Одом У. - CISCO Официальное руководство по подготовке к сертификационным экзаменам CCENTCCNA ICND1 - 2010 (953096), страница 81
Текст из файла (страница 81)
Конечно же, ссчрудники злоумышленниками не яв',,«"„',-,: ляютея, тем Не менее, они непреднамеренно могут упростить хакерам получе"=;;;:,;-:::: ние доступа к внутренней сеги предприятия. Работник компании может пойти влюбой компьютерный магазин, купнуть недорогую точку доступа, установить -",:::;::,::;;е~ в офисе и создать маленькую беспроводную сеть со станлартными настрой-. ;«.;,'-::"': ":КаМи„т.е«без сконфигурированных параметров безопасности. В результате хах,, кар.'мажет 'получить доступ к внутренней сети предприятия, сидя за стодвком« ~.'::,:;:,:::::,,~ через дорогу..
Кроме того, если в клиентском устройстве не испояьзуезвя ь-";— :«Ш«,й4Фоввние. передающиеся между легальным' компьютером и сетью 'прел-' Часть Н. Коммутация а локальных сазяа)„:,' зг приятия данные могут быть легко перехвачены и скопированы злоумышдеа никами вне злания. В НЕЗаратяетрярвааняая тОЧКа ЛОСтуяа (ГОКВЕ АР).
АтаКуЮШнй ЗаХВатЫВаЕт лязга ты существующей беспроводной сети, получая таким образом идентификвзйгф!;",.::!', зз11), и взламывает ключи безопасности (если они есть). Поле этого он усщ':::::.",: навливает свою собственную точку доступа с теми же самыми настройкщ~щ '-';. чтобы сотрудники подключались к ~~ей. Таким образом, впоследствии польза.' '... ватели могуг вводип в каких-то службах свои имена и пароли, и такая иифф~-",",,',: мация будет перехвачена и использована на следующих этапах взлома сети, Чтобы уменьшить риск таких атак, в сетях Чг1.А!Ч используются три основа!~~~...-';г инструмента: ° взаимная аутентификация (пидна! аиг(зев!!сагюп); а колирование (епсгурГюп); ° средства обнаружения вторжений (!пггпа!оп гоо1х).
МеждУ точкой лостУпа и клиентом лолжна использоватьсЯ взаимнаЯ аУтентаГ(!(В(гг кация. В аутентификации используется секретный пароль, называемый' ключом; тарый должен быть установлен в клиенте и в точке доступа. Полу ~ив кодироввгг)((~1' сообшение, точка доступа с помошью сложных математических алгоритмов пув)(йг) ряет, правильный ли ключ передал клиент. Аналогично, клиент, получая сооб' ' " от точки доступа, может убедиться в правильности ключа, это и есть взаимная а ", „, тификация — ко~да лва устройства аугентифицируют вру~ друга. Протокол ! информацией в этом варианте никогла не пересылает ключ через беспрово сеть, следовательно, злоумышленник, даже используя специализированные анализа сети и графика, копируя и анализируя все фреймы, не сможет узиатв Кроме того, поскольку и клиент аутентифицирует точку доступа, он не лодка к незарегистрированной точке, поскольку в ней нез.
нужного ключа. Не менее важным элементом безопасное~и беспроводной сети являетса ванне (епсгурбоп), В шифровании используется закрытый ключ (аесгег )геу) г),:--'. матическии алгоритм для шифрования содержимого фрейма сети %ЕАг(:.У во-получатель также используег некоторый математический алгоритм лаявшая,, ровки данных. Не владея закргятым ключом, злоумышленник сможет пе(зВз()Ф,,„ фрейм, но не сможет прочитать его содержимое. Вспомогательные средства безопасности беспроводных сетей включат:,,Ж: Различные программные и аппаратные средства обнаружения вторжений. гЯ два основных варианта таких среде~в.
системы обнаружения вторжений (1пг„., Пегесбоп Вуагегпа — 1!)5) и системы предотвращения вторжений ((пгпззгоп ВОП Яуагсцж — !РАЙ); КРОМЕ ТОГО, СуШЕСтауЮГ СПЕцнфнЧЕСКИЕ Срсдетяа Ив~ей)ГГ)г:.'. -. беспроволных сетей. у компании С!асо есть специализированный термиВ:г)!гг1 „ сания совокупности таких сетей — архитектура структурированной беса сети (Бгпзсшгег1 %!ге!ея;-Ач аге !'!еггхог)г — БЮАХ). Под этим термином цодйя ется множество инструментов, часть из которых специально предиазнаЧВЙВ,...,г шения проблем с обнаружением и идентификацией незарегистрироввнивйг~!::,:,, дос'гула и связанных с ними угроз безо~аснотси.
В табл. 11.8 перечисявнвг угрозы и методы их нейтрализации. рава 11. Беспроводные покепьные сети ф„хгкнввю Тлблина 11.8. У~розы безопасности в бесвр«еодвой сети и методы их нейтралгкшвшл «'';:!::. Угроза беюпасно«ти Рылееве проблемы Защищенные метолы аугенгификаиии Устойчивые меголы шиФрования хххгиалш иэ поло «фрл с грухтуру Системы обнару:кения вторжений (1пггляпп Ое«ест(оп 5уяепв — Ю5) и архитектура Свсо 5УУА«Ч Защищенные методы аутентификации, системы 105 и архитектура СЬ«о 5УУА«Ч лпныхточеклосгупа иран нных точек доступа иропл ов безопасности %3.Ай-сетей е стандарт арты безопасн сгающие треба анних стандарт ными.
В этом уу") А)ч в хрон щения. гуу':еа««-стаг«дартьг ориегпированы, в основном, на внедрение срелств аутентификации ': (Й)1«)«рова«« ип в соот аетсгпукплих системах безопасности; зги темы в текущем разделе не ,:, матриваются. Ипструмегпы, связанные с мониторингом вторжений (1ь«5 и 1Р5), ' ..., «лией мере относятся к методам обеспечения безопасности сети органиэации и также не атриваются ниже ' .,43ррвый стандарт безопасности для беспроводных сетей назывался безопасно:,„...;,аиазаеичнои защите проводных сетей (айте«) Е«)ц1уа!еп( Рпуасу — %ЕР), и был „несовершенным.
Три последующих спецификации в основном решали про„...;,ыззббнаружеиные в первом стандарте, %ЕР. Если смотреть на развитие станлар=.'зз,хйоирлогическом порядке, то компания свсо первой предложила усовершен., 1т«гв стандарта в некотоРых фиРменных (т.е.
закРытых и нестандаРтных) пРото- Позже промышленный союз производителей беспроводного оборудования, .,;,,:.~~реньзй Ъ%-Г)-Лльянсом (уг)-Е) АШапсе), присоединился к инициативе компа, е.:,йЫПустнл всеобщий промышленный стандарт. В конце концов Институт 1ЕЕЕ Мйершнл работу над оэ.крытым станлартом, 802.1[1, и ратифицировал его.
,,„. -' «'1;9 Перечислены четыре основных стандарта хэ' А)4-сетей Хаблвва Н.р. Стандарты безопаевпсти )хг).АХ-сеий ,весть.аг«алокичиаязащитепроаплпых !997. Институт«бйб .бр) "Хакеры пл колесах ,''~!;;;," Ворп«гегпп япфп««Я«шип „;ггт;; беспрополных сетей ::-'~,,':;,,Дохучезгиг лес гупл х и ~„::::черезбеспрплолпую иг ,;~:,:: .Уезлновка иеззрг гиг гр : .
'Сифулпиклик ,:"', 'хбрьллипвкл п «заре г истр , «!!!,:.,З«(зувьгшлеггпихлии '. '.аг)4$3ВИти Д«лф«(е;гоэра '-'~Щ(и. В 1« ";;4й)й6ршен (',;:,Зз))«8 сетей лвовиые ре ';-'е)ФМАниб« лнпй сегзг хлхерами Злшишеииые методы лугеитификлиии ости беспроводных сетей развивались постепенно в ответ на ванна к системам защиты и усовершенствование средств ах беспроводных сетей средства их защиты были очень не- разделе описаны четыре наиболее важных набора стандартов ологическом порядке, а также описаны их проблемы и ос- Часть й. Коммутации в локальных сетих Окончание то(гм ((.
9 Год Кто выпустил стандарт Временное решение от комг~агггги цисо в ожидании сгандарга 802. 1)г 2001 Компания посо, пропгкоа сгагшары 802.1к — расширясмми прогокоя аутентифи кап ни (В лгесйме дог Пе писа! гоп Ргогосо) (сА(*) И нети гула )с! к 2003 Ътг Ы Альянс Зашишеннмй беспроводной доступ (%1-Р! Рпиесгед Ассекл — %РА) 802.1!г (ЯРА?) ?008+ Инстнтуг)ВЕЬ (глг Слово стандарт используется в этой книге и во многих других достаточно не- брежно при описании методов обеспечения безопасности в беспроводных сетях.
Не- которые спецификации в действительности являются настоящими открытыми стан- дартами, например спецификации Института 1ЕЕЕ. Другие спсггификапин были из- даны вт1!-Е)-Альянсом и стали промышленными станлартамп де-факто. Кроме того, компания С!всо создала несколько промежуточных временных решений шщ своих продуктов, чтобы ускорить развитие беспроводных естся, но такис спецификации,-' не являются сгацдартами в общепринятом понимании зто! о гермина.
тем не менее:.; все варианты решений позволили улучши~ь оригинальный метод безопасное!и Мф' ':::;: и оказали существенное влияние на развитие технологий беспроводных сетей, по- ';-,': д, этому мы их опишем. Стандарт (й(ЕР Технология 'т)(ЕР бьща частью первого стандарта 802.1! и обеспечивала служб()к',"-".' аугентификации польювателей и шифрования данных. Как впоследствии выясй((!~.:;.;- лось, она использовала слабо защищенные методы аутентификации и шифроваиМ";: и на сегодняшний день может быль взломана за считанные минуты с помощью ип)г"'":г роко распространенного хакерского программного обеспечения. Две основныегпр(йг.
"' блемы %ЕР-средств безопасности состоя~ в следук)щем, е Используются статические предварительно распределяемые ключи (Ртааа)М()18,"-'; Бтайс Кеув — РЯК). Значение ключа должно быть предварительно указай(у)8(г! каждом клиентском устройстве и точке доступа, и нет никаких методов дуг)1(((в,'." мического обмена ключами без вмешательства человека. Как следствие, м(()рх!';" гие пользователи и системные администраторы не заботятся о периодичей(4$, смене ключей, в особенности в крупных организациях, где есть большое3)(т(га очень болыпое количество беспроводных подключений. ",фа е Кл)ачи леп(о взламываются (т.е. расшифровываются).
длина ключа не велика — 64 бита, из которых только 40 действительно относятся к ключу. Поэтому легко предсказать значение ключа, если в течение опро ного времени прослушивать фрейлгы беспроводной сети. Опять же, если ... никогда не меняется или меняется очень редко, хакер может накоцнть:, ', шое число примеров запросов на аутентификацию, что еще сильнее уп процесс раСшифровки ключа.
Глава 11. Беспроводные локальные сети Из-за указанных недостатков технологии МЕР, а также поскольку новые стандарты включают в себя усовершенствованные функции безопасносги, механизм ЪЧЕР на сегодняшний день не следует использовать. Маскировка идентификатора 88!О и МАС-фильтрация Итак, когда выяснилось, что в стандарте ФЕР есть множество проблем, мно~ ие производители включили в свои продукты несколько функций зашиты, которые к оригинальному сганларту никакого отношения не имели. Тем не менее многие потребители ассоциировали зги функции с технологией %ЕР, просто потому, что время нх выпуска практически совпало с ней, Нн одна из функций так и не стала частью какого-либо стандарта, и они не обеспечивают какой-то реальной безопасности сети, тем не менее, их нужно рассмотреть, поскольку они упоминаются во многих описаниях.
Первая функция, маскировка иденглигрякатора ЮЮ (ВВ!О с(оаЦпя), изменяет процесс ассоциирования клиентского устройства с точкой доступа. Перед тем как использова~ь точку доступа„клиент должен знать о ней некоторый минимум необходимой информации, в частности значение илентификатора 8$1$Ъ сети. В нормальных условиях процесс ассоциирования выл ладит указанным ниже образом. Этап !. Точка доступа рассылает фрейм-бакен (Ьеасоп (гаме), обычно каждые 100 мс, в котором содержится значение ЯЯ10 и другая конфигурационная инФормация. Этап 2. Клиент прослушивает все каналы, чтобы обнаружить фреймы-бакены и найти все ближайшие точки доступа.
Этап 3. Клиент ассоциируется с точкой доступа, от которой получен самый сильный сигнал (стандартное поведение), или с точкой доступа с максимальн им с ипилом для предпочтительного идентификатора Яз! О. ~ф' ;:л' Этап 4. Как только клиент ассоциировался с точкой лоступа, выполняется про- цесс аутентификации клиента. По существу, клиент узнает о существовании точек доступа и связанными с ними нтификаторами зз(П из фрсймов-бакенов. Такой механизм упрощает работу нологии роуминга, позволяя клиенту перемещаться в пространстве и ассоциирося с новой точкой доступа, когла сигнал от старой заметно падает.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
