Cipher - алгоритм, используемый для шифрования данных.
Наиболее распространенные: RC4 и AES.
RC4 используется в WEP и TKIP.
AES более надежные чем RC4. Используется в CCMP.
Open system authentication: запрос от клиента - ответ от точки. Аутентифицироваться и получить доступ к сети может любой клиент. Не требуется предоставление каких-либо либо данных (логинов, сертификатов) для аутентификации.
Shared key authentication. Использует WEP. Для аутентификации требуется статический ключ. Четырехфазная аутентификация. Если проходит успешно, тот же статический ключ будет использоваться для шифрования данных. Несмотря на то, что в данном сценарии трафик шифруется, при перехвате сообщений на этапе аутентификации, можно вычислить ключ и дальше расшифровывать данные. Поэтому ни аутентификация открытых систем, ни аут. разделяемого ключа не считается безопасной и не рекомендуется для использования.
WEP позволяет защищать конфиденциальность, целостность данных и осуществлять контроль доступа. В современных условиях может быть взломан меньше, чем за 5 минут.
802.11 не описывает фильтрацию по MAC адресам, и любой такой фильтр является реализацией конкретного вендора.
Современная технология (802.11i): 802.1X/EAP или PSK (для SOHO и домашних пользователей). Шифрование CCMP/AES или TKIP/RC4.
До принятия 802.11i Wi-Fi alliance представил WPA (только TKIP/RC4). После принятия 802.11i появился WPA2 дополненный поддержкой CCMP/AES.
802.11-2012 описывает т.н. Robust security network (RSN) с динамическими ключами шифрования. Сеть RSN можно идентифицировать по RSN-IE полю в маяках. В такой сети могут сосуществовать legacy и RSN механизмы защиты.
802.11-2012 описывает как аутентификацию, так и управление ключами. Протоколом аутентификации и обмена ключами (AKMP) может быть либо PSK либо EAP (требует RADIUS'а).
WPA/WPA2 использует PSK.
Одна из главные проблем систем с разделяемым ключом в том, что компрометация одного пользователя ведет к компрометации всей сети.
Некоторое проприетарные реализации PSK позволяют создавать множество отдельных учетных записей с разными ключами для подключения к сети, а также задавать этих учетных записей срок жизни. Может служить альтернативой 802.1X/EAP
802.1X/EAP - авторизационный фреймворк, позволяющий разрешить или запретить прохождение трафика через порт устройства, и, соответственно, доступ к сетевым ресурсам. Состоит из трех основных компонентов:
1. Supplicant - хост, запрашивающий доступ к сетевым ресурсам
2. Authenticator - устройство, блокирующее трафик или пропускающее его через свой порт. Как правило, разрешается только трафик, необходимый для аутентификации, весь остальной трафик блокируется, пока суппликант не получит соотвествующих разрешений.
3. Authentication server (AS). Проверяет данные, предоставленные суппликантом и уведомляет аутентификатора о предоставлении или непредоставлении доступа. Поддерживает внутреннюю базу данных пользователей, или подключается к внешней базе данны, например LDAP.
EAP - протокол аутентификации 2 уровня. Существуют разные реализации протокола EAP. Как приоприетарные, например Cisco LEAP, или открытые, например PEAP. Некоторые поддерживают одностороннюю аутентификацию, некоторые - двустороннюю (подтверждается подлинность также сервера аутентификации, для того, чтобы данные не были отправлены мошеннику). Как правило, для аутентификации используются электронные сертификаты.
В рамках 802.1X/EAP также рекомендуется использовать шифрование (динамические ключи).
До появления WPA некоторые вендоры реализовывали WEP с динамическими ключами. Это решение все равно уязвимо.
TKIP - технология, улучшающая WEP, с целью исправить его недостатки. В WEP основаная проблема не стойкость алгоритма шифрования (RC4) а процесс создания ключей.
CCMP использует AES-128. Вск ключи генерируются динамически. 8-байтная проверка целостность (MIC) считается более надежной, чем в TKIP. Требует определенных вычислительных ресурсах, поэтому не может использоваться на ряде старых устройств.
Обратить внимание: генерация ключей CCMP и TKIP проихсодит на основе информации, которой устройства обмениваются в процессе аутентификации (4-way handshake), соответственно, процессы аутентификации и защиты конфиденциальности данных связаны.
n/ac уже не поддерижвают TKIP.
Еще один способ повышения безопасности - сегментация сети (vlan).
С помощью RADIUS можно назначать разные vlan пользователям в рамках одного SSID.
Role-base access control (RBAC) - поддерживается многими контроллерами. Три основных элемента: пользователи, роли, разрешения. Пользователям назначаются роли, ролям - разрешения (различные филтры доступа от 2 до 7 уровня).
Captive portal - специальная веб-страница, для аутентифиации гостевых пользователей, работающая в связке с брандмауэром.
Сотрудникам следует запретить устанавливать свои точки доступа или ad hoc сети, т.к. это может позволить злоумышленнику получить доступ в сеть.
Многие вендоры реализуют изолящию клиентских устройств, чтобы исключить возможность проникновения с одного устройства внутри локальной сети на другое. Все подобные взаимодействия должны происходить через соответствующее устройство безопасности. Также может называться peer-to-peer blocking или public secure packet forwarding (PSPF)
При использовании WPA/WPA2 personal следует использовать стойкие пароли, не менее 20 символов.
Фильтрация по MAC адресам сама по себе не является надежной защитой, т.к. MAC адрес может быть подменен. Данная технология может применяться только в составет комплексного решения с 802.1X/EAP
Следует защищать также интерфейс управления устройств: использовать только SSH/HTTPS и не использовать дефолтные адреса и пароли.
Для борьбы с атаками типа man-in-the-middle следует использовать взаимную аутентификацию пользователей и точек доступа.
DoS атаки: глушение, подмена фреймов деассоциации/деаутентификации. поправка 802.11w описывает механизмы, позволяющие бороться с некоторыми L2 DoS атаками.
Аудит безопасности Wi-Fi: https://www.wifipineapple.com/
WIDS состоит из сервера, консолей (программных) управления, и сенсоров, которые прослушиваю эфир. Типы WIDS:
-Overlay. WIDS отдельного вендора, реализуемая для мониторинга беспроводной сети. Состоит из сервера и сенсоров, не являющихся частью беспроводной сети, предоставляющей доступ клиентам.
-Integrated. Многие производители беспроводного оборудования встаивают WIDS в свои решения. В роли сервера выступает контроллер или NMS. Точки доступа имеют дополнительный функционал сенсоров.
-Integration enabled. Некоторые производители позволяют интегрировать свои решения со сторонними WIDS системами.
WIPS системы способны не только обнаруживать атаки, но и противодействовать им.
Классификация устройств с точки зрения WIPS:
-Infrastructure device. Клиенская станция или точка доступа, являющаяся авторизованным элементом корпоративной сети.
-Unknown device - все новые устройста, обнаруженные, но не классифицированные
-Known device - идентифицированное устройство. Не является частью корпоративной сети, но не пресдтавляет угрозы.
-Rogue device - устройство создающее помехи и способное представлять опасность.
WISP может применять в качестве контрмер некоторые DoS атаки (например, спуфить deauthentication фреймы для rogue точек и клиентов), либо отключать порты проводных устройств, к которым подключены rogue устройства c помощью SNMP.
Мобильные WIDS - аппаратно-программный комплекс (например, нотбук с установленным на него ПО) который сочетает в себе все элементы WIDS.
Некоторые производители добавляют в свои решения распределенный спектроанализатор (DSAS), которые позваляют распознавать атаки на уровне 1.
Основные элементы общей политики безопасности:
-Statement of authority. Определяет разработчиков политики и ответсвенных за безопасность.
-Applicable audience. К кому применима данная политика (сотрудники, партнеры, посетители...)
-Violation report procedures. Как обеспечивается следование данной политике, включая то, какие и кем должны предприниматься действия.
-Risk assessment and threat analysis. Определяет потенциальные риски и угрозы, оцениват потенциальный ущерб.
