Bezpieczeństwo sieci bezprzewodowej WLAN jest bardzo istotnym elementem w bezpieczeństwie IT. W związku z medium takich sieci jakie są fale radiowe, sieć taka narażona jest na rożnego typu ataki. Jest bardzo łatwa w konfiguracji i powszechnie stosowana ale czy na pewno bezpieczna? Przedstawiamy obszerny artykuł na temat zabezpieczeń bezprzewodowej sieci lokalnej, w którym poznasz dobre i złe techniki zabezpieczenia, dowiesz się jak ukryć identyfikator SSID i czym jest filtrowanie adresów MAC.
OD REDAKCJI
To trzeci tekst, z dłuższego cyklu artykułów na temat sieci bezprzewodowych Wi-Fi.
- Bezpieczeństwo sieci WiFi – wstęp
- Sieci WLAN Struktura i opis
- Bezpieczeństwo sieci Wi-Fi
- Praktyczny atak – wstrzykiwanie pakietów
- Praktyczny atak – WEP
- Praktyczny atak – WPA/WPA2
- Praktyczny atak – WPS
- 18 złotych zasad bezpieczeństwa sieci Wi-Fi
Poziom trudności: | Wymaga wiedzy z artykułów: Sieci WLAN Struktura i opis
Artykuł opracowaliśmy dla osób, które nie znają jeszcze koncepcji zabezpieczeń sieci bezprzewodowej Wi-Fi lub znają w mniejszym stopniu i chcą rozszerzyć swoje umiejętności o wiedzę z tego zakresu.
Spis treści:
- Problem współdzielonego medium
- Koncepcje zabezpieczenia sieci Wi-Fi
- Rozgłaszanie sieci
- Filtrowanie dostępu
- Izolacja użytkowników
- Szyfrowanie
Słownik pojęć
Wi-Fi – (ang. Wireless Fidelity) jest synonimem określenia WLAN.WLAN – (ang. Wirless Local Area Network) sieć lokalna, w której połączenia między urządzeniami sieciowymi realizuje się bez użycia kabli.
WLAN – (ang. Wirless Local Area Network) sieć lokalna, w której połączenia między urządzeniami sieciowymi realizuje się bez użycia kabli.
AP – (ang. Access Point) urządzenie, które zapewnia hostom (komputerom) dostęp do sieci komputerowej za pomocą bezprzewodowego nośnika transmisyjnego.
Router – jest to urządzenie sieciowe, które pracuje w trzeciej warstwie modelu OSI. Służy do łączenia różnych sieci komputerowych.
Hub – koncentrator, zadaniem urządzenia sieciowego, jest przekazywanie sygnału z jednego portu na wszystkie pozostałe, bez sprawdzania kto jest adresatem wiadomości.
Switch – przełącznik, jest to urządzenie łączące segmenty sieci komputerowej, które bazują głównie w drugiej warstwie modelu ISO/OSI czyli łącza danych. Przekazuje ramki między segmentami sieci z wyborem portu przełącznika.
OSI – model dzieli proces komunikacji sieciowej na siedem oddzielnych warstw.
SSID – (ang. Service Set Identifier) – identyfikator sieci składający się maksymalnie z 32 znaków, dodawany do nagłówków pakietów wysyłanych przez bezprzewodową sieć WLAN.
1. Problem współdzielonego medium
Na początku były koncentratory (ang. hubs). Zadaniem huba urządzenia sieciowego, jest przekazywanie sygnału z jednego portu na wszystkie pozostałe, bez sprawdzania, kto jest adresatem wiadomości. Hub obsługuje warstwę fizyczną, dzięki której przesyłane są impulsy energetyczne. Przy tworzeniu sieci opartej na Hub istniej możliwość podsłuchiwania transmisji innego użytkownika. Schemat działania koncentratora został pokazany na rysunku 3.1.
Rysunek 3.1. Schemat ilustruje działania Huba.
Kolejnym urządzeniem w drodze ewolucji jest switch, jego podstawowym zadaniem jest podział sieci lokalnej na mniejsze fragmenty, aby ograniczyć możliwość powstawania kolizji i dzięki temu zwiększyć przepustowość całej sieci. Switch działa w trybie fullduplex, dzięki czemu możliwa jest równoczesna komunikacja, ponadto generuje on mniejszy ruch a to dzięki temu, że wie, do kogo jest wysłana informacja. W przypadku switcha pakiety są wysyłane do konkretnego odbiorcy, dzięki czemu trudniej jest przechwycić transmisję. Schemat działania przełącznika został pokazany na rysunku 3.2.
Rysunek 3.2. Schemat ilustruje działania switcha.
Nie jest to jednak rozwiązanie dające stuprocentowe bezpieczeństwo. Istnieją ataki, tj. ARP poison, pozwalające na oszukanie przełącznika. Dlatego zaczęto stosować VLAN (ang. Virtual Lan) pozwalające na pełną i bezpieczną izolację poszczególnych urządzeń.
W przypadku sieci LAN, stworzono wiele zabezpieczeń przed dostępem do medium, jakim jest kabel. Można zabezpieczyć urządzenia, zamykając je w szafie, i odpowiednio poprowadzić okablowanie. Podsłuchanie informacji przez kabel jest zadaniem dosyć karkołomnym i trudnym do zrealizowania, chociaż możliwym. Dane przesyłane światłowodem znacznie trudniej podsłuchać czy też wpiąć się do samego kabla niż w wypadku skrętki wystarczy ją przeciąć
i odpowiednio zarobić końcówki. Podsłuchiwanie światłowodu opiera się np. na metodzie opublikowanej metodzie w 2005 roku firmy Network Integrity Systems. Polega ona na wygięciu kabla światłowodowego pod kątem 180 stopni. Powoduje to „wyciekanie” z niego około 1% sygnału świetlnego przewodzonego w środku.
Natomiast, w przypadku sieci Wi-Fi, brak kabli, mobilność oraz łatwość dostępu stanowią ich największe zalety, niestety to, co stanowi największe zalety, jest jednocześnie ich największą wadą. Zastosowanie fal radiowych oznacza wykorzystanie medium transmisyjnego, które jest współdzielone ze wszystkimi urządzeniami będącymi w ich zasięgu.
Oczywiście istnieją tzw. półśrodki mające poprawić bezpieczeństwo sieci bezprzewodowych ograniczające zasięg sieci radiowej, np. poprzez specjalistyczne farby blokujące fale czy ściany tłumiące zasięg. Jednak musimy pamiętać o tym, że osoba chcąca dostać się do naszej sieci może użyć bardzo mocnej anteny kierunkowej i mocnej karty sieciowej skierowanej wprost na nasze pomieszczenie uzyskując tym samym dostęp do sieci. Kiedy sami zmniejszymy moc emitowanego sygnału poprzez konfiguracje na punkcie dostępu możemy utracić zasięg
w niektórych miejscach.
Użycie fal radiowych wprowadza, zatem możliwość przeprowadzania wielu ataków, na które dobrze przygotowane i zabezpieczone sieci LAN nie są już wrażliwe. Sieci Wi-Fi cofnęły ten obszar bezpieczeństwa do ery koncentratorów.
2. Koncepcje zabezpieczania sieci Wi-Fi
Sieci bezprzewodowe często wykorzystują słabe mechanizmy uwierzytelnienia, które mogą być dosyć łatwo złamane i pominięte.
2.1 Rozgłaszanie sieci
Jednym ze sposobów na „zabezpieczenie” sieci Wi-Fi jest wyłączenie rozgłaszania SSID przez AP. Ma to „zabezpieczyć” przed wykryciem obecności sieci, a atakujący, bez znajomości SSID, nie mógłby się do niej podłączyć. Niestety istnieje sniffer – aplikacja, która umożliwia podsłuchiwanie ruchu sieciowego (ang. sniff). Dzięki temu oprogramowaniu możemy przechwycić dowolny pakiet.
W konfiguracji domyślnej wszystkie punkty dostępowe wysyłają swoje identyfikatory SSID
w ramkach rozgłoszeniowych (ramki typu Beacon). Generalnie takie rozwiązanie daje możliwość klientom znajdującym się w zasięgu na łatwe wykrywanie i rozpoznawanie sieci. Ukrywanie identyfikatora SSID polega na wyłączeniu w opcji konfiguracji urządzenia sieciowego rozgłoszenia nazwy identyfikatora sieci WLAN. Nazwa identyfikatora nie jest wtedy wysyłana
w ramkach rozgłoszeniowych.
Aby ominąć takie „zabezpieczenie” możemy użyć właściwie dwóch technik. Jedna będzie wymagała od nas trochę cierpliwości natomiast druga umożliwia praktycznie w kilka sekund odkryć identyfikator takiej sieci.
- Technika pasywna – polega na oczekiwaniu, aż jakiś uprawniony klient podłączy się do punktu dostępowego. Takie zdarzenie spowoduje wygenerowanie pakietów sondowania (ang. Probe Request) i odpowiedź na sondowanie, czyli (ang. Probe Response), która zawiera identyfikator SSID sieci i w ten sposób ujawnia jego obecność.
- Technika rozłączenia użytkowników – polega na wysłaniu w imieniu punktu dostępowego do wszystkich stacji pakietów anulowania uwierzytelnienia (ang. Deauthentication). Możemy to zrobić na przykład dzięki pakietowi aireplay-ng wpisując komendę:
aireplay-ng -0 5 -e Wireless_Lab – a xx:xx:xx:xx:xx:xx wlan0
-0 – przełacznik oznaczający atak cofniecia uwierzytelnienia
5 – ilość powtórzeń (0 oznacza nieskończoność)
-e – identyfikator SSID atakowanego AP
-a – cel ataku (wpisując FF:FF:FF:FF:FF:FF atakujemy całą sieć)
wlan0 – interfejs karty sieciowej
Wysłanie pakietów Deauthentication wymusza na wszystkich klientach rozłączenie się
i ponowne przyłączenie. Kiedy uprawniony klient ponownie połączy się do punktu dostępowego zostaną wysłane pakiety Probe Request i Probe Response.
2.2 Filtrowanie dostępu
Często stosowanym rozwiązaniem przez administratorów w punktach dostępu jest filtrowanie adresów MAC. Gdy próbujemy podłączyć się do jakiejś sieci, ale nie uzyskujemy żadnej odpowiedzi, prawdopodobnie jesteśmy poza zasięgiem zdalnego nadajnika albo administrator włączył właśnie filtrowanie adresów MAC. Komunikat ze strony AP przeważnie wygląda tak:
Status code: Unspecified failure (0x0001)
Każda karta sieciowa, a co za tym idzie każde urządzanie posiada unikalny adres sprzętowy MAC. Lista uprawnionych adresów MAC jest zarządzana przez administratora sieci i zapisywana
w konfiguracji punktu dostępowego.
Filtrowanie urządzeń polega na dostępie do AP tylko wybranych adresów MAC. Problem jednak ponownie tkwi we współdzielonym medium, ponieważ adresy MAC są publicznie widoczne
w warstwie fizycznej komunikacji sieciowej. W związku z tym, bardzo łatwo pokonać to „zabezpieczenie” poprzez podsłuchanie obecnej transmisji i wykrycie adresów MAC urządzeń, które są w stanie komunikować się z AP. Następnie, gdy takie urządzenie nie jest już obecne
w sieci, wystarczy zmienić adres MAC swojego urządzenia.
Adres MAC jest adresem fizycznym i nie można go zmienić jednak można zrobić to sprzętowo. Oznacza to tyle, że po wyłączeniu karty od zasilania karta będzie miała już pierwotny adres. Adres możemy zmienić, np. programem macchanger z dystrybucji Kali Linux:
macchanger –m x:x:x:x:x:x wlan0
#:#:#:#:#:# – MAC karty sieciowej na który chcemy zmienić adres
Filtrowanie adresu MAC jest dobrym zabezpieczeniem w sieci LAN natomiast w sieci WLAN niestety jest nieskuteczne.
2.3 Izolacja użytkowników
Izolacja użytkowników sieci pomiędzy sobą tzw. „wireless client isolation”. Działa to tak, że urządzenia już podłączone do AP, nie mogą się między sobą komunikować, jeśli punkt dostępowy im na to nie zezwoli. Dzięki temu nie ma możliwości podsłuchiwania transmisji.
Niestety, wystarczy przestawić swoją kartę bezprzewodową tak, aby odbierała wszystkie pakiety, tzw. tryb monitor, i wtedy możemy podglądać dane innego użytkownika.
2.4 Szyfrowanie
Współczesne punkty dostępowe wymagają podania hasła w celu podłączenia się do sieci, a wszystkie dane są następnie szyfrowane. Pierwszym takim mechanizmem był WEP, który, jak się okazało, niestety miał poważne wady kryptograficzne. Następnie wprowadzono WPA mające naprawić słabość zabezpieczeń oferowanych przez WEP. Niestety, istnieją wciąż praktyczne i skuteczne możliwości ataku na sieci zabezpieczone przez te szyfry.
Leave a Review