вторник, 16 мая 2017 г.

Безопасность в беспроводных сетях

Cipher - алгоритм, используемый для шифрования данных.
Наиболее распространенные: RC4 и AES.
RC4 используется в WEP и TKIP.
AES более надежные чем RC4. Используется в CCMP.


Open system authentication: запрос от клиента - ответ от точки. Аутентифицироваться и получить доступ к сети может любой клиент. Не требуется предоставление каких-либо либо данных (логинов, сертификатов) для аутентификации.

Shared key authentication. Использует WEP. Для аутентификации требуется статический ключ. Четырехфазная аутентификация. Если проходит успешно, тот же статический ключ будет использоваться для шифрования данных. Несмотря на то, что в данном сценарии трафик шифруется, при перехвате сообщений на этапе аутентификации, можно вычислить ключ и дальше расшифровывать данные. Поэтому ни аутентификация открытых систем, ни аут. разделяемого ключа не считается безопасной и не рекомендуется для использования.

WEP позволяет защищать конфиденциальность, целостность данных и осуществлять контроль доступа. В современных условиях может быть взломан меньше, чем за 5 минут.

802.11 не описывает фильтрацию по MAC адресам, и любой такой фильтр является реализацией конкретного вендора.

Современная технология (802.11i): 802.1X/EAP или PSK (для SOHO и домашних пользователей). Шифрование CCMP/AES или TKIP/RC4.

До принятия 802.11i Wi-Fi alliance представил WPA (только  TKIP/RC4). После принятия 802.11i появился WPA2 дополненный поддержкой CCMP/AES.

802.11-2012 описывает т.н. Robust security network (RSN) с динамическими ключами шифрования. Сеть RSN можно идентифицировать по RSN-IE полю в маяках. В такой сети могут сосуществовать legacy и RSN механизмы защиты.


802.11-2012 описывает как аутентификацию, так и управление ключами. Протоколом аутентификации и обмена ключами (AKMP) может быть либо PSK либо EAP (требует RADIUS'а).
WPA/WPA2 использует PSK.
Одна из главные проблем систем с разделяемым ключом в том, что компрометация  одного пользователя ведет к компрометации всей сети.
Некоторое проприетарные реализации PSK позволяют создавать множество отдельных учетных записей с разными ключами для подключения к сети, а также задавать этих учетных записей срок жизни. Может служить альтернативой 802.1X/EAP

802.1X/EAP - авторизационный фреймворк, позволяющий разрешить или запретить прохождение трафика через порт устройства, и, соответственно, доступ к сетевым ресурсам. Состоит из трех основных компонентов:
1. Supplicant - хост, запрашивающий доступ к сетевым ресурсам
2. Authenticator - устройство, блокирующее трафик или пропускающее его через свой порт. Как правило, разрешается только трафик, необходимый для аутентификации, весь остальной трафик блокируется, пока суппликант не получит соотвествующих разрешений.
3. Authentication server (AS). Проверяет данные, предоставленные суппликантом и уведомляет аутентификатора о предоставлении или непредоставлении доступа. Поддерживает внутреннюю базу данных пользователей, или подключается к внешней базе данны, например LDAP.

EAP - протокол аутентификации 2 уровня. Существуют разные реализации протокола EAP. Как приоприетарные, например Cisco LEAP, или открытые, например PEAP. Некоторые поддерживают одностороннюю аутентификацию, некоторые - двустороннюю (подтверждается подлинность также сервера аутентификации, для того, чтобы данные не были отправлены мошеннику). Как правило, для аутентификации используются электронные сертификаты.

В рамках 802.1X/EAP также рекомендуется использовать шифрование (динамические ключи).
До появления WPA некоторые вендоры реализовывали WEP с динамическими ключами. Это решение все равно уязвимо.

TKIP - технология, улучшающая WEP, с целью исправить его недостатки. В WEP основаная проблема не стойкость алгоритма шифрования (RC4) а процесс создания ключей.

CCMP использует AES-128. Вск ключи генерируются динамически.  8-байтная проверка целостность (MIC) считается более надежной, чем в TKIP. Требует определенных вычислительных ресурсах, поэтому не может использоваться на ряде старых устройств.

Обратить внимание: генерация ключей CCMP и TKIP проихсодит на основе информации, которой устройства обмениваются в процессе аутентификации (4-way handshake), соответственно, процессы аутентификации и защиты конфиденциальности данных связаны.

n/ac уже не поддерижвают TKIP.

Еще один способ повышения безопасности - сегментация сети (vlan).

С помощью RADIUS можно назначать разные vlan пользователям в рамках одного SSID.

Role-base access control (RBAC) - поддерживается многими контроллерами. Три основных элемента: пользователи, роли, разрешения. Пользователям назначаются роли, ролям - разрешения (различные филтры доступа от 2 до 7 уровня).

Captive portal - специальная веб-страница, для аутентифиации гостевых пользователей, работающая в связке с брандмауэром.

Сотрудникам следует запретить устанавливать свои точки доступа или ad hoc сети, т.к. это может позволить злоумышленнику получить доступ в сеть.

Многие вендоры реализуют изолящию клиентских устройств, чтобы исключить возможность проникновения с одного устройства внутри локальной сети на другое. Все подобные взаимодействия должны происходить через соответствующее устройство безопасности. Также может называться peer-to-peer blocking или public secure packet forwarding (PSPF)

При использовании WPA/WPA2 personal следует использовать стойкие пароли, не менее 20 символов.

Фильтрация по MAC адресам сама по себе не является надежной защитой, т.к. MAC адрес может быть подменен. Данная технология может применяться только в составет комплексного решения с 802.1X/EAP

Следует защищать также интерфейс управления устройств: использовать только SSH/HTTPS и не использовать дефолтные адреса и пароли.

Для борьбы с атаками типа man-in-the-middle следует использовать взаимную аутентификацию пользователей и точек доступа.

DoS атаки: глушение, подмена фреймов деассоциации/деаутентификации. поправка 802.11w описывает механизмы, позволяющие бороться с некоторыми L2 DoS атаками.

Аудит безопасности Wi-Fi: https://www.wifipineapple.com/

WIDS состоит из сервера, консолей (программных) управления, и сенсоров, которые прослушиваю эфир. Типы WIDS:
-Overlay. WIDS отдельного вендора, реализуемая для мониторинга беспроводной сети. Состоит из сервера и сенсоров, не являющихся частью беспроводной сети, предоставляющей доступ клиентам.
-Integrated. Многие производители беспроводного оборудования встаивают WIDS в свои решения. В роли сервера выступает контроллер или NMS. Точки доступа имеют дополнительный функционал сенсоров.
-Integration enabled. Некоторые производители позволяют интегрировать свои решения со сторонними WIDS системами.

WIPS системы способны не только обнаруживать атаки, но и противодействовать им.
Классификация устройств с точки зрения WIPS:
-Infrastructure device. Клиенская станция или точка доступа, являющаяся авторизованным элементом корпоративной сети.
-Unknown device - все новые устройста, обнаруженные, но не классифицированные
-Known device - идентифицированное устройство. Не является частью корпоративной сети, но не пресдтавляет угрозы.
-Rogue device - устройство создающее помехи и способное представлять опасность.

WISP может применять в качестве контрмер некоторые DoS атаки (например, спуфить deauthentication фреймы для rogue точек и клиентов), либо отключать порты проводных устройств, к которым подключены rogue устройства c помощью SNMP.

Мобильные WIDS - аппаратно-программный комплекс (например, нотбук с установленным на него ПО) который сочетает в себе все элементы WIDS.

Некоторые производители добавляют в свои решения распределенный спектроанализатор (DSAS), которые позваляют распознавать атаки на уровне 1.

Основные элементы общей политики безопасности:
-Statement of authority. Определяет разработчиков политики и ответсвенных за безопасность.
-Applicable audience. К кому применима данная политика (сотрудники, партнеры, посетители...)
-Violation report procedures. Как обеспечивается следование данной политике, включая то, какие и кем должны предприниматься действия.
-Risk assessment and threat analysis. Определяет потенциальные риски и угрозы, оцениват потенциальный ущерб.
-Security auditing. Внутренние процедуры аудита безопасности.

Функциональная (functional) политика безопасности. Определяет технические аспекты безопасности беспроводной сети.
-Policy essentials. Основные процедуры безопасности: пароли, обучение и т.п.
-Baseline practices. Конфигруационные чеклисты, тестирование, установка
-Design and implementation. Реальные решения по шифрованию, сегментации и аутентификации, которые следует внедрить.
-Monitoring and response. Процедуры определения вторжений и реакции на них.

Во многих странах существуют специальные правила по защите данных. Например, FIPS в США. FIPS 140-2 - требования к криптографическим модулям.  Другие нормативные акты:
-HIPAA
-Sarbanes-Oxley act
-GLBA
-PCI (payment card industry) https://www.pcisecuritystandards.org/pdfs/PCI_DSS_Wireless_Guidelines.pdf


Рекомендуемы элементы политики:
-BYOD. Четко определяет то, как личные устройства сотрудников должны интегрироваться в корпоративную сеть.
-Remote-Access WLAN. обязательное использование сотрудниками VPN при подключении к беспроводным сетям вне корпортативной сети.
-Rouge AP policy. Пользователям запрещено устанавливать собственные беспроводные устройства в корпоративной сети.
-AD-Hoc policy. Пользователям запрещено создавать ad-hoc и peer-to-peer сети.
-Wireless LAN proper use policy. Описание реализации беспроводной сети
-IDS Policy.

PS Poll атака (DoS):  точка доступа буферизирует фреймы, предназначенные "спящим" клиентам в режиме энергосбережения. Когда клиент просыпается, он отправляет PS Poll фрейм, чтобы запросить буферизированные данные. На каждый PS Poll точка отвечает фреймом с данными, если остаются данные для передачи, точка сообщает об этом отправкой специального бита. Злоумышленник может спуфить PS Poll, в таком случае буферизированные данные отправляются когда реальный клиент спит, в итоге они теряются.

Источник: D. Coleman, D. Wescott - Certified Wireless Network Administration Official Study Guide

пятница, 12 мая 2017 г.

Траблшутинг беспроводных сетей

Сначала ищем проблемы на уровне 1 и 2.
L2 retransmissions (повторы отправки) - повторная отправка фрейма, если не получен ACK. Latency - время доставки пакета от источника к устройству назначения. Jitter - отклонения задержки (latency variation)от среднего значения.

Большинство приложений терпимы к проценту повторов в пределах 10. Для голоса это, как правило, не более 2 процентов.

Помехи.
-Узкополосная (narrowband) помеха. Радиосигнал занимающий узкую полосу частот и не вызывает отказа в обслуживании (DoS) всего диапазона (например, 2.4ГГц). Поиск и устранение источника помехи, либо переход н адругую чатстоту.
-Широкополосная (wideband) помеха - способная нарушить целого диапазона. Может быть создана специальным устройством (jammer).
-Всеполосная (allband) помеха - как правило создается FHSS устройствами, поочередно передающими на разных частотах.

Источники помех: bluetooth, ECT гарнитуры. FHSS 2.4ГГц. Отдельные устройства мало влияют на точки доступа, но большое количество может привести к деградации сервиса, особенно голосового.

Многолучевое распространение. Может вызывать межсимвольную интерференцию. В n/ac является позитивным фактором.

Низкий SNR. Рекомендуемый не менее 20dB

Несоответствие мощности передатчика. Может вызывать ситуацию, когда одно устройство слышит другое, но не наоборот. Рекомендуемый сценарий: мощность на точке выставляется в соответствии с мощностью самомго "слабого" абонента, а область покрытия точки доступа увеличивается не за счет повышения мощности передатчика, а за счет увеличения КУ антенны.

Near/far. Данная проблема возникает в случаях, когда у точки есть несолько клиентов, один из которых находится очень близко, соответственно слышен с высоким уровнем, а другой находится далеко и слышен с низким уровнем. Неспособность точки автоматически контролировать прием поочередно на очень низком и очень выкосоком уровне может вызвать проблемы. Как правило эта проблема не возникаем, если сеть корректо спланирована и обеспечивает покрытие с уровнем сигнала -70дБм или лучше.

Скрытый узел (hidden node). Один из клиентов слышен точке доступа, но не слышен другим клиентам. Может случаться, например, когда клиенты находятся в противоположных концах зоны покрытия точки (например, если область покрытия слишком большая), а также при использовании DAS и Leaky Cable.

Distributed antenna system (DAS) несколько антенн, подключаемых к одной точке доступа для улучшения покрытия.
Leaky cable (radiating cable) - коаксиальный кабель, работающий как одна большая антенна. Часто используется под землей (метро, шахты).

Чем дальше устройство от точки, тем ниже максимальный возможный битрей. Соответственно, Уменьшая минимально допустимый битрейт, можно увеличивать покрытие. В связи с этим часто бывает полезно отключать низшие битрейты (1 и 2 Мб/с). Также это может быть полезно для того, чтобы удаленные абоненты с низкими битрейтами не снижили производительность всех остальных абонентов подключенных к данной точке.

Роуминг (roaming) переключение клиентского устройства от одной точки к другой. Решение о переключении принимается клиентским устройствам на основании заложенного производителем алгоритма. Как правило, происходит оценка уровня сигнала, уровня шума, количества ошибок. Следует понимать, что разные производители закладывают в свои устрйоства разные алгоритмы, и какие-то из них будут переключаться раньше, какие-то наоборот дольше "держаться" за текущую точку.

Обратить внимание: можно избежать того, что устройство "держится" за точку настроив точку таким образом, чтобы она отключала клиента по достижении определенного уровня сигнала.

802.11k описывает т.н. neigbor reports и RRM, которые позволяют улучшить роуминг. 802.11r описывает более быструю и безопасную передачу клиента от одной точки к другой.

Для обеспечения качественного роуминга, следует планировать сеть так, чтобы зоны покрытия точек пересекались на 15-30 процентов. Так как часто зона покрытия точки имеет неправильную форму, данное правило можно сформулировать по другому: в любом месте клиентское устройство должно слышать основную точку с рекомендованным уровнем RSSI (как правило -70dBm) или выше и запасную с таким же уровнем или ниже.
При этом следует понимать, что если клиентское устройство слышит в один момент времени слишком много точек с высоким уровнем сигнала это может привести к деградации сервиса. Т.е. пересечение зон покрытия должно планироваться разумно.

Еще один важные параметр в роуминге это задержка. Каждый раз во время перехода клиента к другой точке, при наличии безопасности 802.1X/EAP требуется реассоция, занимающая 700 милисекунд или дольше,  в то время как, например VoWiFI требует 150мс или менее. Для преодоления этой проблемы требуются специальные механизмы (Fast secure roaming, FSR). FT - стандарт описанный IEEE.

Для траблшутинга проблем с роумингом, связанных с помехами, могут быть полезны анализаторы, работающие одновременно в нескольких каналах (multichannel).

Роуминг на 3 уровне - технология Mobile IP. Туннелирование, позволяющее пакету проходить между разными доменами 3 уровня. Может вести к повышению задержки.

Co-channel interference - деградация сервиса, возникающая в результате работы нескольких соседних точек в одном канале.

При проектировании сот в диапазоне 5ГГц, соты с одинаковыми частотами должны  разделяться по крайней мере двумя сотами с другими частотами, например  149-52-36-149

При проектировании беспроводной сети в здании, необходимо помнить, что точки излучают в трех измерениях.

Single channel architecture (SCA)- все точки работают с одним BSSID в одном канале. С точки зрения клиента - одна большая точка. Требует контроллера. Решение о роуминге принимается конроллером, т.к с точки зрения клиента есть только одна точка. Zero handoff, т.к. не требуется реаутентификация, удобно для VoWiFI. С развитием современных технологий роуминга данная технология стала менее популярна, чаще используется традиционная multiple channel architecture (MCA).

Band steering - когда клиент, способный работать в диапазоне как 5 так и 2.4 отправляет запросы, точка поддерживающая как 5 так и 2.4 будет пытаться направить (steer) клиента на использование диапазона 5.  Разные вендоры используют для этого разные проприетарные технологии. Чаще всего точка пытается добиться нужно результата отвечая только на запросы в диапазоне 5ГГц. При этом, если клиент продолжает попытки подключиться в диапазоне 2.4 подключение будет разрешено.
Предпочтения в плане выбора диапазона (а также их возможность их настройки) также закладываются некоторыми производителями клиентских устройств.
Также эта технология может быть использована для распределения клиентов по разным диапазонам.

Распределение нагрузки (load balancing) - если точка уже перегружена клиентами, она будет отвергать запрос на ассоциацию от нового клиента в надежде на то, что он подключится к соседней точке с меньшим количеством клиентов. Требует наличия контроллера для того, чтобы точки могли обмениваться информацией о количестве клиентов и нагрузке.
Следует помнить, что распределение нагрузки может мешать процессу роуминга.

Для сайтов с большим количеством клиентов:
-использовать точки n или ac
-отключать низкие битрейты (802.11b)
-если возможно, использовать только  клиентские устройства n и ac.
-снижать мощность передатчика на точках для оптимизации размера сот
-для более высокой стабильности следует испльзовать статические настройки каналов и мощности, а не динамические механизмы
-включть распределение нагрузки
-рассмотреть исплолзование направленных антенн, для четкого распределения покрытия по секторам
-всегда внимательно читать гайды по реализации от вендора.

Не следует выставлять максимальную мощность на точках доступа. Слишком большая зона покрытия может привести к ряду проблем, включая проблему со скрытым узлом и недостаточной пропускной способностью. Если необходимо увеличить зону покрытия это следует делать за счет повышения КУ антенны, а не мощности передатчика.

На пропускную способность (а не битрейт) могут влиять:
- CSMA/CD оверхед может занимать от 35 до 40% пропускной способности в сетях n/ac
- Шифрование - разные алгоритмы шифрования добавляют от 8 до 20 байт в каждый фрейм
- Используемые приложения
- Количество клиентов
- Количество повторов на 2 уровне (level 2 retransmissions)

Погодные факторы:
-Грозовые разряды могут повреждать оборудование
-Ветер может сбивать юстировку антенн
-Вода также может повреждать оборудование при попадании внутрь. Требуется надежная герметизация
-Разность температуры воздушных слоев  (air stratification) может вызывать преломление радио-сигналов на длинных линках.
-Ультрафиолетовое излучение и перегрев могут повреждать некачественные кабели.

Также следует помнить о том, что в некоторых случаях проблема может быть на уровне 3 или выше.

Источник: D. Coleman, D. Wescott - Certified Wireless Network Administration Official Study Guide