Securitate wireless - Wireless security

Securitatea fără fir este prevenirea accesului neautorizat sau a deteriorării computerelor sau a datelor folosind rețele fără fir , care includ rețele Wi-Fi . Termenul se poate referi, de asemenea, la protecția rețelei fără fir de adversarii care doresc să aducă atingere confidențialității, integrității sau disponibilității rețelei. Cel mai comun tip este securitatea Wi-Fi , care include confidențialitate echivalentă prin cablu (WEP) și acces protejat prin Wi-Fi(WPA). WEP este un vechi standard IEEE 802.11 din 1997. Este un standard de securitate notoriu slab: parola pe care o folosește poate fi adesea spartă în câteva minute cu un computer laptop de bază și cu instrumente software disponibile pe scară largă. WEP a fost înlocuit în 2003 de WPA sau Wi-Fi Protected Access. WPA a fost o alternativă rapidă pentru a îmbunătăți securitatea față de WEP. Standardul actual este WPA2; unele hardware nu pot suporta WPA2 fără actualizarea sau înlocuirea firmware-ului. WPA2 utilizează un dispozitiv de criptare care criptează rețeaua cu o cheie de 256 de biți; lungimea mai mare a cheii îmbunătățește securitatea față de WEP. Întreprinderile impun adesea securitatea utilizând un sistem bazat pe certificate pentru a autentifica dispozitivul de conectare, urmând standardul 802.11X.

Multe computere laptop au carduri wireless preinstalate. Capacitatea de a intra într-o rețea în timp ce dispozitivele mobile are avantaje mari. Cu toate acestea, rețeaua fără fir este predispusă la unele probleme de securitate. Hackerii au găsit rețelele fără fir relativ ușor de pătruns și chiar folosesc tehnologia fără fir pentru a intra în rețelele cu fir. Drept urmare, este foarte important ca întreprinderile să definească politici eficiente de securitate fără fir care protejează împotriva accesului neautorizat la resurse importante. Sistemele de prevenire a intruziunilor fără fir (WIPS) sau Sistemele de detectare a intruziunilor fără fir (WIDS) sunt utilizate în mod obișnuit pentru a aplica politicile de securitate fără fir.

Riscurile pentru utilizatorii de tehnologie wireless au crescut pe măsură ce serviciul a devenit mai popular. Au fost relativ puține pericole când a fost introdusă prima dată tehnologia wireless. Hackerii nu avuseseră încă timp să se conecteze la noua tehnologie, iar rețelele fără fir nu se găseau în mod obișnuit la locul de muncă. Cu toate acestea, există multe riscuri de securitate asociate cu protocoalele wireless actuale și cu metodele de criptare , precum și cu neglijența și ignoranța care există la nivelul utilizatorului și al corporației IT. Metodele de piratare au devenit mult mai sofisticate și inovatoare cu acces wireless. Hacking-ul a devenit, de asemenea, mult mai ușor și mai accesibil, cu ajutorul instrumentelor ușor de utilizat Windows - sau Linux, care sunt puse la dispoziție pe internet, gratuit.

Unele organizații care nu au instalate puncte de acces wireless nu consideră că trebuie să soluționeze problemele de securitate wireless. In-Stat MDR și META Group au estimat că 95% din toate laptopurile corporative care erau planificate să fie achiziționate în 2005 erau echipate cu carduri wireless. Probleme pot apărea într-o organizație presupusă non-wireless atunci când un laptop fără fir este conectat la rețeaua corporativă. Un hacker ar putea să stea în parcare și să adune informații de pe acesta prin laptopuri și / sau alte dispozitive sau chiar să pătrundă prin acest laptop echipat cu card wireless și să obțină acces la rețeaua cablată.

fundal

Oricine din zona de rețea geografică a unei rețele wireless deschise, necriptate, poate „ adulmeca ” sau captura și înregistra traficul , obține acces neautorizat la resursele interne ale rețelei, precum și la internet, apoi poate folosi informațiile și resursele pentru a efectua probleme sau acte ilegale. Astfel de încălcări ale securității au devenit preocupări importante atât pentru rețelele de întreprindere, cât și pentru cele de acasă.

Dacă securitatea routerului nu este activată sau dacă proprietarul o dezactivează pentru comoditate, se creează un hotspot gratuit . Deoarece majoritatea computerelor laptop din secolul 21 au rețele wireless încorporate (a se vedea tehnologia Intel " Centrino "), nu au nevoie de un adaptor terță parte, cum ar fi un card PCMCIA sau un dongle USB . Rețeaua fără fir încorporată poate fi activată în mod implicit, fără ca proprietarul să-și dea seama, difuzând astfel accesibilitatea laptopului către orice computer din apropiere.

Sistemele de operare moderne precum Linux , macOS sau Microsoft Windows facilitează configurarea unui PC ca „stație de bază” LAN fără fir folosind partajarea conexiunii la internet , permițând astfel tuturor computerelor din casă să acceseze Internetul prin „baza” "PC. Cu toate acestea, lipsa de cunoștințe în rândul utilizatorilor cu privire la problemele de securitate inerente în configurarea unor astfel de sisteme poate permite adesea altor persoane din apropiere accesul la conexiune. Un astfel de „piggybacking” se realizează de obicei fără știrea operatorului de rețea fără fir; poate fi chiar fără cunoștința utilizatorului care intră dacă computerul selectează automat o rețea fără fir nesecurizată din apropiere pentru a o folosi ca punct de acces.

Situația amenințării

Securitatea wireless este doar un aspect al securității computerului; cu toate acestea, organizațiile pot fi deosebit de vulnerabile la încălcările de securitate cauzate de punctele de acces necinstite .

Dacă un angajat (entitate de încredere) introduce un router wireless și îl conectează la un switchport nesecurizat, întreaga rețea poate fi expusă oricui se află în raza de acțiune a semnalelor. În mod similar, dacă un angajat adaugă o interfață fără fir la un computer din rețea utilizând un port USB deschis, acesta poate crea o încălcare a securității rețelei care ar permite accesul la materiale confidențiale. Cu toate acestea, există contramăsuri eficiente (cum ar fi dezactivarea switchporturilor deschise în timpul configurării comutatorului și configurației VLAN pentru a limita accesul la rețea) care sunt disponibile pentru a proteja atât rețeaua, cât și informațiile pe care le conține, dar astfel de contramăsuri trebuie aplicate uniform tuturor dispozitivelor de rețea.

Amenințări și vulnerabilități într-un context industrial (M2M)

Datorită disponibilității sale și a costului redus, utilizarea tehnologiilor de comunicații fără fir crește în domenii dincolo de zonele de utilizare intenționate inițial, de exemplu, comunicarea M2M în aplicații industriale. Astfel de aplicații industriale au adesea cerințe specifice de securitate. Prin urmare, este important să înțelegem caracteristicile acestor aplicații și să evaluăm vulnerabilitățile care prezintă cel mai mare risc în acest context. Sunt disponibile evaluarea acestor vulnerabilități și a catalogurilor de vulnerabilități rezultate într-un context industrial atunci când se iau în considerare WLAN, NFC și ZigBee.

Avantajul mobilității

Rețelele fără fir sunt foarte frecvente, atât pentru organizații, cât și pentru persoane fizice. Multe computere laptop au carduri wireless preinstalate. Capacitatea de a intra într-o rețea în timp ce dispozitivele mobile are avantaje mari. Cu toate acestea, rețeaua fără fir este predispusă la unele probleme de securitate. Hackerii au găsit rețelele fără fir relativ ușor de pătruns și chiar folosesc tehnologia fără fir pentru a intra în rețelele cu fir. Drept urmare, este foarte important ca întreprinderile să definească politici eficiente de securitate fără fir care protejează împotriva accesului neautorizat la resurse importante. Sistemele de prevenire a intruziunilor fără fir (WIPS) sau Sistemele de detectare a intruziunilor fără fir (WIDS) sunt utilizate în mod obișnuit pentru a aplica politicile de securitate fără fir.

Interfața aeriană și riscul corupției legăturilor

Au fost relativ puține pericole atunci când a fost introdusă prima dată tehnologia fără fir, deoarece efortul de a menține comunicarea a fost mare și efortul de a pătrunde este întotdeauna mai mare. Varietatea riscurilor pentru utilizatorii de tehnologie fără fir a crescut pe măsură ce serviciul a devenit mai popular și tehnologia este mai frecvent disponibilă. Astăzi există un număr mare de riscuri de securitate asociate cu protocoalele wireless curente și cu metodele de criptare , deoarece neglijența și ignoranța există la nivelul utilizatorului și al companiei IT. Metodele de hacking au devenit mult mai sofisticate și mai inovatoare cu ajutorul wireless.

Moduri de acces neautorizat

Modurile de acces neautorizat la linkuri, la funcții și la date sunt la fel de variabile pe măsură ce entitățile respective utilizează codul programului. Nu există un model complet de acoperire a unei astfel de amenințări. Într-o oarecare măsură, prevenirea se bazează pe moduri și metode cunoscute de atac și metode relevante pentru suprimarea metodelor aplicate. Cu toate acestea, fiecare nou mod de operare va crea noi opțiuni de amenințare. Prin urmare, prevenirea necesită un impuls constant de îmbunătățire. Modurile de atac descrise sunt doar un instantaneu al metodelor și scenariilor tipice în care să se aplice.

Asociere accidentală

Încălcarea perimetrului de securitate al unei rețele corporative poate proveni dintr-o serie de metode și intenții diferite. Una dintre aceste metode este denumită „asociere accidentală”. Atunci când un utilizator pornește un computer și se blochează la un punct de acces fără fir din rețeaua suprapusă a unei companii vecine, este posibil ca utilizatorul să nu știe nici măcar că acest lucru a avut loc. Cu toate acestea, este o încălcare a securității prin faptul că sunt expuse informațiile companiei proprietare și acum ar putea exista o legătură de la o companie la alta. Acest lucru este valabil mai ales dacă laptopul este, de asemenea, conectat la o rețea cu fir.

Asocierea accidentală este un caz de vulnerabilitate wireless denumit „asociere greșită”. Asocierea greșită poate fi accidentală, deliberată (de exemplu, făcută pentru a ocoli firewall-ul corporativ) sau poate rezulta din încercări deliberate ale clienților fără fir de a-i atrage să se conecteze la AP-urile atacatorului.

Asociere rău intenționată

„Asocieri rău intenționate” sunt atunci când dispozitivele fără fir pot fi realizate în mod activ de către atacatori pentru a se conecta la o rețea a companiei prin laptopul lor în locul unui punct de acces al companiei (AP). Aceste tipuri de laptopuri sunt cunoscute sub numele de „puncte de acces soft” și sunt create atunci când un criminal cibernetic rulează un software care face ca placa de rețea fără fir să arate ca un punct de acces legitim. Odată ce hoțul a câștigat accesul, el / ea poate fura parole, poate lansa atacuri pe rețeaua cu fir sau poate planta troieni . Deoarece rețelele fără fir funcționează la nivelul Layer 2, protecțiile Layer 3 precum autentificarea rețelei și rețelele private virtuale (VPN) nu oferă nicio barieră. Autentificările wireless 802.1X ajută la o anumită protecție, dar sunt încă vulnerabile la hacking. Ideea din spatele acestui tip de atac nu poate fi aceea de a intra într-un VPN sau alte măsuri de securitate. Cel mai probabil, criminalul încearcă doar să preia clientul la nivelul Layer 2.

Rețele ad hoc

Rețelele ad hoc pot reprezenta o amenințare la adresa securității. Rețelele ad hoc sunt definite ca rețele [peer to peer] între computere fără fir care nu au un punct de acces între ele. În timp ce aceste tipuri de rețele au de obicei puțină protecție, metodele de criptare pot fi utilizate pentru a oferi securitate.

