- •Введение
- •Угрозы безопасности информационных систем
- •Классификация угроз безопасности
- •Общая характеристика уязвимостей информационной системы персональных данных
- •Общая характеристика уязвимостей прикладного программного обеспечения
- •Общая характеристика угроз непосредственного доступа в операционную среду информационной системы
- •Общая характеристика угроз безопасности, реализуемых с использованием протоколов межсетевого взаимодействия
- •Криптография
- •Общие сведения
- •Подстановки
- •Метод перестановки
- •Одноразовые блокноты
- •Основные принципы криптографии
- •Алгоритмы с симметричным криптографическим ключом
- •Тройное шифрование с помощью des
- •Улучшенный стандарт шифрования aes
- •Режим шифрованной обратной связи
- •Режим группового шифра
- •Режим счетчика
- •Криптоанализ
- •Алгоритмы с открытым ключом
- •2.15. Алгоритм rsa
- •2.16. Криптоанализ алгоритма rsa
- •2.17. Другие алгоритмы с открытым ключом
- •2.18. Цифровые подписи.
- •2.19. Подписи с открытым ключом
- •2.20. Профили сообщений
- •2.23. Управление открытыми ключами
- •2.24. Сертификаты
- •2.26. Инфраструктуры систем с открытыми ключами
- •2.27. Каталоги
- •2.28. Аннулирование
- •2.31. Брандмауэры
- •2.32. Виртуальные частные сети
- •2.33. Безопасность в беспроводных сетях
- •2.34. Безопасность в сетях 802.11
- •2.35. Безопасность в системах Bluetooth
- •2.36. Протоколы аутентификации
- •Заключение
- •Библиографический список
- •Оглавление
- •3 94026 Воронеж, Московский просп., 14
2.33. Безопасность в беспроводных сетях
Оказывается, удивительно просто создать систему, которая логически полностью надежна, то есть состоит из VPN и брандмауэров, и при этом на практике легко позволять получать несанкционированный доступ к внутренним ресурсам. Такая ситуация может возникнуть, если в сети есть беспроводные машины, передающие данные с помощью радиосигнала, проходящего прямо над брандмауэром в обе стороны. Радиус действия сетей типа 802.11 может составлять несколько сотен метров, поэтому шпион, желающий перехватить информацию, может просто приехать на автостоянку перед зданием фирмы, оставить в машине ноутбук с приемопередатчиком 802.11, записывающим все, что слышно в эфире, и пойти гулять по городу. К вечеру на жестком диске он обнаружит массу ценной информации.
Теоретически такого происходить не должно. Правда, теоретически же ограбления банков тоже не должны происходить. За многие проблемы безопасности стоит сказать спасибо производителям беспроводных базовых станций (точек доступа), пытающихся сделать свою продукцию дружественной по отношению к пользователю. Обычно, если пользователь вынимает свое устройство из сумки и вставляет в розетку, оно сразу начинает работать, и практически всегда все окружающие в зоне действия радиопередатчика смогут услышать любые секреты, о которых он проболтается. Если же затем это устройство подключить к Ethernet, весь трафик, проходящий по локальной сети, может быть перехвачен ноутбуком, стоящим в припаркованной неподалеку машине. Беспроводная связь — это мечта шпиона, ставшая реальностью: информация сама идет в руки, только успевай ее ловить. Очевидно, что вопрос безопасности в беспроводных сетях стоит куда острее, чем в проводных. В этом разделе мы рассмотрим некоторые методы, позволяющие в какой-то мере обезопасить системы такого рода.
2.34. Безопасность в сетях 802.11
Стандарт 802.11 описывает протокол безопасности уровня передачи данных под названием WEP (Wired Equivalent Privacy - секретность, эквивалентная проводным сетям), предназначенный для того, чтобы обезопасить беспроводные ЛВС так же надежно, как и проводные. По умолчанию в проводных сетях вопрос безопасности отсутствует как таковой, поэтому добиться этой цели несложно, и WEP, как мы увидим далее, справляется со своей задачей.
При наличии системы безопасности в сети 802.11 каждая станция имеет общий закрытый ключ с базовой станцией. Метод распространения ключей стандартом не оговаривается. Скажем, они могут быть прошиты в устройствах или программах производителем. Ими можно обменяться заранее по проводной сети. Наконец, либо базовая станция, либо пользовательская машина может случайным образом выбирать ключ и отсылать его противоположной стороне, предварительно зашифровав при помощи открытого ключа этой стороны. После установки ключи могут оставаться неизменными в течение нескольких месяцев или даже лет.
Шифрация при помощи WEP использует потоковый шифр, основанный на алгоритме RC4. Создателем RC4 был Роналд Ривест (Ronald Rivest). Этот алгоритм хранился в тайне до тех пор, пока в 1994 году он не просочился в Интернет. Как мы уже упоминали, практически нереально сохранить какой-либо алгоритм в тайне, даже с такой скромной целью, как соблюдение закона об интеллектуальной собственности (случай RC4), не говоря уже о том, чтобы сохранить его в тайне от взломщиков (а такой задачи создатели RC4 перед собой даже не ставили). В WEP RC4 генерирует потоковый шифр, который суммируется по модулю 2 с открытым текстом, в результате чего получается шифрованный текст.
Полезная нагрузка каждого пакета шифруется. Вначале проверяется контрольная сумма (по многочлену CRC-32), которая добавляется к полезной нагрузке. Так формируется открытый текст, передаваемый алгоритму шифрования. Этот открытый текст складывается по модулю 2 с отрезком ключевого потока, равного ему по размеру. Результатом этих преобразований является зашифрованный текст. Вектор инициализации, необходимый для запуска RC4, передается вместе с шифром. После получения пакета приемник извлекает из него зашифрованные данные (полезную нагрузку), создает ключевой поток из общего закрытого ключа и только что принятого вектора инициализации, затем ключевой поток суммируется по модулю 2 с полезной нагрузкой, что позволяет восстановить открытый текст. Наконец, можно проверить контрольную сумму, чтобы убедиться в подлинности принятой информации.
На первый взгляд, такой подход кажется довольно убедительным, однако метод его взлома уже существует. Далее будут подведены итоги этого. Во-первых, как ни странно, очень многие используют одинаковые общие ключи для всех пользователей, из-за этого все пользователи могут запросто читать весь трафик друг друга. Это, конечно, подход вполне эквивалентный подходу, принятому в Ethernet, однако не слишком безопасный.
Но даже если всем пользователям раздать разные ключи, WEP все равно может быть взломан. Так как ключи не изменяются в течение больших периодов времени, стандарт WEP рекомендует (но не обязывает) изменять вектор инициализации при передаче каждого пакета во избежание атак посредством повторного использования (мы обсуждали это в разделе «Режимы шифрования»). К сожалению, многие сетевые карты стандарта 802.11 для ноутбуков сбрасывают вектор инициализации в 0, когда ее вставляют в разъем, и увеличивают на единичку с каждым пересылаемым пакетом. Так как сетевые карты вставляются и вынимаются весьма часто, малые числа, выступающие в качестве векторов инициализации, — обычное дело. Если Труди удастся собрать несколько пакетов, посланных одним и тем же пользователем, с одинаковыми значениями вектора инициализации (который сам по себе посылается открытым текстом вместе с пакетом), она сможет вычислить сумму по модулю 2 двух блоков открытого текста, и, возможно, у нее получится взломать шифр.