-Security auditing. Внутренние процедуры аудита безопасности.
Функциональная (functional) политика безопасности. Определяет технические аспекты безопасности беспроводной сети.
-Policy essentials. Основные процедуры безопасности: пароли, обучение и т.п.
-Baseline practices. Конфигруационные чеклисты, тестирование, установка
-Design and implementation. Реальные решения по шифрованию, сегментации и аутентификации, которые следует внедрить.
-Monitoring and response. Процедуры определения вторжений и реакции на них.
Во многих странах существуют специальные правила по защите данных. Например, FIPS в США. FIPS 140-2 - требования к криптографическим модулям. Другие нормативные акты:
-HIPAA
-Sarbanes-Oxley act
-GLBA
-PCI (payment card industry) https://www.pcisecuritystandards.org/pdfs/PCI_DSS_Wireless_Guidelines.pdf
Рекомендуемы элементы политики:
-BYOD. Четко определяет то, как личные устройства сотрудников должны интегрироваться в корпоративную сеть.
-Remote-Access WLAN. обязательное использование сотрудниками VPN при подключении к беспроводным сетям вне корпортативной сети.
-Rouge AP policy. Пользователям запрещено устанавливать собственные беспроводные устройства в корпоративной сети.
-AD-Hoc policy. Пользователям запрещено создавать ad-hoc и peer-to-peer сети.
-Wireless LAN proper use policy. Описание реализации беспроводной сети
-IDS Policy.
PS Poll атака (DoS): точка доступа буферизирует фреймы, предназначенные "спящим" клиентам в режиме энергосбережения. Когда клиент просыпается, он отправляет PS Poll фрейм, чтобы запросить буферизированные данные. На каждый PS Poll точка отвечает фреймом с данными, если остаются данные для передачи, точка сообщает об этом отправкой специального бита. Злоумышленник может спуфить PS Poll, в таком случае буферизированные данные отправляются когда реальный клиент спит, в итоге они теряются.
Источник: D. Coleman, D. Wescott - Certified Wireless Network Administration Official Study Guide
Наиболее распространенные: RC4 и AES.
RC4 используется в WEP и TKIP.
AES более надежные чем RC4. Используется в CCMP.
Open system authentication: запрос от клиента - ответ от точки. Аутентифицироваться и получить доступ к сети может любой клиент. Не требуется предоставление каких-либо либо данных (логинов, сертификатов) для аутентификации.
Shared key authentication. Использует WEP. Для аутентификации требуется статический ключ. Четырехфазная аутентификация. Если проходит успешно, тот же статический ключ будет использоваться для шифрования данных. Несмотря на то, что в данном сценарии трафик шифруется, при перехвате сообщений на этапе аутентификации, можно вычислить ключ и дальше расшифровывать данные. Поэтому ни аутентификация открытых систем, ни аут. разделяемого ключа не считается безопасной и не рекомендуется для использования.
WEP позволяет защищать конфиденциальность, целостность данных и осуществлять контроль доступа. В современных условиях может быть взломан меньше, чем за 5 минут.
802.11 не описывает фильтрацию по MAC адресам, и любой такой фильтр является реализацией конкретного вендора.
Современная технология (802.11i): 802.1X/EAP или PSK (для SOHO и домашних пользователей). Шифрование CCMP/AES или TKIP/RC4.
До принятия 802.11i Wi-Fi alliance представил WPA (только TKIP/RC4). После принятия 802.11i появился WPA2 дополненный поддержкой CCMP/AES.
802.11-2012 описывает т.н. Robust security network (RSN) с динамическими ключами шифрования. Сеть RSN можно идентифицировать по RSN-IE полю в маяках. В такой сети могут сосуществовать legacy и RSN механизмы защиты.
802.11-2012 описывает как аутентификацию, так и управление ключами. Протоколом аутентификации и обмена ключами (AKMP) может быть либо PSK либо EAP (требует RADIUS'а).
WPA/WPA2 использует PSK.
Одна из главные проблем систем с разделяемым ключом в том, что компрометация одного пользователя ведет к компрометации всей сети.
