Кроме того, sniffdet может получать списокIP-адресов в файле и без труда проверять всю локальную сеть на наличие устройств, рабо-тающих в прозрачном режиме.по-Можно также проанализироват
Trang 1Как видите, в случае беспроводных сетей программа Sniffdet предпочтительнее, скольку она применяет четыре разных метода обнаружения прослушивания, в отличие отapd - одной из первых утилит для этой цели Кроме того, sniffdet может получать списокIP-адресов в файле и без труда проверять всю локальную сеть на наличие устройств, рабо-тающих в прозрачном режиме.
по-Можно также проанализировать сетевой трафик на предмет наличия пакетов, ляемых сенсором IDS главному хосту, или сообщений центральному серверу протоколов.Если обнаружены хосты, ведущие мониторинг, то можно прервать эту деятельность с по-мощью сценария killmon от DachbOden Labs:
направ-Разумеется, вы и сами можете не удержаться от прослушивания трафика (это болеесильный наркотик, чем кофе!) Тогда просто откройте на своем хосте порт 80 (пс -1-n -v -р 8 0) Вместо этого можно воспользоваться дополнительным модулем leech кпрограмме Ettercap, чтобы изолировать хост с системой IDS от остальной сети, попы-таться получить к нему административный доступ или «погасить» его с помощью DoS-атаки (это легко, если хост находится в беспроводной сети) Такие атаки против сенсо-ров IDS вряд ли останутся незамеченными, так что взломщик должен соотносить риск
с выгодой и надеяться на удачу Сколько времени пройдет от момента срабатыванияIDS до того, как системный администратор предпримет какие-то действия? Хватит лиэтого времени, чтобы проникнуть на один из хостов локальной сети и разместить нанем черный ход или провести успешную атаку против хоста в Internet или другой сети,
в которую есть выход? Можно ли это сделать, не потревожив IDS? Подумайте обо всемэтом, планируя защитные действия и, в частности, развертывание IDS
1 9 0 А НАЛЕТ И РАЗГРАБЛЕНИЕ: ВРАГ В ГОРОДЕ
Trang 2ШАГ 3 ИДЕНТИФИКАЦИЯ ХОСТОВ И СНЯТИЕ ЦИФРОВОГО ОТПЕЧАТКА С ОС 1 9 1Шаг 3 Идентификация хостов
и выполнение пассивного снятия цифрового отпечатка с операционной системы
Разумеется, не всякий хост в беспроводной сети (или в неправильно подключенной к нейлокальной сети Ethernet) будет вести передачу, поэтому его не удастся обнаружить путемпассивного прослушивания Для автоматического обнаружения имеющихся в сети машин,помимо команды p i n g < b r o a d c a s t IP>, можно воспользоваться программой Ettercap(которая использует для обнаружения хостов протокол ARP) или THCrut (которая можетеще применять для этой цели протоколы DHCP и ICMP):
arhontus:~# / t h c r u t
Размер системного буфера передачи устанавливается равным 104857 6 байт Usage: t h c r u t [ t h c r u t - o p t i o n s ] [ command ] [ command-options-and- arguments ]
Команды:
discover Обнаружение хоста и снятие цифрового отпечатка ОС icmp Обнаружение по протоколу ICMP
Обращаем ваше внимание, что снятие цифрового отпечатка в режиме d i s c o v e r не ляется пассивным, поэтому в этом разделе мы не станем его обсуждать Но стоит отметить,что программа THCrut была специально написана для обнаружения хостов в неизвестныхбеспроводных сетях во время поездки на машине
яв-А что если некоторые обнаруженные IP-адреса принадлежат не разным хостам, а
одно-му, на котором работают несколько виртуальных серверов с разными IP-адресами? Этоможно выяснить, проанализировав начальные порядковые номера (Initial Sequence
иьращаем ваше внимание, что снятие цифрового отпечатка в режиме d i s c o v e r не ляется пассивным, поэтому в этом разделе мы не станем его обсуждать Но стоит отметить,что программа THCrut была специально написана для обнаружения хостов в неизвестныхбеспроводных сетях во время поездки на машине
яв-А что если некоторые обнаруженные IP-адреса принадлежат не разным хостам, а
одно-му, на котором работают несколько виртуальных серверов с разными IP-адресами? Этоможно выяснить, проанализировав начальные порядковые номера (Initial Sequence
Trang 31 9 2 А НАЛЕТ И РАЗГРАБЛЕНИЕ: ВРАГ В ГОРОДЕ
Number - ISN) TCP-пакетов, идентификаторы IP или кэш протокола ARP На практике
про-ще всего сделать это, запустив утилиту ISNprober в групповом режиме (задайте флаг -qдля получения сводного отчета для всей локальной сети):
-q: подавить вывод необработанной информации, выводить только результаты-w: сколько времени ожидать пакета с ответом (секунд) [по умолчанию = 1]
ipid: использовать идентификаторы IP вместо TCP ISN
variate-source-port: использовать новый порт отправителя для каждогопосланного пакета (по умолчанию для всех пробных пакетов
За исключением случая, когда сканируются машины под управлением OpenBSD,
провер-ка идентифипровер-каторов IP опровер-казывается несколько надежнее, чем TCP ISN
Что касается снятия цифрового отпечатка ОС, неважно в активном или пассивном
режи-ме, то есть золотое правило, которое гласит: «Не доверяйте какой-то одной технике снятияцифрового отпечатка ОС, сравнивайте результаты, получившиеся разными методами» Дляснятия цифровых отпечатков есть следующие инструменты:
Trang 4ШАГ 4 ПОИСК И ЭКСПЛУАТАЦИЯ УЯЗВИМЫХ ХОСТОВ В БЕСПРОВОДНОЙ СЕТИ Л 93
Шаг 4 Поиск и эксплуатация
уязвимых хостов в беспроводной сети
Это активная фаза атаки Дойдя до четвертого шага, вы уже должны были собрать солидныйобъем полезной информации, которая сделает проникновение в беспроводные хосты, шлюзы иобнаруженные в проводной сети машины совсем простым делом Возможно, и проникать-то непонадобится, так как вы уже выделили или взломали пароли пользователей, передаваемые посети С помощью собранных данных вы можете выбрать наиболее подходящие для последую-щей атаки хосты, на которых удастся получить права администратора или пользователя root
На этом этапе можно выполнять активное снятие цифрового отпечатка ОС, сканирование тов и прочие действия, направленные на выявление и последующую эксплуатацию уязвимыхслужб Не забывайте о золотом правиле снятия цифровых отпечатков: пользуйтесь разнымиметодами и сравнивайте результаты К числу имеющихся инструментов относятся:
о прочие инструменты, которые в изобилии встречаются в Internet
Что касается собственно сканирования портов, то всеми любимой программой являетсяnmap В какой литературе для хакеров не встретишь ее описания? Не углубляясь в дебритеории сканирования портов, приведем собственные рекомендации:
о сначала попробуйте сканирование зомби и простаивающих процессов с флагом - s i Это может и не сработать;
о попробуйте сканирование протоколов (- sO) Попробуйте снять отпечаток, запустивпрограмму с этим флагом;
о запустите программу с флагом -sN (null) Многие межсетевые экраны и системы IDS
не обнаруживают такого сканирования (например, в протоколах ipchains оно нефиксируется);
о далее для пущей уверенности переходите к флагу - s F , но избегайте флага -sX(Xmas);
о если ни один из этих методов не дал результата, то на хосте, скорее всего, работаеткакая-то версия Microsoft Windows Тогда воспользуйтесь сканированием с полусое-динением (-sS)
Поскольку речь идет о локальной сети (возможно, беспроводной), то имеет смысл нуть и еще один инструмент: Ghost Port Scan Эта программа «отравляет» кэш ARP, подделывая
упомя-и IP-, упомя-и МАС-адрес сканупомя-ирующего хоста Сканер способен найтупомя-и не упомя-используемые в локальнойсети IP-адреса Такая методика задействуется, когда не указан IP-адрес отправителя Назначение
Trang 51 9 4 НАЛЕТ И РАЗГРАБЛЕНИЕ: ВРАГ В ГОРОДЕ
этой функции - избежать потенциального отказа от обслуживания, которое может стать зультатом «отравления» кэша ARP У сканера довольно много возможностей:
ре-Для перехвата анонса программы (banner) старомодным способом можно использоватьtelnet или netcat Но можно сэкономить время (в беспроводных сетях это особенно важно)
и силы, взяв одну из следующих программ:
о nmap+V (nmap с патчем, изготовленным Saurik; попробуйте флаг -sVVV) илипоследнюю версию nmap с новой функцией снятия отпечатка по анонсам (флаг-sV или - А ) ;
Trang 6ШАГ 5 АТАКА НА ПРОВОДНУЮ ЧАСТЬ СЕТИ 1 9 5
В качестве консультанта по безопасности вы всегда можете воспользоваться матизированным многофункциональным пакетом программ типа Nessus, но настоящийвзломщик никогда не прибегнет к таким инструментам, поскольку нуждается в скрыт-ности Выбирайте те средства, которые вам нравятся по причине экономии времениили просто из эстетических соображений Непосредственно на вашем ноутбуке долж-
авто-на храниться обширавто-ная коллекция «эксплойтов» и длинный список паролей, мых по умолчанию, а также словари Тогда вам не придется тратить время на обраще-ние из беспроводной сети к таким сайтам, как SecurityFocus или PacketStorm Длявскрытия паролей по словарю и методом полного перебора применяйте такие програм-
выбирае-мы, как Hydra и ей подобные
Шаг 5 Атака на проводную часть сети
Если сеть спроектирована правильно и беспроводную часть отделяет от проводной ший межсетевой экран, то ваши шансы успешно атаковать проводную часть сети невели-
хоро-ки Однако наш опыт показывает, что так бывает редко Обычно точки доступа
включают-ся в коммутаторы, которые соединяют их с остальной частью сети и расположены в том жешироковещательном домене, что и проводные хосты Существуют различные способы иинструменты для перенаправления трафика из проводной части сети в беспроводную дляанализа и манипулирования Если беспроводная точка доступа включена в коммутатор,можете попробовать следующее:
о «отравить» кэш ARP с помощью атаки «человек посередине», запущенной из водной части против хостов в проводной сети Такую атаку сможет провести любойсовременный анализатор протоколов, иногда в руководствах она называется «актив-ным прослушиванием» В качестве примеров можно назвать arpspoof из комплектаDsniff, Ettercap, Hunt и Angst Существуют также и более специализированные инст-рументы, например arpmim, sw_mitm и BKtspidbc Помните, что атаку можно прове-сти против единственного хоста (классическая атака «человек посередине») илипротив нескольких машин (подделка ARP-шлюза);
беспро-о перепбеспро-олнить таблицу САМ кбеспро-оммутатбеспро-ора, чтбеспро-обы данные, циркулирующие в прбеспро-овбеспро-однбеспро-ойсети, просочились через порт, подключенный к беспроводной части Лучший из извес-тных инструментов для этой цели - программа macof, включенная в комплект Dsniffпосле переписывания на С оригинального кода, написанного на Perl Самый интересныйинструмент из этой категории - Taranis Эта программа используется для проведенияатаки с переполнением таблиц САМ и первоначально предназначалась для кражи аутен-тификационной информации с почтового сервера С нею поставляется также утилитаswitchtest, тестирующая коммутаторы на уязвимость к переполнению САМ Не будет ливаш коммутатор вести себя, как обычный мультиплексор, если подвергнется атаке?Switchtest скажет об этом Есть также инструменты, реализующие затопление ком-мутаторов МАС-адресами, например angst -f, pdump -M и дополнительный модульSpectre к программе Ettercap Отметим, что если атака оказалась успешной, то вы всеравно не сможете получить больше данных, чем позволяет пропускная способностьбеспроводной сети Если через коммутатор проходит трафик 100 Мбит/с, то вы сможетеполучить лишь ту его часть (скажем, 7 Мбит/с в сети 802.11b при использовании Linux),которую способен пропустить беспроводной канал;
Trang 71 9 6А НАЛЕТ И РАЗГРАБЛЕНИЕ: ВРАГ В ГОРОДЕ
о перенаправить трафик с помощью протокола обнаружения маршрутизатора, енного в ICMP Как утверждается в разделе 9.6 книги «TCP/IP Illustrated» (TCP/IP виллюстрациях), существуют правила, позволяющие не дать злоумышленнику моди-фицировать системные таблицы маршрутизации:
встро вновь объявляемый маршрутизатор должен находиться в сети, подключеннойнапрямую;
- пакет с информацией о перенаправлении должен исходить от текущего тизатора к данному получателю;
маршру пакет с информацией о перенаправлении не может сообщать хосту, что тот долмаршру жен сам стать маршрутизатором;
дол модифицированный маршрут должен быть непрямым
Однако наличие таких правил еще не означает, что поставщики ОС им строго следуют(хотя первое правило выполняется всегда, поэтому вы должны быть напрямую подключе-
ны к локальной сети, если хотите попытаться перенаправить трафик) Лучшие
инструмен-ты для проведения атаки на протокол перенаправления в ICMP - это Sing и IRPAS ний включает готовую утилиту для эксплуатации этой уязвимости - IRDPresponder Онаищет пакеты с предложениями стать маршрутизатором и отвечает, периодически отправ-ляя назад обновления:
Послед-По умолчанию приоритет (preference) равен нулю; если IP-адрес получателя не указан,берется широковещательный адрес
Конечно, если между проводной и беспроводной частями сети находится безопасныйшлюз, то эти атаки ничего не дадут Однако есть методики, которые все-таки приведут куспеху, - нет в мире совершенства Если нельзя атаковать данный уровень модели 0SI, топротивник может перебраться на уровень выше и продолжить попытки Существует многоспособов преодолеть безопасный шлюз между проводной и беспроводной сетями Очевид-ный объект атаки - это сам шлюз, но тут, скорее всего, ничего не получится, зато сработа-
ет система IDS и останутся бросающиеся в глаза записи в протоколах Другой очевидныйспособ - посмотреть, каким проводным хостам посылают трафик беспроводные компьюте-
ры, и атаковать эти хосты, возможно, притворившись одной из беспроводных машин, варительно «выбросив» ее из сети с помощью wlan_jack, fata_jack и т.п
пред-Более элегантный способ состоит в том, чтобы воспользоваться существующими нениями между проводными и беспроводными хостами для их перехвата, внедрения имодификации трафика Для вставки перехватывающего хоста между концевыми точкамисоединения обычно используется подделка ARP Однако разделяемая природа сетей 802.11
соеди-и возможность атаксоеди-и «человек посередсоеди-ине» на уровень 2 без модсоеди-ифсоеди-икацсоеди-исоеди-и таблсоеди-иц ARPоткрывает целый спектр новых способов перехвата существующих соединений В частно-сти, можно модифицировать проходящий через интерфейс в ходе атаки «человек посере-дине» трафик, не нанося заметного ущерба Например, вместо доменного имени в исходя-щих запросах можно подставить другое Предлагаем ознакомиться с заменами на сайтах
Trang 8ШАГ 5 АТАКА НА ПРОВОДНУЮ ЧАСТЬ СЕТИ Л 97
http://www.rathergood.com и http://www.attrition.org Таким образом достигается эффектподделки DNS, но DNS-сервер в этом не участвует Можно заменить буквы СЕО (исполни-тельный директор) в проходящем трафике любой другой комбинацией из трех букв, воз-можности ограничены только вашим воображением Ну а если серьезно, то атакующийможет причинить ощутимый и в то же время трудно обнаруживаемый вред, скомпромети-ровав целостность данных, а затем воспользовавшись компроматом для шантажа Следова-тельно, возможность успешного проведения таких атак надо обязательно тестировать входе аудита безопасности беспроводной сети
Чтобы обнаружить существующие в сети соединения, воспользуйтесь своим любимыманализатором протоколов или автоматизируйте эту процедуру за счет дополнительногомодуля beholder к программе Ettercap Для выделения трафика по образцу и модификации
на лету годится программа netsed:
В результате применения такого правила образец p a t t e r n l заменяется на p a t t e r n 2
во всех пакетах, где он встречается Дополнительный параметр ( e x p i r e ) служит для того,чтобы прекратить модификацию после указанного числа успешных замен Восьмиразряд-ные символы, в том числе NULL и 7\ задаются с помощью esc-последовательностей ана-логично тому, как это делается в HTTP (например, %0a%0d) Сам знак процента представ-ляется в виде '•%%' Примеры:
Правила не применяются к образцам, пересекающим границы пакетов Порядок нения - с первого до последнего правила с неисчерпанным счетчиком
приме-Помимо модификации проходящего трафика его еще можно воспроизводить Атаки своспроизведением полезны для того, чтобы противник мог аутентифицироваться на сер-вере с помощью свертки чужого имени и пароля Тем самым удается сэкономить массу вре-мени, которое иначе пришлось бы потратить на вскрытие пароля Воспроизведение LM-или NTLM-сверток для получения тех же прав, что у ранее аутентифицированного пользо-вателя, - самый распространенный пример такой атаки Ее можно автоматизировать с по-мощью инструмента smbproxy
Trang 91 9 8 НАЛЕТ И РАЗГРАБЛЕНИЕ: ВРАГ В ГОРОДЕ
Для классического перехвата TCP-соединений программа Hunt остается ным инструментом, с которым должен быть знаком любой аудитор безопасности Страницаруководства по ней (man hunt) - это прекрасное чтение на сон грядущий! Интересныедобавления к возможностям Hunt предлагает программа pdump (pdump -А), которая по-зволяет вставлять новые пакеты в существующее соединение, оставляя его при этом син-хронизированным В этом случае перенаправлять пакеты уже не нужно, а риск сброса со-единения устраняется
непревзойден-Еще два варианта перенаправления трафика через маршрутизатор или шлюз - это чение постороннего маршрута с помощью работающего протокола маршрутизации и под-делка или перехват DNS в случае, когда для доступа к машинам в локальной сети использу-ются доменные имена
