Что нового в wifi 6?
Точки доступа с поддержкой WiFi 6, и соответственно, более безопасных технологий WPA3 уже доступны для потребителя. Например, у Zyxel выпущена линейка точек доступа бизнес-класса Unified Pro.
Точки доступа Unified Pro Zyxel WAX510D, Unified Pro Zyxel WAX650S, Unified Pro Zyxel NWA110AX поддерживают стандарт 802.11ax (Wi-Fi 6) и управление из облака Nebula, что позволяет применять их для повышения уровня безопасности и скорости работы сети.
Рисунок 2. Точки доступа Unified Pro Zyxel WAX650S и Unified Pro Zyxel WAX510D.
Ниже мы рассмотрим самые важные нововведения, которые появились в стандарте 802.11ax (WiFi 6).
Enhanced open — защита открытых сетей
Это отдельный протокол, разработанный для защиты соединений в открытой сети. Под открытыми сетями на данный момент понимаются сети, когда не требуется предварительная аутентификация, например по ключу (паролю), который в дальнейшем используются как ключ для шифрования.
В Enhanced Open применяется свой метод защиты от перехвата трафика — Opportunistic Wireless Encryption, OWE, описанный в стандарте Internet Engineering Task Force RFC 8110, чтобы защищаться от пассивного подслушивания. Также обеспечивается защита от метода unsophisticated packet injection, когда злоумышленник препятствует работе сети через передачу специальных пакетов данных.
Рекомендуемая сфера применения Enhanced Open — защита гостевых и публичных сетей от пассивного прослушивания.
Вторую часть статьи мы опубликуем в четверг 27 августа.
Wpa3-enterprise 192-bit mode
Улучшения в криптографии в первую очередь затронули именно WPA3-Enterprise — это действительно более стойкий и переработанный стандарт.
Для повышения уровня безопасности, WPA3-Enterprise использует:
В WPA3-Enterprise применяются следующие комбинации шифров, используемых для согласования настроек безопасности во время рукопожатия SSL / TLS:
В качестве замены Pre-Shared Key, о проблемах которого уже сказано выше, в WPA3 используется метод аутентификации SAE, (стандарт IEEE 802.11-2021)
В основу работы положен принцип равноправности устройств. В отличие от обычного сценария, когда одно устройство объявляется как отправляющее запрос (клиент), а второе — устанавливающее право на подключение (точка доступа или маршрутизатор) и они обмениваются сообщениями по очереди, в случае с SAE каждая из сторон может послать запрос на соединение, после чего происходит отправка удостоверяющей информации.
При подключении и идентификации используется метод dragonfly handshake, с применением криптографической защиты для предотвращения кражи пароля.
SAE предоставляет защиту от атаки с переустановкой ключа (Key Reinstallation Attacks, KRACK ), а также от наиболее распространённых offline атак по словарю, когда компьютер перебирает множество паролей, чтобы подобрать подходящий для расшифровки информации, полученной во время PSK-соединений.
В SAE также добавлена дополнительная функция forward secrecy, повышающая уровень безопасности. Предположим, злоумышленник получил возможность сохранить зашифрованные данные, которые маршрутизатор транслирует в Интернет или локальную сеть, чтобы после подбора пароля расшифровать их.
Безопасность 4g: захватываем usb-модем и sim-карту с помощью sms
Телеком-операторы активно рекламируют быструю и дешевую 4G-связь. Но насколько она защищена, знают немногие. Экспертам Positive Technologies в процессе исследования безопасности 4G-коммуникаций удалось найти уязвимости в USB-модемах, позволяющие взять под контроль компьютер, к которому подключён модем, а также аккаунт абонента на портале мобильного оператора. Кроме того, атаки на SIM-карту с помощью бинарных SMS позволяют перехватить и расшифровать трафик абонента, либо просто заблокировать заданную «симку».
Доклады по результатам исследования были представлены в ноябре на конференции ZeroNights в Москве (Кирилл Нестеров, Алексей Осипов, Тимур Юнусов) и конференцииPacSec в Токио (Сергей Гордейчик, Александр Зайцев). В этой публикации мы резюмируем основные идеи исследования, в котором также участвовали Дмитрий Скляров, Глеб Грицай, Дмитрий Курбатов, Сергей Пузанков и Павел Новиков.