Gaura de securitate oferită de rețeaua Ad hoc nu este rețeaua Ad hoc în sine, ci podul pe care îl oferă în alte rețele, de obicei în mediul corporativ, și setările implicite nefericite din majoritatea versiunilor de Microsoft Windows pentru ca această caracteristică să fie activată dacă nu este dezactivată explicit . Astfel, este posibil ca utilizatorul să nu știe nici măcar că are o rețea ad hoc nesecurizată în funcțiune pe computerul său. Dacă utilizează, de asemenea, o rețea de infrastructură cu fir sau fără fir în același timp, furnizează o punte către rețeaua organizațională securizată prin conexiunea Ad hoc nesecurizată. Podul este sub două forme. O punte directă, care necesită ca utilizatorul să configureze de fapt o punte între cele două conexiuni și, prin urmare, este puțin probabil să fie inițiată, dacă nu se dorește în mod explicit, și o punte indirectă, care este resursele partajate pe computerul utilizatorului. Puntea indirectă poate expune datele private care sunt partajate de pe computerul utilizatorului către conexiunile LAN, cum ar fi folderele partajate sau stocarea privată în rețea, fără a face distincție între conexiunile autentificate sau private și rețelele Ad-Hoc neautentificate. Acest lucru nu prezintă amenințări care nu sunt deja familiare punctelor de acces wifi deschise / publice sau nesecurizate, dar regulile firewall-ului pot fi ocolite în cazul sistemelor de operare prost configurate sau a setărilor locale.

Rețele netradiționale

Rețelele netradiționale, cum ar fi dispozitivele Bluetooth din rețeaua personală , nu sunt sigure de hacking și ar trebui considerate ca fiind un risc de securitate. Chiar și cititoarele de coduri de bare , PDA-urile portabile și imprimantele și copiatoarele fără fir ar trebui să fie securizate. Aceste rețele netradiționale pot fi ușor trecute cu vederea de către personalul IT care s-a concentrat pe laptopuri și puncte de acces.

Furt de identitate (spoofing MAC)

Furtul de identitate (sau falsificarea MAC ) are loc atunci când un hacker este capabil să asculte traficul de rețea și să identifice adresa MAC a unui computer cu privilegii de rețea . Majoritatea sistemelor fără fir permit un fel de filtrare MAC pentru a permite accesul și utilizarea rețelei numai computerelor autorizate cu ID-uri MAC specifice. Cu toate acestea, există programe care au capabilități de „ sniffing ” în rețea . Combinați aceste programe cu alte programe care permit unui computer să pretindă că are orice adresă MAC dorită de hacker, iar hackerul poate trece cu ușurință peste acest obstacol.

Filtrarea MAC este eficientă numai pentru rețelele rezidențiale mici (SOHO), deoarece oferă protecție numai atunci când dispozitivul fără fir este „în aer”. Orice dispozitiv 802.11 „în aer” își transmite în mod liber adresa MAC necriptată în antetele sale 802.11 și nu necesită niciun echipament sau software special pentru a-l detecta. Oricine are un receptor 802.11 (laptop și adaptor fără fir) și un analizor de pachete fără fir freeware poate obține adresa MAC a oricărui 802.11 care transmite în raza de acțiune. Într-un mediu organizațional, în care majoritatea dispozitivelor fără fir sunt „în aer” pe tot parcursul schimbului de lucru activ, filtrarea MAC oferă doar un fals sentiment de securitate, deoarece previne doar conexiunile „ocazionale” sau neintenționate la infrastructura organizațională și nu face nimic pentru a preveni o atac dirijat.

Atacuri om-la-mijloc

Un atacator om în mijloc atrage computerele să se conecteze la un computer care este configurat ca un punct de acces soft ( Access Point ). Odată ce acest lucru este făcut, hackerul se conectează la un punct de acces real printr-un alt card wireless, oferind un flux constant de trafic prin computerul transparent de hacking către rețeaua reală. Hackerul poate apoi să adulmece traficul. Un tip de atac man-in-the-middle se bazează pe erori de securitate în protocoalele de provocare și strângere de mână pentru a executa un „atac de de-autentificare”. Acest atac forțează computerele conectate la AP să renunțe la conexiunile lor și să se reconecteze cu AP-ul soft al hackerului (deconectează utilizatorul de modem, astfel încât trebuie să se conecteze din nou folosind parola pe care o puteți extrage din înregistrarea evenimentului). Atacurile Man-in-the-Middle sunt îmbunătățite de software cum ar fi LANjack și AirJack care automatizează mai mulți pași ai procesului, ceea ce înseamnă că ceea ce odinioară cerea o anumită abilitate poate fi făcut acum de scripturi . Hotspoturile sunt deosebit de vulnerabile la orice atac, deoarece există puține sau deloc securitate în aceste rețele.

Refuzul de serviciu

Un atac Denial-of-Service (DoS) apare atunci când un atacator bombardează continuu un AP ( punct de acces ) sau o rețea vizată cu solicitări false, mesaje de conectare premature de succes, mesaje de eșec și / sau alte comenzi. Acestea fac ca utilizatorii legitimi să nu poată intra în rețea și chiar pot provoca blocarea rețelei. Aceste atacuri se bazează pe abuzul de protocoale, cum ar fi Extensible Authentication Protocol (EAP).

Atacul DoS în sine face puțin pentru a expune datele organizaționale unui atacator rău intenționat, deoarece întreruperea rețelei împiedică fluxul de date și, de fapt, protejează indirect datele, împiedicând transmiterea acestora. Motivul obișnuit pentru efectuarea unui atac DoS este de a observa recuperarea rețelei wireless, în timpul căreia toate codurile inițiale de strângere de mână sunt retransmise de toate dispozitivele, oferind posibilitatea atacatorului rău intenționat de a înregistra aceste coduri și de a utiliza diverse instrumente de cracking să analizeze punctele slabe de securitate și să le exploateze pentru a obține acces neautorizat la sistem. Acest lucru funcționează cel mai bine pe sistemele slab criptate, cum ar fi WEP, unde există o serie de instrumente disponibile care pot lansa un atac în dicționar de chei de securitate „posibil acceptate” bazate pe cheia de securitate „model” capturată în timpul recuperării rețelei.

Injecție de rețea

Într-un atac de injecție de rețea, un hacker poate folosi punctele de acces care sunt expuse traficului de rețea nefiltrat, în special difuzând trafic de rețea, cum ar fi „ Spanning Tree ” (802.1D), OSPF , RIP și HSRP . Hackerul injectează comenzi false de reconfigurare a rețelelor care afectează routerele, comutatoarele și hub-urile inteligente. O întreagă rețea poate fi redusă în acest mod și necesită repornirea sau chiar reprogramarea tuturor dispozitivelor de rețea inteligente.

Atac Caffe Latte

Atacul Caffe Latte este un alt mod de a învinge WEP. Nu este necesar ca atacatorul să se afle în zona rețelei folosind acest exploit. Prin utilizarea unui proces care vizează stiva fără fir Windows , este posibil să se obțină cheia WEP de la un client la distanță. Prin trimiterea unui flux de cereri ARP criptate , atacatorul profită de autentificarea cheii partajate și de defectele de modificare a mesajelor din 802.11 WEP. Atacatorul folosește răspunsurile ARP pentru a obține cheia WEP în mai puțin de 6 minute.

Concepte de prevenire a intruziunilor wireless

Există trei modalități principale de securizare a unei rețele fără fir.

• Pentru rețelele închise (cum ar fi utilizatorii casnici și organizațiile), cel mai comun mod este de a configura restricțiile de acces în punctele de acces . Aceste restricții pot include criptarea și verificarea adresei MAC . Sistemele de prevenire a intruziunilor fără fir pot fi utilizate pentru a oferi securitate LAN fără fir în acest model de rețea.
• Pentru furnizorii comerciali, hotspoturi și organizații mari, soluția preferată este adesea să existe o rețea wireless deschisă și necriptată, dar complet izolată. La început, utilizatorii nu vor avea acces la Internet și nici la resurse de rețea locală. Furnizorii comerciali redirecționează de obicei tot traficul web către un portal captiv care prevede plata și / sau autorizarea. O altă soluție este de a solicita utilizatorilor să se conecteze în siguranță la o rețea privilegiată utilizând VPN .
• Rețelele fără fir sunt mai puțin sigure decât cele cu fir; în multe birouri, intrușii pot vizita și conecta cu ușurință propriul computer la rețeaua cablată fără probleme, obținând acces la rețea și este adesea posibil ca intrușii la distanță să aibă acces la rețea prin ușile din spate, cum ar fi Back Orifice . O soluție generală poate fi criptarea end-to-end, cu autentificare independentă pentru toate resursele care nu ar trebui să fie disponibile publicului.

Nu există un sistem gata conceput pentru a preveni utilizarea frauduloasă a comunicațiilor fără fir sau pentru a proteja datele și funcțiile cu computerele care comunică fără fir și alte entități. Cu toate acestea, există un sistem de calificare a măsurilor luate în ansamblu în conformitate cu o înțelegere comună a ceea ce va fi considerat ca fiind o tehnică de ultimă generație. Sistemul de calificare este un consens internațional, așa cum este specificat în ISO / IEC 15408 .

Un sistem wireless de prevenire a intruziunilor

Un sistem wireless de prevenire a intruziunilor (WIPS) este un concept pentru cel mai robust mod de a contracara riscurile de securitate wireless. Cu toate acestea, astfel de WIPS nu există ca o soluție gata concepută pentru a fi implementată ca pachet software. Un WIPS este de obicei implementat ca o suprapunere la o infrastructură LAN wireless existentă , deși poate fi implementat independent pentru a aplica politici fără fir în cadrul unei organizații. WIPS este considerat atât de important pentru securitatea wireless, încât, în iulie 2009, Consiliul pentru standarde de securitate a cardurilor de plată a publicat ghiduri wireless pentru PCI DSS, recomandând utilizarea WIPS pentru automatizarea scanării și protecției wireless pentru organizațiile mari.

Masuri de securitate

Există o serie de măsuri de securitate fără fir, cu eficacitate și practicitate variate.

Ascunderea SSID

O metodă simplă, dar ineficientă pentru a încerca să securizați o rețea fără fir este să ascundeți SSID (Service Set Identifier). Acest lucru oferă foarte puțină protecție împotriva oricărui lucru în afară de eforturile cele mai ocazionale de intruziune.

Filtrare MAC ID

Una dintre cele mai simple tehnici este de a permite accesul numai de la adrese MAC cunoscute, pre-aprobate. Majoritatea punctelor de acces wireless conțin un anumit tip de filtrare MAC ID. Cu toate acestea, un atacator poate pur și simplu să adulmece adresa MAC a unui client autorizat și să falsifice această adresă .

Adresare IP statică

Punctele de acces wireless tipice furnizează adrese IP clienților prin DHCP . Solicitarea clienților pentru a-și seta propriile adrese face mai dificil pentru un intrus casual sau nesofisticat să se conecteze la rețea, dar oferă o protecție redusă împotriva unui atacator sofisticat.

Securitate 802.11

IEEE 802.1X este mecanismele de autentificare IEEE Standard pentru dispozitivele care doresc să se atașeze la o rețea LAN fără fir.

WEP regulat

Standardul de criptare Wired Equivalent Privacy (WEP) a fost standardul original de criptare pentru wireless, dar din 2004, odată cu ratificarea WPA2 , IEEE l-a declarat „depreciat” și, deși este adesea acceptat, este rareori sau niciodată implicit pentru echipamentele moderne.

S-au ridicat îngrijorări cu privire la securitatea sa încă din 2001, demonstrată dramatic în 2005 de FBI , dar în 2007 TJ Maxx a recunoscut o încălcare masivă a securității datorată parțial dependenței de WEP, iar industria cardurilor de plăți a luat până în 2008 să interzică utilizarea acestuia - și chiar atunci a permis ca utilizarea existentă să continue până în iunie 2010.

WPAv1

Wi-Fi Protected Access (WPA și WPA2) , protocoale de securitate au fost create mai târziu pentru a aborda problemele cu WEP. Dacă se utilizează o parolă slabă, cum ar fi un cuvânt de dicționar sau un șir scurt de caractere, WPA și WPA2 pot fi sparte. Utilizarea unei parole aleatorii suficient de lungi (de exemplu, 14 litere aleatoare) sau a unei expresii de acces (de exemplu, 5 cuvinte alese aleatoriu ) face ca cheia pre-partajată WPA să fie practic nerecuperabilă. A doua generație a protocolului de securitate WPA (WPA2) se bazează pe modificarea finală IEEE 802.11i la standardul 802.11 și este eligibilă pentru conformitatea FIPS 140-2 . Cu toate aceste scheme de criptare, orice client din rețea care știe cheile poate citi tot traficul.

Accesul protejat Wi-Fi (WPA) este o îmbunătățire software / firmware față de WEP. Toate echipamentele WLAN obișnuite care au funcționat cu WEP pot fi pur și simplu actualizate și nu trebuie cumpărate echipamente noi. WPA este o versiune redusă a standardului de securitate 802.11i care a fost dezvoltat de IEEE 802.11 pentru a înlocui WEP. TKIP Algoritmul de criptare a fost dezvoltat pentru WPA pentru a oferi îmbunătățiri WEP care ar putea fi ca campuri de firmware upgrade la 802.11 dispozitivelor existente. Profilul WPA oferă, de asemenea, suport opțional pentru algoritmul AES-CCMP , care este algoritmul preferat în 802.11i și WPA2.

WPA Enterprise oferă autentificare bazată pe RADIUS folosind 802.1X. WPA Personal folosește o cheie partajată ( PSK ) pre-partajată pentru a stabili securitatea utilizând o expresie de acces de la 8 la 63 de caractere. PSK poate fi, de asemenea, introdus ca un șir hexazecimal de 64 de caractere. Expresiile de acces PSK slabe pot fi întrerupte folosind atacuri de dicționar off-line prin captarea mesajelor în schimbul în patru direcții atunci când clientul se reconectează după ce a fost deauthenticat. Suitele wireless, cum ar fi aircrack-ng, pot sparge o frază de acces slabă în mai puțin de un minut. Alte crackere WEP / WPA sunt AirSnort și Auditor Security Collection . Totuși, WPA Personal este sigur atunci când este utilizat cu expresii de trecere „bune” sau o cheie hexazecimală completă de 64 de caractere.

Cu toate acestea, au existat informații că Erik Tews (omul care a creat atacul de fragmentare împotriva WEP) avea să dezvăluie o modalitate de a sparge implementarea WPA TKIP la conferința de securitate PacSec din Tokyo din noiembrie 2008, spargând criptarea pe un pachet între 12 -15 minute. Totuși, anunțul acestui „crack” a fost oarecum suprasolicitat de către mass-media, deoarece din august 2009, cel mai bun atac asupra WPA (atacul Beck-Tews) are doar parțial succes, deoarece funcționează doar pe pachete de date scurte, nu poate descifra cheia WPA și necesită implementări WPA foarte specifice pentru a funcționa.

Adăugări la WPAv1

Pe lângă WPAv1, TKIP, WIDS și EAP pot fi adăugate alături. De asemenea, rețelele VPN (conexiuni de rețea securizate non-continue) pot fi configurate în conformitate cu standardul 802.11. Implementările VPN includ PPTP , L2TP , IPsec și SSH . Cu toate acestea, acest strat suplimentar de securitate poate fi de asemenea spart cu instrumente precum Anger, Deceit și Ettercap pentru PPTP; și ike-scan , IKEProbe , ipsectrace și IKEcrack pentru conexiuni IPsec.

TKIP

Aceasta înseamnă Protocolul de integritate cheie temporală, iar acronimul este pronunțat ca tee-kip. Aceasta face parte din standardul IEEE 802.11i. TKIP implementează amestecarea cheilor per pachet cu un sistem de re-tastare și oferă, de asemenea, o verificare a integrității mesajelor. Acestea evită problemele WEP.

EAP

Îmbunătățirea WPA față de standardul IEEE 802.1X a îmbunătățit deja autentificarea și autorizarea pentru accesul rețelelor LAN fără fir și cablate . În plus, măsuri suplimentare, cum ar fi Extensible Authentication Protocol (EAP), au inițiat o cantitate și mai mare de securitate. Acest lucru, deoarece EAP folosește un server de autentificare central. Din păcate, în 2002, un profesor din Maryland a descoperit unele neajunsuri. În următorii câțiva ani, aceste neajunsuri au fost soluționate prin utilizarea TLS și a altor îmbunătățiri. Această nouă versiune a EAP se numește acum Extended EAP și este disponibilă în mai multe versiuni; acestea includ: EAP-MD5, PEAPv0, PEAPv1, EAP-MSCHAPv2, LEAP, EAP-FAST, EAP-TLS, EAP-TTLS, MSCHAPv2 și EAP-SIM.

Versiuni EAP

Versiunile EAP includ LEAP, PEAP și alte EAP.

SALT

Aceasta înseamnă Protocolul de autentificare extensibil ușor. Acest protocol se bazează pe 802.1X și ajută la minimizarea defectelor originale de securitate utilizând WEP și un sistem sofisticat de gestionare a cheilor. Această versiune EAP este mai sigură decât EAP-MD5. Aceasta folosește și autentificarea adresei MAC. LEAP nu este sigur; THC-LeapCracker poate fi folosit pentru a sparge versiunea Cisco de LEAP și pentru a fi folosit împotriva computerelor conectate la un punct de acces sub forma unui atac de dicționar . Anwrap și asleap sunt în sfârșit alte crackere capabile să rupă LEAP.

