ОРГАНИЗАЦИЯ БЕЗОПАСНОСТИ ДОМАШНИХ И ЧАСТНЫХ БЕСПРОВОДНЫХ СЕТЕЙ WI-FI - Студенческий научный форум

VIII Международная студенческая научная конференция Студенческий научный форум - 2016

ОРГАНИЗАЦИЯ БЕЗОПАСНОСТИ ДОМАШНИХ И ЧАСТНЫХ БЕСПРОВОДНЫХ СЕТЕЙ WI-FI

 Комментарии
Текст работы размещён без изображений и формул.
Полная версия работы доступна во вкладке "Файлы работы" в формате PDF
Целью работы является организация безопасности домашних и частных беспроводных сетей Wi-Fi.

На основании проведенного исследования требуется вывести минимальный набор критериев для среднестатистического пользователя при создании безопасной беспроводной сети Wi-Fi в домашних условиях и частных предприятий.

Wi-Fi – протокол беспроводной сети, обеспечивающий прием и передачу информации между точками доступа и клиентами. Связь обеспечивается между одной и более точкой доступа и минимум одним клиентом, либо между двумя и более клиентами. Подключение Wi-Fi позволяет локально обмениваться информацией (пакетами данных), либо выходить в интернет – при наличии устройства.

За счёт простоты использования беспроводная сеть Wi-Fi приобрела большую популярность в мире. Wi-Fi сейчас есть практически везде, невидимые нити беспроводных каналов опутали немалую часть суши и океана. Несмотря на защищенность, злоумышленники могут обойти все эти методы защиты и получить доступ к нашим данным.

Кража личных данных жертвы осуществляется для последующего взлом аккаунтов почты, социальных сетей и прочего. При наличии пароля от беспроводной Wi-Fi сети мы имеем возможность расшифровать весь передаваемый «по воздуху» трафик, включая сессии аутентификации на разных сайтах и прочее.

Рисунок 1 Схема беспроводной сети с возможностью взлома

Основными причинами проникновения в частные беспроводные сети являются:

1. Кража личных данных жертвы осуществляется для последующего взлом аккаунтов почты, социальных сетей и прочего. При наличии пароля от беспроводной Wi-Fi сети мы имеем возможность расшифровать весь передаваемый «по воздуху» трафик, включая сессии аутентификации на разных сайтах.

2. Промышленный шпионаж. В настоящее время беспроводные сети Wi-Fi распространены в офисных зданиях и тем самым являются для злоумышленников «парадным входом» в ЛВС организации, в которой можно найти как аккаунты почты и социальных сетей, так и секретные документы.

Рисунок 2 Схема атаки на точку доступа

Основными методами взлома являются атака по словарю и брут-форс («грубая сила»). Можно атаковать как саму точку доступа (рис.2) так и заполучить handshake. Для того что бы получить handshake в режиме мониторинга беспроводной карты сканируется эфир и записываются необходимые пакеты (рис.3). Далее проводится деавторизация клиента для захвата начального обмена пакетами (handshake), либо нужно ждать пока клиент совершит подключение. После этого уже нет необходимости находиться недалеко от атакуемой точки доступа. Атака проводится оффлайн с помощью специальной программы и файла с хэндшейком.

В криптографии на полном переборе основывается криптографическая атака методом «грубой силы». Её особенностью является возможность применения против любого практически используемого шифра. Однако такая возможность существует лишь теоретически, зачастую требуя нереалистичные временные и ресурсные затраты.

Рисунок 3 Захват начального обмена пакетами (handshake)

Наиболее оправдано использование атаки методом «грубой силы» в тех случаях, когда не удается найти слабых мест в системе шифрования, подвергаемой атаке (либо в рассматриваемой системе шифрования слабых мест не существует). При обнаружении таких недостатков разрабатываются методики крипто-анализа, основанные на их особенностях, что способствует упрощению взлома.

Так, с увеличением длины ключа сложность взлома этим методом возрастает экспоненциально. В простейшем случае шифр длиной в N битов взламывается, в наихудшем случае, за время, пропорциональное 2N. Среднее время взлома в этом случае в два раза меньше и составляет 2N‑1. Существуют способы повышения устойчивости шифра к «brute force», например запутывание шифруемых данных, что делает нетривиальным отличие зашифрованных данных от незашифрованных.

В таблице 1 представлено оценочное время полного перебора паролей в зависимости от их длины. Предполагается, что в пароле могут использоваться 36 различных символов (латинские буквы одного регистра + цифры), а скорость перебора составляет 100 000 паролей в секунду.

Таким образом, пароли длиной до 8 символов включительно в общем случае не являются надежными.

Шифрования WPA/WPA 2 PSK уязвимы к атакам по словарю. Для осуществления этой атаки, необходимо получить 4-way WPA handshake между wifi-клиентом и точкой доступа, а также словарь, содержащий парольную фразу.

Таблица 1 Пример продолжительности подбора паролей

Кол-во знаков

Кол-во вариантов

Стойкость

Время перебора

1

36

5 бит

менее секунды

2

1296

10 бит

менее секунды

3

46 656

15 бит

менее секунды

4

1 679 616

21 бит

17 секунд

5

60 466 176

26 бит

10 минут

6

2 176 782 336

31 бит

6 часов

7

78 364 164 096

36 бит

9 дней

8

2,821 109 9x1012

41 бит

11 месяцев

9

1,015 599 5x1014

46 бит

32 года

10

3,656 158 4x1015

52 бита

1 162 года

11

1,316 217 0x1017

58 бит

41 823 года

12

4,738 381 3x1018

62 бита

1 505 615 лет

Основными способами защиты на данный момент являются WPA2 Personal и WPA2 Enterprise.

Разница между WPA2 Personal и WPA2 Enterprise состоит в том, откуда берутся ключи шифрования, используемые в механике алгоритма AES. Для частных (домашних, малых офисов) применений используется статический ключ (пароль, кодовое слово, PSK (Pre-Shared Key)) минимальной длиной 8-36 символов, которое задается в настройках точки доступа, и у всех клиентов данной беспроводной сети ключи одинаковые. Компрометация такого ключа требует немедленной смены пароля у всех оставшихся пользователей, что реалистично только в случае небольшого числа пользователей данной сети. Для корпоративных применений, используется динамический ключ, индивидуальный для каждого работающего клиента в данный момент. Этот ключ может периодический обновляться по ходу работы без разрыва соединения, и за его генерацию отвечает дополнительный компонент ‑ сервер авторизации.

WPA2 Personal MAC

Рисунок 4 Схема подключения устройств к сети Wi-Fi WPA2 Personal MAC

Почему и где следует использовать WPA2 PSK MAC? Данный тип подключения можно использовать дома или в малых офисах, потому как он является весьма надежным и не требует никаких дополнительных ресурсов, таких как сервер аутентификации, но об этом позже. Надежность данного типа подключения заключается в том, что кроме PreShared-Key точка доступа Wi-Fi использует еще и MAC-адрес каждого устройства. MAC-адрес это уникальный идентификатор, присваиваемый каждой единице активного оборудования, или некоторым их интерфейсам в компьютерных сетях Ethernet. На основе проведенной работы, мною была организована безопасная Wi-Fi сеть в моем доме, мною были установлены ключи длинною 16 символов (см. таб.1) и добавлены МАС-адреса всех устройств которые должны быть подключены к точке доступа Wi-Fi.

WPA2 Enterprise

Рисунок 5 Схема подключения устройств к сети Wi-Fi WPA2 Enterprise

Для частных (домашних, мелких) применений используется статический ключ (пароль, кодовое слово, PSK (Pre-Shared Key)) минимальной длиной 8 символов, которое задается в настройках точки доступа, и у всех клиентов данной беспроводной сети одинаковым. Компрометация такого ключа (проболтались соседу, уволен сотрудник, украден ноутбук) требует немедленной смены пароля у всех оставшихся пользователей, что реалистично только в случае небольшого их числа. Для корпоративных применений, как следует из названия, используется динамический ключ, индивидуальный для каждого работающего клиента в данный момент. Этот ключ может периодический обновляться по ходу работы без разрыва соединения, и за его генерацию отвечает дополнительный компонент ‑ сервер авторизации, и почти всегда это RADIUS-сервер. На основе проведенного мною анализа для корпоративных сетей, мною были предложены улучшения для беспроводной сети Wi-Fi моего колледжа, а именно введение случайных логинов для студентов и случайных паролей, длинна которых будет минимум 9 (см. таб.1) символов и которые будут состоять как из латиницы обоих регистров, так и из цифр.

На основе проведенного исследования были выведены следующие рекомендации при создании малых частных беспроводных сетей на основе WPA2 Personal:

  1. Пароль длиною от 9 до 36 символов, который состоит из цифр и латиницы.

  2. Фильтрация MAC-адресов устройств, которые имеют доступ к точке доступа Wi-Fi.

Для создания больших корпоративных сетей требуется использовать WPA2 Enterprise:

  1. Пароль длиною от 9 до 36 символов, который состоит из цифр и латиницы.

  2. Логин для каждого пользователя.

  3. Фильтрация MAC-адресов устройств.

Просмотров работы: 900