Даже если сетевая карта 802.11 будет подбирать значения вектора инициализации для каждого пакета случайным образом, все равно благодаря ограниченной длине вектора (24 разряда) после передачи 224 пакетов векторы начнут повторяться. Хуже того, при случайном методе подбора значений ожидаемое число пакетов, которые можно послать, не опасаясь повторного выпадения того же значения вектора инициализации, равно примерно 5000. Это связано с «задачей о днях рождения», которую мы обсуждали в разделе «Задача о днях рождения». Итак, прослушивая линию в течение нескольких минут, Труди почти наверняка захватит два пакета с одинаковыми векторами инициализации и ключами. Складывая по модулю эти два пакета, она получит сумму (по модулю 2, разумеется) открытых текстов. А уж эту битовую последовательность можно атаковать самыми разными способами с целью восстановления исходных данных. Приложив некоторые усилия, можно подобрать ключевой поток для данного вектора инициализации. Продолжив свои исследования, Труди сможет составить целый словарь ключевых потоков для разных векторов. Взломав вектор инициализации, можно расшифровывать все проходящие по сети пакеты.
Далее при случайном выборе значений векторов Труди достаточно определить рабочую пару (вектор, ключевой поток), чтобы начать генерировать собственные пакеты произвольного содержания. Это может сильно помешать нормальному обмену данными. Теоретически, принимающая сторона может заметить, что слишком много пакетов имеют одинаковые значения векторов инициализации, но ведь WEP этого не запрещает, и к тому же, все равно никто это не проверяет, на самом-то деле.
Наконец, проверка при помощи CRC — это тоже довольно наивный метод, так как Труди может изменить полезную нагрузку так, чтобы она соответствовала циклическому коду по избыточности, для этого даже не придется расшифровывать само сообщение.
Были обнаружены слабости алгоритма RC4, в частности обнаружили, что очень многие ключи обладают одним неприятным свойством: некоторые разряды ключа можно извлечь, анализируя ключевой поток. Если несколько раз повторить попытки атаки шифра, в конце концов удастся извлечь ключ целиком. Для этого даже не понадобится совершать большие усилия - достаточно пассивного накопления отдельных фреймов, распространяющихся в беспроводной LAN.
Уязвимость шифрования в WEP поставила производителей сетей стандарта 802.11 и исследователей IEEE в затруднительное положение. Как можно улучшить систему шифрования стандарта 802.11, не прибегая к замене всех точек доступа и сетевых карт клиентов?
IEEE ответил на этот вопрос, предложив являющийся частью стандарта 802.11i (и WPA) временный протокол целостности ключа (temporal key integrity protocol, TKIP).
Этот протокол использует многие основные функции WEP, чтобы оправдать инвестиции, сделанные клиентами в оборудование и инфраструктуру стандарта 802.11, но ликвидирует несколько слабых мест последнего, обеспечивая эффективное шифрование фреймов данных. Основные усовершенствования, внесенные протоколом TKIP, таковы.
Пофреймовое изменение ключей шифрования. WEP-ключ быстро изменяется, и для каждого фрейма он другой.
Контроль целостности сообщения (message integrity check, MIC). Обеспечивается эффективный контроль целостности фреймов данных с целью предотвращения проведения тайных манипуляций с фреймами и воспроизведения фреймов.
Атаки, использующие уязвимость слабых векторов инициализации, основаны на накоплении нескольких фреймов данных, содержащих информацию, зашифрованную с использованием слабых векторов инициализации. Простейшим способом сдерживания таких атак является изменение WEP-ключа, используемого при обмене фреймами между клиентом и точкой доступа, до того как атакующий успеет накопить фреймы в количестве, достаточном для вывода битов ключа.
IEEE адаптировала схему, известную как пофреймовое изменение ключа (per-frame keying). (Ее также называют изменение ключа для каждого пакета (per-packet keying) и частое изменение ключа пакета (fast packet keying).) Основной принцип, на котором основано пофреймовое изменение ключа, состоит в том, что вектор инициализации, МАС-адрес передатчика и WEP-ключ обрабатываются вместе с помощью двухступенчатой функции перемешивания. Результат применения этой функции соответствует стандартному 104-разрядному WEP-ключу и 24-разрядному вектору инициализации.