PEAP

Aceasta înseamnă Protocolul de autentificare extensibil protejat. Acest protocol permite un transport sigur de date, parole și chei de criptare fără a fi nevoie de un server de certificate. Aceasta a fost dezvoltată de Cisco, Microsoft și RSA Security .

Alte EAP Există alte tipuri de implementări ale protocolului de autentificare extensibil care se bazează pe cadrul EAP. Cadrul care a fost stabilit acceptă tipurile EAP existente, precum și metodele de autentificare viitoare. EAP-TLS oferă o protecție foarte bună datorită autentificării sale reciproce. Atât clientul, cât și rețeaua sunt autentificate folosind certificate și chei WEP per sesiune. EAP-FAST oferă, de asemenea, o bună protecție. EAP-TTLS este o altă alternativă realizată de Certicom și Funk Software. Este mai convenabil, deoarece nu este nevoie să distribuiți certificate utilizatorilor, dar oferă o protecție puțin mai mică decât EAP-TLS.

Rețele cu acces restricționat

Soluțiile includ un sistem mai nou de autentificare , IEEE 802.1X , care promite să sporească securitatea atât în ​​rețelele cu fir, cât și în cele fără fir. Punctele de acces fără fir care încorporează tehnologii precum acestea au adesea și routere încorporate, devenind astfel gateway-uri fără fir .

Criptare end-to-end

Se poate argumenta că atât metodele de criptare de nivel 2, cât și de nivel 3 nu sunt suficient de bune pentru protejarea datelor valoroase, cum ar fi parolele și e-mailurile personale. Aceste tehnologii adaugă criptarea numai unor părți ale căii de comunicație, permițând în continuare oamenilor să spioneze traficul dacă au obținut cumva acces la rețeaua cablată. Soluția poate fi criptarea și autorizarea în stratul aplicației , utilizând tehnologii precum SSL , SSH , GnuPG , PGP și altele similare.

Dezavantajul cu metoda end-to-end este că poate să nu acopere tot traficul. Cu criptarea la nivel de router sau VPN, un singur comutator criptează tot traficul, chiar și căutările UDP și DNS. Cu criptarea de la un capăt la altul, pe de altă parte, fiecare serviciu care trebuie securizat trebuie să aibă criptarea „activată” și, de multe ori, fiecare conexiune trebuie „activată” separat. Pentru trimiterea e-mailurilor, fiecare destinatar trebuie să accepte metoda de criptare și trebuie să schimbe corect cheile. Pentru Web, nu toate site-urile web oferă https și, chiar dacă o fac, browserul trimite adrese IP cu text clar.

Cea mai apreciată resursă este adesea accesul la Internet. Un proprietar de rețea LAN care dorește să restricționeze un astfel de acces se va confrunta cu sarcina de aplicare non-trivială de a face fiecare utilizator să se autentifice pentru router.

Securitate 802.11i

Cea mai nouă și mai riguroasă securitate de implementat în WLAN astăzi este standardul 802.11i RSN. Acest standard deplin 802.11i (care utilizează WPAv2) necesită totuși cel mai nou hardware (spre deosebire de WPAv1), necesitând astfel achiziționarea de echipamente noi. Acest nou hardware necesar poate fi fie AES-WRAP (o versiune anterioară a 802.11i), fie cel mai nou și mai bun echipament AES-CCMP. Ar trebui să vă asigurați că aveți nevoie de echipamente WRAP sau CCMP, deoarece cele 2 standarde hardware nu sunt compatibile.

WPAv2

WPA2 este o versiune marca WiFi Alliance a standardului 802.11i final. Îmbunătățirea principală asupra WPA este includerea algoritmului AES-CCMP ca o caracteristică obligatorie. Atât WPA cât și WPA2 acceptă metode de autentificare EAP folosind servere RADIUS și cheie pre-partajată (PSK).

Numărul rețelelor WPA și WPA2 sunt în creștere, în timp ce numărul rețelelor WEP scade, din cauza vulnerabilităților de securitate din WEP.

S-a constatat că WPA2 are cel puțin o vulnerabilitate de securitate, poreclită Hole196. Vulnerabilitatea folosește cheia temporală WPA2 Group (GTK), care este o cheie partajată între toți utilizatorii aceluiași BSSID , pentru a lansa atacuri asupra altor utilizatori ai aceluiași BSSID . Acesta este numit după pagina 196 din specificația IEEE 802.11i, unde este discutată vulnerabilitatea. Pentru ca acest exploit să poată fi realizat, GTK trebuie să fie cunoscut de atacator.

Adăugări la WPAv2

Spre deosebire de 802.1X, 802.11i are deja majoritatea altor servicii de securitate suplimentare, cum ar fi TKIP. La fel ca în cazul WPAv1, WPAv2 poate funcționa în cooperare cu EAP și WIDS .

WAPI

Aceasta înseamnă Autentificare WLAN și Infrastructură de confidențialitate. Acesta este un standard de securitate wireless definit de guvernul chinez .

Carduri inteligente, jetoane USB și jetoane software

Utilizarea jetonului de securitate este o metodă de autentificare care se bazează doar pe utilizatorii autorizați care dețin jetonul necesar. Cardurile inteligente sunt jetoane fizice din carduri care utilizează un cip de circuit integrat încorporat pentru autentificare, care necesită un cititor de carduri. Jetoanele USB sunt jetoane fizice care se conectează prin portul USB pentru autentificarea utilizatorului.

Ecranare RF

Este practic, în unele cazuri, să aplicați vopsea de perete specializată și folie pentru ferestre pe o cameră sau clădire pentru a atenua semnificativ semnalele wireless, care împiedică propagarea semnalelor în afara unei facilități. Acest lucru poate îmbunătăți semnificativ securitatea wireless, deoarece hackerilor le este dificil să primească semnalele dincolo de zona controlată a unei facilități, cum ar fi de la o parcare.

Apărarea refuzului de serviciu

Majoritatea atacurilor DoS sunt ușor de detectat. Cu toate acestea, multe dintre ele sunt dificil de oprit chiar și după detectare. Iată trei dintre cele mai comune moduri de a opri un atac DoS.

Holing negru

Holingul negru este o modalitate posibilă de a opri un atac DoS. Aceasta este o situație în care eliminăm toate pachetele IP de la un atacator. Aceasta nu este o strategie foarte bună pe termen lung, deoarece atacatorii își pot schimba adresa sursă foarte repede.

Acest lucru poate avea efecte negative dacă se face automat. Un atacator ar putea falsifica cu bună știință pachetele de atac cu adresa IP a unui partener corporativ. Apărările automate ar putea bloca traficul legitim de la partenerul respectiv și ar putea provoca probleme suplimentare.

Validarea strângerii de mână

Validarea strângerii de mână implică crearea de deschideri false și nu punerea deoparte a resurselor până când expeditorul nu recunoaște. Unele firewall-uri abordează inundațiile SYN prin pre-validarea strângerii de mână TCP. Acest lucru se realizează prin crearea de deschideri false. Ori de câte ori ajunge un segment SYN, firewall-ul trimite înapoi un segment SYN / ACK, fără a trece segmentul SYN pe serverul țintă.

Numai atunci când firewall-ul primește înapoi un ACK, care s-ar întâmpla numai într-o conexiune legitimă, firewall-ul va trimite segmentul SYN original pe serverul pentru care a fost destinat inițial. Firewall-ul nu pune la dispoziție resurse pentru o conexiune atunci când ajunge un segment SYN, astfel încât gestionarea unui număr mare de segmente false SYN este doar o povară mică.

Limitare de rata

Limitarea ratei poate fi utilizată pentru a reduce un anumit tip de trafic până la o sumă cu care poate fi tratată în mod rezonabil. Difuzarea către rețeaua internă ar putea fi încă utilizată, dar numai la o rată limitată, de exemplu. Aceasta este pentru atacuri DoS mai subtile. Acest lucru este bun dacă un atac vizează un singur server, deoarece menține liniile de transmisie cel puțin parțial deschise pentru alte comunicări.

Limitarea ratei frustrează atât pe atacator, cât și pe utilizatorii legitimi. Acest lucru ajută, dar nu rezolvă pe deplin problema. Odată ce traficul DoS înfundă linia de acces către internet, nu poate face nimic un firewall de frontieră pentru a ajuta la situație. Majoritatea atacurilor DoS sunt probleme ale comunității care pot fi oprite doar cu ajutorul furnizorilor de servicii Internet și a organizațiilor ale căror computere sunt preluate ca roboți și utilizate pentru a ataca alte firme.

Dispozitive mobile

Odată cu creșterea numărului de dispozitive mobile cu interfețe 802.1X, securitatea acestor dispozitive mobile devine o preocupare. În timp ce standardele deschise, cum ar fi Kismet, sunt orientate spre securizarea laptopurilor, soluțiile punctelor de acces ar trebui să se extindă și asupra acoperirii dispozitivelor mobile. Soluții bazate pe gazdă pentru telefoane mobile și PDA-uri cu interfață 802.1X.

Securitatea în cadrul dispozitivelor mobile se încadrează în trei categorii:

1. Protejarea împotriva rețelelor ad hoc
2. Conectarea la puncte de acces necinstite
3. Scheme de autentificare reciprocă, cum ar fi WPA2, așa cum este descris mai sus

Soluțiile IPS fără fir oferă acum securitate wireless pentru dispozitivele mobile.

Dispozitivele mobile de monitorizare a pacienților devin o parte integrantă a industriei de asistență medicală și aceste dispozitive vor deveni în cele din urmă metoda de alegere pentru accesarea și implementarea controalelor de sănătate pentru pacienții aflați în zone îndepărtate. Pentru aceste tipuri de sisteme de monitorizare a pacienților, securitatea și fiabilitatea sunt esențiale, deoarece pot influența starea pacienților și ar putea lăsa profesioniștii medicali în întuneric despre starea pacientului dacă sunt compromise.

Implementarea criptării rețelei

Pentru a implementa 802.11i, trebuie mai întâi să vă asigurați că routerul / punctele de acces, precum și toate dispozitivele client sunt într-adevăr echipate pentru a sprijini criptarea rețelei. Dacă se face acest lucru, trebuie să fie integrat un server precum RADIUS , ADS, NDS sau LDAP . Acest server poate fi un computer din rețeaua locală, un punct de acces / router cu server de autentificare integrat sau un server de la distanță. AP-urile / routerele cu servere de autentificare integrate sunt adesea foarte scumpe și în mod specific o opțiune pentru utilizare comercială, cum ar fi punctele fierbinți . Serverele 802.1X găzduite prin Internet necesită o taxă lunară; rularea unui server privat este gratuită, dar are dezavantajul că trebuie configurat și că serverul trebuie să fie pornit continuu.

Pentru a configura un server, trebuie instalate software pentru server și client. Software-ul server necesar este un server de autentificare a întreprinderii, cum ar fi RADIUS, ADS, NDS sau LDAP. Software-ul necesar poate fi ales de la diferiți furnizori precum Microsoft, Cisco, Funk Software, Meetinghouse Data și din unele proiecte open-source. Software-ul include:

• Server Aradial RADIUS
• Software Cisco Secure Access Control
• freeRADIUS (open-source)
• Funk Software Steel Belted RADIUS (Odyssey)
• Microsoft Internet Authentication Service
• Meetinghouse Data EAGIS
• SkyFriendz (soluție cloud gratuită bazată pe freeRADIUS)

Software-ul client vine încorporat cu Windows XP și poate fi integrat în alte sisteme de operare folosind oricare dintre următoarele programe:

• AEGIS-client
• Cisco ACU-client
• Software-ul Intel PROSet / Wireless
• Client Odyssey
• Xsupplicant ( open1X ) -proiect

RAZĂ

Remote Authentication Dial In User Service (RADIUS) este un protocol AAA (autentificare, autorizare și contabilitate) utilizat pentru accesul la rețea la distanță. RADIUS, dezvoltat în 1991, a fost inițial proprietar, dar apoi a fost publicat în 1997 sub documentele ISOC RFC 2138 și RFC 2139. Ideea este ca un server intern să acționeze ca gatekeeper prin verificarea identităților printr-un nume de utilizator și o parolă care este deja predeterminată de utilizatorul. Un server RADIUS poate fi, de asemenea, configurat pentru a aplica politicile și restricțiile utilizatorilor, precum și pentru a înregistra informații contabile, cum ar fi timpul de conectare, în scopuri precum facturarea.

Puncte de acces deschise

Astăzi, există o acoperire aproape completă a rețelei wireless în multe zone urbane - infrastructura pentru rețeaua comunității fără fir (pe care unii o consideră a fi viitorul internetului) este deja în vigoare. S-ar putea rătăci și să fie întotdeauna conectat la Internet dacă nodurile ar fi deschise publicului, dar din motive de securitate, majoritatea nodurilor sunt criptate și utilizatorii nu știu cum să dezactiveze criptarea. Mulți oameni consideră că este o etichetă adecvată să lase punctele de acces deschise publicului, permițând accesul gratuit la Internet. Alții consideră că criptarea implicită oferă o protecție substanțială la mici inconveniente, împotriva pericolelor de acces deschis de care se tem că ar putea fi substanțiale chiar și pe un router DSL de acasă.

Densitatea punctelor de acces poate fi chiar o problemă - există un număr limitat de canale disponibile și se suprapun parțial. Fiecare canal poate gestiona mai multe rețele, dar locurile cu multe rețele fără fir private (de exemplu, complexe de apartamente), numărul limitat de canale radio Wi-Fi poate provoca încetineală și alte probleme.

Potrivit susținătorilor Punctelor de Acces Deschis, nu ar trebui să existe niciun risc semnificativ pentru deschiderea rețelelor fără fir pentru public:

• Rețeaua wireless este, la urma urmei, limitată la o mică zonă geografică. Un computer conectat la Internet și care are configurații necorespunzătoare sau alte probleme de securitate poate fi exploatat de oricine din orice parte a lumii, în timp ce numai clienții dintr-o zonă geografică mică pot exploata un punct de acces wireless deschis. Astfel, expunerea este redusă cu un punct de acces wireless deschis, iar riscurile legate de existența unei rețele wireless deschise sunt mici. Cu toate acestea, trebuie să fim conștienți de faptul că un router wireless deschis va oferi acces la rețeaua locală, inclusiv accesul la fișiere partajate și imprimante.
• Singura modalitate de a păstra comunicarea într-adevăr sigură este utilizarea criptării end-to-end . De exemplu, atunci când accesați o bancă de internet, s-ar folosi aproape întotdeauna o criptare puternică din browserul web și până la bancă - prin urmare, nu ar trebui să fie riscant să faceți operațiuni bancare pe o rețea fără fir necriptată. Argumentul este că oricine poate adulmeca traficul se aplică și rețelelor cu fir, unde administratorii de sistem și posibilii hackeri au acces la linkuri și pot citi traficul. De asemenea, oricine cunoaște cheile pentru o rețea fără fir criptată poate avea acces la datele transferate prin rețea.
• Dacă servicii precum partajarea de fișiere, accesul la imprimante etc. sunt disponibile pe rețeaua locală, este recomandabil să aveți autentificare (adică prin parolă) pentru accesarea acestuia (nu trebuie să presupunem niciodată că rețeaua privată nu este accesibilă din exterior). Configurat corect, ar trebui să fie sigur să permită accesul la rețeaua locală a persoanelor din afară.
• Cu cei mai populari algoritmi de criptare de astăzi, un sniffer va putea, de obicei, să calculeze cheia de rețea în câteva minute.
• Este foarte obișnuit să plătești o taxă lunară fixă ​​pentru conexiunea la internet și nu pentru trafic - astfel, traficul suplimentar nu va fi dăunător.
• În cazul în care conexiunile la internet sunt abundente și ieftine, încărcătorii freelare vor fi rareori o pacoste proeminentă.

Pe de altă parte, în unele țări, inclusiv în Germania, persoanele care oferă un punct de acces deschis pot fi făcute (parțial) responsabile pentru orice activitate ilegală desfășurată prin intermediul acestui punct de acces. De asemenea, multe contracte cu furnizorii de servicii Internet specifică că conexiunea nu poate fi partajată cu alte persoane.

Vezi si

• Aircrack-ng
• Ecranare electromagnetică
• Kismet
• KRACK
• Lista proiectelor firmware-ului routerului
• Securitate mobilă
• Standard de securitate a datelor din industria cardurilor de plată
• Tapet Stealth
• Tempest (nume de cod)
• Sistem de prevenire a intruziunilor wireless
• Infrastructură fără cheie publică (WPKI)

Referințe

• Wi-Foo: Secretele pirateriei fără fir (2004) - ISBN  978-0-321-20217-8
• Securitate reală 802.11: acces protejat Wi-Fi și 802.11i (2003) - ISBN  978-0-321-13620-6
• Proiectarea și implementarea autentificării și securității WLAN (2010) - ISBN  978-3-8383-7226-6
• „Evoluția securității wireless 802.11” (PDF) . ITFFROC. 18.04.2010.
• Boyle, Randall, Panko, Raymond. Securitate computerizată corporativă. Upper Saddle River, New Jersey. 2015

linkuri externe

• Securitate wireless la Curlie
• Cum să vă protejați rețeaua de acasă fără fir la wikiHow