Защита трафика беспроводных сетей (часть 5)

Итак, в этом цикле мы рассмотрели некоторые компоненты безопасности, которые обычно интегрированы в беспроводные точки доступа. Сейчас я хочу переместить внимание с обсуждения аппаратных компонентов безопасности и начать обсуждение тех компонентов безопасности, которые интегрированы в Windows.

Насколько безопасны беспроводные сети?

Хотя изначально я планировал начать разговор о безопасности беспроводных сетей на уровне операционных систем, я решил сделать перерыв и ответить на вопрос, который интересует многих из вас. Я получил множество писем по электронной почте об этом цикле статей, но среди них постоянно встречается один и тот же вопрос о том, могут ли вообще беспроводные сети быть столь же безопасными, как проводные сети. В конце концов, хакеру даже не нужен физический доступ к месту для взлома беспроводной сети. С помощью специальной антенны хакер может атаковать беспроводную сеть, находясь от нее на расстоянии.

Лично я считаю, что при правильной реализации беспроводная сеть на самом деле является более безопасной, чем среднестатистическая проводная сеть. Суть в том, что если организация не использует самые продвинутые средства безопасности, есть одна значительная уязвимость безопасности, присущая проводным сетям. Большинство проводных сетей, с которыми я сталкивался, построено так, что любое подключенное к ним устройство считается доверенными по умолчанию.

Хотя я должен признать, что организации должны обладать достаточно надежными физическими средствами безопасности для предотвращения несанкционированного подключения любых устройств к сети, такие атаки могут происходить и иногда имеют место.

Много лет назад я работал в организации, в которой большое внимание уделялось безопасности. Мне было поручено найти любые уязвимости безопасности. Если я заподозрил о существовании такой уязвимости, мне разрешалось делать все для определения того, является ли такая потенциальная уязвимость реальной проблемой.

Я знал, что в здании «хромала» физическая безопасность. Поскольку мне часто требовалось приходить ночами для выполнения апгрейдов или каких-либо экстренных технических работ, я знал, что в здании находилось два ночных охранника, по одному на каждом входе в здание. Я также знал, что каждые полчаса они покидали свои посты для обхода по зданию.

Мне хотелось узнать, насколько просто будет злоумышленнику проникнуть в здание и взломать систему безопасности сети. Поскольку я знал график работы охранников, я решил проникнуть в здание, пока охранники совершали его обход. На дверях здания был установлен один из древних типов замков, который легко открывается кредитной картой, поэтому попасть в здание было очень просто. Проникнув в здание, я направился в пустое помещение, где раньше размещались временные работники. Я подключил свой ноутбук к свободному сетевому разъему и запустил программу перехвата пакетов. Я спрятал ноутбук под столом и прикрыл его несколькими картонными коробками, лежавшими рядом. После этого я незаметно покинул здание.

Следующей ночью я снова проник в здание, забрал ноутбук и опять незаметно покинул здание. Я успешно перехватил сетевой трафик за весь рабочий день.

После определенного анализа полученных пакетов и определения того, что мне было нужно я подошел к своему начальнику и объяснил ему, что свободные сетевые разъемы являются значительной угрозой сетевой безопасности. Конечно, у меня были учетные данные администратора для этой сети и круглосуточный доступ к зданию, но я не пользовался ими в своем эксперименте. Я проник в здание и подключился к сети так же, как это сделал бы злоумышленник. Следует учитывать, что у меня было разрешение на испытание сетевой безопасности любыми доступными средствами. Если у вас нет такого разрешения, не рекомендую вам повторять этот трюк, поскольку вас могут уволить или даже арестовать.

После этого эксперимента управление компании решило отключить все неиспользуемые сетевые разъемы в целях предотвращения подобных атак. Но даже это не было идеальным решением проблемы. Каждый сотрудник с доступом к компьютеру имеет также доступ к сетевому разъему под своим столом. Можно было просто отключить один из компьютеров и подключить свое устройство. Конечно, такое устройство можно легко найти, но представьте, что случилось бы, если бы атаку осуществлял сотрудник. Человек, работающий в организации, наверняка знал бы, кто находится в отпуске, и сколько продлится отпуск. Сетевой разъем отсутствующего сотрудника – отличный вариант, а также высока вероятность того, что никто не зайдет в офис отсутствующего сотрудника.

Как я уже говорил, этот эксперимент я проводил много лет назад. Сегодня эффективность такой атаки будет несколько ограниченной, поскольку везде используются сетевые коммутаторы, а не концентраторы, использовавшиеся в прошлом. Даже если кому-то удалось бы подключиться к тому месту, откуда можно перехватить большой объем трафика, такой тип атаки можно легко предотвратить с помощью шифрования IPSec. Использование IPSec шифрования не предотвратило бы попытки подключения к сетевым разъемам и использование программы перехвата пакетов, но оно сделало бы невозможным прочтение перехваченных пакетов.

Но даже в этом случае я склонен считать, что большинство проводных сетей уязвимы для атак, поскольку они воспринимают любое устройство с физическим доступом к сети как доверенное по умолчанию. Хотя IPSec шифрование может кому-то помешать похитить данные, ничто не сможет помешать злоумышленнику передать в сеть пакеты данных.

Я слышал несколько историй о сетях, которые были взломаны путем подключения нескольких неавторизированных устройств. Например, недавно я слышал о сети, которая была взломана человеком, подключившим ноутбук, настроенный в качестве DHCP и DNS сервера. При включении рабочих станций компании некоторым из них адреса были назначены неавторизированным DHCP сервером. DHCP клиенты обычно пытаются обновить аренду IP адреса, использовавшегося до этого, но если этот адрес недоступен, клиент получает другой адрес; возможно даже с другого DHCP сервера.

DHCP сервер, используемый для атаки, направляет рабочие станции, получившие с него адреса, на неавторизированный DNS сервер. На неавторизированном DNS сервере настроены записи, направляющие на вредоносные серверы в интернете, а не на законные ресурсы.

Я считаю, что если кто-то получил физический доступ к проводной сети, есть множество способов взлома такой сети. Конечно, то же самое можно сказать и о беспроводных сетях. Если взломщик сможет подключиться к беспроводной сети, он сможет попытаться взломать ее систему безопасности. Однако это будет правильно только при условии, что беспроводная точка доступа напрямую подключена к проводной сети.

Большинство организаций, для которых сетевая безопасность – не пустой звук, не подключают точки доступа к проводной сети. Вместо этого они подключают их к серверу шлюза. Этот шлюз очень похож на VPN сервер. Он используется для проверки подлинности подключения, прежде чем предоставлять пользователям доступ к ресурсам.

Заключение

Как вы видите, правильно реализованная беспроводная сеть будет более безопасной, чем типичная проводная сеть, поскольку устройства, подключаемые к беспроводной сети не считаются доверенными по умолчанию. Но все же следует отметить, что можно настроить проводную сеть, чтобы и в ней любое подключаемое устройство не считалось доверенным по умолчанию.

В следующей части цикла я начну рассказывать о том, как использовать Windows Server 2008 для защиты беспроводной сети.