вклю-В первом случае противник периодически посылает поддельные сообщения с нием маршрута, в которых его хост декларируется шлюзом по умолчанию, или присоеди-няется к домену маршрутизации и пытается выиграть выборы нового маршрутизатора (этохарактерно для атак на некоторые протоколы маршрутизации, например OSPF) Для встав-
объявле-ки вредоносных обновлений маршрута используйте nemesis-rip (протоколы RIPvl и RIPv2),nemesis-pspf (протокол OSPF), утилиту igrp из комплекта IRPAS (протокол IGRP) либо Sendip
с подгруженными модулями rip (RIPvl и RIPv2) или bgp (BGPv4) Для присоединения к мену OSPF с целью стать назначенным маршрутизатором и взять на себя управление всемиобновлениями маршрутов в домене установите на атакующий ноутбук программы Zebraили Quagga и задайте параметры, относящиеся к OSPF: установите наивысший приоритет(255) и наибольший возможный из разумных IP-адресов закольцованного интерфейса (или
до-«идентификатор маршрутизатора») на случай конфликта приоритетов Возможно, то жесамое можно проделать и с программой Gated, но мы еще не испытывали ее в процессеаудита безопасности протоколов маршрутизации В общем и целом, для успешной атакипутем вставки постороннего маршрута вы должны быть знакомы с устройством и работойпротоколов маршрутизации Хороший источник по всем вопросам, касающимся коммута-ции и маршрутизации, это книга «Routing and Switching: Time of Convergence?» (Маршру-тизация и коммутация: Время конвергенции?) Риты Пузмановой (Addison-Wesley, 2002,ISBN: 0201398613) Можно также обратиться к руководству «CCIE Routing and Switching»(Маршрутизация и коммутация CCIE)
Что касается атак с подделкой DNS, то, поскольку протокол Secure DNS (SNDS) еще не шел широкого распространения, проведение таких атак на UDP-версию протокола без аутен-тификации - это простая задача, для решения которой к тому же есть немало инструментов.Программа Dnsspoof из комплекта DSniff подделывает ответы на любые DNS-запросы об ад-ресе или указателе с помощью файла в формате hosts, содержащего подставные записи
Trang 10на-Все корпоративные пользователи, читающие новости на Web-сайте http://www.cnn.com
во время обеда, будут перенаправлены на ноутбук атакующего Пока тот попивает кофе вкафе через дорогу, l E s p l o i t t c l воспользуется уязвимостями в Internet Explorer версий5.0,5.5 и 6.0, связанными с «символом % 0 0 в имени файла» и автоматическим запуском прог-рамм для некоторых типов MIME, чтобы загрузить и выполнить файл veryeviltrojan.exe навсех уязвимых машинах с ОС Windows, посетивших поддельный сервер
Шаг 6 Проверка правил фильтрации на
шлюзе из беспроводной сети в проводную
Консультант по безопасности, равно как и бета-тестер программ, связанных с тью, должен выяснить, обеспечивает ли установленный безопасный шлюз в беспроводную
Trang 11безопаснос-2 0 0 ^ НАЛЕТ И РАЗГРАБЛЕНИЕ: ВРАГ В ГОРОДЕ
сеть достаточный уровень защиты от атак со стороны беспроводной сети и надежно ли онскрывает структуру проводной части сети Хотя детальное описание процедуры тестиро-вания межсетевых экранов выходит за рамки главы, посвященной основам аудита безопас-ности, но несколько рекомендаций мы все же дадим:
ска-о пска-оиграйте с устанска-овкска-ой IP и МАС-адресска-ов ска-отправителя при сканирска-овании пска-ортска-ов(для этого хорошо подходит Ghost Port Scanner, a randsrc можно использовать длярандомизации IP-адресов);
о попробуйте программу Firewalk Майка Шиффмана (Mike Schiffman):
Trang 12РЕЗЮМЕ 2 0 1
Чтобы выполнить тестирование шлюза, необходимо поместить шпионский хост подругую сторону межсетевого экрана и анализировать весь протекающий трафик Мно-гие инструменты для тестирования экранов выполнены в виде клиент-серверной пары,где клиентом является генератор специальных пакетов, а сервером - демон, анализи-рующий протекающий трафик и снабженный средствами его декодирования На плат-форме UNIX примерами таких инструментов служат Ftester и Spoofaudit для тестиро-вания фильтрации поддельного IP-трафика Убедите руководство своей компании илизаказчика дать разрешение на тестирование правильности фильтрации трафика шлю-зом, объяснив, что если вы сможете найти протечку, то и взломщику это тоже по пле-
чу Высококлассные шлюзы в беспроводные сети дороги, но так ли они хороши, какзаявляют производители? Не окажется ли, что из-за некорректно написанных правилденьги будут выкинуты на ветер? Есть только один способ узнать точно
Резюме
Единственный способ узнать, насколько безопасна ваша беспроводная сеть и что можетсделать взломщик, проникнув в нее, состоит в том, чтобы взглянуть на беспроводную исоединенную с ней проводную сеть глазами противника и попытаться атаковать ее само-стоятельно Только притворившись решительным и хорошо оснащенным взломщиком, высможете должным образом провести внешний аудит безопасности беспроводной сети.Нет особого смысла в том, чтобы бродить в зоне покрытия сети, вооружившись програм-мой Netstumbler или даже Sniffer Wireless, в лучшем случае такое времяпрепровождениеможно назвать осмотром места развертывания сети, но никак не аудитом безопасности.Набирайтесь опыта в обеспечении безопасности беспроводных и даже обычных локаль-ных сетей путем экспериментирования с описанными инструментами Можете даже по-пробовать модифицировать или полностью переписать их (благодаря лицензиям GNU иBerkeley это возможно) Если уж результаты экспериментов не способны убедить вас вважности данной темы, то и мы тут бессильны
На этом мы заканчиваем первую половину книги, посвященную тестированию ности проникновения и методам атаки на сети 802.11 В следующей части мы попытаемсяпоказать, что нужно сделать, чтобы не дать решительно настроенному противнику вло-миться в вашу сеть, разрушить ваш бизнес или лишить вас работы
Trang 13возмож-Не показывайте свою готовность, но будьте браны и устраняйте все бреши и слабости.
со-Мей Яочжень
Возможно, что после прочтения предыдущих глав вы решили вообще не связываться с проводными сетями Это ошибка! Беспроводные локальные сети могут и должны быть бе-зопасными Нет ничего, что нельзя было бы взломать, но уровень защиты может быть на-столько высоким, что лишь несколько человек во всем мире сумеют его преодолеть, да и то
бес-не наверняка Скорее всего, эти люди будут на вашей сторобес-не, так как вместе со знаниямиприходит и ответственность Мастера кунфу не лезут первыми в драку Именно этому воп-росу и посвящена данная часть книги: как поднять планку защищенности
Политика обеспечения безопасности
беспроводной сети: основы
Первое, с чего нужно начинать развертывание и защиту корпоративной беспроводнойсети, - это выработать надлежащую политику обеспечения безопасности Лучший источ-ник информации о том, как написать подробную формализованную политику, - это прило-жение А к «Official CWSP Guide» (Официальное руководство для получения сертификатаCWSP) Мы расскажем о том, что должен включать такой документ и какие техническиеаспекты в нем следует отразить
Из-за функций, необходимых для обратной совместимости, беспроводную сеть следуетсчитать настолько безопасной, насколько безопасен самый незащищенный клиент в ней.Если вы полагаетесь на механизмы защиты 802.11, реализованные на уровне 2, скажем,
Trang 152 0 4 СТРОИМ КРЕПОСТЬ: ВВЕДЕНИЕ В МЕТОДЫ ЗАЩИТЫ БЕСПРОВОДНЫХ СЕТЕЙ
должны знать, где за пределами здания находится оборудование, как оно выглядит и какиебывают атаки Они должны иметь возможность засечь подозрительный автомобиль с ан-тенной на корпоративной стоянке или человека с ноутбуком, сидящего на скамейке по-близости от офиса компании
4, Безопасность физического уровня
Уровень EIRP должен находиться в разрешенных пределах Излучаемая мощность должнабыть не слишком высока, чтобы сеть не простиралась дальше необходимого Место разме-щения антенны следует выбрать так, чтобы минимизировать распространение сигнала запределы требуемой зоны покрытия При необходимости можно установить параболичес-кие отражатели, препятствующие распространению сигнала в нежелательных направле-ниях Наконец, следует выявить и по возможности устранить все источники помех
5 Развертывание сети на местности
Установка нескольких точек доступа в беспроводную сеть не только создает резервнуюполосу пропускания на случай выхода из строя одной из точек, но и повышает устойчи-вость сети к DoS-атакам и атакам «человек посередине»
Беспроводная и проводная сети должны находиться в разных широковещательных менах Если точки доступа подключены к разным коммутаторам, то следует организоватьвиртуальные локальные сети (VLAN) и по возможности поместить все точки доступа в однутакую сеть Шлюз из беспроводной сети в проводную должен обеспечивать надежное раз-деление сетей, поддерживать аутентификацию и шифрование данных и быть устойчивым
до-к возможным атадо-кам
6, Защитные контрмеры
Строка ESSID не должна содержать никакой полезной информации о компании и точкедоступа Следует активировать такие базовые защитные меры, как протокол WEP и закры-тие ESSID Когда есть возможность, нужно пользоваться фильтрацией МАС-адресов В час-тности, нужно ввести ограничения на адреса (BSSID) корпоративных точек доступа, к ко-торым могут присоединяться клиенты Когда возможно и имеет смысл, следует включатьфильтрацию протоколов
Вышеописанных базовых мер недостаточно для надежной защиты беспроводной сети.Следует реализовать дополнительные механизмы, в частности протокол 802.1х и виртуаль-ные частные сети Выбор и реализация таких механизмов должны быть тщательно доку-ментированы, и нужно назначить лица, ответственные за сопровождение Если реализова-
ны какие-то патентованные защитные механизмы, например усовершенствованный протоколWEP, то их эффективность должна быть подтверждена внешним аудитором еще до началаразвертывания сети Следует проверить и документально зафиксировать период ротацииключей WEP
Следует выработать политику безопасности паролей для доступа к беспроводной сети истрого следить за выбором паролей и секретных ключей В беспроводной сети должныбыть отключены все ненужные протоколы, а доступ к разделяемым ресурсам (например,
по NFS) должен быть ограничен
Trang 16ОСНОВЫ БЕЗОПАСНОСТИ УРОВНЯ 1 В БЕСПРОВОДНОЙ СЕТИ 2 0 5
7 Мониторинг сети и реакция на происшествия
Вся работа сети должна отслеживаться Следует заранее определить показатели, терные для нормальной работы Значительные отклонения от нормальных значений дол-жны выявляться и документироваться Следует развернуть систему IDS, учитывающуюспецифику беспроводных сетей, и подключить ее к централизованной системе протоко-лирования Если сеть велика и имеет несколько точек доступа, то необходимо размес-тить удаленные сенсоры IDS, чтобы обеспечить мониторинг всей сети Необходимо на-значить ответственных за просмотр протоколов и тревожных сигналов системы IDS
харак-В соответствии с общей корпоративной политикой должно быть обеспечено безопасноехранение протоколов Все случаи вторжения должны быть выявлены, проверены, под-тверждены и документированы Необходимо заранее сформировать группу реагирования
на происшествия, готовую к немедленным действиям В частности, о происшествии
долж-ны быть письменно извещедолж-ны правоохранительдолж-ные оргадолж-ны Со всеми веществендолж-нымидоказательствами, которые удастся собрать (протоколы, хосты, на которые было совер-шено вторжение, незаконные беспроводные устройства и прочая аппаратура, брошен-ная взломщиками или конфискованная у них), нужно обращаться с крайней осторожнос-тью, чтобы сохранить их значимость для суда Убедитесь, что группа реагирования знакома
с местными законами об обращении с вещественными доказательствами
8 Аудит безопасности и устойчивости сети
Следует регулярно проводить аудит безопасности корпоративной беспроводной сети силамивнешних специалистов, имеющих хорошую репутацию и аккредитованных в этой конкретнойобласти Процедура аудита безопасности и устойчивости сети должна включать:
о предоставление подробного отчета о результатах аудита;
о взаимодействие с руководством и администраторами сети для разрешения ших проблем
возник-Основы безопасности уровня 1
в беспроводной сети
Рассмотрим теперь некоторые технические аспекты обсуждаемой политики обеспечениябезопасности Начнем с защиты физического уровня Сюда входит вопрос: о том, как избе-жать утечки сигнала за границы сети и устранить все явные и неявные источники помех.Вопрос о помехах обсуждался в первой части книги, так что здесь мы сосредоточимся толь-
ко на ограничении зоны покрытия Это редкий пример достижения безопасности за счетсокрытия информации, который работает (до некоторой степени)
Trang 172 0 6А СТРОИМ КРЕПОСТЬ: ВВЕДЕНИЕ В МЕТОДЫ ЗАЩИТЫ БЕСПРОВОДНЫХ СЕТЕЙ
Есть два способа предотвратить распространение сигнала за пределы области, котораядолжна быть доступна законным пользователям Во-первых, следует ограничить уровеньсигнала В мире UNIX less - это то же самое, что more1 Тот же принцип относится и к безо-пасности физического уровня Уровень EIRP должен быть достаточен для обеспечения хо-рошего качества канала в планируемой зоне покрытия и ни на децибел больше ДоводитьEIRP до максимального разрешенного FCC значения часто бывает излишне, поскольку вашасеть будет маяком для всех искателей сетей на колесах в округе и станет предметом об-суждения на собрании местной группы хакеров Есть несколько способов регулировкимощности излучения:
о в точках доступа (все высококлассные точки доступа должны поддерживать рование выходной мощности);
регули-о в усилителе переменнрегули-ой мрегули-ощнрегули-ости;
о за счет выбора правильного коэффициента усиления антенны
В крайнем случае можно разместить даже аттенюатор
Второй способ состоит в том, чтобы сформировать нужную зону покрытия за счет ного выбора антенн и мест их размещения В приложении С приведены примеры диаграммнаправленности антенн разных видов, решите, какая вам больше подходит для предоставле-ния доступа только там, где нужно Можем предложить некоторые рекомендации:
правиль-о пправиль-ользуйтесь всенаправленными антеннами, тправиль-олькправиль-о кправиль-огда без этправиль-огправиль-о не правиль-обправиль-ойтись Вправиль-омногих случаях для ограничения распространения сигнала подойдет секторная илипанельная антенна с таким же коэффициентом усиления;
о если доступ к беспроводной сети за пределами здания не нужен, размещайте направленные антенны в центре здания;
все-о при развертывании беспрвсе-оввсе-однвсе-ой сети в высвсе-оквсе-ом здании пвсе-ользуйтесь ными антеннами, монтируемыми на уровне земли, чтобы ваша сеть была не так за-метна с нижних этажей и соседних улиц;
всенаправлен-о если пвсенаправлен-окрытие ввсенаправлен-о всех направлениях не нужнвсенаправлен-о, нвсенаправлен-о вы вынуждены пвсенаправлен-ользвсенаправлен-оваться направленными антеннами, то разместите в стратегических точках параболическиеотражатели, чтобы контролировать распространение сигнала Отражатель изменяетформу диаграммы направленности антенны, так что зона покрытия, формируемаявсенаправленной антенной, становится похожа на зону, характерную для некоторыхполунаправленных антенн Конечно, при этом увеличится и коэффициент усилениясигнала Типичный случай, в котором применение отражателей оправдано, - эторазмещение точки доступа без разъема для внешней антенны или возможность за-мены стандартной прилагаемой к точке доступа всенаправленной антенны в формеутенка чем-нибудь более подходящим Для отражателя важно лишь иметь плоскуюметаллическую поверхность нужного размера Поэтому можно самостоятельно сде-лать отражатель из подручных материалов, скажем, из кровельного железа В статье
все-на странице http://www.freeantennas.com/projects/template/index.html подробноописывается, как сделать отражатель самому Рекомендуем также книгу Роба Фли-кенджера (Rob Flickenger) «Wireless Hacks» (Взлом беспроводных сетей - вышла
в издательстве O'Reilly, 2003, ISBN 0596005598), прием № 70;
1 less (меньше) и more (больше) - это две программы постраничного просмотра файла в UNIX,
решающие одну и ту же задачу - Прим пер.
Trang 18ОСНОВЫ БЕЗОПАСНОСТИ УРОВНЯ 1 В БЕСПРОВОДНОЙ СЕТИ 2 0 7
о если беспроводной канал должен идти вдоль длинного коридора, соединяющего сколько кабинетов, то разместите две панельных или patch-антенны на противопо-ложных концах вместо множества всенаправленных по всей длине коридоре Може-
не-те также попробовать протянуть вдоль всего коридора неэкранированный провод,припаянный к разъему для антенны, имеющемуся в точке доступа Такая импровизи-рованная всенаправленная антенна без усиления может обеспечить связь в коридо-
ре и примыкающем пространстве, не выпуская сигнал на улицу;
о если клиентские устройства оборудованы антеннами с горизонтальной
поляризаци-ей, то используйте такие же антенны в точке доступа Любимые искателями сетейвсенаправленные антенны с магнитной присоской всегда располагаются вертикаль-
но относительно машины Если все ваши антенны имеют горизонтальную цию, то шансы обнаружить вашу сеть из проезжающей мимо машины резко падают
поляриза-Не стоит думать, что одним лишь правильным размещением антенн можно добитьсяидеальной формы зоны покрытия Во-первых, в диаграмме направленности большинстваполунаправленных и даже направленных антенн существует небольшой задний лепесток
Trang 192 0 8 СТРОИМ КРЕПОСТЬ: ВВЕДЕНИЕ В МЕТОДЫ ЗАЩИТЫ БЕСПРОВОДНЫХ СЕТЕЙ
У директорных антенн есть задние и боковые лепестки, которые при большом уровне EIRPмогут распространяться довольно далеко Поэтому водитель может обнаружить сеть, слу-чайно проехав за излучающей антенной, а взломщику необязательно находиться прямоперед антенной, где его и поджидает охрана
Кроме того, если не брать во внимание экранированные бункеры, то ограничить пространение радиоволн - весьма сложная задача Из-за отражения сигнала, рефракции ирассеяния беспроводную сеть можно случайно обнаружить в совершенно неожиданнойточке Отсюда следует, что очень важно изъять всю сколько-нибудь интересную информа-цию из фреймов-маяков Если водителю удастся перехватить единственный маяк, показы-вающий наличие WEP или закрытого ESSID, то, скорее всего, он проигнорирует такую сеть,ведь рядом так много незащищенных А вот если маяк показывает отсутствие WEP, a ESSIDсодержит строку M i c r o s o f t _ H e a d q u a r t e r s _ W L A N , то реакция будет совсем иной
рас-Полезность WEP, закрытых ESSID,
фильтрации МАС-адресов и
перенаправления портов по протоколу SSH
Вот мы и подошли к таким мерам защиты, как включение протокола WEP, закрытие ESSID ифильтрация МАС-адресов Их, конечно, можно преодолеть и, прочтя предыдущие главы, вы зна-ете, как это сделать Но тем не менее есть веские причины активировать эти защитные меха-низмы Первая из них - это закон Если атакующий обходит любую из указанных контрмер, то
он не может утверждать, будто ничего не знал и присоединился к сети случайно Таким зом, наличие WEP или закрытого ESSID - это предупреждение, гласящее: «Это частная сеть, рукипрочь» Если организация потеряет ценную информацию или свои активы после атаки на еебеспроводную сеть, то в случае отключенных механизмов защиты ее можно подвергнуть су-дебному преследованию за халатность Если же базовые механизмы были включены, то ответ-ственность можно переложить на кого-то еще (производителей, разработчиков стандартов,литературу, в которой утверждается, будто «статического протокола WEP достаточно», и т.д.).Другая причина - поднять планку защищенности Для преодоления любой обороны нужноприложить время и силы Чем больше прошло времени, тем меньше остается заряда в аккуму-ляторе и тем выше вероятность быть схваченным за руку Значительная часть взломщиков охо-тится за полосой пропускания Вооружившись ноутбуком с предустановленной ОС Windows ипрограммой Netstumbler, они пытаются найти открытую сеть, воспользовавшись которой мож-
обра-но скачать поробра-нографию или пиратские программы либо разослать спам С теми
инструмента-ми, которые есть в их распоряжении, они обычно не в состоянии взломать WEP, сгенерироватьспециальные фреймы для раскрытия скрытого ESSID или провести DoS-атаку либо атаку «че-ловек посередине» против уровня 2 Их знаний, как правило, недостаточно даже для измене-ния МАС-адреса своего беспроводного интерфейса Поэтому базовые механизмы защитят вас
от таких противников, но не надо думать, что все взломщики до такой степени неумелы В мый неподходящий момент вы можете наткнуться на противника посерьезнее
са-С другой стороны, правильно реализованное перенаправление портов по протоколуSSH может поднять планку защищенности довольно высоко Очень неплохо было бы со-брать программу sshd с поддержкой TCP Wrappers и запретить в беспроводной сети лю-бой He-SSH-трафик, отфильтровав в то же время SSH-трафик с неизвестных IP-адресов
Trang 20ПОЛЕЗНОСТЬ WEP, ЗАКРЫТЫХ ESSID, ФИЛЬТРАЦИИ MAC-АДРЕСОВ 2 0 9(не забудьте отключить DHCP) Это можно успешно сочетать с фильтрацией МАС-адресов иорганизацией статического ARP-кэша, если есть такая возможность Типичный пример пе-ренаправления портов по SSH - это экспорт приложений для X Windows с помощью SSH:arhontus# ssh -X -f Xserverhost xapplication_to use
Помимо шифрования данных и аутентификации пользователей такой подход позволитразгрузить процессор и сэкономить заряд аккумуляторов переносного компьютера Дру-гой широко распространенный пример - путешествие по Web или покупка в онлайновыхмагазинах через proxy-сервер, установленный на шлюзе в беспроводную сеть и защищаю-щий ваш сеанс по протоколу SSH:
arhontus# ssh -L 5777rlocalost:3128 proxyhost
Далее вы указываете браузер localhost:5777 в качестве proxy-сервера - и все (при вии, что этот proxy-сервер действительно прослушивает порт 3128) Выбор порта 5777 налокальном хосте совершенно произволен, но proxy-сервер Squid действительно долженпрослушивать 3128 на одном из ваших беспроводных шлюзов Если мобильный хост рабо-тает под управлением ОС Windows, то для организации SSH-туннеля придется воспользо-ваться приложением, поставляемым третьей фирмой Например, работая с программойPuTTY, выполните следующие действия:
7 Мы определили новый туннель Чтобы активизировать его, просто соединитесь сSSH-сервером
Число возможных применений перенаправления портов по SSH бесконечно, мы не дем задерживаться на этой теме Убедитесь лишь, что вы пользуетесь протоколом SSHv2(по возможности) и что у вас установлены последние версии сервера и клиентов SSH, ко-торые не имеют известных «дыр» (иначе вы рано или поздно столкнетесь с атакой из прог-раммы Trinity) Будьте такими же параноиками, как мы По умолчанию выбор шифров вфайле /etc/ssh/ssh_config выглядит так:
бу-#Ciphers aesl28-cbc,3des-cbc/blowfish-cbc/castl28-cbc,arcfour/
aesl92-cbc/aes25 6-cbc
Мы рекомендуем раскомментарить эту строку и изменить порядок выбора шифров:
Ciphers aes256-cbc ,aesl92-cbc, aesl28-cbc,blowfish-cbc, cast cbcarcfour
Trang 21Подводя итог, скажем, что перенаправление портов по SSH - это простое добавление кобычным слабым механизмам защиты беспроводных сетей, к каковым относятся протоколWEP и фильтрация МАС-адресов При некоторых обстоятельствах этого может оказатьсядостаточно (сравните с фильтрацией протоколов, описанной в главе 8), но если вы ищетеболее полное решение проблемы безопасности, защищающее уровни выше второго, тонастоятельно рекомендуем рассмотреть протокол IPSec.
Безопасное размещение беспроводной
сети и виртуальные локальные сети
Следующий пункт политики безопасности - это принципы размещения и разделения тей Если в сети есть единственная точка доступа или беспроводной мост, то ее разверты-вание не вызывает сложностей: подключите IP-адрес к интерфейсу глобальной сети под-ходящим образом сконфигурированного межсетевого экрана Это может быть развитыйкоммерческий шлюз в беспроводную сеть или программный экран на базе той или иной ОСили даже экран SOHO типа Cisco PIX 501 или Nokia SonicWall Но, если развернуто несколь-
се-ко точек доступа и пользователям разрешено свободно перемещаться между ними, то цедура конфигурирования усложняется Можно, например, развернуть Mobile IP в корпо-ративной сети Однако в таком случае реализация виртуальных частных сетей на третьем
про-и более высокпро-их уровнях станет сложной задачей Ее можно решпро-ить, но, чтобы обеспечпро-итьбеспрепятственное перемещение клиентов, придется отчасти пожертвовать безопаснос-тью Вспомните о протоколе Wavesec и атаке с помощью krackerjack
Более распространенное и разумное решение - поместить все точки доступа в один итот же широковещательный домен с помощью виртуальных локальных сетей VLAN Для егореализации сетевые коммутаторы должны поддерживать по крайней мере статически скон-фигурированные виртуальные сети Таким образом, на первом этапе проектирования всейсети нужно продумать именно структуру беспроводной части, в противном случае позжепридется потратить значительные средства на приобретение коммутаторов с поддержкойVLAN Мы не можем в этой главе вдаваться в технические подробности настройки вирту-альных сетей, поскольку команды зависят от конкретной модели коммутатора Но все жеприведем примеры развертывания VLAN и безопасного размещения беспроводной сети набазе оборудования компании Cisco Мы никоим образом не связаны с Cisco, просто намприходилось работать именно с этим оборудованием
Trang 22вир-Есть три вида портов частных виртуальных сетей:
о прозрачные (promiscuous) порты, которые могут взаимодействовать со всеми ными портами частных виртуальных сетей Обычно они применяются для подклю-чения к шлюзу или маршрутизатору;
осталь-о изосталь-олиросталь-ованные посталь-орты, косталь-отосталь-орые мосталь-огут взаимосталь-одействосталь-овать тосталь-олькосталь-о с просталь-озрачными посталь-ор-тами;
пор-о кпор-оммунальные ппор-орты, кпор-отпор-орые мпор-огут взаимпор-одействпор-овать тпор-олькпор-о с ппор-ортами, лежащими тому же сообществу (community), и с прозрачными портами
принад-Неудивительно, что есть также три типа частных виртуальных сетей По первичнымвиртуальным сетям передаются данные от прозрачных портов к изолированным, ком-мунальным и другим прозрачным портам По изолированным сетям передаются дан-ные от изолированных к прозрачным портам И наконец, в коммунальных сетях циркули-рует трафик между портами, принадлежащими одной коммуне, и прозрачными портами.Помимо безопасности, которую обеспечивает сегментирование виртуальной сети, естьеще возможность составлять списки управления доступом к виртуальной сети (VACL), ото-бражаемые раздельно на первичные и вторичные виртуальные сети Для реализации VACL
не нужен маршрутизатор, достаточно вставить в Catalyst карту Policy Feature Card (PFC) робнее о частных виртуальных сетях и конфигурировании VACL в коммутаторах Cisco Catalyst
Под-6000 можно прочитать на страницах http://www.cisco.com/en/US/products/hw/switches/ps700/ product_tech_note09186a008013565f.shtml и http://www.cisco.com/en/US/products/hw/ switches/ps700/products_configuration_guide_chapter09186a008007f4ba.html
Интересно, что элементы ARP-'кэша, которые соответствуют интерфейсам частной туальной сети на уровне 3, фиксированы, то есть не имеют срока хранения и не могутбыть изменены Представьте себе точку доступа, воткнутую в порт коммутатора в част-ной виртуальной сети, которая подключена к шлюзу через прозрачный порт Противни-
вир-ку удалось присоединиться к беспроводной сети и запустить атавир-ку с подделкой ARP протившлюза Но когда элементы кэша фиксированы, САМ-таблицу не удастся модифицировать спомощью такой атаки, зато в протоколе появится сообщение
Trang 232 1 2 ^ СТРОИМ КРЕПОСТЬ: ВВЕДЕНИЕ В МЕТОДЫ ЗАЩИТЫ БЕСПРОВОДНЫХ СЕТЕЙ
Обратите внимание, что для того чтобы избежать использования Mobile IP и обеспечитьсвободное перемещение, мы намеренно сделали ужасную ошибку при развертывании бес-проводной сети Мы решили подключить точку доступа непосредственно к коммутатору, а
не к беспроводному шлюзу или, по крайней мере, к хорошему маршрутизатору с ным межсетевым экраном Фиксация элементов ARP-кэша частично исправляет эту ошиб-
встроен-ку, предотвращая и атаки «человек посередине» на основе подделки ARP, и атаки с полнением САМ-таблиц Но эта возможность реализована только в конкретной, и притомдорогой, модели коммутатора
пере-При работе с другими коммутаторами нужно будет сконфигурировать фильтрацию адресов и безопасность портов, то есть явно перечислить допустимые МАС-адреса и огра-ничить число хостов, которым разрешено одновременно соединяться с одним портом Об-ратите внимание, что безопасность портов и фильтрация МАС-адресов на коммутаторе ифильтрация МАС-адресов на точке доступа - вещи похожие, но не идентичные Фильтра-цию МАС-адресов и на коммутаторе, и на точке доступа можно обойти, «выбив» законныйхост из сети и взяв себе его МАС-адрес Однако механизм обеспечения безопасности пор-тов на коммутаторе вводит новую линию обороны, защищая ARP от затопления поддель-ными МАС-адресами Нам нравятся коммутаторы Cisco Catalyst, поскольку их можно кон-фигурировать в широких пределах, поэтому мы приведем один пример безопаснойконфигурации портов на базе Catalyst
МАС-В случае, когда для управления коммутатором применяется командный интерфейс пример, Catalyst 1900), для построения САМ-таблицы укажите постоянные МАС-адреса:abrvalk(config)#mac_address_table permanent 0040.1337.1337 ethernet 0/4Введите все необходимые адреса, скажем, 20 штук Затем свяжите некоторое число до-пустимых соединений с постоянными МАС-адресами и укажите, что нужно сделать, когдаэто число превышено:
(на-abrvalk(config)#port security action trap
abrvalk(config)#port security max-mac-count 20
abrvalk(config)#address-violation suspend
При такой конфигурации работа порта будет приостановлена после получения фрейма
с некорректным адресом и возобновлена, как только придет фрейм с допустимым адресом Будет также возбуждено SNMP-событие с извещением о нарушении правил Ко-нечно, противник может провести DoS-атаку, затопив порт случайными МАС-адресами, нолучше уж на время потерять соединение, чем пустить взломщика внутрь, к тому же будутясно видны тревожные сигналы В коммутаторах Catalyst с командным интерфейсом мож-
МАС-но задать не более 132 МАС-адресов на один порт
В случае коммутатора с командным интерфейсом типа Set/Clear (например, Catalyst5000) для конфигурирования безопасности портов воспользуйтесь командой s e t :
e b l e o ( e n a b l e ) s e t port security 2/1 enable
e b l e o ( e n a b l e ) s e t port security 2/1 enable 0040.1337.1337
Введите все 20 разрешенных МАС-адресов и зафиксируйте это число командой:
e b l e o ( e n a b l e ) s e t port security 2/1 maximum 20