2014-02-12
587
Атаки помехами
Цель атаки – глушение сигнала, т.е. это атака на отказ в обслуживании, специфичная для беспроводных сетей. Суть атаки заключается в генерации радиошума на частоте работы беспроводной сети. Это не значит, что глушение сигнала является чётким признаком атаки, так как помехи могут исходить от посторонних радиоустройств, таких как радиотелефоны, пейджеры, микроволновые печи и т. п. В таких случаях администратор должен принять следующие меры: отключить bluetooth-устройства в зоне действия беспроводной сети, убрать радиотелефоны и прочую радиотехнику, методом исключений выявить источник помех и убрать его. Умышленная атака происходит следующим образом:
ü Атакующий анализирует спектр.
ü Выявляет частоты, на которых работает беспроводная сеть.
ü Генерирует мощный сигнал на найденных частотах, тем самым подавляя сигнал беспроводной сети.
К счастью, данный метод не распространён, так как конечный итог несоизмерим с затратами на его реализацию. Много мороки для отключения сети на некоторое время.
|
|
|
В то же время администратору достаточно просто переключить сеть на другую частоту.
Подводя итоги, рассмотрим ряд рекомендаций по обеспечению безопасности беспроводной сети.
ü Приобретайте WLAN-продукты с собственным механизмом защиты.
ü Установите RADIUS-серверы на кабельном участке сети, для авторизации беспроводных клиентов. Имейте в виду, что Extensible Authentication Protocol – протокол расширенной авторизации (EAP) может быть использован совместно с 802.1X.
ü Блокируйте доступ к кабельной сети, пока RADIUS-сервер не авторизирует WLAN-клиента.
ü Устанавливайте межсетевой экран перед точкой доступа, это позволит заранее отфильтровать подозрительную активность.
ü Все неиспользуемые сервисы должны быть отключены, а попытки их использования записаны в системных журналах(SysLog), которые в свою очередь должны быть установлены в демилитаризованной зоне (DMZ).
ü Систему обнаружения атак (IDS) также никто не отменял.
ü Неплохой идеей является развёртка VPN и «отселение» WLAN в неё. Это позволит вам воспользоваться следующими методами шифрации данных:
IKE – 3DES, SHA-HMAC, DH Group 2 и общий ключ.
IPSec – 3DES, SHA-HMAC, без PFS и режим тоннелирования.
ü Активируйте WEP, несмотря на его несовершенность.
ü Статистика показывает, что всего лишь 30% точек доступа использует WEP.
ü Организуйте систематическую смену WEP-ключей.
ü Смените SSID, установленный по умолчанию на что-нибудь трудно угадываемое.
ü Используете систему общего ключа вместо открытой системы.
ü Используйте фильтрацию MAC-адресов.
ü Организуйте систематическую инвентаризацию беспроводных сетевых адаптеров, чтобы убедиться, что каждый сотрудник пользуется своим адаптером.
|
|
|
ü Блокируйте MAC-адреса утраченных WLAN-адаптеров.
ü Применяйте пароли на точках доступа.
ü Обеспечьте сотрудников антивирусным программным обеспечением и персональными межсетевыми экранами.
ü Совмещая межсетевой экран с IPsec, SSH, или SSL, вы значительно укрепите безопасность своей сети.
ü Имейте в виду, что любой, находясь в зоне действия точки доступа, может подключиться к сети.
Ссылки на программные продукты
1. AirSnort – https://airsnort.sourceforge.net
2. WEPcrack – https://wepcrack.sourceforge.net
3. NetStumbler – https://www.netstumbler.com
Виктор Игнатьев
