Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Sieć nie do ukrycia

Sieć nie do ukrycia

Najpierw tanio, potem drogo

Takich działań może być wiele. Strach pomyśleć, że firmowa sieć może np. być wykorzystana do wykonania ataku na inną firmę. Przejęty WLAN z dostępem do Internetu stanowi doskonałą stację "przesiadkową" do włamań na inne serwery w Internecie. Włamywacz może się włamywać, mając bezpośrednie podłączenie do sieci WLAN, lub pozostawić w sieci konie trojańskie, by dokonywać ataków później. Udowodnienie, że atak nie jest dziełem pracownika firmy, jest prawie niemożliwe.

Uzyskanie dostępu do sieci firmowej łatwo przeliczyć na pieniądze. W związku z zaostrzeniem prawa spamerzy intensywnie szukają nowych metod ukrywania swojej działalności. W USA niezabezpieczone sieci bezprzewodowe są już powszechnie wykorzystywane do tego celu. Stwierdzono to m.in. za pomocą pułapki sieciowej (honeypot) stworzonej na zlecenie firmy RSA Security. Ponad trzy czwarte nielegalnych połączeń do tego WLAN było wykonywane do wypróbowania możliwości wysyłania spamu.

Włamanie do sieci może mieć na celu przesyłanie lub pobieranie nielegalnych treści, np. pornografii dziecięcej. Sieć WLAN zapewnia wymaganą anonimowość, a że nie jest to tylko możliwość potencjalna, świadczy aresztowanie w Toronto mężczyzny, który wykorzystywał do tego celu osiedlową sieć WLAN. Przedstawiono mu zarzut posiadania nielegalnych treści i kradzieży zasobów telekomunikacyjnych.

Osoba podłączona nielegalnie do cudzej sieci ma - w wielu przypadkach całkowicie uzasadnione - poczucie anonimowości. Włamywacz może działać piętro wyżej lub w budynku po drugiej stronie ulicy. Zlokalizowanie go wcale nie jest łatwe, a gdy korzysta z czułej anteny zewnętrznej, może być oddalony nawet o kilkaset metrów. Co gorsza, po nielegalnym podłączeniu nie zostaje żaden fizyczny ślad.

Jedyną pomocą może być, choć też nie zawsze, poprawnie skonfigurowany, najlepiej dedykowany dla sieci WLAN, system wykrywania włamań.

Wystawieni do wiatru

Problem ulotu informacji z sieci bezprzewodowych został dostrzeżony na etapie projektowania standardów 802.11. Aby mu zapobiec, wprowadzono mechanizm WEP (Wired Equivalent Privacy), zapewniający - w założeniach - sieciom WLAN poziom bezpieczeństwa porównywalny z osiągalnym w sieciach Ethernet. WEP jednak się nie sprawdził. Okazał się słaby kryptograficznie. Ponadto jest jedynie opcjonalny. Przez brak wiedzy, zapomnienie lub wygodnictwo, mało kto go stosuje.

Dodatkowym zabezpieczeniem sieci WLAN jest mechanizm ukrywania identyfikatorów ESSID rozsyłanych przez AP do klientów w formie specjalnych ramek, tzw. beacon packets, w ramach cyklicznego ruchu rozgłoszeniowego. Brak jawnego ESSID uniemożliwia proste podłączenie się nieautoryzowanego klienta do sieci. Również i to zabezpieczenie nie jest w praktyce skuteczne. Trudność polega na zdobyciu identyfikatora ESSID. Można go uzyskać, podsłuchując autoryzowanego klienta podczas logowania lub poszukiwania AP (przechwycenie tzw. probe packets). Można także przeprowadzić atak słownikowy.

Większość AP umożliwia też określenie adresów sprzętowych (MAC) kart WLAN, z których ruch będzie akceptowany. Zdobycie jednego z uprawnionych adresów MAC nie nastręcza jednak wielkiego problemu - sterowniki kart WLAN zarówno dla Windows, jak i Linuxa dopuszczają arbitralne ustalenie adresu MAC. Po zakończeniu pracy przez uprawnioną stację (co może być przez sprytnego włamywacza wymuszone) włamywacz ujawnia się w sieci ze "skradzionym" adresem.

To nie są ćwiczenia

O tym, jak w praktyce wygląda bezpieczeństwo sieci WLAN, przekonali się uczestnicy ubiegłorocznej konferencji AirDefense, poświęconej niczemu innemu jak właśnie kwestiom bezpieczeństwa w sieciach bezprzewodowych. Ze względu na specyfikę konferencji ruch w eterze ściśle monitorowano. Rezultaty były alarmujące.

