Проверка правил фильтрации на шлюзе из беспроводной сети в проводную 199Резюме 201 и перенаправления портов по протоколу SSH 208Безопасное размещение беспроводной сети и виртуальные лока
Trang 2«боевые» приемы взлома и защиты беспроводных сетей
NT Press Москва, 2005
Андрей А Владимиров
Константин В Гавриленхо^ Андрей А Михайловский
Серия
«Защита и администрирование»
Trang 3УДК 004.056
ББК 32.973.202
В57
Подписано в печать 14.02.2005 Формат 70x100 a /i6 Гарнитура «Оффицина сериф» Печать офсетная Усл печ п 37,7 Тираж 3000 экз Зак № 5202
В л а д и м и р о в , А.А.
В57 Wi-фу: «боевые» приемы взлома и защиты беспроводных сетей / Андрей А миров, Константин В Гавриленко, Андрей А Михайловский; пер с англ АА Слинкина — М.: НТ Пресс, 2005 — 463, [1] с: ил — (Защита и адмг1нисгрирование).
Влади-ISBN 5-477-00067-8
Книга посвящена методам проведения атак на беспроводные сети Wi-Fi и защите от таких атак торы - широко известные в мире аудиторы безопасности беспроводных сетей, владеющие обширным практическим опытом в рассматриваемых вопросах.
Ав-Обсуждается подбор аппаратных и программных средств для атаки и защиты Приводится вое описание атак Исследуются потенциальные слабости применяемых в настоящее время и разраба- тываемых протоколов безопасности, включая 802.Hi PPTP и IPSec Описываются системы обнаруже- ния вторжений Имеется обширный материал по прикладной криптографии, в том числе по основным алгоритмам шифрования, написанный языком, понятным практикующему программисту, не имеюще-
пошаго-му солидной математической подготовки.
Рассмотрение проводится преимущественно на примерах программных средств с открытыми ными текстами, хотя уделяется внимание и коммерческим продуктам.
исход-Книга представляет несомненный интерес для системных и сетевых администраторов, желающих защитить свою беспроводную сеть от непрошеных гостей Много полезного найдет в ней и хакер, ищу- щий способ проникнуть в чужую сеть, а также любитель, интересующийся новыми технологиями.
УДК 004.056 ББК 32.973.202
Authorized translation from the English language edition, entitled WI-F00: THE SECRETS OF WIRELESS HACKING, 1st Edition, ISBN 0321202171, by VLADIMIROV, ANDREW A.; GAVRILENKO, KONSTANTIN V.; and MIKHAILOVSKY, ANDREW A., published by Pearson Education, Inc, publishing as PRENTICE HALL, Copyright © 2004.
All rights reserved No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical including photocopying, recording or by any information storage retrieval system, without permission from Pearson Education, Inc RUSSIAN language edition published by NT PUBLISHING HOUSE, Copyright © 2005.
Все права защищены Любая часть этой книги не может быть воспроизведена в какой бы то ни был J форме и какими бы то ни было средствами без письменного разрешения владельца авторских прав.
Материал, изложенный в данной книге, многократно проверен Но, поскольку вероятность технических ошибок все равно остается, издательство не может гарантировать абсолютную точность и правильность привод! мых сведе- ний В связи с этим издательство не несет ответственности за возможный ущерб любого вида, связанный с приме- нением содержащихся здесь сведений.
Все торговые знаки, упомянутые в настоящем издании, зарегистрированы Случайное неправильное вание или пропуск торгового знака или названия его законного владельца не должно рассматриваться как наруше- ние прав собственности.
использо-ISBN 0-321-20217-1 (англ.) Copyright © Pearson Education, 2004ISBN 5-447-00067-8 (рус.) © Издание на русском языке, перевод
на русский язык, оформление
НТ Пресс, 2005
Trang 4Введение 14 Глава 1 Безопасность беспроводных сетей в реальном мире 20Почему нас интересует главным образом безопасность в сетях 802.1 1 20Изобилие открытых сетей 802.1 1 вокруг нас 23Так ли безоблачно будущее безопасности стандарта 802.1 1, как кажется 25Резюме 26
Глава 2 В осаде 27
Почему «они» развернули охоту на беспроводные сети 27Взломщики беспроводных сетей - кто они 30Корпорации, небольшие компании и домашние пользователи: выбор цели 31Станьте мишенью: тестирование возможности проникновения
как первая линия обороны 34Резюме 35
Глава 3 Подготовка оборудования 36
КПК или ноутбук 36Карты PCMCIA и CF для беспроводной связи 38Выбор набора микросхем для клиентской карты 38Антенны 47Усилители высокой частоты 50Высокочастотные кабели и разъемы 50Резюме 51
Глава 4 Заводим двигатель: драйверы и утилиты 52
Операционная система, открытые и закрытые исходные тексты 52Двигатель: наборы микросхем, драйверы и команды 53Как заставить свою карту работать под Linux и BSD 54Знакомство с конфигурированием интерфейса беспроводных карт 61Комплект программ Linux Wireless Extensions 61
Trang 56 Wl-ФУ: «БОЕВЫЕ» ПРИЕМЫ ВЗЛОМА И ЗАЩИТЫ БЕСПРОВОДНЫХ СЕТЕЙ
Утилиты linux-wlan-ng 68Конфигурирование карты Cisco Aironet 71Конфигурирование беспроводных клиентских карт в системах BSD 74
и анализа трафика в системе BSD 101Инструменты, использующие команду iwlist scan 104Инструменты для мониторинга уровня сигнала 106Резюме 108
Глава 6 Подбираем арсенал: орудия ремесла 109
Средства вскрытия шифров 110Средства взлома протокола WEР 1 1 1Средства для извлечения ключей WEP, хранящихся на клиентских хостах 1 16Средства для внедрения трафика с целью ускорения взлома WEP 1 17Средства для атаки на системы аутентификации,определенные в стандарте 802.1 х 1 1 8Инструменты для генерирования фреймов беспроводных протоколов 120Комплект программ Airjack 1 21Программа File2air 1 23Библиотека libwlan 1 24Программа FakeAP 1 26Программа void 1 1 1 27Комплект Wnet 129Инструменты для внедрения беспроводного зашифрованного трафика:Wepwedgie 130Утилиты для управления точкой доступа 1 34Резюме 136
Trang 6Глава 7 Планирование атаки 137
Оснащение 137Присматриваемся к сети 1 39Планирование осмотра места развертывания 140Выбор времени для атаки и экономия заряда аккумуляторов 142Скрытность при тестировании возможности проникновения 144Последовательность проведения атаки 144Резюме 145
Глава 8 Прорываем оборону 146
Простейший способ войти, куда не звали 146Перелезаем через низкий забор: преодоление закрытых ESSID,
фильтрации МАС-адресов и протоколов 148Справляемся с простым замком: различные способы взлома
протокола WEP 151Взлом WEP методом полного перебора 151Атака FMS 152Улучшенная атака FMS 154Справляемся с простым замком более сложным способом:
внедрение трафика для ускоренного взлома WEP 157 Взлом WEP - практические наблюдения 157
Взлом протокола TKIP: новая угроза 158Атаки «человек посередине» и размещение фальшивых точек доступа 160Изготавливаем фальшивые точки доступа и беспроводные мосты
для тестирования возможности проникновения 161Атаки «человек посередине» на физический уровень 165Комбинированные атаки «человек посередине» 166Взламываем безопасный сейф 167Атаки на системы аутентификации 168Атаки против VPN 172Последнее средство: DoS-атаки на беспроводные сети 178
1 Атаки на физический уровень, или глушение 178
2 Затопление фальшивыми фреймами с запросами на прекращение
сеанса и отсоединение 179
3 Атака с помощью поддельных неправильно сформированных фреймоваутентификации 179
Trang 78 WI-ФУ: «БОЕВЫЕ» ПРИЕМЫ ВЗЛОМА И ЗАЩИТЫ БЕСПРОВОДНЫХ СЕТЕЙ
Глава 9 Налет и разграбление: враг в городе 183
Шаг 1 Анализ сетевого трафика 183Фреймы 802.1 1 1 84Передача данных в открытом виде и протоколы аутентификации 1 84Сетевые протоколы с известными уязвимостями 1 86DHCP, протоколы маршрутизации и обеспечения живучести шлюзов 1 86Трафик syslog и NTP 1 88Протоколы, которых быть не должно 188Шаг 2 Соединение с беспроводной сетью и выявление прослушивания 1 88Шаг 3 Идентификация хостов и выполнение пассивного снятия
цифрового отпечатка с операционной системы 191Шаг 4 Поиск и эксплуатация уязвимых хостов в беспроводной сети 193Шаг 5 Атака на проводную часть сети 195Шаг 6 Проверка правил фильтрации на шлюзе из беспроводной сети
в проводную 199Резюме 201
и перенаправления портов по протоколу SSH 208Безопасное размещение беспроводной сети
и виртуальные локальные сети 21 0Использование коммутаторов Cisco Catalyst и точек доступа Aironet
для оптимизации проекта безопасной беспроводной сети 21 1Развертывание специального особо защищенного шлюза
в беспроводную сеть на платформе Linux 214Патентованные усовершенствования WEP 219Стандарт безопасности беспроводных сетей 802.1 1 i и WPA: новые надежды 221Ставим стража: протокол 802.1х 222Латаем самую большую «дыру»: протоколы TKIP и ССМР 225Резюме 227
Trang 8СОДЕРЖАНИЕ х 9
Глава 1 1 Введение в прикладную криптографию:
симметричные шифры 228
Введение в прикладную криптографию и стеганографию 228Структура и режимы работы современных шифров 233Классический пример: алгоритм DES 234Правило Керчкоффа и секретность шифра 237Введение в стандарт 802.1 1 i: один шифр в помощь другому 237Шифр - это еще не все: что такое режимы работы шифра 240Потоковые шифры и безопасность в беспроводных сетях 243Запрос на разработку стандарта AES 245AES (Rijndael) 247Шифр MARS 250Шифр RC6 251Шифр Twofish 253Шифр Serpent 255Между DES и AES: шифры, распространенные в переходный период 257Шифр 3DES 258Шифр Blowfish 258Шифр IDEA 260Выбор симметричного шифра для использования в своей сети или программе 263Резюме 266
Глава 12 Криптографическая защита данных 267
Криптографические функции хэширования 268Пример стандартной односторонней функции хэширования 269Функции хэширования, их производительность и коды НМАС 271MIC: слабее, но быстрее 272Асимметричная криптография: что-то новенькое 275Примеры асимметричных шифров: Эль Гамаля, RSA и эллиптические кривые 276Практическое применение асимметричной криптографии:
распределение ключей, аутентификация и цифровые подписи 278Резюме 281
Глава 13 Ворота крепости: аутентификация пользователей 282 RADIUS 282
Модель ААА 282Обзор протокола RADIUS 283Особенности протокола RADIUS 283Форматы пакетов 284Типы пакетов 285Инсталляция FreeRADIUS 286Конфигурирование 287
Trang 910 л WI-ФУ: «БОЕВЫЕ» ПРИЕМЫ ВЗЛОМА И ЗАЩИТЫ БЕСПРОВОДНЫХ СЕТЕЙ
Учет работы пользователей 291Уязвимости RADIUS 292Атака на аутентификатор ответа 292Атака на разделяемый секрет на основе атрибута Password 292Атака на пароль пользователя 293Атаки на аутентификатор запроса 293Повтор ответов сервера 293Проблемы, связанные с разделяемым секретом 293Инструменты, относящиеся к RADIUS 293802.1 х: на страже беспроводной крепости 294Основы EAP-TLS 295Формат пакета 296Создание сертификатов 296Интеграция с FreeRADIUS 297Претенденты 299Пример конфигурирования точки доступа Orinoco AP-2000 304Служба каталогов LDAP 306Обзор 306Установка OpenLDAP 308Конфигурирование OpenLDAP 309Тестирование LDAP 31 3Заполнение базы данных LDAP 314Централизованная аутентификация с помощью LDAP 316LDAP и мобильные пользователи 322Инструменты, относящиеся к LDAP 322NoCat: альтернативный метод аутентификации беспроводных пользователей 325
1 Перенаправление 326
2 Обратное соединение 326
3 Пропуск 326Установка и конфигурирование шлюза NoCat 327Установка и конфигурирование сервера аутентификации 327Резюме 330
Глава 14 Защищаем эфир: развертывание беспроводных VPN
на верхних уровнях стека протоколов 331
Зачем вам может понадобиться VPN 333 Обзор топологий VPN с точки зрения беспроводной связи 333Топология сеть-сеть 333Топология хост-сеть 334Топология хост-хост 335
Trang 10СОДЕРЖАНИЕ 11
Топология типа звезда 336Топология типа сетка 337Распространенные туннельные протоколы и VPN 338Протокол IPSec 338Протокол РРТР 338Протокол GRE 339Протокол L2TP 339Альтернативные реализации VPN 339Протокол cIPe 339Пакет OpenVPN 340Пакет VTun 340Обзор протокола IPSec 340Параметры безопасности 341Протокол АН 342Протокол ESP 343Сжатие IP 344Протокол обмена и управления ключами в IPSec 344Протокол IKE 344Идеальная секретность перенаправления 346Обнаружение неработающего хоста 346IPSec и перемещающиеся клиенты 346Оппортунистическое шифрование 347Развертывание недорогой VPN с помощью пакета FreeS/WAN 347Сборка FreeS/WAN 347Конфигурирование FreeS/WAN 351Настройка топологии VPN сеть-сеть 356Настройка топологии VPN хост-сеть 357Настройка клиента в ОС Windows 2000 358Конфигурирование IPSec-клиента в ОС Windows 2000 363Резюме 371
Trang 1112 л Wl-ФУ: «БОЕВЫЕ» ПРИЕМЫ ВЗЛОМА И ЗАЩИТЫ БЕСПРОВОДНЫХ СЕТЕЙ
Включить радары! Развертывание системы IDS в вашей беспроводной сети 381Коммерческие системы IDS для беспроводных сетей 381Настройка и конфигурирование IDS для беспроводных сетей
с открытыми исходными текстами 382Несколько рекомендаций по конструированию самодельного сенсора
для беспроводной IDS 385Резюме 389Приложение А
Таблица преобразования ватт в децибелы 390 Приложение В
Беспроводное оборудование стандарта 802.1 1 393 Приложение С
Диаграммы направленности антенн 398 Приложение D
Страницы руководства для некоторых утилит 403 Приложение Е
Ослабление сигнала, вызванное различными препятствиями 424 Приложение F
Пометки на стенах 425 Приложение G
Форма отчета о результатах тестирования возможности
проникновения в беспроводную сеть 427 Приложение Н
Установленные по умолчанию SSID для некоторых продуктов 802.1 1 438 Глоссарий 441 Предметный указатель 452
Trang 12инст-о всем, ктинст-о принимал участие в этинст-ом принст-оекте и тем самым спинст-осинст-обствинст-овал егинст-о реализации.
Об авторах
Авторы на протяжении многих лет активно работают в области информационных логий и занимаются тестированием безопасности в интересах ведущих производителейбеспроводного оборудования
техно-Андрей Владимиров возглавляет отдел беспроводных технологий в компании ArhontLtd - одной из ведущих консалтинговых фирм по информационной безопасности в Вели-кобритании Он одним из первых получил престижный сертификат CWNA (сертифициро-ванный администратор беспроводных сетей)
Константин Гйвриленко является одним из учредителей компании Arhont Ltd Он мается информационными технологиями более 12 лет и имеет опыт в области безопасно-сти беспроводных сетей, организации межсетевых экранов, криптографии, построениявиртуальных частных сетей (VPN) и систем обнаружения вторжений (IDS)
зани-Андрей Михайловский более десяти лет занимается сетями и безопасностью и активноучаствовал в исследованиях, выполняемых компанией Arhont Ltd
Таким образом в тексте помечены советы
Этот значок обращает внимание читателя на дополнительную информацию
Trang 13Что такое Wi-Foo
и для кого написана эта книга
Существует множество официальных документов и книг, посвященных безопасности проводных сетей (хотя всего года два назад вам вряд ли удалось бы что-нибудь найти наэту тему) Многие из них - и эта книга не исключение - так или иначе освещают стандар-
бес-ты семейства 802.11 В большинстве изданий рассматриваются средства безопасности,встроенные в протоколы, описываемые этими стандартами, объясняется, в каком направ-лении предполагается развивать стандарты, перечисляются (а иногда и детально описыва-ются) известные уязвимости сетей на базе стандартов 802.11 и предлагаются меры, кото-рые системный или сетевой администратор может предпринять для снижения возможногоущерба в случае, если кто-то ими воспользуется Однако ни в одной книге (кроме этой) неговорится о том, как хакер мог бы осуществить успешную атаку на беспроводную сеть икак администратор может обнаружить такую атаку и противостоять ей
Нам кажется, что, помимо всего прочего, рынку необходим источник информации повопросам обнаружения несанкционированных проникновений в беспроводные сети Ондолжен основываться на опыте реального взлома и тестирования сетей, которым обладаютмногие хакеры и лишь немногие специалисты по информационной безопасности В компа-нии Arhont мы почти ежедневно занимаемся проверкой устойчивости беспроводных сетей
к взлому и надеемся, что наш опыт поможет вам оценить, насколько безопасна ваша сеть,
и понять, как можно повысить ее защищенность
Если вы любопытны от природы и располагаете лишь картой PCMCIA и программойNetstumbler, то смеем надеяться, что из этой книги вы узнаете почти все о реальной безо-пасности беспроводных сетей и поймете, выражаясь словами одного из главных героевфильма «Матрица», «насколько глубока кроличья нора» Вы получите представление о том,что можно сделать с беспроводной сетью с точки зрения безопасности, а чего нельзя; чтосчитается законным, а что - противоправным Во второй части, касающейся защиты, выувидите, что, несмотря на все слабости системы безопасности беспроводных сетей, взлом-щика можно проследить и схватить за руку В то же время мы хотели бы продемонстриро-вать, что защита беспроводной сети может быть столь же увлекательным занятием, как иатака на нее, поэтому не исключено, что вы станете экспертом по безопасности таких се-тей и даже займетесь этим профессионально Если вы уже принимаете участие в каком-то
Trang 14ВВЕДЕНИЕ 15проекте, связанном с беспроводными сетями, то сможете привлечь внимание коллег к воп-росам безопасности, просветить их на этот счет и убедить в том, что «открытый и бесплат-ный» вовсе не означает «изученный и взломанный» Если вы организовали собственнуюдомашнюю локальную сеть, то будьте уверены, что, прочитав эту книгу, вы сможете серь-езно затруднить несанкционированный доступ в нее.
Если вы работаете сетевым или системным администратором, то правильно ное тестирование защищенности беспроводной сети - это не только единственный способузнать, насколько она уязвима для проникновения снаружи или изнутри, но и возможностьубедить руководство в необходимости вложить деньги в приобретение дополнительныхохранных средств, в обучение и оплату услуг консультантов Не уделять внимания безо-пасности сети - значит, напрашиваться на неприятности Если же с самого начала проек-тировать сеть с учетом безопасности, то можно сэкономить время, силы и гарантироватьсебя от увольнения Если руководство компании не осознает всю серьезность угроз, то вы
проведен-не сможете ни самостоятельно реализовать защиту беспроводной сети, как хотели бы, нивоспользоваться опытом сторонних аудиторов и консультантов, которых приглашают длятестирования, отладки и повышения безопасности сети Если вы захотите (или вас заста-вят) положиться в решении проблем безопасности на собственные силы, надеемся, чтораздел этой книги, посвященный защите, поможет в этом Если вы владеете сетью или ком-панией, то даже сможете сэкономить кучу денег (не забывайте о программах с открытымисходным текстом)
Если вы работаете консультантом в области безопасности беспроводных сетей, но весьваш предыдущий опыт относится к проводным сетям, то, возможно, информация, имеющая-
ся в Internet, покажется вам не слишком структурированной, а практические ции, приводимые в доступной литературе, - недостаточно детальными (не описан порядоквызова различных программ и конфигурационные файлы) Эта книга заполнит такого родапробелы
рекоменда-В настоящее время самым престижным и обязательным в области безопасности водных сетей является сертификат Certified Wireless Security Professional (CWSP - сертифи-цированный специалист по безопасности беспроводных сетей - см раздел Certifications
беспро-на сайте http://www.cwne.com) Можно быть уверенным, что обладатель этого
сертифика-та понимает суть проблем, возникающих при обеспечении безопасности беспроводных тей, и имеет практические навыки в защите реальных сетей Поскольку сертификация CWSP
се-не зависит от конкретного производителя, то ясно, что руководство се-не может включатьглубокое изучение процедур установки, конфигурирования, отладки и эксплуатации кон-кретных программных продуктов Поэтому настоящая книга может оказаться весьма по-лезной при подготовке к экзамену на получение сертификата CWSP и помочь читателю осво-ить изучаемые вопросы на уровне «как сделать» На самом деле структура данной книги(задуманной за полгода до выхода официального руководства по подготовке к экзаменуCWSP) аналогична структуре этого руководства: за описанием методов атаки следуют гла-
вы, посвященные противодействию взлому Но на этом сходство и заканчивается.Наконец, если вы взломщик и мечтаете проникать в чужие сети, чтобы продемонстри-ровать свою «крутизну», то мы полагаем, что изложенный в этой книге материал поможетвам отточить свое хакерское мастерство - примерно так же, как этому способствуют сайтыSecurityfocus или Packetstorm Впрочем, ни эти сайты, ни книга не предназначены для за-щиты от ваших близких (тех трех категорий людей, которые мы перечислили в разделе
«Благодарности») Мы верим в свободный обмен информацией (например, в формулировке
Trang 1516 А WI-ФУ: «БОЕВЫЕ» ПРИЕМЫ ВЗЛОМА И ЗАЩИТЫ БЕСПРОВОДНЫХ СЕТЕЙ
печально известного документа RFPolicy, см http://www.wiretrip.net/rfp/policy.html).Как вы собираетесь использовать эту информацию - дело ваше, и возможные столкно-вения с законом - это ваши, а не наши проблемы Распространять литературу по бое-вым искусствам не запрещают на том основании, что уличный хулиган может приме-нить их против своей жертвы, и тот же принцип применим и к информационным
«боевым искусствам» (это одна из причин для выбора названия данной книги) майте сами, часто ли на вас нападает обладатель (честно заработанного) черного по-яса на улице или в баре, если вы не давали никакого повода Настоящие мастера бое-вых искусств не начинают драку первыми, а настоящие эксперты по информационнойбезопасности не взламывают сайты и не пытаются получить бесплатный «толстый ка-нал», чтобы скачать побольше пиратских файлов Если вы действительно заинтересуе-тесь обеспечением безопасности беспроводных сетей, то в конце концов начнетеразрабатывать программы в этой области, станете системным администратором или кон-сультантом И, хотя этот пример далек от беспроводного мира, поинтересуйтесь судь-бой Кевина Митника (Kevin Mitnick) или прочитайте его недавно вышедшую книгу
Поду-«The Art of Deception» (Искусство обмана) Если вы и дальше будете считать, что всесети - ваша собственность, то закончите жизнь без доступа к Internet за решеткойтюремной камеры, не имея под рукой ни руководств, ни книг, ни инструментов Мысчитаем, что у человека, который ставит получение прав суперпользователя любойценой ради того, чтобы похвастаться перед друзьями и потешить свое «я», выше зна-ний, - извращенное мировосприятие
Почему мы выбрали
такое странное название
Всем описанным в этой книге мы занимались прежде всего ради удовольствия, а уже потомради денег Искусство ведения информационной войны в микроволновой среде доставля-
ет огромное удовольствие как атакующей, так и защищающейся стороне В настоящее
вре-мя атакующая сторона более упорна, а потому и более эффективна; новые инструменты иметоды проведения атак появляются каждый месяц, если не каждую неделю В то же времябольшинство обследованных нами беспроводных сетей были абсолютно беззащитны
В английском языке есть замечательный и очень полезный жаргонный термин для сания такого состояния: foo bar'ed Красочные описания его смысла и лингвистическоеисследование слов foo и bar можно найти в Internet He забудьте в поисках знаний заг-лянуть на страницу http://www.ietf.org/rfc/rfc3092.txt
опи-Выражением foo bar можно описать состояние дел как в безопасности реальных водных сетей (вы даже не представляете, сколько существует в мире сетей, в которых невключены даже минимальные средства защиты), так и во многих других областях Многопроблем связано с неправильной конфигурацией радиочастот: точки доступа используютдля передачи одни и те же или перекрывающиеся каналы, антенны размещаются не в техместах, неверно выбирается мощность передатчика и т.д Понятно, что с технической точ-
беспро-ки зрения книге больше подошло бы название «802.11-Foo» (не каждое устройство, сующееся со стандартом 802.11, сертифицировано для беспроводного доступа), но надопризнать, что Wi-Foo более благозвучно
Trang 16согла-ВВЕДЕНИЕ 17Что касается слова hacking в английском названии книги, то на западе есть две различ-ные трактовки этого термина В средствах массовой информации и в общественном мне-нии он ассоциируется со взломом систем и сетей ради забавы, получения знаний или в про-тивозаконных целях Но программисты с богатым опытом и системные администраторысклонны считать, что hacking - это копание в аппаратном и программном обеспеченииради получения максимально полной информации, которую можно применить для реше-ния разного рода технических задач Хорошей иллюстрацией второй трактовки можетслужить статья Ричарда Столлмена «On Hacking» (0 хакерстве), доступная по адресуhttp://www.stallman.org/articles/on-hacking.html В нашем случае речь идет о комбина-ции первой и второй трактовок, но без гнусных целей и с добавлением описания мето-дов защиты Нет двух одинаковых сетей, и такая трактовка в гораздо большей степениприменима к беспроводным, нежели к проводным сетям Встречали вы когда-нибудь про-водную сеть, на работу которой оказывал бы влияние ливень, цветение деревьев или рас-положение сетевых хостов в пространстве? Может ли безопасность сегмента в локальнойEthernet-сети зависеть от набора микросхем на карте, установленной в клиентском компь-ютере? Хотя в этой книге мы старались уделять максимальное внимание практическимвопросам, но никакое из представленных решений или методик нельзя считать универсаль-ным, так что с каждой конкретной сетью вам придется возиться (читай: hacking) отдельно(это относится и к атаке, и к защите) Удачи, и да сопутствуют вам пакеты.
Как организована эта книга
Практически каждая книга по проводным или беспроводным сетям начинается с описаниясеми уровней модели взаимосвязанных систем (Open Systems Interconnection - OSI) Да-лее обычно объясняется, что такое триада CISSP (конфиденциальность, целостность, дос-тупность), формулируются основные принципы обеспечения безопасности, после чегоследует введение в описываемую технологию Присутствует также вводная глава по крип-тографии, населенная персонажами по имени Боб, Алиса, Мелани и, конечно же, Ева, кото-рая занимается исключительно кражей закрытых ключей
Но в этой книге все по-другому Мы предполагаем, что читатель знаком с уровнями стекапротоколов OSI и TCP/IP и понимает различие между инфраструктурными, управляемыми инезависимыми беспроводными сетями, а также ориентируется в различных стандартах се-мейства IEEE 802 Для описания основных принципов построения сетей и деталей функцио-нирования беспроводных сетей понадобилось бы написать две отдельные книги И такиекниги есть (для знакомства со стандартом 802.11 мы рекомендуем «Official CWNA StudyGuide» и «802.11 Wireless Networks: The Definitive Guide», вышедшую в издательстве O'Reilly).Однако в тех местах, где это оправдано, вы найдете обширный материал по сетевымстандартам семейства 802.11 и функционированию сетей, часто представленный в видеврезок «Основы»
Имеются также главы, посвященные криптографии Хотя напрямую эта тема не связана сбеспроводными технологиями, но знакомство с ней абсолютно необходимо для правильногоразвертывания виртуальных частных сетей (VPN), аутентификации пользователей беспро-водной сети и понимания других вопросов, описываемых в последующих главах Мы про-смотрели много изданий по криптографии, но не нашли ничего, написанного специально длясетевых и системных администраторов, где рассматривались бы условия, характерные для
Trang 1718 А WI-ФУ: «БОЕВЫЕ» ПРИЕМЫ ВЗЛОМА И ЗАЩИТЫ БЕСПРОВОДНЫХ СЕТЕЙ
реальных сетей, с учетом физической среды доступа, располагаемой полосы пропускания,архитектуры процессоров на сетевых хостах и т.п Этот материал изложен в главах 11 и
12, и мы надеемся, что он окажется полезным, даже если вы никогда не сталкивались спрактической криптографией и не являетесь опытным криптографом, криптаналитикомили криптологом
Мы разбили книгу на две большие части: повествующие соответственно об атаке и щите Части, посвященной атаке, достаточно, если ваша единственная цель - аудит безо-пасности беспроводной сети Однако для понимания материала, касающегося защиты, нуж-
за-но четко представлять себе, кто атакует, зачем ему понадобилось вламываться в вашу сеть
и, самое главное, как это можно сделать Поэтому мы все же рекомендуем сначала тать часть об атаке, если только вы не собираетесь использовать эту книгу как справоч-ник
прочи-Эта часть начинается с довольно неформального обсуждения ситуации с безопасностьюбеспроводных сетей в реальном мире, описания типов атакующих и их мотивов, намере-ний и предпочтений в выборе целей Далее следуют структурированные рекомендации повыбору и конфигурированию аппаратуры и программного обеспечения, необходимых дляпроведения эффективного тестирования безопасности сети Мы старались сохранять объек-тивность, не отдавая предпочтение конкретной группе поставщиков оборудования, и вклю-чили много советов, как извлечь максимум из того оборудования и программ, которые увас уже, возможно, имеются В конце концов, не каждый читатель может выделить ресурсыдля создания совершенного комплекта для взлома беспроводных сетей, а у любой аппара-туры есть свои сильные и слабые стороны В тех случаях, когда мы рекомендуем конкрет-ный вид оборудования, у нас имеются веские причины: набор микросхем, характеристикирадиочастотного трансивера, свойства антенны, доступность исходного кода драйвера ит.д Обсуждение стандартных утилит для конфигурирования беспроводной сети, напримерLinux Wireless Tools, построено так, чтобы уделить максимальное внимание вопросам безо-пасности, и плавно перетекает в описание программ, предназначенных для обнаружениянесанкционированного проникновения в сеть Как и часть, посвященная оборудованию,этот раздел тоже структурирован, то есть все доступные инструменты сгруппированы пофункциям, а не перечислены в алфавитном или случайном порядке Выделены следующиегруппы: инструменты для обнаружения беспроводной сети, анализаторы протоколов, прог-раммы для взлома шифров, средства для создания специальных фреймов протоколов 802.11
и различные утилиты для управления точками доступа, полезные для тестирования ихбезопасности
Во многих книгах по «тестированию безопасности сети» лишь рассказывается, какиесуществуют уязвимости и какие инструменты позволяют ими воспользоваться Мы же идемдальше и предлагаем стратегию осмысленного планирования аудита (или атаки) Шаг зашагом мы проводим читателя по различным сценариям атаки в зависимости от уровня за-щищенности сети-жертвы Мы рассматриваем варианты нетривиальных атак, в которыхиспользуются возможные уязвимости в еще неопубликованном стандарте 802.Hi, ускорен-ный взлом протокола WEP (Wired Equivalent Privacy), проведение атак «человек посереди-не» (man-in-the-middle attack) на втором уровне и «отказ в обслуживании» (DoS-атак) Мыдаже делаем попытку атаковать различные протоколы верхних уровней, в том числе РРТР,SSL и IPSec Наконец, анализируется наихудший сценарий, когда противник может делать
со взломанной сетью все, что пожелает; мы показываем, как можно проникнуть на ные хосты в беспроводной сети, как атаковать проводную часть сети, как перехватывать
Trang 18отдель-ВВЕДЕНИЕ А 19
соединения, перенаправлять трафик и обходить экран, стоящий между проводной и проводной частями сети В главах, посвященных атаке, демонстрируется реальная угроза,возникающая в результате взлома беспроводной сети, и подчеркивается мысль, краснойнитью проходящая через всю книгу: аудит безопасности беспроводной сети отнюдь неограничивается обнаружением сети и взломом протокола WEP
бес-Точно так же повышение защищенности сети - это нечто большее, чем установка токола WEP, фильтрация МАС-адресов и даже реализация текущего стандарта 802.Hi.Последнее утверждение многие могут воспринять как богохульство, но мы придержива-емся именно такого мнения В части, посвященной атаке, показано, что стандарт 802.Hi
про-не лишен про-недостатков и в про-некоторых случаях про-не может быть реализован в полном
объе-ме по разным административным и финансовым причинам Крообъе-ме того, мы полагаем, чтолюбая деятельность по обеспечению безопасности сети - это многоэтапный процесс,который не может основываться только на каком-то одном механизме, сколь бы надеж-ным он ни был Поэтому главная задача части о защите - ознакомить читателя с имею-щимися альтернативами Разумеется, мы высоко ценим ту огромную работу, которуюпроделала группа разработчиков стандарта i, стремясь устранить угрозы, которым под-вержены все беспроводные сети, построенные на основе предыдущих версий стандарта802.11 И все же мы потратим время на описание защиты беспроводных сетей на болеевысоких уровнях стека протоколов К числу такого рода методик относится применениереализаций протокола IPSec с взаимной аутентификацией, применение способов аутен-тификации, отличных от описываемых в стандартах 802.1х, правильное проектированиесети, использование протоколов SSL/TLS и переадресация портов в протоколе ssh Зак-лючительная глава этой книги посвящена последней (но, пожалуй, важнейшей) линииобороны беспроводных сетей, а именно специально разработанным для них средствамобнаружения вторжений Здесь показано, что атаку на беспроводные сети не так ужтрудно обнаружить, как думают взломщики Тут же даются советы по самостоятельнойразработке и развертыванию систем IDS (Intrusion Detection System - система распозна-вания вторжений) и сенсоров для них Приводится также перечень хорошо известныхкоммерческих систем IDS для беспроводных сетей
Вся эта книга - лишь поверхностный обзор проблем безопасности беспроводных тей, но мы надеемся, что она будет полезна как руководство и справочник по атаке изащите Мы надеемся, что она будет способствовать уменьшению числа небезопасныхбеспроводных сетей, о которых сообщает наша копия Kismet (программа, реализующаяобнаружение беспроводной сети, анализ протоколов и систему IDS), а также появлениюновых интересных инструментов и методик, способствующих устареванию изложенного
се-в книге материала
Trang 19БЕЗОПАСНОСТЬ БЕСПРОВОДНЫХ СЕТЕЙ
В РЕАЛЬНОМ МИРЕ
Для решения любого вопроса необходимо риорное знание
Как видите, мы предпочитаем термин «беспроводная сеть 802.11», а не «локальная сеть802.11» Эта технология размывает границу между локальной и глобальной связностью:двухточечные каналы стандарта 802.11b могут простираться на 80 км и по сути дела пре-вращают сеть в глобальную, если применяются в качестве «последней мили» Internet сер-
вис-провайдерами (IS?) или используются для организации каналов связи между
удален-ными офисами Поэтому мы считаем, что говорить о технологии 802.11 более правильно,ведь подходы к построению и обеспечению безопасности локальных и глобальных сетейвсегда были и будут различными
Почему нас интересует главным образом безопасность в сетях 802.11
Большая зона покрытия сетей на базе стандартов 802.11 - это одна из основных причин никновения проблем с обеспечением безопасности, поскольку атакующий может находиться
Trang 20воз-ПОЧЕМУ НАС ИНТЕРЕСУЕТ ГЛАВНЫМ ОБРАЗОМ БЕЗОПАСНОСТЬ В СЕТЯХ 802.11 21
Рис I I Современные беспроводные сети
там, где его никто не ждет, на значительном удалении от места физического развертываниясети Другая причина - широкое распространение таких сетей: к 2006 году число аппаратныхустройств с поддержкой стандарта 802.11 по оценкам превысит 40 млн (рис 1.2), а цены
на них продолжают падать После выхода на рынок стандарта 802.Ид цена на многие
пла-ты с поддержкой 802.11b, предназначенные для клиентских компьютеров, упала до уровнякарт 100BaseT Ethernet Разумеется, быстродействие существенно различается (5-7 Мбит/с(Mbps - megabits per second) для 802.11b против 100 Мбит/с для быстрого Ethernet), но недля каждой сети необходимо очень высокое быстродействие, а во многих случаях развер-тывание беспроводной сети оказывается более предпочтительным В частности, так обсто-
ит дело со старинными зданиями в Европе, которые защищены законом об историческомнаследии В таких домах запрещено пробивать стены для прокладки кабелей Другой при-мер - офисы, расположенные по обе стороны оживленной улицы, шоссе или в разных кон-цах комплекса офисных зданий Наконец, организация «последней мили» на базе беспро-водной сети может служить заменой кабельному или xDSL-каналу, и в таких случаях низкаяпропускная способность вряд ли окажется узким местом, если принять во внимание харак-теристики альтернативных технологий
Сети 802.11 есть везде, их легко обнаружить и, как станет видно из дальнейшего, к нимнетрудно подключиться Даже если сеть защищена протоколом WEP (который по сию поруостается наиболее распространенным средством обеспечения безопасности в таких сетях),его уязвимости опубликованы и известны практически всем, кто проявляет минимальныйинтерес к беспроводным сетям Напротив, другие беспроводные сети с коммутацией паке-тов распространены далеко не так широко, их слабые места не так хорошо известны и
Trang 2122 БЕЗОПАСНОСТЬ БЕСПРОВОДНЫХ СЕТЕЙ В РЕАЛЬНОМ МИРЕ
2001 2002 2003 2004 2005 2006
Источник: In-Stat/MDRРис 1.2 Рост рынка беспроводных устройств на базе стандартов 802.11
«разрекламированы», а для их выявления зачастую необходимо сложное и дорогое дование, отсутствующее в продаже Что же касается взломщиков сетей 802.11, то они обыч-
обору-но создают собственные беспроводные локальные сети и используют имеющееся вание как для эксплуатации своей сети, так и для взлома чужих
оборудо-Атаки на мобильные телефоны с поддержкой GSM и GPRS обычно сводятся к ванию» устройства, а это выходит за рамки темы взлома сетей, которой посвящена насто-ящая книга Ситуация, с взломом персональной сети (PAN), с точки зрения консультанта посетевой безопасности, значительно интереснее
«клониро-Для атаки на персональную сеть с инфракрасными портами необходимо, чтобы щик оказался в нужном месте в нужное время, он должен находиться недалеко от атаку-емого устройства в 30-градусном секторе с вершиной в инфракрасном порту Посколькумощность инфракрасного излучения не превышает 2 мВт, то сигнал распространяетсявсего на 2 м Обойти ограничение 30°/2 мВт можно, если инфракрасная точка доступа(например, Compex iRE201) размещена в офисе или в конференц-зале В таком случаевзломщику для того, чтобы перехватить трафик и присоединиться к инфракрасной пер-сональной сети, достаточно находиться в одном помещении с точкой доступа В персо-нальной сети на базе технологии IrDA (Infrared Data Association) не предусмотрена безо-пасность на уровне 2, и при отсутствии шифрования и аутентификации на более высокихуровнях стека протоколов такая сеть открыта для любого желающего Клиенты Windows
взлом-2000 и Windows XP автоматически ассоциируются с другими IrDA-хостами, а в емом для Linux проекте стека протоколов для IrDa (http://irda.sourceforge.net/) имеетсясредство для обнаружения удаленного IrDA-хоста (irattach -s), а также утилита irdadump,аналогичная tcpdump Программа irdaping могла вызвать зависание машин под управле-нием ОС Windows 2000 до выхода пакета обновлений Service Pack 3 (см статью в Bugtraq
предлага-по адресу http://www.securityfocus.eom/archive/l/209385/2003-03-ll/2003-03-17/2).Если вы хотите получить дамп фреймов протокола уровня 2 стека IrDA в системе Windows
2000, то к вашим услугам отладчик rC0MM2k (версия для стека IrDA в Linux находится поадресу http://www.stud.uni-hannover.de/~kiszka/IrC0MM2k/English) Но, какими бы уяз-вимыми ни были инфракрасные сети, их ограниченное применение и небольшая протя-женность делают извлечение данных из светового луча гораздо менее привлекательным,чем из радиоволн
Trang 22ИЗОБИЛИЕ ОТКРЫТЫХ СЕТЕЙ 802.11 ВОКРУГ НАС А 23
Поэтому обнаружение сетей, построенных по технологии Bluetooth, станет гораздо лее популярным, нежели поиск инфракрасных соединений Уже сейчас можно скачать ипользоваться программой обнаружения сетей Bluetooth Redfang от компании @Stake играфическим интерфейсом к ней (Bluesniff, Shmoo Group) Нет сомнений, что скоро появят-
бо-ся и другие инструменты
Рост числа попыток взлома сетей Bluetooth ограничивают три фактора Первый - статочная распространенность самой технологии, но эта ситуация в ближайшие нескольколет изменится Второй - ограниченность (по сравнению с локальными сетями 802.11) зоныпокрытия Но устройства с поддержкой стандарта Class I Bluetooth (мощность на выходепередатчика до 100 мВт), например ноутбуки и точки доступа, могут покрывать зону радиу-сом 100 м или даже больше при наличии антенны с большим коэффициентом усиления Де-факто мы имеем в этом случае беспроводную локальную сеть, которая может стать мишеньюдля удаленного взлома Третий фактор - это механизмы защиты персональных сетей Bluetooth
недо-от подслушивания и неавторизованного подключения До сих пор неизвестно об успешныхатаках на потоковый шифр Е0, защищающий данные в таких сетях Но лишь время покажет,подтвердит ли этот неразглашаемый алгоритм шифрования предположение Керчкофа и неповторится ли знаменитая история с раскрытием структуры алгоритма RC4 в списке рассылкиCypherpunks (если этот пример вам непонятен, обратитесь к главе 11)
Уже имеются теоретические замечания о возможных слабых местах в механизме
защи-ты Bluetooth (см http://www.tcs.hut.fi/~helger/crypto/link/practice/bluetooth.html)
Кро-ме того, даже самый лучший Кро-механизм защиты бесполезен, если остается ным, а в Bluetooth-устройствах обычно выставляется первый (низший) из трех возможныхуровней безопасности, и PIN-код защиты сохраняет принимаемое по умолчанию значение
нереализован-0000 Нередко в качестве PIN-кода используют год рождения или другое осмысленное (апотому легко угадываемое) четырехзначное число Это удобно, но одновременно сильнооблегчает задачу взломщика По нашим наблюдениям, примерно в половине всех Bluetooth-устройств выставленный по умолчанию PIN-код не был изменен вовсе Есть также устрой-ства, в которых прошитый на заводе PIN-код вообще нельзя изменить, тогда взломщикунужно лишь найти опубликованный список таких PIN-кодов Хотя это и открывает передвзломщиком заманчивые возможности, но надо еще поискать человека, который отправля-
ет с Bluetooth-устройства на улице что-нибудь, кроме шаловливых сообщений В то жевремя вторжения в сети 802.11 происходят ежедневно, если не ежечасно, что возвращаетнас к главной теме: почему и - главное - как это происходит
Изобилие открытых сетей 802.11 вокруг нас
Выше уже отмечалось, что в большинстве случаев взломщику не нужно ничего делать,чтобы получить желаемое Сейф, полный ценностей, распахнут На соревнованиях, орга-низованных в рамках конференции Defcon 2002, выяснилось, что из 580 точек доступа,обнаруженных участниками, лишь в 29,8% был включен протокол WEP В 19,3% случаевзначения ESSID остались умалчиваемыми, а в 18,6% - ни WEP не был включен, ни ESSID небыл изменен Если вы полагаете, что с тех пор что-то изменились, то ошибаетесь Можноговорить лишь об изменениях к худшему, поскольку аналогичное соревнование на Defcon
2003 показало, что лишь 27% сетей в Лас-Вегасе защищены протоколом WEP Посколькуодна из команд отправилась на разведку в Лос-Анджелес, то приведенное число в какой-томере отражает и статистику для этого города
Trang 2324 А БЕЗОПАСНОСТЬ БЕСПРОВОДНЫХ СЕТЕЙ В РЕАЛЬНОМ МИРЕ
Результаты, полученные на Defcon, были подтверждены одним из авторов, шимся на прогулку по Лас-Вегасу по собственной инициативе
отправив-Может быть, по другую сторону Атлантики дело обстоит лучше? Отнюдь По нашимоценкам, лишь около 30% точек доступа в Великобритании должны были работать с вклю-ченным протоколом WEP Чтобы проверить это предположение, один из авторов отправил-
ся на экскурсию по Лондону в знаменитом двухэтажном автобусе с открытым верхом, оружившись ноутбуком с установленной ОС Debian Linux, программой Kismet, картой CiscoAironet LMC350 и всенаправленной антенной мощностью 12 dBm Во время двухчасовойпоездки (как раз на столько хватало батарей) было обнаружено 364 беспроводных сети, изних в 118 был включен протокол WEP, в 76 значение ESSID было оставлено без измененияили совпадали с названием либо адресом компании И, что еще хуже, в некоторых сетяхбыли видимые открытые IP-адреса беспроводных хостов, которые можно было пропинго-вать из Internet Если вы работаете администратором сети в центре Лондона и сейчас чи-таете данную книгу, примите это к сведению Разумеется, в процессе сбора информациитрафик не протоколировался, чтобы избежать осложнений с законом Это был чистый эк-сперимент по обнаружению сетей в поездке Неудивительно, что прогулка пешком по цен-тру Лондона с карманным компьютером Sharp Zaurus SL-5500, картой D-Link DCF-650W CF споддержкой протокола 802.11b (на удивление большая антенна, пусть даже она закрываладоступ к гнезду для стилоса) и программой Kismet продемонстрировала ту же самую ста-тистику Аналогичный уровень незащищенности был обнаружен в Бристоле, Бирмингеме,Плимуте, Кентербери, Суонси и Кардиффе
во-Если пересечь Ла-Манш, картина не изменится Один из авторов проехал из Варшавы вЛондон с таким же КПК Zaurus/D-Link CF/Kismet и выявил такое же соотношение сетей 802.11
с включенным и выключенным протоколом WEP Нашлись даже очень мощные ванные двухточечные каналы, пересекающие трассы национального значения посреди пус-тынной местности Другой автор исследовал безопасность беспроводных сетей 802.11 в Риге.Как ни странно, их число оказалось столь велико, что было невозможно использовать сред-нюю полосу ISM (The Industrial Scientific and Medical - для промышленных, научных и меди-цинских целей; 2,4-2,45 ГГц), так что многие сети сместились в полосу UNII (UnlicensedNational Information Infrastructure - нелицензируемый диапазон для национальной инфор-мационной инфраструктуры; 5,15-5,35 и 5,725-5,825 ГГц) и даже заняли полосы в диапазонепримерно 24 ГГц Обнаружилось много устаревших сетей Breeznet и 802.11 FHSS Такой бумбеспроводной связи в Риге можно объяснить тем, что по старым зашумленным телефоннымлиниям, оставшимся в наследство от Советского Союза, было невозможно передавать xDSL-трафик без заметной потери данных и многочисленных повторных передач И все же, не-смотря на популярность сетей 802.11, почти во всех протокол WEP был выключен
незашифро-Если вы думаете, что по большей части эти незащищенные беспроводные сети былидомашними точками доступа, сетями, принадлежащими сообществу энтузиастов, или пуб-личными хот-спотами, то вы ошибаетесь Многие из обнаруженных нами открытых сетейпринадлежали правительственным организациям (в том числе иностранным) и крупнымкорпорациям (в том числе транснациональным) Более того, некоторые из этих корпора-ций были крупными компаниями в области информационных технологий или занималиськонсалтингом в той же сфере Просто стыд и позор!
Мы даже не задаемся вопросом о том, в скольких из этих сетей были реализованы кие-либо меры безопасности сверх протокола WEP (легко взламываемого) и фильтрацииМАС-адресов Скорее всего, их доля не превышает и 10% Если учесть, что и протокол WEP,