Активные атаки

Несмотря на то, что прослушивание сети представляет серьезную опасность, активные атаки могут быть еще более опасными. Рассмотрим основной риск, связанный с беспроводными сетями: злоумышленник может успешно преодолеть периметр сетевой защиты организации. Большинство организаций размещают большую часть средств безопасности (межсетевые экраны, системы обнаружения вторжений и т. д.) на линии сетевого периметра. Системы, расположенные внутри периметра, как правило, защищены в гораздо меньшей степени (вспомните мягкую жевательную резинку в леденце). Действительно, на внутренние системы часто не устанавливаются нужные дополнения, так как эти системы располагаются в "защищенной" части сети.

В большей части организаций используется некоторый метод аутентификации перед предоставлением доступа к серверам и файлам. Однако если на системах не установлены нужные обновления, у злоумышленника появляется возможность обнаружить эти уязвимости, которыми он сможет воспользоваться для выполнения

несанкционированных действий.

Внимание!

Не следует полагать, что атаки с использованием уязвимостей - это единственный способ злонамеренного воздействия злоумышленников. Если хакер прослушивает сеть, он может также перехватить пароли и пользовательские идентификаторы.

Атаки на внутренние системы организации - не единственный метод причинения ущерба организации. Разумеется, потеря конфиденциальной информации крайне нежелательна, но что если плюс ко всему пострадает репутация компании? Вместо проведения внутренних атак злоумышленник может использовать сетевое соединение для атаки извне (см. щсЛ^Е5). Таким образом, организация становится источником атакующего трафика, нацеленного на другую компьютерную систему.

Атака на внешние системы

Рис. 18.5. Атака на внешние системы

В случае обнаружения злоумышленника возникает вопрос: откуда он действует. Злоумышленник привязан к IP-адресу, однако этот IP-адрес физически может быть никак не связан с конкретным местоположением.

Злоумышленник может располагаться где угодно в радиусе действия беспроводной сети. В последнее время представляет собой серьезную проблему поиск и пресечение деятельности злоумышленников. Посредством атак изнутри злоумышленник может обходить стороной механизмы защиты большей части организаций. Речь идет о тех же механизмах, которые использовались бы для отслеживания действий злоумышленников.

Возможные юридические вопросы

Еще одной потенциальной угрозой для организации является риск, связанный с правовыми аспектами и вопросами ответственности, которые могут возникнуть, если злоумышленник попытается получить доступ во внутреннюю сеть организации. Во-первых, необходимо разобраться, предприняла ли организация должные меры по защите секретной информации. Каким образом, например, инспекторы могут расценить ситуацию, когда злоумышленник получает доступ к информации о клиентах в банке? Предусматривается вероятная ответственность за успешную атаку злоумышленника, направленную на другую организацию, осуществленную через беспроводную сеть вебсайта вашей организации. Может ли владелец беспроводной сети понести ответственность за причиненный таким образом ущерб? Следует проконсультироваться по данному вопросу с главным юридическим консультантом компании.

Реализация безопасности беспроводных сетей

Реализация WLAN должна предваряться полной оценкой рисков, связанных с проектом. Необходимо провести изучение потенциальных угроз, представляемых для компании. Следует выявить любые имеющиеся контрмеры. Если руководство организации примет решение продолжить реализацию, необходимо принять дополнительные меры для снижения рисков, представляемых для организации. В следующих разделах рассказывается о некоторых мерах безопасности, которые могут помочь в управлении рисками.

Безопасность точки доступа

В самом начале реализации проекта необходимо настроить безопасность точки беспроводного доступа. В идеальном случае точка доступа позволяет указать ключ WEP. Убедитесь, что этот ключ нельзя легко угадать. Хотя такой шаг и не предотвратит взлом ключа, он сделает процесс несанкционированного определения ключа несколько сложнее. Если возможно, используйте МАС-адреса для ограничения набора рабочих станций, которым разрешено подключение. Это усложнит задачу управления проектом, однако данный подход помогает ограничить обнаружение рабочих станций точкой доступа. Убедитесь, если возможно, что точка доступа не осуществляет распространение SSID.

Большая часть точек доступа, доступных на рынке, снабжены некоторым интерфейсом управления. Это может быть веб-интерфейс или интерфейс SNMP. По возможности используйте HTTPS для управления точкой доступа и предотвращайте доступ злоумышленника посредством использования высоконадежных паролей.

Последнее, что необходимо принимать в расчет при рассмотрении точек доступа, - их расположение. Помните, что беспроводные сигналы могут распространяться на значительные расстояния. Сигналы могут элементарно доходить до других этажей здания, автомобильной парковки или вовсе за пределы территории предприятия. Попытайтесь разместить точки доступа так, чтобы их диапазон действия как можно меньше выходил за пределы помещения или здания, занимаемого компанией.

Примечание

В организациях редко удается полностью ограничить распространение сигнала таким образом. Однако следует помнить, что данный подход подразумевает максимально возможное ограничение радиуса действия. Если возможно предотвратить доступ постороннего человека во внутреннюю сеть с обычным адаптером беспроводной сети, проходящего по улице за пределами предприятия, то необходимо принять соответствующие меры.

Безопасность передачи данных

Даже несмотря на серьезные уязвимости, присутствующие в WEP, необходимо использовать этот протокол. Причина в том, что у лица, непреднамеренно осуществившего попытку доступа (например, клиент интернет-кафе), не будет возможности получить доступ к сети из-за допущенной случайности. Защита WEP может быть преодолена, однако для этого потребуется много усилий, и нет никаких причин для того, чтобы позволять злоумышленнику действовать совершенно свободно.

Принимая во внимание, что WEP недостаточно защищает важную информацию, рекомендуется использовать иной тип системы шифрования, помимо WLAN. Действительно, если рассматривать беспроводную сеть как наполовину доверенный или не доверенный сегмент сети, становится очевидным, что здесь нужно применить тот же тип защиты, который используется удаленными сотрудниками для получения доступа к внутренним системам. Следует применять VPN при соединении рабочих станций WLAN с внутренней сетью. Большая часть VPN-продуктов предусматривает надежные алгоритмы шифрования, в которых отсутствуют недостатки, присущие WEP.

Совет

Размещайте WLAN в зоне, защищаемой межсетевым экраном или другим устройством контроля доступа, и используйте VPN при соединении с этой системой.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >