Защита трафика беспроводных сетей (часть 5)

Итак, в этом цикле мы разглядели некие составляющие безопасности, которые обычно интегрированы в беспроводные точки доступа. На данный момент я желаю переместить внимание с обсуждения аппаратных компонент безопасности и начать обсуждение тех компонент безопасности, которые интегрированы в Windows.

Как неопасны беспроводные сети?

Хотя вначале я планировал начать разговор о безопасности беспроводных сетей на уровне операционных систем, я собрался сделать перерыв и ответить на вопрос, который интересует многих из вас. Я получил огромное количество писем по электрической почте об этом цикле статей, но посреди их повсевременно встречается один и тот же вопрос о том, могут ли вообщем беспроводные сети быть настолько же неопасными, как проводные сети. В конце концов, хакеру даже не нужен физический доступ к месту для взлома беспроводной сети. При помощи специальной антенны взломщик может штурмовать беспроводную сеть, находясь от нее на расстоянии.

Лично я считаю, что при правильной реализации беспроводная сеть по сути является более неопасной, чем среднестатистическая проводная сеть. Сущность в том, что если организация не употребляет самые продвинутые средства безопасности, есть одна значимая уязвимость безопасности, присущая проводным сетям. Большая часть проводных сетей, с которыми я сталкивался, выстроено так, что хоть какое присоединенное к ним устройство считается доверенными по дефлоту.

Хотя я должен признать, что организации должны владеть довольно надежными физическими средствами безопасности для предотвращения несанкционированного подключения всех устройств к сети, такие атаки могут происходить и время от времени имеют место.

Много годов назад я работал в организации, в какой огромное внимание уделялось безопасности. Мне было доверено отыскать любые уязвимости безопасности. Если я заподозрил о существовании таковой уязвимости, мне разрешалось делать все для определения того, является ли такая возможная уязвимость реальной неувязкой.

Я знал, что в здании «хромала» физическая безопасность. Так как мне нередко требовалось приходить ночами для выполнения апгрейдов либо каких-то критических технических работ, я знал, что в здании находилось два ночных сторожа, по одному на каждом входе в здание. Я также знал, что каждые полчаса они покидали свои посты для обхода по зданию.

Мне хотелось выяснить, как просто будет злодею просочиться в здание и взломать систему безопасности сети. Так как я знал график работы сторожей, я решил просочиться в здание, пока сторожи совершали его обход. На дверцах строения был установлен один из старых типов замков, который просто раскрывается кредитной картой, потому попасть в здание было до боли просто. Проникнув в здание, я направился в пустое помещение, где ранее располагались временные работники. Я подключил собственный ноутбук к свободному сетевому разъему и запустил программку перехвата пакетов. Я упрятал ноутбук под столом и прикрыл его несколькими картонными коробками, лежавшими рядом. После чего я неприметно покинул здание.

Последующей ночкой я опять просочился в здание, забрал ноутбук и снова неприметно покинул здание. Я удачно перехватил сетевой трафик за весь рабочий денек.

После определенного анализа приобретенных пакетов и определения того, что мне было необходимо я подошел к собственному начальнику и растолковал ему, что свободные сетевые разъемы являются значимой опасностью сетевой безопасности. Естественно, у меня были учетные данные админа для этой сети и круглосуточный доступ к зданию, но я не воспользовался ими в собственном опыте. Я просочился в здание и подключился к сети так же, как это сделал бы злодей. Следует учесть, что у меня было разрешение на испытание сетевой безопасности хоть какими доступными средствами. Если у вас нет такового разрешения, не рекомендую вам повторять этот трюк, так как вас могут уволить либо даже арестовать.

После чего опыта управление компании решило отключить все неиспользуемые сетевые разъемы в целях предотвращения схожих атак. Но даже это не было безупречным решением трудности. Каждый сотрудник с доступом к компу имеет также доступ к сетевому разъему под своим столом. Можно было просто отключить один из компов и подключить свое устройство. Естественно, такое устройство можно просто отыскать, но представьте, что случилось бы, если б атаку производил сотрудник. Человек, работающий в организации, наверное знал бы, кто находится в отпуске, и сколько продлится отпуск. Сетевой разъем отсутствующего сотрудника – хороший вариант, также высока возможность того, что никто не зайдет в кабинет отсутствующего сотрудника.

Как я уже гласил, этот опыт я проводил много годов назад. Сейчас эффективность таковой атаки будет несколько ограниченной, так как всюду употребляются сетевые коммутаторы, а не концентраторы, использовавшиеся в прошедшем. Даже если кому-то удалось бы подключиться к тому месту, откуда можно перехватить большой объем трафика, таковой тип атаки можно просто предупредить при помощи шифрования IPSec. Внедрение IPSec шифрования не предупредило бы пробы подключения к сетевым разъемам и внедрение программки перехвата пакетов, но оно сделало бы неосуществимым чтение перехваченных пакетов.

Но даже в данном случае я склонен считать, что большая часть проводных сетей уязвимы для атак, так как они воспринимают хоть какое устройство с физическим доступом к сети как доверенное по дефлоту. Хотя IPSec шифрование может кому-то помешать похитить данные, ничто не сумеет помешать злодею передать в сеть пакеты данных.

Я слышал несколько историй о сетях, которые были взломаны методом подключения нескольких неавторизированных устройств. К примеру, не так давно я слышал о сети, которая была взломана человеком, подключившим ноутбук, настроенный в качестве DHCP и DNS сервера. При включении рабочих станций компании неким из их адреса были назначены неавторизированным DHCP сервером. DHCP клиенты обычно пробуют обновить аренду IP адреса, использовавшегося ранее, но если этот адресок недоступен, клиент получает другой адресок; может быть даже с другого DHCP сервера.

DHCP сервер, применяемый для атаки, направляет рабочие станции, получившие с него адреса, на неавторизированный DNS сервер. На неавторизированном DNS сервере настроены записи, направляющие на вредные серверы в вебе, а не на легитимные ресурсы.

Я считаю, что если кто-то получил физический доступ к проводной сети, есть огромное количество методов взлома таковой сети. Естественно, то же самое можно сказать и о беспроводных сетях. Если взломщик сумеет подключиться к беспроводной сети, он сумеет попробовать взломать ее систему безопасности. Но это будет верно только при условии, что беспроводная точка доступа впрямую подключена к проводной сети.

Большая часть организаций, для которых сетевая безопасность – не пустой звук, не подключают точки доступа к проводной сети. Заместо этого они подключают их к серверу шлюза. Этот шлюз очень похож на VPN сервер. Он употребляется для проверки подлинности подключения, до того как предоставлять юзерам доступ к ресурсам.

Заключение

Как вы видите, верно реализованная беспроводная сеть будет более неопасной, чем обычная проводная сеть, так как устройства, подключаемые к беспроводной сети не числятся доверенными по дефлоту. Но все таки необходимо подчеркнуть, что можно настроить проводную сеть, чтоб и в ней хоть какое подключаемое устройство не числилось доверенным по дефлоту.

В последующей части цикла я начну говорить о том, как использовать Windows Server 2008 для защиты беспроводной сети.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.