Пять не лучших способа защиты беспроводных сетей

Пять не лучших способа защиты беспроводных сетей

Уже на протяжении многих лет компании по производству оборудования ЛВС продолжают рекомендовать одни и те же пути реализации защиты беспроводных сетей в стандарте IEEE 802.11i, и по прежнему эти теории безопасности остаются призрачными. Чтобы помочь Вам избежать ошибок в реализации безопасности Вашей беспроводной сети, я создал список из пяти способов защиты.

МАК фильтрация

Это передача службе списка доверенных МАК-адресов. Когда кто то захочет подключиться к сети, его МАК адрес сверяется со списком разрешённых, и если в списке такой адрес присутствует – доступ разрешается. МАК адрес это всего лишь 12-значный номер формата HEX (шестнадцатеричный), которые можно спокойно отследить сниффером. В течении 10 секунд можно сменить МАК адрес на тот, который разрешён для доступа и всё, Ваша схема безопасности взломана. Фильтрация МАК абсолютно бесполезна, т. к. такая защита является самой простой для взлома. Удивление вызывает тот факт, что многие крупные компании по прежнему тратят время, чтобы реализовать данную систему защиты.

Сокрытие SSID

Не существует такого понятия как “сокрытие SSID”. Даже если клиент подключён к AP, которая свой SSID не вещает – можно этого клиента переподключить на фиктивную точку доступа: задать ей такой же SSID и вещать его в эфир. Клиент всё равно периодически ищет более качественный сигнал и может переподключиться. Кстати, по появившемся маякам с SSID как у реальной точки доступа, но другим каналом можно с уверенностью судить о попытке создания фиктивной точки доступа: ведь легальная SSID не вещает. Если есть возможность возможность задать жёстко канал, на котором работает точка доступа – не поленитесь использовать эту возможность. Конечно, проблему фиктивной точки доступа это не искоренит, но сильно свяжет руки злоумышленнику… Но, это лишь 1 аспект реализации механизма сокрытия SSID, а всего таких механизмов 5 (ПЯТЬ), которые также будут продолжать транслировать SSID в спектре 2,4 – 5 ГГц. Так что данный вид защиты тоже можно смело отнести к малоэффективным так скажем. Кроме того этот метод менее дружествен к пользователю.

Аутентификация LEAP

Использование технологию Cisco - аутентификация LEAP по прежнему остаётся самой большой ошибкой, которую делают корпорации при развёртывании беспроводной локальной сети, потому что они остаются широко открытыми для атак. Cisco по прежнему говорит своим клиентам, что LEAP полностью безопасна при использовании надёжных паролей. Проблема в том, что запомнить сложный пароль (например DF45gYo0Ofls!2#8lkj%78) для сотрудников оказывается непосильным делом. Если Вы сомневаетесь, проведите аудит паролей всех пользователей компании и посмотрите, сколько потребуется времени, чтобы взломать 99% всех паролей. Любые попытки принудить использование сложных паролей, приведут к тому, что эти пароли будут повсеместно развешаны на стикерах. С выходом crackLEAP (Джошуа Райт) пароли стали взламываться со скоростью света, и Cisco была вынуждена перейти на LEAP upgradeto callerEAP-FAST. К сожалению, EAP-FAST по прежнему отстаёт в сфере безопасности. Cisco выпускает LEAP и EAP-FAST в свободном доступе и использует их для монополизации рынка точек доступа. Но не всё так плохо, существуют открытые стандарты, основанные на EAP механизмах, такие как EAP-TLS, EAP-TTLS и PEAP, которые более безопасны, чем любой LEAP или EAP-FAST, и работают они со всеми адаптерами и точками доступа, а не только с Cisco. Cisco поддерживает открытые ППМ стандарты как и все остальные, поэтому Вы должны всегда должны использовать открытые стандарты EAP, чтобы получить более высокий уровень безопасности и избегать аппаратной блокировки.

Отключение DHCP

Более глупого обеспечения безопасности беспроводной локальной сети трудно себе представить. DHCP выполняет функции автоматического назначения IP адресов. У хакера на взлом такой сети уйдёт около 10 секунд, чтобы выяснить IP схему любой сети и присвоить свой IP. Если Вам говорят что это обеспечит безопасность Вашей беспроводной локальной сети, – это не так и абсолютно бессмысленно.

Размещение антенны

Не однократно слышал и читал от так называемых экспертов по безопасности о таком способе защиты. Рекомендовалось установить антенну в центре офиса/здания/дома и установить излучение на минимальную мощность. Более тупого метода трудно себе представить. Размещение антенны никак не влияет на защищённость беспроводной сети. Помните, что хакеры всегда будут иметь очень мощные приемопередатчики и смогут подключиться даже сидя у себя дома за километр, к Вашей сети. Размещение антенны и мощность должна быть рассчитана на максимальный охват при минимуме помех. Это никогда не должно использоваться в качестве механизма обеспечения безопасности.

Я не включил в обзор бесполезных способов защиты метод – WEP, но мной этот метод вообще не рассматривался, т. к. взлом такой схемы примитивен, а слава богу в последнее время этот метод перестал освещаться.

Эта статья была написана не в качестве юмора. Побудили меня её написать несколько компаний, в которых мне удалось побывать в поисках нового места работы, и.. увы и ах, у них такие схемы до сих пор используются (ожидая приёма, были взломаны с мобилы :) ). Так что если Вы (Ваша компания) попадаете под одну из 5 категорий, то пришло время чтобы проснуться и реализовать некоторые реальные методы обеспечения беспроводной безопасности локальной сети.


Карта сайта


Информационный сайт Webavtocat.ru