W ciągu tylko jednego dnia konferencji zarejestrowano 21 ataków typu man-in-the-middle, w większości przypadków mających na celu przejęcie połączeń uczestników konferencji ze swoimi firmami macierzystymi. Co ciekawe, aż 16 z 21 ataków się powiodło. Oprócz tego zaobserwowano 33 ataki na protokoły uwierzytelniania użytkowników podłączających się do sieci bezprzewodowych - głównie próby zgadnięcia haseł w protokołach EAP (Extensible Authentication Protocol) i Cisco LEAP (Lightweight Extensible Authentication Protocol). Próby zakłócenia pracy AP były podejmowane 75 razy, zaś adresy MAC fałszowano 125 razy.

O świadomości zagrożenia wśród uczestników konferencji świadczy fakt, że tylko 6% połączeń do sieci macierzystych (pobieranie poczty itd.) było w jakikolwiek sposób szyfrowane. Pozostałe 94% użytkowników powinno właściwie jeszcze w trakcie konferencji zmienić hasło i zaalarmować swoich administratorów, by uniknąć narażenia firmy na włamanie sieciowe.

Dziesięć przykazań bezpiecznej sieci WLAN
  1. Wyłącz rozgłaszanie komunikatów ESSID na koncentratorze WLAN (Access Point). Dzięki temu przypadkowy podsłuchiwacz nie pozna od razu nazwy sieci, co odsieje większość przypadkowych ciekawskich.

  2. Włącz szyfrowanie WEP z kluczem 128 bitów. Zmusi to włamywacza do spędzenia na łamaniu klucza co najmniej kilkadziesiąt minut, a to powinno zniechęcić 99% podsłuchiwaczy.

  3. Jeśli z powodów technicznych albo organizacyjnych nie możesz używać kluczy 128-bitowych, korzystaj choćby z kluczy 40-bitowych. Rezultat będzie podobny, bo podsłuchiwacz nie wie, jaki klucz jest używany. Włącz WEP dla wszystkich klientów. Nawet jedno niezabezpieczone połączenie może ujawnić włamywaczowi wiele informacji, dzięki którym będzie w stanie przełamywać kolejne zabezpieczenia.

  4. Traktuj identyfikatory ESSID jak hasła. Nawet jeśli masz wyłączone rozgłaszanie ESSID, jest wiele programów błyskawicznie odgadujących proste ESSID na podstawie słownika. Przypadkowy ESSID (np. Iey2ohgu) nie jest trudny do wpisania, a bardzo wydłuża zgadywanie albo w ogóle je uniemożliwia.

  5. Stosuj trudne do zgadnięcia hasła WEP. Teoretycznie hasło dla 40-bitowego klucza WEP powinno mieć ok. 20 znaków, a dla 128-bitowego - niemal 85 znaków (wiele urządzeń dopuszcza nawet hasła do 128 znaków), stosuj minimum hasła 10-znakowe.

  6. Nie zapomnij o zabezpieczeniu koncentratora WLAN. Większość AP udostępnia usługi telnet, SNMP z prostym hasłem fabrycznym lub bez hasła. Pozwala to włamywaczowi bez wysiłku poznać hasła WEP i konfigurację sieci.

  7. Od czasu do czasu testuj bezpieczeństwo swojej sieci. Sprawdzaj, czy nie pojawiły się nieautoryzowane stacje, czy w sieci nie pojawiają się nieszyfrowane pakiety i czy ESSID nie "wycieka" przez którąś ze stacji roboczych lub AP.

  8. Nie podłączaj AP bezpośrednio do okablowania strukturalnego lub serwera. Zabezpiecz dostęp do sieci wewnętrznej za pomocą zapory firewall. W razie włamania do WLAN cała podsieć będzie pod kontrolą intruza.

  9. Jeśli w sieci WLAN są przesyłane ważne dane, które nie powinny wydostać się na zewnątrz, oprócz włączenia WEP rozważ niezależne od niego tunelowanie VPN wykorzystujące sprawdzony, bezpieczny protokół IPsec.

  10. Rada na koniec: korzystaj ze wszystkich dostępnych zabezpieczeń, na które możesz sobie pozwolić - również tych najprostszych. Pamiętaj, że 90% skutecznych włamań do sieci WLAN jest rezultatem braku jakichkolwiek zabezpieczeń.
Źródło: IPsec.pl/WLAN

Paweł Krawczyk jest samodzielnym specjalistą współpracującym m.in. z firmami SecuRing i ABA.

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas