использование IEEE 802.1x аутентификации)
  • процедура обмена ключами.

При этом алгоритм CCMP является обязательным, а TKIP – опциональным и предназначен для обеспечения совместимости со старыми устройствами. Стандартом предусмотрены две инфраструктурные функциональные модели: с аутентификацией по IEEE 802.1x, т. е. с применением протокола EAP, и с помощью заранее предопределенного ключа, прописанного на аутентификаторе и клиенте (такой режим называется Preshared Key, PSK). В данном случае ключ PSK выполняет роль ключа PMK, и дальнейшая процедура их аутентификации и генерации ничем не отличается. Так как алгоритмы шифрования, использующие процедуру TKIP, уже принято называть WPA, а процедуру CCMP – WPA2, то можно сказать, что способами шифрования, удовлетворяющими RSNA, являются: WPA-EAP (WPA-Enterprise), WPA-PSK (WPA-Preshared Key, WPA-Personal), WPA2-EAP (WPA2-Enterprise), WPA2-PSK (WPA2-Preshared Key, WPA2-Personal).

Процедура установления соединения и обмена ключами для алгоритмов TKIP и CCMP одинакова, и, как и сам алгоритм TKIP, была описана в прошлом материале. Сам CCMP (Counter mode (CTR) with CBC-MAC (Cipher-Block Chaining (CBC) with Message Authentication Code (MAC) Protocol) так же, как и TKIP, призван обеспечить конфиденциальность, аутентификацию, целостность и защиту от атак воспроизведения. Данный алгоритм основан на методе CCM-алгоритма шифрования AES, который определен в спецификации FIPS PUB 197. Все AES-процессы, применяемые в CCMP, используют AES со 128-битовым ключом и 128-битовым размером блока. Алгоритм CCM описан в IETF RFC 3610.

В принципе, способ CCM не является криптографическим алгоритмом и может применяться с любым блочным алгоритмом шифрования. CTR используется непосредственно для шифрования данных, а CBC-MAC – для обеспечения целостности (аналогично функции Michael в TKIP). Введение алгоритма CCMP понадобилось, потому что TKIP, хотя и довольно надежен, но построен на уязвимом алгоритме шифрования – RC4, что, например, в случае применения простой парольной фразы позволяет произвести взлом системы за разумное время. Если при использовании варианта шифрования WPA-EAP это не критично, так как ключ меняется довольно часто, то применение WPA-PSK становится небезопасным. Использование в качестве алгоритма шифрования AES существенно повышает защищенность системы. Появился он не так давно (ратифицирован в октябре 2000 г.) и обладает наиболее высокой криптостойкостью среди симметричных алгоритмов шифрования. На сегодняшний день нет известных атак на AES.

Кроме поддержки нового алгоритма шифрования, в стандарте предусмотрена возможность использования алгоритмов RSNA в инфраструктуре IBSS (Independent Basic Service Set), т. е. в режиме точка–точка (ad hoc). В этом случае каждая станция одновременно выполняет роль и саппликанта, и аутентификатора.

Последним нововведением стандарта является поддержка технологии быстрого роуминга между точками доступа с использованием процедуры кэширования ключа PMK и преаутентификации. Процедура кэширования PMK заключается в том, что если клиент один раз прошел полную аутентификацию при подключении к какой-то точке доступа, то он сохраняет полученный от нее ключ PMK, и при следующем подключении к данной точке в ответ на запрос о подтверждении подлинности клиент пошлет ранее полученный ключ PMK. На этом аутентификация закончится, т. е. 4-стороннее рукопожатие (4-Way Handshake) выполняться не будет. Процедура преаутентификации заключается в том, что после того, как клиент подключился и прошел аутентификацию на точке доступа, он может параллельно (заранее) пройти аутентификацию на остальных точках доступа (которые он «слышит») с таким же SSID, т. е. заранее получить от них ключ PMK. И если в дальнейшем точка доступа, к которой он подключен, выйдет из строя или ее сигнал окажется слабее, чем какой-то другой точки с таким же именем сети, то клиент произведет переподключение по быстрой схеме с закэшированным ключом PMK.

Таблица 1. Возможности протоколов шифрования, используемых в беспроводных сетях
Протокол Open System Shared Key WPA-PSK WPA-EAP WPA2-PSK WPA2-EAP
Алгоритм шифрования RC4 RC4 RC4 RC4 AES (CTR) AES (CTR)
Аутентификация Отсутств. Preshared Key Preshared Key IEEE 802.1x Preshared Key IEEE 802.1x
Длина ключа, бит 64 или 128 64 или 128 128 (шифров.), 64 (аутент.) 128 (шифров.), 64 (аутент.) 128 128
Повторяемость ключа 24-битовый IV 24-битовый IV 48-битовый TSC 48-битовый TSC 48-битовый PN 48-битовый PN
Целостность данных CRC-32 CRC-32 Michael Michael AES (CBC-MAC) AES (CBC-MAC)
Целостность заголовка Отсутств. Отсутств. Michael Michael AES (CBC-MAC) AES (CBC-MAC)
Управление ключами Статические для всей сети На основе EAP Статич. для всей сети На основе EAP

Практика – источник и критерий познания

Как же реально обстоят дела с безопасностью в беспроводных сетях? Насколько надежны и применимы данные методы? Существуют ли какие-то механизмы взлома таких сетей?

Пока разработчики стандарта усовершенствовали механизмы безопасности, по другую сторону баррикад тоже не спали. За этот год появились новые методы, позволяющие довольно быстро взломать WEP, причем затраты труда от самих злоумышленников теперь требуются минимальные. Если раньше практически все средства взлома работали только на Unix-платформах, то за этот год большинство из них портировали на Windows, а некоторые даже и на Mac. В 2005 г. были созданы реально работающие утилиты, дающие возможность за конечное время осуществить взлом WPA-PSK и LEAP методом грубой силы, используя простые парольные фразы. Беспроводные сети также остаются незащищенными от атак типа «Отказ в обслуживании».

Существуют три основные группы таких атак.

На физическом уровне. Использование мощного источника излучения на рабочей частоте точки доступа (глушение сигнала).

Атаки с применением служебных фреймов. При передаче служебных фреймов точка доступа и клиент не выполняют взаимной аутентификации, поэтому взломщик может произвести подмену MAC-адреса и посылать фреймы от имени легального клиента.

Атаки с использованием запросов IEEE 802.1x. Стандарт 802.11i не имеет механизмов отклонения запросов на аутентификацию, поэтому можно сгенерировать такое количество подобных запросов, что точка доступа перестанет справляться с ними.

Еще одной специфической проблемой беспроводных сетей являются атаки с применением чужих точек доступа (rogue AP). Существует два варианта таких атак. Первый, когда злоумышленник самостоятельно получил физический доступ в помещение (или мотивировал сотрудника компании) и установил там подключенную к локальной сети точку доступа. В данном случае она используется как порт доступа к сети. Второй – когда злоумышленник применяет свою точку доступа, не подключая ее к корпоративной сети, но устанавливает на ней SSID- и MAC-адрес реальной точки, существующей в атакуемой фирме, чтобы ее легальные клиенты подключались к «вражеской» точке и предоставляли злоумышленнику свои идентификаторы и пароли доступа к сети.

Кроме того, пользователи беспроводных сетей могут столкнуться c проблемами совместимости между саппликантами, аутентификаторами и серверами аутентификации разных производителей, а также поддержки различных механизмов обеспечения безопасности в разных операционных системах. Дело в том, что только протоколы IEEE 802.1x и IEEE 802.11i являются стандартами, а непосредственно применяемые механизмы аутентификации, основанные на EAP, – или предварительными стандартами, или RFC. И на практике действительно иногда возникают проблемы с аутентификацией при использовании саппликантов и серверов аутентификации от разных компаний.

Так как протокол IEEE 802.11i довольно новый, то не все производители беспроводного оборудования и операционных систем на сегодняшний день включили его реализации в свои продукты. Причем в случае с беспроводным оборудованием поддержка данного стандарта должна осуществляться аппаратно, поскольку AES требует значительных вычислительных ресурсов. Появление продуктов, поддерживающих WPA и WPA2, происходит медленно и не без осложнений, хотя сам стандарт ратифицирован год назад.

Если говорить о продуктах компании Microsoft, то тут возникают нюансы не столько с WPA и WPA2, сколько с различными механизмами аутентификации. Аутентификация по протоколу IEEE 802.1x поддерживается начиная с Windows 2000, но и в ней, и в Windows XP (без сервисных пакетов) реализован только один механизм – EAP-MD5, который не может применяться в WPA и WPA2, так как не поддерживает взаимную аутентификацию клиента и сервера аутентификации и не позволяет передать клиенту PMK. При установке Windows XP Service Pack 1 появляется еще один механизм аутентификации – EAP-TLS. Он может применяться в WPA и WPA2, но аутентификация в этом случае производится только с помощью сертификатов, при этом сама ОС ни WPA, ни WPA2 еще не поддерживает.

После выхода SP1 на сайте компании появилась заплатка, добавляющая поддержку WPA в ОС, но одновременно изменился и способ аутентификации – теперь это EAP-TTLS. Данный способ позволяет производить аутентификацию как посредством сертификатов, так и путем введения имени пользователя и пароля, применяя дополнительный протокол аутентификации внутри TTLS-туннеля. Саппликант Windows XP дает возможность выполнять аутентификацию внутри туннеля только с помощью протокола MSCHAPv2. Данная заплатка сейчас удалена с Web-сайта компании, так как ей на смену пришла новая, где был исправлен ряд ошибок и опять изменился протокол аутентификации – теперь это PEAP, который тоже может использовать MSCHAPv2 для аутентификации внутри PEAP-туннеля.

С выходом Service Pack 2 для Windows XP ничего не изменилось – осталась поддержка WPA с аутентификацией PEAP/MSCHAPv2. Но 29 апреля этого года Microsoft выпустила заплатку (KB893357), добавляющую поддержку WPA2 к Windows XP SP2 (способ аутентификации прежний). Для выполнения аутентификации необязательно использовать саппликант, встроенный в ОС. Это может быть саппликант, поставляемый с драйверами сетевого адаптера или приобретенный отдельно, но дела с поддержкой различных механизмов аутентификации и у других производителей программного обеспечения и беспроводного оборудования обстоят также. Даже Wi-Fi-альянс меняет методики тестирования продуктов на соответствие WPA2. Если 1 сентября 2004 г. альянсом была объявлена методика, включающая тестирование только по протоколу EAP-TLS, то 12 апреля 2005 г. в нее были внесены изменения и добавлены дополнительные протоколы, на которых выполняется тестирование оборудования: EAP-TTLS/MSCHAPv2, PEAPv0/EAP-MSCHAPv2, PEAPv1/EAP-GTC, EAP-SIM. С одной стороны, такая неразбериха доставляет неудобства сетевым администраторам – им нужно настраивать RADIUS-сервер под различные механизмы аутентификации. Но с другой – можно понять и производителей: они ищут наиболее удобный и безопасный способ аутентификации. На сегодняшний день данная ситуация, кажется, уже принимает четкие очертания – все больше вендоров останавливаются на методах аутентификации EAP-TTLS и PEAP.

Безопасность – это процесс
Рис. 1. Режим беспроводного моста между сегментами LAN: протокол WPA2 неприменим

Протокол WPA2 хоть и является очень надежным, но стандартом предусмотрено его применение только в режимах инфраструктуры и точка–точка. В режиме моста для объединения двух кабельных сетей посредством беспроводной (рис. 1) данный протокол применить нельзя, так как в этом случае мы объединяем между собой два аутентификатора, т. е. у нас отсутствует такой элемент, как саппликант.

Таблица 2. Применимость различных способов обеспечения безопасности в зависимости от типа сети
Тип сети Корпоративная сеть Сеть Hot-Spot Мостовое соединение
Использование WPA2 +
WPA +
802.1x +
WEP + + +
VPN +
Вынос точки доступа за брандмауэр + + +
Использование IDS + + +
Аутентификация на пограничном ресурсе + +
Фильтрация по MAC-адресам + +
Отключение рассылки SSID + +

Как это сделать?

И последний вопрос – каким образом надежно защитить беспроводную сеть и можно ли это сделать в принципе? Ответ однозначный – да, можно, а каким именно образом, зависит от типа сети.

Если это небольшая сеть типа точка–точка – использовать WPA2. Если же корпоративная сеть, которая работает в режиме инфраструктуры, то рекомендуется применять все возможные средства защиты: скрытие SSID, списки доступа на основе MAC-адресов и, конечно же, WPA2-EAP. Каким образом корпоративную сеть защитить от чужих точек доступа? Вариант, когда точка доступа не подключена в локальную сеть компании, не страшен, так как для реализации такой атаки сначала понадобится взломать WPA2. А от варианта с подключением можно защититься разными способами:

  • отключить неиспользуемые порты на коммутаторе;
  • задействовать в локальной сети аутентификацию IEEE 802.1x;
  • применять функцию Port Security (указать на коммутаторе, к каким портам какие MAC-адреса могут быть подключены);
  • вынести точки беспроводного доступа за межсетевой экран или в отдельную виртуальную сеть и настроить правила контроля и ограничения трафика между этой сетью и остальными;
  • использовать системы обнаружения вторжений (недавно появилась версия бесплатной популярной системы обнаружения вторжений Snort, предназначенная для беспроводных сетей), специальные беспроводные коммутаторы или точки доступа, позволяющие обнаруживать «чужие» устройства в сети.
Безопасность – это процесс
Рис. 2. Организация беспроводного моста через туннель на IPSec

Если это мостовое соединение, то следует создать туннель с помощью протоколов более высокого уровня, например IPsec между точками доступа. Последние являются устройствами канального уровня, и они, как правило, не умеют терминировать туннели. В данном случае за ними необходимо установить программные или аппаратные устройства, умеющие работать с IPsec (рис. 2).

Наиболее проблематичными в отношении безопасности являются сети публичного доступа («хот-споты»). В силу своей специфики в них нельзя применить ни WPA, ни WPA2, ни шифрование посредством IPsec, так как клиенты работают под разными ОС с разными сервис-паками и заплатками, соответственно, поддерживают различные механизмы аутентификации или не поддерживают никаких. В результате возможно применение только WEP-шифрования, которое не очень надежно. Кроме того, злоумышленник может получить WEP-ключ легальным путем, став пользователем сети публичного доступа. В этой ситуации для обеспечения безопасности, как правило, применяют повторную аутентификацию клиентов на каком-нибудь пограничном ресурсе, установленном за точкой доступа с помощью широко применяемых протоколов, в частности HTTP или HTTPS. При использовании HTTPS единственным уязвимым местом такой системы остается подверженность атакам с ложной точкой доступа, когда взломщик применяет свою точку для получения чужих идентификаторов и паролей. В данном случае пользователям хот-спотов нужно помнить, что их информация может попасть к другим, и при доступе к конфиденциальным ресурсам необходимо применять дополнительные методы защиты – например тот же IPsec. А оператору хот-спота стоит прибегнуть к единственному в данном случае способу защиты – системам обнаружения вторжения, специальным беспроводным коммутаторам и точкам доступа, позволяющим обнаружить чужака.

В заключение в качестве справочной информации приведем две сводные таблицы по возможностям протоколов шифрования и применимости различных способов обеспечения безопасности в зависимости от типа сети.