У беспроводных сетей очень много общего с проводными, но есть и различия. Например, для того чтобы проникнуть в проводную сеть без доступа в Интернет, хакеру необходимо физически к ней подключиться. В варианте Wi-Fi ему достаточно установить антенну в ближайшей подворотне в зоне действия сети. Таким образом, аспекты безопасности выходят на первое место даже для беспроводных сетей, не имеющих выхода в Интернет.
В ожидании простых решений
Если у вас есть карманный компьютер с адаптером беспроводного доступа, можно провести самый простой эксперимент: включите сканер сетей и прогуляйтесь пешком по центральным улицам столицы, особенно рядом с деловыми центрами, банками, государственными учреждениями. Попробуйте поймать сигнал из близлежащих офисов и получить неавторизованный доступ в их системы. Практика показывает, что сделать это совсем несложно — примерно треть таких сетей не обладает вовсе никакой защитой. В крупных мегаполисах Европы и США даже появились легенды о хакерах с ноутбуками, Wi-Fi-адаптерами и антеннами, сооруженными из пустой пивной банки или упаковки из-под чипсов. Якобы у них даже была своя условная система знаков, которые они рисовали на тротуаре или на стенах зданий, указывая “собратьям” не защищенные должным образом точки доступа. Возможно, так и было, лишь вместо банок из-под чипсов использовались мощные антенны, а условные знаки обозначались на карте, связанной с системой глобального позиционирования (GPS), — кстати, подобные товарищи, особенно юного хакерского возраста, есть и в Москве. При этом наблюдается парадоксальная ситуация: производители как оборудования, так и защитных программ создали большое количество барьеров для злоумышленников. Но пользователям, как правило, не хватает квалификации, чтобы их применить, — даже знакомые с английским языком не в силах точно и однозначно определить пункты меню в настройках ПО, отвечающие за защиту соединения, и грамотно выставить нужные галочки.
Учитывая ту частоту, с которой пользователи заявляют о найденных ими поблизости незащищенных сетях Wi-Fi или о том, что другие люди пытаются войти в их собственные сети, исследователи из американской ABI Research, изучившие эту проблему в 2006 г., делают неутешительный вывод: “Большинство схем безопасности Wi-Fi настолько трудно настроить, что зачастую пользователи бросают это занятие на полпути, а многие просто сдаются, открывая свои WLAN для любого желающего”.
Мировые производители абонентского беспроводного оборудования для частных домашних сетей и небольших компаний пока не смогли предложить простые и легкие механизмы защиты от стороннего проникновения.
Опасения за безопасность своих сетей возникают у любого пользователя, однако сложность существующих ныне механизмов защиты разочаровывает многих, и они считают эту проблему неразрешимой. Но, возможно, именно в 2006 г. появятся продукты, которые смогут работать очень просто, используя, например, технологию защиты “в одно касание” AirStation One-touch Secure Set-up (AOSS); еще в 2004-м ее запатентовали исследователи Buffalo Technology. Эта технология позволяет устанавливать защищённое соединение нажатием одной кнопки на маршрутизаторе и второй — на клиентском устройстве (оба, разумеется, должны поддерживать AOSS). Таким образом инициируется подключение и активизируется защита WPA, WPA2 или WEP.
В то же время производители чипов Broadcom и Atheros заявили о том, что они начинают выпуск собственных решений — под названием соответственно SecureEasySetup и JumpStart. Ожидается, что либо одна из этих технологий, либо какие-то вариации или комбинации на их основе пройдут процесс ратификации через Wi-Fi Alliance и станут открытым стандартом, причем уже в нынешнем году. В ABI Research считают, что более простые решения для безопасности не обязательно дадут их создателям большее конкурентоспособное преимущество. Но как только Wi-Fi Alliance установит это новшество в качестве стандарта, многие из производителей его поддержат.
Типовые вредоносные действия
Противоправный доступ в беспроводную сеть — это не только доступ в Интернет “на халяву”. К сожалению, существует весьма подробная и разветвленная классификация того, что может сделать с сетью обученный взломщик. Например, получив несанкционированный доступ в сеть предприятия, можно добраться до файловых архивов на FTP-серверах и получить как общедоступную документацию, так и данные для служебного использования. Весьма часто крупные компании считают ненужным защищать интранет-сети, которые тем не менее имеют компонент Wi-Fi, используемый в переговорных комнатах или на некоторых рабочих местах. Слабая криптография (не более чем на 64 бит) при передаче данных может помочь злоумышленнику перехватить не только важную информацию, но и авторизационные данные для связи рабочих компьютеров с сетью — для этого надо просто в пассивном режиме прослушать эфир, находясь в зоне действия хотспота.
После доступа, пусть и с минимальными полномочиями, злоумышленник может оставить в локальной сети предприятия вирус, который, при слабой защите сетевой среды и собственных отличных боевых качествах, способен проникнуть к учетным записям пользователей с более высокими полномочиями. Получив такие данные, вирус “отчитывается” перед своим хозяином их отсылкой, скажем, в ящик электронной почты, расположенный на бесплатном почтовом сервере в другой стране мира. После этого сеть может подвергнуться заражению вирусами второго эшелона — если целью является не кража данных или нарушение работы компании, то компьютеры, особенно с прямым и постоянным интернет-соединением, могут поработать как “зомби”, рассылая спам через свою сеть. Как вариант — их могут использовать для проведения DoS-атак на сторонние сети или на сети клиентов компании. И все эти проблемы возможны с использованием неавторизованного доступа через хотспот Wi-Fi, который не защищен должным образом.
Настройка безопасного соединения
Если корпоративная сеть с использованием Wi-Fi — уже не редкость, то дома, во всяком случае пока, пользователи ставят такие решения не столь активно. Причем, как показывает практика, это актуально не только для нашей страны — даже в США с их высоким уровнем информатизации беспроводные сети являются источником головной боли для пользователей. Абоненты теряются при настройке оборудования, после чего приобретенные маршрутизаторы, карты и точки доступа нередко возвращают обратно в магазин. Большие семьи, живущие в двух- и трехэтажных частных домах, часто испытывают трудности с доступом в Интернет: проводная сеть по сложности оказывается не менее громоздкой, чем офисная. Лучшим решением может стать Wi-Fi, однако не каждый сумеет построить такую сеть, а если и сумеет, то испытает явные проблемы с установками безопасности. “Прокладка” же такой сети с помощью специалиста обходится примерно в $180 и занимает час времени.
По подсчетам Ассоциации потребительской электроники США (Consumer Electronics Association) примерно 9% пользователей отдают технику обратно и больше никогда не думают о беспроводной сети у себя дома. Статистики по России пока нет — еще не те масштабы, но маршрутизатор, “вещающий” по радиоканалу дома, уже не экзотика. Его можно подключить как к домашней локальной сети, так и к ADSL-каналу, есть модели на любой вкус. Однако проблемы с безопасностью остаются — поэтому укажем на несколько принципиальных моментов, о которых стоит помнить при эксплуатации подобных соединений.
Абоненты теряются при настройке оборудования, после чего приобретенные маршрутизаторы, карты и точки доступа нередко возвращают обратно в магазин
Во-первых, если вы используете точку доступа, которая имеет свой IP-адрес и управляется через Web-интерфейс, обязательно поменяйте пароль доступа к настройкам, установленный в ней по умолчанию. Банальность в итоге непостижимая, но часто по паролю/логину guest/guest, а также по паролю 0000 или 1111 можно получить права администратора. Дополнительно к паролю активизируйте фильтрацию по MAC-адресу. Поскольку это уникальный и неповторимый адрес (узнать его можно в сетевых соединениях или в информации о сетевой карте компьютера), фактически создается список “дружественных” компьютеров, которым разрешено подключение к нашему хотспоту. Сюда можно включить адреса как всех домашних машин, так и ноутбуков и КПК друзей. Кстати, удобно поставить блокировку на компьютер соседа, уже пытавшегося подключиться к вашей сети без спроса. Конечно, стоит учесть, что MAC-адрес, как и IMEI-номер терминала сотовой связи, изменить не так уж и сложно, особенно если узнать MAC-адреса разрешённых сетевых карт, поэтому все меры безопасности должны быть применены в совокупности — к примеру, для полного счастья стоит установить еще и VPN (Virtual Private Network), что значительно усилит оборону от посторонних внедрений.
Во-вторых, отключите трансляцию заголовка (SSID) сети. Не секрет, что в нормальном режиме точка доступа вещает свой сетевой идентификатор, чтобы любой, кто выполняет поиск беспроводных сетей, мог её найти и четко определить границы вещания. Не стоит демонстрировать свою беспроводную сеть всем желающим — обычно это снимает 99% проблем с детишками юного хакерского возраста. Заодно и смените имя своей сети, которое выставлено по умолчанию, — тогда подключиться к вашей сети сможет только тот, кто заранее знает это имя, а найти и взломать беспроводную сеть станет гораздо сложнее. Если точка доступа позволяет настраивать её по проводному подключению и есть возможность отключить беспроводную настройку, надо обязательно сделать это, чтобы хакер не мог к ней подключиться, даже зная пароль доступа. Одновременно с этим четко отрегулируйте радиус действия беспроводной сети, чтобы за стенами вашей квартиры или офиса сигнал ловился очень плохо.
В-третьих, для защиты данных по пути от одного сетевого контроллера к другому зашифруйте их — для этого на всех устройствах установите соответствующий протокол и ключи к нему. Самый простой способ — использование протокола WEP (Wired Equivalence Privacy). Степень защиты определяется длиной ключа (64, 128 или 256 бит), что позволяет добиться такого же уровня безопасности, как в случае проводных сетей. В современном сетевом оборудовании можно записывать несколько WEP-ключей и выбирать активный по согласованию с пользователями. Например, по одному на каждые три дня связи (не забудьте указать этот список на ноутбуках-клиентах), а потом — следующий, причем список менять каждые две недели. Ключи обязательно должны быть длинными — не менее 128, но лучше 256 бит. Пароли должны включать в себя буквы, цифры и специальные символы. При этом не используйте обычные слова из словаря, имена и т. п.