Некоторое проприетарные реализации PSK позволяют создавать множество отдельных учетных записей с разными ключами для подключения к сети, а также задавать этих учетных записей срок жизни. Может служить альтернативой 802.1X/EAP
802.1X/EAP - авторизационный фреймворк, позволяющий разрешить или запретить прохождение трафика через порт устройства, и, соответственно, доступ к сетевым ресурсам. Состоит из трех основных компонентов:
1. Supplicant - хост, запрашивающий доступ к сетевым ресурсам
2. Authenticator - устройство, блокирующее трафик или пропускающее его через свой порт. Как правило, разрешается только трафик, необходимый для аутентификации, весь остальной трафик блокируется, пока суппликант не получит соотвествующих разрешений.
3. Authentication server (AS). Проверяет данные, предоставленные суппликантом и уведомляет аутентификатора о предоставлении или непредоставлении доступа. Поддерживает внутреннюю базу данных пользователей, или подключается к внешней базе данны, например LDAP.
EAP - протокол аутентификации 2 уровня. Существуют разные реализации протокола EAP. Как приоприетарные, например Cisco LEAP, или открытые, например PEAP. Некоторые поддерживают одностороннюю аутентификацию, некоторые - двустороннюю (подтверждается подлинность также сервера аутентификации, для того, чтобы данные не были отправлены мошеннику). Как правило, для аутентификации используются электронные сертификаты.
В рамках 802.1X/EAP также рекомендуется использовать шифрование (динамические ключи).
До появления WPA некоторые вендоры реализовывали WEP с динамическими ключами. Это решение все равно уязвимо.
TKIP - технология, улучшающая WEP, с целью исправить его недостатки. В WEP основаная проблема не стойкость алгоритма шифрования (RC4) а процесс создания ключей.
CCMP использует AES-128. Вск ключи генерируются динамически. 8-байтная проверка целостность (MIC) считается более надежной, чем в TKIP. Требует определенных вычислительных ресурсах, поэтому не может использоваться на ряде старых устройств.
Обратить внимание: генерация ключей CCMP и TKIP проихсодит на основе информации, которой устройства обмениваются в процессе аутентификации (4-way handshake), соответственно, процессы аутентификации и защиты конфиденциальности данных связаны.
n/ac уже не поддерижвают TKIP.
Еще один способ повышения безопасности - сегментация сети (vlan).
С помощью RADIUS можно назначать разные vlan пользователям в рамках одного SSID.
Role-base access control (RBAC) - поддерживается многими контроллерами. Три основных элемента: пользователи, роли, разрешения. Пользователям назначаются роли, ролям - разрешения (различные филтры доступа от 2 до 7 уровня).
Captive portal - специальная веб-страница, для аутентифиации гостевых пользователей, работающая в связке с брандмауэром.
Сотрудникам следует запретить устанавливать свои точки доступа или ad hoc сети, т.к. это может позволить злоумышленнику получить доступ в сеть.
Многие вендоры реализуют изолящию клиентских устройств, чтобы исключить возможность проникновения с одного устройства внутри локальной сети на другое. Все подобные взаимодействия должны происходить через соответствующее устройство безопасности. Также может называться peer-to-peer blocking или public secure packet forwarding (PSPF)
При использовании WPA/WPA2 personal следует использовать стойкие пароли, не менее 20 символов.
Фильтрация по MAC адресам сама по себе не является надежной защитой, т.к. MAC адрес может быть подменен. Данная технология может применяться только в составет комплексного решения с 802.1X/EAP
Следует защищать также интерфейс управления устройств: использовать только SSH/HTTPS и не использовать дефолтные адреса и пароли.
Для борьбы с атаками типа man-in-the-middle следует использовать взаимную аутентификацию пользователей и точек доступа.
DoS атаки: глушение, подмена фреймов деассоциации/деаутентификации. поправка 802.11w описывает механизмы, позволяющие бороться с некоторыми L2 DoS атаками.
Аудит безопасности Wi-Fi: https://www.wifipineapple.com/
WIDS состоит из сервера, консолей (программных) управления, и сенсоров, которые прослушиваю эфир. Типы WIDS:
-Overlay. WIDS отдельного вендора, реализуемая для мониторинга беспроводной сети. Состоит из сервера и сенсоров, не являющихся частью беспроводной сети, предоставляющей доступ клиентам.
-Integrated. Многие производители беспроводного оборудования встаивают WIDS в свои решения. В роли сервера выступает контроллер или NMS. Точки доступа имеют дополнительный функционал сенсоров.
-Integration enabled. Некоторые производители позволяют интегрировать свои решения со сторонними WIDS системами.
WIPS системы способны не только обнаруживать атаки, но и противодействовать им.
Классификация устройств с точки зрения WIPS:
-Infrastructure device. Клиенская станция или точка доступа, являющаяся авторизованным элементом корпоративной сети.
-Unknown device - все новые устройста, обнаруженные, но не классифицированные
-Known device - идентифицированное устройство. Не является частью корпоративной сети, но не пресдтавляет угрозы.
-Rogue device - устройство создающее помехи и способное представлять опасность.
WISP может применять в качестве контрмер некоторые DoS атаки (например, спуфить deauthentication фреймы для rogue точек и клиентов), либо отключать порты проводных устройств, к которым подключены rogue устройства c помощью SNMP.
Мобильные WIDS - аппаратно-программный комплекс (например, нотбук с установленным на него ПО) который сочетает в себе все элементы WIDS.
Некоторые производители добавляют в свои решения распределенный спектроанализатор (DSAS), которые позваляют распознавать атаки на уровне 1.
Основные элементы общей политики безопасности:
-Statement of authority. Определяет разработчиков политики и ответсвенных за безопасность.
-Applicable audience. К кому применима данная политика (сотрудники, партнеры, посетители...)
-Violation report procedures. Как обеспечивается следование данной политике, включая то, какие и кем должны предприниматься действия.
-Risk assessment and threat analysis. Определяет потенциальные риски и угрозы, оцениват потенциальный ущерб.
-Security auditing. Внутренние процедуры аудита безопасности.
Функциональная (functional) политика безопасности. Определяет технические аспекты безопасности беспроводной сети.
-Policy essentials. Основные процедуры безопасности: пароли, обучение и т.п.
-Baseline practices. Конфигруационные чеклисты, тестирование, установка
-Design and implementation. Реальные решения по шифрованию, сегментации и аутентификации, которые следует внедрить.
-Monitoring and response. Процедуры определения вторжений и реакции на них.
Во многих странах существуют специальные правила по защите данных. Например, FIPS в США. FIPS 140-2 - требования к криптографическим модулям. Другие нормативные акты:
-HIPAA
-Sarbanes-Oxley act
-GLBA
-PCI (payment card industry) https://www.pcisecuritystandards.org/pdfs/PCI_DSS_Wireless_Guidelines.pdf
Рекомендуемы элементы политики:
-BYOD. Четко определяет то, как личные устройства сотрудников должны интегрироваться в корпоративную сеть.
-Remote-Access WLAN. обязательное использование сотрудниками VPN при подключении к беспроводным сетям вне корпортативной сети.
-Rouge AP policy. Пользователям запрещено устанавливать собственные беспроводные устройства в корпоративной сети.
-AD-Hoc policy. Пользователям запрещено создавать ad-hoc и peer-to-peer сети.
-Wireless LAN proper use policy. Описание реализации беспроводной сети
-IDS Policy.
PS Poll атака (DoS): точка доступа буферизирует фреймы, предназначенные "спящим" клиентам в режиме энергосбережения. Когда клиент просыпается, он отправляет PS Poll фрейм, чтобы запросить буферизированные данные. На каждый PS Poll точка отвечает фреймом с данными, если остаются данные для передачи, точка сообщает об этом отправкой специального бита. Злоумышленник может спуфить PS Poll, в таком случае буферизированные данные отправляются когда реальный клиент спит, в итоге они теряются.
Источник: D. Coleman, D. Wescott - Certified Wireless Network Administration Official Study Guide