Несколько слов о целях данной работы. Дело касается не только безопасности модных смартфонов, с помощью которых мы читаем свои френдленты в социальных сетях. Цифровая мобильная связь стандарта GSM используется сейчас во многих критических инфраструктурах, включая промышленные системы управления (SCADA). Другой пример из повседневной жизни, с которым никому не хотелось бы встретиться – это кража денег с банковских счетов. Между тем, многие наверняка видели такие маленькие антенны у банкоматов – здесь тоже GSM:
Современный модем для беспроводной связи — это компьютер, на который установлена известная операционная система (обычно Linux или Android) и ряд специальных приложений с достаточно широким и возможностями. В этом программном обеспечении и протоколах передачи данных есть уязвимости, которые уже эксплуатировались в последние годы — например, чтобы разлочить модем и отвязать от оператора. Одним из средств защиты от таких взломов стал перенос многих сервисов на Веб — однако это дало лишь новые возможности для атак.
Для нашего исследования мы взяли шесть различных линеек USB-модемов с 30 различными прошивками. Забегая вперёд — не удалось взломать только три прошивки.
Что удалось сделать с остальными? Для начала идентифицируем «железку». В этом нам помогают документация и поисковые системы. В некоторых случаях Google помогает даже больше – можно сразу найти пароль для telnet-доступа:
Однако для внешних коммуникаций нам нужен не telnet, а http. Подключаем модем к компьютеру и изучаем его, как отдельный сетевой узел с веб-приложениями. Находим возможность атаки через браузер (CSRF, XSS, RCE). Таким способом заставляем модем рассказать о себе разные полезные данные:
Помимо раскрытия данных, на атакованном модеме можно:
Можно развить атаку и дальше — добраться до компьютера, к которому подключён USB-модем. Один из вариантов такой атаки: на захваченный модем устанавливается драйвер USB-клавиатуры, после чего компьютер воспринимает модем как устройство ввода. С этой «мнимой клавиатуры» на компьютер передаётся команда перезагрузки с внешнего диска, роль которого играет всё тот же модем. Таким образом на «материнский» компьютер можно установить bootkit, позволяющий дистанционно управлять компьютером. Как это работает, можно посмотреть на видео:
Лучшее, что может сделать пользователь для защиты от подобных атак — не засовывать что попало в свои USB-порты. Понимая при этом, что к выражению «что попало» относятся даже USB-модемы, которые снаружи кажутся всего лишь маленьким и безобидным устройством связи.
Вторая часть нашего исследования касалась SIM-карт. Тот факт, что сама «симка» тоже является компьютером со своей ОС, файловой системой и многофункциональными приложениями, уже демонстрировали многие другие исследователи. Так, в мае этого года на конференции Positive Hack Days специалист по шифрованию Карстен Ноэль показал, что приложения «симок» (TARS) защищены по-разному. Некоторые можно взломать путём подбора DES-ключей, а некоторые отвечают на внешние команды вообще безо всякой защиты — и рассказывают о себе много лишнего.
Для подбора ключей в нашем исследовании использовался набор программируемых пользователем вентильных матриц (FPGA), которые вошли в моду пару лет назад для майнинга цифровой валюты Bitcoin, а после падения популярности этого развлечения сильно подешевели. Наша плата из восьми модулей *ZTEX 1.15y за 2 тыс. евро считает со скоростью 245.760 Mcrypt/sec, что позволяет подобрать ключ DES за 3 дня.
После этого мы можем посылать команды известным TAR’ам и управлять ими. В частности, менеджер карты Card manager позволяет нам загрузить на «симку» своё java-приложение.
Другой интересный TAR — это файловая система File system, где хранятся TMSI (идентификатор телефона в мобильной сети) и Kc (ключ шифрования трафика). Доступ к ним позволяет нам с помощью бинарного SMS:
В заключение — простая статистика. В данном исследовании использовалось более ста SIM-карт различных операторов. Описанным уязвимостям подвержены 20% из них, то есть каждая пятая «симка».
При этом едва ли можно дать какие-то советы по защите для конечных пользователей: атаки происходят на довольно низком техническом уровне, поэтому решать вопросы безопасности здесь должны производители SIM-карт и операторы. Западная IT-пресса, кстати, уже описывает данное исследование в новостях как «возможность взлома миллионов SIM-карт и USB-модемов».
P. S. Это было не единственное исследование экспертов Positive Technologies, представленное на ZeroNights’14. На той же конференции Артем Шишкин и Марк Ермолов рассказали о механизмах обхода системы защиты Windows PatchGuard в Windows 8: некоторые детали исследования можно найти здесь, подробности будут представлены в одном из наших следующих постов.
Дополнительные функции защиты
Если у злоумышленника не получается вплотную приблизиться к периметру сети, он может попытать использовать точки доступа из соседней сети, например, из другого офиса, в качестве плацдарма для атаки.
Если в качестве контроллера точек доступа используется межсетевой экран, то побороться с этим вполне возможно. Используя методы аутентификации WPA/WPA2-Enterprise, различные реализации Extensible Authentication Protocol (EAP) и встроенный межсетевой экран, маршрутизатор с контроллером беспроводной сети не только находит неавторизованные точки доступа, но и блокирует подозрительные действия в корпоративной сети, которые с большой долей вероятности несут в себе злой умысел.
В качестве примера такого борца с нарушителями можно назвать маршрутизатор USG FLEX 100.
Рисунок 1. Внешний вид маршрутизатора USG FLEX 100.
Зачем и от кого защищать свой роутер
Не стоит удивляться тому, что в результате повсеместного распространения таких сетей, уровень сознательности владельцев сетевого оборудования значительно упала.
Пользователи старшего возраста нередко просят младших родственников убрать пароль для подключения к роутеру, а кто-то оставляет заводской пароль, не задумываясь о возможных последствиях. Даже если вы очень хороший человек и не прочь поделиться частью интернет-канала с экономными соседями, не забывайте, кроме бесплатного интернета, любой человек, получивший доступ к вашему сетевому оборудованию, если захочет, может получить и гораздо больше, чем бесплатный доступ в интернет.
Всего этого можно избежать, всего лишь позаботившись о своем роутере, путем совершения нескольких достаточно простых действий.
Использование ключей для доступа и шифрование трафика
Первоначально беспроводные сети работали в открытом режиме, потом появился WEP (Wired Equivalent Privacy, который впоследствии оказался весьма ненадежным), потом WPA, WPA2…
Популярный сейчас WPA2-PSK (pre-shared key) использует единственный ключ для всех клиентов сети. Помимо того, что при компрометации злоумышленник получает доступ ко всей сети, такой ключ достаточно сложно менять — нужно перенастроить все клиенты. Тем не менее из-за простоты реализации такой метод защиты применяется в домашних сетях и малом бизнесе.
До появления WiFi 6 c WPA3 самым защищенным считался WPA2 Enterprise с использованием индивидуальных динамических ключей, которые могут периодически обновляться без разрыва соединения. Для организации работы с такими ключами используется сервер авторизации (обычно RADIUS).
В Nebula для точек AX появилась функция Dynamic Personal Pre-Shared Key (DPPSK) — усовершенствованная аутентификация через облако, позволяющая использовать разные пароли (PSK) для каждого клиента. Можно указать срок действия для каждого пароля, что позволяет гибко управлять доступом к сети WiFi для большого числа устройств.
Как решается проблемы с безопасностью wifi
Как известно, абсолютной защиты не бывает, как не бывает идеальных взломов. Основной принцип борьбы заключается в том, чтобы максимально затруднить проведение атаки, сделав результат нерентабельным по отношению к затраченным усилиям.
Поэтому даже когда применяются высоконадежные методы защиты, рекомендуется не игнорировать дополнительные меры (даже самые простые!) в качестве «защиты от дурака».
Какими средствами мы располагаем?
Чтобы избежать путаницы, имеет смысл разделить все имеющиеся возможности и средства на две группы:
Ниже в этой статье мы рассмотрим методы защиты из первой группы. Постараемся уделить внимание и широко известным технологиям, и новинкам, которые появились в более позднее время.
Простая грозозащита — реализация для 3g модемов и телевизоров
Этот материал — дополнение и практическая иллюстрация к предыдущей статье
Работающий трансформатор с деревянным сердечником, или простая грозозащита для компьютеров и телевизоров
С наступлением теплой погоды рабочее место перекочевало в дачный поселок.
Конечно, пришлось забыть о прекрасном стационарном проводном Интернете и вкусить прелестей 3g.
В первую же грозу, отключив модем, меня стали посещать мысли: а не попробовать ли такую же или подобную грозозащиты, как описывалось ранее, но для 3g модема?
Теоретически тут все должно быть неправильно и получиться не должно, но все же попытка была произведена.
Главная проблема — земля, то бишь заземление компьютера при подключенной антенне (без антенны связь практически невозможна).
В предыдущем материале опасность проблемы была обозначена как исключительно высокая, и где-то так это и есть.
Плюс опасность повреждения модема сильным полем электромагнитной волны при разряде молнии.
Ситуация в иллюстрациях.
Антенна в «боевом положении»:
На рисунке можно рассмотреть, что мачта антенны вкопана в землю (заодно выполняет функцию опоры для винограда).
А вот откуда берется заземление на оплетке антенного кабеля:
Далее компьютер заземляется по цепи: оплетка кабеля -> общий провод модема -> земля USB -> общий провод (корпус) компьютера.
Итак, в такой системе есть угроза при грозе номер 1 в виде затекания токов молнии через землю в компьютер со всеми неприятными вытекающими последствиями.
Есть и вторая угроза. Обратите внимание: антенна установлена на прием сигналов с вертикальной поляризацией (ну то есть таких, у которых электрическое поле направлено вертикально).
Опять же, в предыдущем посте есть иллюстрация, где очень наглядно видно, что в электромагнитном поле от молнии электрическое поле направлено тоже вертикально.
Таким образом, при ударе молнии на выходе антенны есть риск появления значительных напряжений. Ситуация та же, что и с линией связи — противофазное напряжение, или угроза номер 2.
Было очень заманчиво в разрыв антенного кабеля просто включить трансформатор из витой пары, но тут теоретически все очень плохо.
Плохо номер 1. Вроде как по стандарту витая пара работает на частотах до 125 Мегагерц. Сигнал CDMA — 800 МГц, то есть нужно ожидать значительных потерь в трансформаторе.
Плохо номер 2. Волновое сопротивление кабеля — 75 Ом, витой пары — 100 Ом.
Отступим немного вбок. Везде есть много определений волнового сопротивления, формулы всякие, но складывается ощущение, что это — некая абстракция, виртуальный параметр.
Развеем это.
Представим себе, что у нас в одной руке — батарейка, самая обычная.
Теперь представим, что во второй руке мы держим конец оооочень длинной линии связи.
Делаем простую операцию: подключаем батарейку к линии. Что будет происходить?
В линию будет уходить волна, «заряжая» линию энергией своего электромагнитного поля, чем больше держим батарейку подключенной к линии, тем большая часть линии зарядится энергией.
Можно образно сказать, что волна «высасывает» энергию из батарейки и передает ее в линию.
А как ситуация выглядит с точки зрения батарейки? Просто протекает ток, так как будто к батарейке присоединили резистор, и сопротивление этого резистора и равно волновому сопротивлению линии.
Если на пути волны в кабеле есть участки с другим волновым сопротивлением, волна отражается от них.
Концы кабеля и замыкания в кабеле — это фактически тоже участки с другим волновым сопротивлением: открытый конец кабеля — бесконечное сопротивление, замыкание — нулевое.
Для радиосигналов отражения в кабеле приводят в основном к потерям сигнала на выходе кабеля.
А вот для цифровых сигналов отражения приводят к искажению информации и зачастую вообще к невозможности связи.
Исключительно критичен к волновому сопротивлению Ethernet. Сильное рассогласование на концах кабеля сразу же «гасит» связь полностью, причем выглядит это так: горит линк 100 мегабит, пингов нет
Вернемся к грозозащите.
Итак, все плохо — витая пара относительно низкочастотна, волновое сопротивление другое, еще и симметрична в отличие от антенного кабеля.
Была сделана попытка изготовить трансформатор на длинной линии из антенного кабеля, но успехом попытка не увенчалась — связи нет, уровень сигнала — ноль.
Чисто на удачу в разрыв линии был включен точно такой же трансформатор на длинной линии из витой пары, как было описано ранее.
Результат сильно удивил:
Уровень сигнала БЕЗ трансформатора грозозащиты: -75 dBm
с подключенным в разрыв антенного кабеля трансформатором
Наблюдение за уровнем показало, что трансформатор вносит потери 3-4 dBm, что даже на не очень сильных сигналах некритично.
На качество связи, скорость и пр. влияния не замечено.
Нагрев модема — в норме, ничего не изменилось.
Конструкция.
Схематично:
Сама констукция была изготовлена с помощью стандартных антенных разъемов (подходят телевизионные).
Получилось вот так:
И вся конструкция в подключенном состоянии
Важная особенность: система критична к полярности.
В моем случае в самом первом эксперименте трансформатор вносил потери 6 dBm, когда поменял местами провода витой пары, идущие к модему — затухание упало до 3 dBm.
Явление возникает, скорее всего, из-за того, что мы стыкуем симметричный трансформатор с несимметричным коаксиальным кабелем.
И маленький момент. Конструкция 1:1 подходит для телевизоров, если накрутить на концы кабеля male и female антенные разъемы, вот примерно так
Что получили в итоге?
1. Кабель при подключениях перестал биться током (и исчезло опасение повредить при таких подключениях что-нибудь).
2. Пропала необходимость во время грозы вытаскивать пигтейл из модема, постоянно размышляя о том, через сколько таких перетыкиваний сломается разъем.
Фильтрация по mac
Ещё один «замочек от честных людей». Основан на применении списков доступа (Access Control List, ACL). Чем-то напоминает port security для проводных сетей. Но в беспроводных сетях для защиты от слежения за устройствами (чтобы злоумышленники не могли получить точные данные о реальных клиентах сети) зачастую используется подстановка MAC адресов.
Поэтому данный способ годится только для внутреннего периметра сети и требует отключить функцию подстановки MAC на устройствах (как вариант — жестко прописать в настройках разрешенные MAC адрес и имя хоста). Для партнеров, клиентов и других посетителей офиса в этом случае рекомендуется сделать гостевую сеть WiFi. Впрочем, даже такой незатейливый метод ограничения доступа способен снизить число потенциальных нарушителей.
Шаг второй: использование гостевого доступа для выхода в интернет
Гостевой Wi-Fi — это обособленная точка доступа, которая не затрагивает домашние устройства, подключенные к основной точке и объединенные в сеть.
Подключившись к гостевой точке доступа, злоумышленник не сможет получить доступ к вашим домашним устройствам и информации хранящейся в их памяти.
Гостевое сетевое подключение обеспечивает пользователя только доступом во внешний интернет, оставляя другие домашние устройства вне зоны досягаемости.
Если гостевая сеть не нужна, то ее необходимо отключить. У некоторых устройств она отключается автоматически, если не используется определенное время.
Шаг первый: смена заводского пароля
На всех маршрутизаторах по умолчанию установлен заводской пароль. Как правило, он не отвечает даже минимальным требованиям безопасности — может состоять из простейшей цифровой комбинации или быть одинаковым для всех роутеров одной модели.
Это значит, что подобрать его сможет не только хакер, но даже человек не слишком близкий к миру цифровых технологий.
Первым шагом после установки нового (особенно предоставленного провайдером) роутера должна быть замена заводского пароля. Самым устойчивым ко взлому паролем будет сложный порядок прописных и строчных букв, цифр и спецсимволов. При этом желательно, чтобы такой набор не образовывал каких-либо слов и словосочетаний.
Пример хорошего пароля: s9oLBqL9i*Gx
Для генерирования хорошего пароля вы можете воспользоваться одним из множества онлайн-генераторов:
Если вы все-таки решили придумать пароль сами — запомните несколько простых правил:
- не используйте в качестве пароля простейшие цифровые комбинации (000000, 111111 и т.д.);
- ваша фамилия и домашний номер — тоже плохая идея;
- не рекомендуется использовать и любые словосочетания.
Шаг третий: шифрование сети
Для защиты от вторжений извне каждый современный маршрутизатор по умолчанию шифрует канал доступа в собственную сеть. Существует несколько протоколов шифрования:
- OPEN. По сути, в таком протоколе полностью отсутствует шифрование. Передача данных в этой сети проходит по открытому каналу.
- WEP. На сегодняшний день самый слабый тип шифрования, появившийся в 90-х годах 20 века. Имеет массу уязвимостей, взламывается за несколько секунд.
- WPS(или QSS). Механический вход в сеть (вход осуществляется с помощью нажатия кнопки). Ненадежен, взламывается в течение суток.
- WPA/WPA2. Самый надежный протокол. Основан на различных алгоритмах шифрования. До недавнего времени был практически неуязвим. Недавно хакеры нашли лазейки для его взлома, однако ваши соседи все еще имеют очень мало шансов пробиться сквозь такое шифрование.
Шаг четвертый: изменение сетевого идентификатора
Service Set Identifier (SSID) — это имя вашей беспроводной сети, которое ей присвоил завод-изготовитель маршрутизатора. Оно видно всем, кто обладает устройством с возможностью беспроводного подключения. По стандартному SSID любой человек может идентифицировать тип вашего роутера, что значительно облегчит его взлом (особенно если вы затянули со сменой стандартного пароля).
Вы можете также скрыть отображение SSID в настройках роутера, однако в этом случае гаджеты перестанут видеть его в списке доступных подключений и имя сети придется вводить каждый раз при переподключении к интернету. Это усложнит работу, поэтому проще всего изменить идентификатор.
Шаг шестой: обновление по
Необходимо систематически обновлять программное обеспечение роутера. Пакеты обновлений исправляют баги и уязвимости в прошивке устройства. Некоторые новейшие маршрутизаторы поддерживают функцию автоматического обновления прошивки. Если такая функция есть, то делать ничего не нужно. Вы также можете самостоятельно проверять наличие нового программного обеспечения в меню настроек и загружать их вручную.
Если ваше устройство не имеет функции автоматического или полуавтоматического обновления, вы должны загрузить соответствующий файл с официального сайта компании-производителя.