Протокол 802.1X разработан в качестве надстройки для всех протоколов контроля доступа 2 уровня, включая Ethernet и WLAN. Так как данный протокол был разработан в то время, когда создатели WLAN искали решения проблем, связанных с WEP, он пришелся как нельзя кстати.
Протокол предназначен для обеспечения обобщенного механизма аутентификации при доступе в сеть и предусматривает следующий набор элементов:
· Аутентификатор. Сетевое устройство, осуществляющее поиск других объектов для аутентификации; для WLAN это может быть AP.
· Соискатель. Объект, которому требуется доступ. В случае с WLAN это может быть рабочая станция.
· Сервер аутентификации. Источник служб аутентификации. 802.1X разрешает централизацию этой функции, поэтому данный сервер является, например, сервером RADIUS.
· Сетевая точка доступа. Точка присоединения рабочей станции к сети. По сути, это порт на коммутаторе или концентраторе. В беспроводной технологии она является связью между рабочей станции и точкой доступа.
· Процесс доступа через порт (PAE). PAE - это процесс, выполняющий протоколы аутентификации. PAE есть как у аутентификатора, так и у соискателя.
· Расширяемый протокол аутентификации (EAP). Протокол EAP (определен в стандарте RFC 2284) представляет собой протокол, используемый при обмене аутентификационными данными. Поверх EAP могут работать и другие протоколы аутентификации более высокого уровня.
Использование протокола 802.1X позволяет применить более надежный механизм аутентификации, нежели возможности, доступные в 802.11x. При использовании совместно с сервером RADIUS становится возможным централизованное управление пользователями.
Примечание
Для функционирования 802.1X рабочая станция и точка доступа должны иметь между собой связь. Поэтому рабочая станция уже может быть подключена к беспроводной сети перед аутентификацией.
Взаимная аутентификация является необязательной относительно 802.1X, и, таким образом, множество инсталляций по умолчанию будет открыто для атак перехватом. 802.1X также предусматривает одноразовую аутентификацию (в начале сеанса). Следовательно, если злоумышленник завладеет MAC-адресом легальной рабочей станции, он получит возможность захватить сеанс и работать в сети WLAN под видом одного из легальных пользователей.
увеличить изображение
Рис. 18.3. Атака на WEP через посредника
Проверка знаний
1. Механизм безопасности передачи, определенный в 802.11x, называется __________.
2. __________ - это строка, необходимая любой рабочей станции для установки связи с точкой доступа.
Вопросы безопасности беспроводных соединений
С расширением применения WLAN в организациях возникла необходимость в осознании рисков, связанных с использованием этих сетей. Риски варьируются от прослушивания до направленных внутренних атак и даже атак, нацеленных на внешние сайты.
Обнаружение WLAN
Обнаружить WLAN очень легко. Действительно, именно для этой цели был разработан ряд средств. Одной из таких утилит является NetStumber (https://www.netstumber.com/); она работает в операционных системах семейства Windows и может использоваться совместно со спутниковым навигатором (ресивером глобальной системы позиционирования, GPS) для обнаружения беспроводных сетей WLAN. Данная утилита идентифицирует SSID сети WLAN, а также определяет, используется ли в ней WEP. Существуют и другие средства, идентифицирующие рабочие станции, подключенные к точке доступа, а также их MAC-адреса например, Kismet (https://www.kismetwireless.net/).
Использование внешней антенны на портативном компьютере делает возможным обнаружение сетей WLAN во время обхода нужного района или поездки по городу. Надежным методом обнаружения WLAN является обследование офисного здания с переносным компьютером в руках. Внешняя антенна не является необходимой, однако помогает расширить диапазон обнаружения, которым обладают утилиты.
Прослушивание
Возможно, наиболее очевидным риском, представляемым для организации, использующей беспроводную сеть, является возможность проникновения злоумышленника во внутреннюю сеть компании. Беспроводные сети по своей природе позволяют соединять с физической сетью компьютеры, находящиеся на некотором расстоянии от нее, как если бы эти компьютеры находились непосредственно в сети. Такой подход позволит подключиться к беспроводной сети организации, располагающейся в здании, человеку, сидящему в машине на стоянке рядом с ним (см. рис. 18.4).
увеличить изображение
Рис. 18.4. Прослушивание сети WLAN
Данный тип доступа в сеть иногда не доставляет какого-либо беспокойства некоторым организациям. Например, в некоторых высших учебных заведениях установлены беспроводные сети, чтобы сетевые ресурсы были доступны студентам и сотрудникам в любой точке территории университета. Однако это прекрасная возможность для злоумышленника перехватить данные, передаваемые во внутренней сети.
Даже те организации, в которых используется WEP, являются уязвимыми к данному типу прослушивания. Такие средства, как WEPCrack (о данной утилите уже говорилось выше), требуют обработки нескольких миллионов пакетов, прежде чем смогут быть определены ключи шифрования. В сильно загруженной сети это не займет много времени. После перехвата пакетов программа определяет ключи шифрования.
Даже если в организации реализована надежная аутентификация, которую должны проходить все пользователи для доступа к секретным файлам и системам, злоумышленник может без труда добыть секретные сведения посредством пассивного прослушивания сети. Атаку посредством пассивного прослушивания практически невозможно обнаружить.
Вопрос к эксперту
Вопрос. Можно ли использовать в качестве антенны пустую банку из-под чипсов "Pringles"?
Ответ. Да, можно. Банка из-под Pringles (а также некоторые другие вещи) может быть использована для конструирования отличной антенны для сети 802.11x. По следующему адресу можно ознакомиться с подробными сведениями по этому вопросу, а также с полной схемой антенны:https://www.oreillynet.com/cs/weblog/view/wlg/448.
Активные атаки
Несмотря на то, что прослушивание сети представляет серьезную опасность, активные атаки могут быть еще более опасными. Рассмотрим основной риск, связанный с беспроводными сетями: злоумышленник может успешно преодолеть периметр сетевой защиты организации. Большинство организаций размещают большую часть средств безопасности (межсетевые экраны, системы обнаружения вторжений и т. д.) на линии сетевого периметра. Системы, расположенные внутри периметра, как правило, защищены в гораздо меньшей степени (вспомните мягкую жевательную резинку в леденце). Действительно, на внутренние системы часто не устанавливаются нужные дополнения, так как эти системы располагаются в "защищенной" части сети.
В большей части организаций используется некоторый метод аутентификации перед предоставлением доступа к серверам и файлам. Однако если на системах не установлены нужные обновления, у злоумышленника появляется возможность обнаружить эти уязвимости, которыми он сможет воспользоваться для выполнения несанкционированных действий.
Внимание!
Не следует полагать, что атаки с использованием уязвимостей - это единственный способ злонамеренного воздействия злоумышленников. Если хакер прослушивает сеть, он может также перехватить пароли и пользовательские идентификаторы.
Атаки на внутренние системы организации - не единственный метод причинения ущерба организации. Разумеется, потеря конфиденциальной информации крайне нежелательна, но что если плюс ко всему пострадает репутация компании? Вместо проведения внутренних атак злоумышленник может использовать сетевое соединение для атаки извне (см. рис. 18.5). Таким образом, организация становится источником атакующего трафика, нацеленного на другую компьютерную систему.
увеличить изображение
Рис. 18.5. Атака на внешние системы
В случае обнаружения злоумышленника возникает вопрос: откуда он действует. Злоумышленник привязан к IP-адресу, однако этот IP- адрес физически может быть никак не связан с конкретным местоположением.
Злоумышленник может располагаться где угодно в радиусе действия беспроводной сети. В последнее время представляет собой серьезную проблему поиск и пресечение деятельности злоумышленников. Посредством атак изнутри злоумышленник может обходить стороной механизмы защиты большей части организаций. Речь идет о тех же механизмах, которые использовались бы для отслеживания действий злоумышленников.
Возможные юридические вопросы
Еще одной потенциальной угрозой для организации является риск, связанный с правовыми аспектами и вопросами ответственности, которые могут возникнуть, если злоумышленник попытается получить доступ во внутреннюю сеть организации. Во-первых, необходимо разобраться, предприняла ли организация должные меры по защите секретной информации. Каким образом, например, инспекторы могут расценить ситуацию, когда злоумышленник получает доступ к информации о клиентах в банке? Предусматривается вероятная ответственность за успешную атаку злоумышленника, направленную на другую организацию, осуществленную через беспроводную сеть веб-сайта вашей организации. Может ли владелец беспроводной сети понести ответственность за причиненный таким образом ущерб? Следует проконсультироваться по данному вопросу с главным юридическим консультантом компании.