- Wi-Fi - історія хакерських успіхів
- Відмінності між персональної (PSK) і корпоративної (Enterprise)
- Хакерський софт доступний всім
- Захист від посередника
Мені потрібна консультація. Зв'яжіться зі мною.
Проблема захисту корпоративних даних з кожним роком все більш актуальною. Все більше критичних даних передається по бездротових мережах, та інформаційна безпека (ІБ) все більше залежить від кваліфікації ІТ-фахівців.
Wi-Fi - історія хакерських успіхів
Спочатку в стандарт Wi-Fi 802.11 був закладений режим аутентифікації WEP з алгоритмом шифрування RC4, який використовує звичайний статичний або динамічний ключ довжиною 64 або 128 біт. Вперше WEP зламали в 2000 році. Популярному в ті роки комп'ютера з процесором Pentium 4 потрібно близько 1 години для дешифрування. Використання ресурсів сучасних хмарних серверів і доступний мобільний інтернет через 3G / LTE дозволяє розкрити захист за лічені секунди.
Фото 1: Типи мереж в залежності від надійності шифрування
У 2003 р з'явився WPA з алгоритмом TKIP, який генерує ключ для кожного пакета. Сьогодні WPA-TKIP при певному везінні можна зламати за кілька годин. Наприклад, влітку 2015 р бельгійські дослідники змогли перехопити зашифровані cookie-файли і за годину отримати доступ до комп'ютера.
З 2006 р обов'язковим стандартом для Wi-Fi пристроїв є підтримка більш досконалого алгоритму шифрування WPA2 AES. Він надійніший, тому попередні алгоритми використовувати немає сенсу. Однак, як і TKIP цей алгоритм також може бути зламаний "в лоб" з допомогою перебору варіантів пароля з використанням словника. Спеціальне ПО за допомогою масованого DDoS-атаки виводить з ладу точку доступу. Далі, емулює роботу точки з тим же SSID. Після спроби авторизації «жертви» на такій точці, хакер отримує хеш-функцію ключа PMK-R0. Наступним етапом запускається процес підбору пароля. Прості паролі підбираються за кілька годин, в той час як на підбір складних паролів може знадобитися кілька тижнів і навіть місяців.
Додаткові заходи захисту
Іноді для додаткового захисту мережі використовується фільтрація MAC-адрес (унікальний номер кожної активної одиниці в мережі). При фільтрації підключитися до мережі здатні лише пристрої, MAC-адреси яких адміністратор вніс в таблицю довірених на роутері або точки доступу. Теоретично таким чином можна запобігти несанкціоноване підключення. Але на практиці фільтрація MAC-адрес швидко ламається, наприклад за допомогою "грубої сили" (брутфоса), тобто скануванням MAC-адреси підключеного клієнта і подальшої "нахабною" атакою під назвою деаутентіфікація і підключенням свого пристрою зі зміненим MAC-адресою.
Таким чином, фільтрація MAC-адрес не є серйозним захистом, але при цьому створює масу незручностей. Зокрема, доводиться вручну додавати кожен новий пристрій в таблицю довірених.
Режим прихованого ідентифікатора мережі SSID - популярний спосіб додаткового захисту мережі Wi-Fi. Кожна мережа має свій унікальний ідентифікатор SSID (назву мережі). У режимі прихованого ідентифікатора клієнтські пристрої не бачать мережу в списку доступних. Підключитися до мережі в режимі Hide SSID можна, тільки якщо точно знаєш її ідентифікатор і є заздалегідь готовий профіль підключення.
Виявити приховану мережу досить просто за допомогою таких утиліт, як Kismet. Cамо по собі підключення до прихованої мережі видає її існування і ідентифікатор хакеру. Далі сценарій злому такої ж, як і в звичайних мережах Wi-Fi. Як бачимо, Hide SSID також не є надійним способом захисту, але при цьому також створює проблеми. Перш за все потрібно вручну підключати нові пристрої. До того ж стандарти Wi-Fi спочатку передбачали відкриту трансляцію SSID, тому у більшості пристроїв виникнуть проблеми з автопідключенні до Hide SSID. В цілому використання Hide SSID недоцільно.
Відмінності між персональної (PSK) і корпоративної (Enterprise)
Слід розрізняти різні підходи до забезпечення персональних і корпоративних мереж. Будинки і в невеликих офісах зазвичай застосовують PSK (Pre-Shared Key) - пароль від 8 символів. Цей пароль у всіх однаковий і часто занадто простий, тому вразливий для підбору або витоків (звільнення співробітника, який зник ноутбук, необережно приклеєний на увазі стікер з паролем і т. П.). Навіть самі останні алгоритми шифрування при використанні PSK не гарантують надійного захисту і тому в серйозних мережах не застосовується. Корпоративні рішення використовують для аутентифікації динамічний ключ, який змінюється кожну сесію для кожного користувача. Ключ може підлягати періодичному оновленню під час сесії за допомогою сервера авторизації - зазвичай це сервер RADIUS.
WPA2-Enterprise + 802.1X і сертифікати безпеки - найнадійніший захист
Корпоративні мережі з шифруванням WPA2-Enterprise будуються на аутентифікації по протоколу 802.1x через RADIUS-сервер. Протокол 802.1x (EAPOL) визначає методи відправки і прийому запиту даних аутентифікації і зазвичай вбудований в операційні системи і спеціальні програмні пакети.
802.1x передбачає три ролі в мережі:
- клієнт (supplicant) - клієнтський пристрій, якому потрібен доступ в мережу;
- cервер аутентифікації (звичайно RADIUS);
- аутентифікатор - роутер / комутатор, який з'єднує безліч клієнтських пристроїв з сервером аутентифікації і відключає / підключає кліенсткіе пристрою.
Фото 3: Схема роботи WPA2-Enterprise 802.1x
Є кілька режимів роботи 802.1x, але найпоширеніший і надійний наступний:
- Аутентифікатор передає EAP-запит на клієнтський пристрій, як тільки виявляє активне з'єднання.
- Клієнт відправляє EAP-відповідь - пакет ідентифікації. Аутентифікатор пересилає цей пакет на сервер аутентифікації (RADIUS).
- RADIUS перевіряє пакет і право доступу клієнтського пристрою по базі даних користувача або іншими ознаками і потім відправляє на аутентифікатор дозвіл або заборону на підключення. Відповідно, аутентифікатор дозволяє або забороняє доступ в мережу.
Фото 2: Внутрішні протоколи (методи) EAP
Використання сервера RADIUS дозволяє відмовитися від PSK і генерувати індивідуальні ключі, валідність тільки для конкретної сесії підключення. Простіше кажучи, ключі шифрування неможливо витягнути з клієнтського пристрою. Захист від перехоплення пакетів забезпечується за допомогою шифрування за різними внутрішнім протоколам EAP, кожен з яких має свої особливості. Так, протокол EAP-FAST дозволяє авторизуватися за логіном і паролем, а PEAP-GTC - за спеціальним токені (карта доступу, картки з одноразовими паролями, флешки і т. П.). Протоколи PEAP-MSCHAPv2 і EAP-TLS проводять авторизацію по клієнтським сертифікатами.
Максимальний захист мережі Wi-Fi забезпечує тільки WPA2-Enterprise і цифрові сертифікати безпеки в поєднанні з протоколом EAP-TLS або EAP-TTLS. Сертифікат - це заздалегідь згенеровані файли на сервері RADIUS і клієнтському пристрої. Клієнт і сервер аутентифікації взаємно перевіряють ці файли, тим самим гарантується захист від несанкціонованих підключень з чужих пристроїв і помилкових точок доступу. Протоколи EAP-TTL / TTLS входять в стандарт 802.1X і використовують для обміну даними між клієнтом і RADIUS інфраструктуру відкритих ключів (PKI). PKI для авторизації використовує секретний ключ (знає користувач) і відкритий ключ (зберігається в сертифікаті, потенційно відомий всім). Поєднання ці ключів забезпечує надійну аутентифікацію.
Цифрові сертифікати потрібно робити для кожного бездротового пристрою. Це трудомісткий процес, тому сертифікати зазвичай використовуються тільки в Wi-Fi-мережах, що вимагають максимального захисту. У той же час можна легко відкликати сертифікат і заблокувати клієнта.
Сьогодні WPA2-Enterprise в поєднанні з сертифікатами безпеки забезпечує надійний захист корпоративних Wi-Fi-мереж. При правильному налаштуванні і використанні зламати такий захист практично неможливо "з вулиці", тобто без фізичного доступу до авторизованих клієнтським пристроїв. Проте, адміністратори мереж іноді допускають помилки, які залишають зловмисниками "лазівки" для проникнення в мережу. Проблема ускладнюється доступністю софта для злому і покрокових інструкцій, якими можуть скористатися навіть дилетанти.
Хакерський софт доступний всім
WPA2-Enterprise з аутентифікацією за логіном і паролем без використання сертифікатів можна зламати за допомогою хакерського дистрибутива Kali Linux і Wi-Fi-картки в режимі точки доступу. Суть злому - в створенні підробленої точки доступу з сервером RADIUS для отримання пакетів EAP і логіна захищеної мережі. Створити підроблену точку сьогодні не проблема за допомогою таких утиліт, як Mana Toolkit, вбудованої в Kali.
Фото 4: Зазвичай зловмисники використовують смартфон з підключеною до нього карткою і мобільною версією Kali NetHunter
За допомогою підробленої точки доступу MANA хакер отримує хеші паролів і логіни користувачів мережі, а потім на потужному ПК брутфорсом підбирає паролі. Робиться це досить швидко завдяки великій обчислювальної потужності сучасних процесорів. Крім того, є алгоритми для перебору паролів за допомогою GPU відеокарт, що прискорює процес до лічених годин.
В результаті хакер отримує доступ до облікових записів для входу в корпоративну мережу Wi-Fi або VPN.
Для запобігання подібних атак необхідно використовувати сертифікати безпеки на всіх мобільних і стаціонарних пристроях, які мають доступ в мережу. Також не рекомендується використовувати самоподпісанного сертифікати, тобто створені адміністратором мережі. Справа в тому, що при підключенні нових пристроїв довірені користувачі можуть бачити повідомлення про потенційну небезпеку самоподпісанного сертифікатів. Звикнувши до таких повідомлень, користувач може не звернути уваги на повідомлення, яке з'явиться при підключенню до підробленої точки доступу. Для максимального захисту краще застосовувати сертифікати від офіційних постачальників.
"Людина посередині" - основна загроза
Хакерська атака під назвою "людина посередині" (Man in the middle або скорочено MITM) є найбільш серйозною загрозою для правильно організованої WPA2-Enterprise з сертифікатами безпеки.
Фото 5: Суть атаки "людина посередині": хакер перетворює пряме захищене з'єднання в два різних з хакерських клієнтом посередині
Схема дуже проста: на запит відкритого ключа відповідає не довірений користувач, а посередник, який прикидається довіреною користувачем. Комп'ютер зловмисника виступає в ролі PROXY-сервера. В результаті відбувається обмін конфіденційною інформацією, і зловмисник може перехоплювати, підміняти, видаляти або змінювати пакети даних.
Подібну схему впровадження в конфіденційний зв'язок придумали ще до інтернету - за часів паперових листів, коли оригінальні листи в дорозі замінювалися підробленими.
Впровадження в мережу відбувається через вже авторизовану обліковий запис, тобто вимагає початкового злому мережі Wi-Fi. Іншими словами, для успішної атаки хакеру потрібно знайти слабке місце в мережі WPA2-Enterprise. Зазвичай це атака через підроблену точку доступу, описана вище, або авторизоване пристрій без встановлених сертифікатів безпеки. Атака через HTTPS проходить ще простіше: браузер встановлює захищене сертифікатом SSL-з'єднання з посередником, а зловмисник встановлює інше SSL-з'єднання з веб-сервером. Браузер попереджає користувача, про те, що сертифікат SSL небезпечний, але часто це попередження ігнорується.
Особливо небезпечні такі атаки для фінансових систем, що здійснюють розрахунки через онлайнові платіжні системи. Хакер може заражати шкідливим кодом електронні листи, веб-сторінки, СУБД, отримувати доступ до інтернет-банкінгу, облікового запису в соцмережах, CMS сайтів і т. Д.
Захист від посередника
Атака MITM не є абсолютною зброєю хакера. При дотриманні всіх вимог ІБ впровадження посередника неможливо.
Перш за все, для прихованої атаки посередник повинен перехоплювати всі повідомлення між клієнтом і сервером, тобто безперервно перебувати в зоні дії корпоративної Wi-Fi.
Тому важливо при розгортанні бездротової мережі звернутися до фахівців і спроектувати її з мінімальним виходом покриття за межі будівлі (замовте радіопланування - http://wifi-solutions.ru/pred_obsledovanie/). Є й неочевидні уразливості. Наприклад, користувач може принести в офіс бездротову клавіатуру (для смартфонів, ПК), яка створює ризик віддаленого перехоплення логіна і пароля. Для запобігання таких випадків потрібно застосовувати тільки провідні клавіатури або спеціальні бездротові клавіатури з вбудованим AES-шифруванням. Тоді використання кейлогерів стає неможливим.
Також співробітники повинні знати, що таке небезпечні сертифікати, щоб не стати жертвою підключення до підробленої точки доступу. Сертифікати SSL клієнта і сервера повинні перевірятися взаємно довіреною центром сертифікації, щоб не допустити атаки через HTTPs із захопленням облікових записів на сайтах, включаючи інтернет-банкінг організації.
Адміністратор зобов'язаний регулярно перевіряти мережевий трафік на предмет підозрілої активності, включаючи затримки під час передачі пакетів. У зонах, де здійснюються критичні транзакції, рекомендується встановлювати Wi-Fi-сенсори для виявлення хакерського активності в режимі реального часу. Детальніше читайте в статті « Моніторинг Wi-Fi мережі »
Особливе місце в профілактиці MITM займає відмова від використання фільтрації ssl-bump. Її часто використовують в офісах для заборони входу на певні сайти (соцмережі, розважальні ресурси і т. П.). В захищеному з'єднанні трафік шифрується на стороні одержувача і відправника, а при використанні фільтрації ssl-bump - в шлюзі. Тобто, фільтрація ssl-bump сама по собі є атакою MITM через HTTPs. В першу чергу це ставить юридичні питання з приводу прихованого доступу адміністратора мережі до особистих даних співробітників, наприклад облікових записів в соціальних мережах або інтернет-банкінгу. Але, головне, ssl-bump "відкриває ворота" для хакера, якого достатньо заволодіти шлюзом. Фактично адміністратор сам проводить всі підготовчі операції для атаки на свою мережу.
Висновок: Тому на перше місце виходить підготовка фахівців і ефективне використання існуючих технологій захисту даних. Так, шифрування WPA2-Enterprise може стати непробивним бар'єром для зловмисників, якщо знати, як правильно його організувати. Довірте питання інформаційної безпеки професіоналам!
Мені потрібна консультація. Зв'яжіться зі мною.
Дивіться також:
