Устройство выявления уязвимостей в беспроводных сетях типа wi-fi
Полезная модель относится к беспроводным технологиям, а более конкретно к выявлению уязвимостей в беспроводных сетях типа Wi-Fi Техническим результатом, на достижение которого направлена полезная модель, является расширение функциональных возможностей за счет выявления уязвимостей протоколов аутентификации Wi-Fi сетей. Технический результат достигается за счет того, что устройство выявления уязвимостей в беспроводных сетях типа Wi-Fi содержит блок беспроводного интерфейса, выход которого соединен с входом блока инвентаризации сети, блок захвата трафика сети, первый вход которого соединен с первым выходом блока инвентаризации сети, а выход соединен с входом блока анализа трафика сети, выход блока анализа трафика сети соединен с первым входом блока памяти, выход которого соединен с первым входом блока проведения атак на протоколы аутентификации, выход блока проведения атак на протоколы аутентификации соединен с первым входом блока индикации, второй вход которого соединен с пятым выходом блока управления, первый выход которого соединен с входом блока генерации пакетов, выход блока генерации пакетов соединен с входом блока беспроводного интерфейса, вход блока управления соединен со вторым выходом блока инвентаризации сети, второй, третий и четвертый выходы блока управления соединены со вторыми входами блока захвата трафика сети, блока памяти и блока проведения атак на протоколы аутентификации соответственно.
5 ил.
Полезная модель относится к беспроводным технологиям, а более конкретно к выявлению уязвимостей в беспроводных сетях типа Wi-Fi и решает задачу определения уязвимостей в протоколах аутентификации Wi-Fi сетей.
Беспроводные технологии с каждый годом становятся все более незаменимыми в современной жизни человека. В первую очередь это связано с все возрастающими требованиями к мобильности сотрудников, которая непосредственно влияет на скорость принятия решений по важным для компании вопросам.
При множестве плюсов беспроводных технологий передачи данных имеется один существенный минус: открытая среда передачи информации, которая ведет к возможности беспрепятственного перехвата кодированных потоков, передающихся по сети. Увеличение доли информации, передаваемой по беспроводным каналам, влечет за собой и увеличение доли атак на Wi-Fi сети. Именно по этой причине столь важен вопрос защиты информации при ее передаче по радиоканалам. Но важна не только защита, но и подтверждение того, что беспроводная сеть, посредством которой осуществляется передача данных, на самом деле безопасна и отвечает предъявляемым к ней требованиям безопасности. Для определения этого необходимо провести аудит защищенности беспроводной сети, выявив возможные уязвимости, которые могут быть использованы для несанкционированного доступа к сети.
К основным уязвимостям Wi-Fi сетей относят уязвимости, связанные с использованиям ненадежных протоколов шифрования, таких как WEP, а также уязвимости, связанные с использованием простых паролей для более современных протоколов шифрования WPA/WPA2.
Из уровня техники известно устройство обнаружения сетевой уязвимости [1], содержащее модуль ввода сетевого параметра, модуль сканера сети и модуль отчета.
Недостатками данного устройства являются ограниченные функциональные возможности, заключающиеся в невозможности определения уязвимостей протоколов аутентификации Wi-Fi сетей.
Из уровня техники также известна система для обнаружения вторжений и аудита безопасности беспроводной сети [2], в состав которой входят множество приложений мониторинга сети, установленных на множестве беспроводных устройств, множество беспроводных точек доступа, безопасные каналы для связи между множеством беспроводных устройств и множеством беспроводных точек доступа, сервер принятия решений для сбора данных о событиях в сети, для сортировки данных о событиях в сети на нормальные и аномальные, для передачи данных о решения серверу адаптивной обратной связи, основанных на обработке нормальных и аномальных данных и для приема данных состояния от сервера адаптивной обратной связи, сервер нечеткой ассоциации, включающий адаптивную обучающуюся систему определения аномальных событий и предотвращения похожих аномальных событий.
Недостатками данной системы являются ограниченные функциональные возможности, заключающиеся в невозможности определения уязвимостей протоколов аутентификации Wi-Fi сетей.
Техническим результатом, на достижение которого направлена полезная модель, является расширение функциональных возможностей устройств выявления уязвимостей в беспроводных сетях типа Wi-Fi за счет выявления уязвимостей протоколов аутентификации Wi-Fi сетей.
Технический результат достигается за счет того, что устройство выявления уязвимостей в беспроводных сетях типа Wi-Fi содержит блок беспроводного интерфейса, выход которого соединен с входом блока инвентаризации сети, блок захвата трафика сети, первый вход которого соединен с первым выходом блока инвентаризации сети, а выход соединен с входом блока анализа трафика сети, выход блока анализа трафика сети соединен с первым входом блока памяти, выход которого соединен с первым входом блока проведения атак на протоколы аутентификации, выход блока проведения атак на протоколы аутентификации соединен с первым входом блока индикации, второй вход которого соединен с пятым выходом блока управления, первый выход которого соединен с входом блока генерации пакетов, выход блока генерации пакетов соединен с входом блока беспроводного интерфейса, вход блока управления соединен со вторым выходом блока инвентаризации сети, второй, третий и четвертый выходы блока управления соединены со вторыми входами блока захвата трафика сети, блока памяти и блока проведения атак на протоколы аутентификации соответственно, при этом блок управления дает команду блоку генерации пакетов на генерацию трафика в сеть, использующую протокол шифрования WEP, осуществляет выбор сети, чей трафик будет захвачен в блоке захвата трафика сети, дает команды на чтение/запись в блок памяти, осуществляет выбор типа атаки в зависимости от используемого протокола шифрования, а также перенаправляет информацию, полученную в блоке инвентаризации сети, на блок индикации.
На фигуре 1 показана беспроводная сеть в инфраструктурном режиме.
На фигуре 2 показаны основные типы протоколов аутентификации, используемых в Wi-Fi сетях.
На фигуре 3 показана структурная схема устройства выявления уязвимостей в беспроводных сетях типа Wi-Fi.
На фигуре 4 показана структурная схема блока беспроводного интерфейса.
На фигуре 5 показана структурная схема блока проведения атак.
На фигуре 1 представлена типовая конфигурация Wi-Fi сети. Сеть функционирует в инфраструктурном режиме. Связь клиентских компьютеров обеспечивает точка доступа, которую можно рассматривать как беспроводной коммутатор. Клиентские станции не связываются непосредственно одна с другой, все их взаимодействие идет через точку доступа. Wi-Fi сеть в данном режиме представляет наибольший интерес для нарушителя, поскольку данный режим наиболее часто используется для развертывания корпоративной сети, а к точке доступа подключено большое количество клиентский станций. В инфраструктуре корпоративной сети могут быть развернуты хранилища данных и другие сервера, на которых организовано хранение информации, представляющей коммерческую ценность.
На фигуре 2 показаны основные типы протоколов аутентификации.
Открытая аутентификация заключается в том, что рабочая станция делает запрос аутентификации, в котором присутствует только МАС-адрес клиента. Точка доступа отвечает либо отказом, либо подтверждением аутентификации. Решение принимается на основе фильтрации MAC адресов. Данный тип аутентификации является наиболее небезопасным среди прочих, так как для подключения к такой сети требуется знать только один из разрешенных в сети MAC адресов, нахождение которых не является сложной задачей для злоумышленника [3].
При аутентификации с общим ключом необходимо настроить статический ключ шифрования алгоритма WEP. Клиент делает запрос у точки доступа на аутентификацию, на что получает подтверждение, которое содержит 128 байт случайной информации. Станция шифрует полученные данные алгоритмом WEP (проводится побитовое сложение по модулю 2 данных сообщения с последовательностью ключа) и отправляет зашифрованный текст вместе с запросом на ассоциацию. Точка доступа расшифровывает текст и сравнивает с исходными данными. В случае совпадения отсылается подтверждение ассоциации, и клиент считается подключенным к сети. Аутентификация с общим ключом на сегодняшний день является ненадежной с точки зрения безопасности, так как использует уязвимый алгоритм шифрования WEP. В настоящее время существуют достаточное количество способов осуществления атак на алгоритм WEP, позволяющих за короткое время найти ключ, используемый в такой сети. Среди существующих атак можно выделить как наиболее эффективные статистические атаки PTW и FMS [4].
При аутентификации с помощью предустановленного ключа (Pre-Shared Key) для генерации ключей сети и для входа в сеть используется ключевая фраза. Данный тип аутентификации является безопасным при условии использования ключа достаточной длины и сложности.
В случае аутентификации с помощью RADIUS-сервера (IEEE 802.1x), задача проверки подлинности подключенного клиента ложится на данный сервер. Данный тип аутентификации реализован во многих сетевых средах, требующих высокого уровня защиты.
Устройство выявления уязвимостей в беспроводных сетях типа wi-fi (фиг.3) работает следующим образом.
Сигналы от сетей доступных точек доступа поступают на вход блока беспроводного интерфейса. После приема и обработки (аналого-цифрового преобразования) сигналы от точек доступа поступают на вход блока инвентаризации сети, задачей которого является построение списка доступных беспроводных сетей и определения их параметров (ESSID, MAC адрес точки доступа, используемый протокол шифрования). Далее по команде от блока управления блок захвата трафика сети производит захват трафика сети той точки доступа, которая выбрана блоком управления. Захваченный трафик анализируется в блоке анализа трафика сети, в котором ненужная информация отфильтровывается и оставляется только та, которая необходима для проведения атак на протоколы аутентификации. Данные с выхода блока анализа трафика сети поступают в блок памяти. В зависимости от используемого протокола аутентификации блоком управления выбирается тот тип атаки, который наиболее подходит для используемого протокола аутентификации. Выбранная атака производится в блоке проведения атак на протоколы аутентификации над трафиком беспроводной сети, сохраненном в блоке памяти. Целью проведения атаки является определение ключа шифрования, используемого в исследуемой беспроводной сети. Для отображения информации о беспроводных сетях и найденных к ним ключам служит блок индикации. В случае использования беспроводной сетью протокола шифрования WEP для ускорения взлома ключа шифрования, используемого в исследуемой беспроводной сети блок генерации пакетов производит внедрение трафика в беспроводную сеть.
Блок беспроводного интерфейса (фиг.4) состоит из последовательно соединенных антенны, приемопередатчика, ЦАП/АЦП и контроллера. Данный блок осуществляет прием и аналогово-цифровое преобразование сигналов Wi-Fi сети, а также цифро-аналоговое преобразование и передачу данных, предназначенных для внедрения в беспроводную сеть с целью ускорения взлома ключа шифрования. Контроллер предназначен для взаимодействия блока беспроводного интерфейса с другими блоками устройства.
Блок инвентаризации сети осуществляет определение параметров доступных сетей точек доступа, таких как идентификатор сети ESSID, MAC адрес точки доступа, используемый протокол шифрования (WEP, WPA/WPA2) и передает информацию о них на вход блока управления.
Блок управления принимает данные о доступных беспроводных сетях и перенаправляет их на второй вход блока индикации. Кроме того блок управления анализирует беспроводные сети на наличие шифрования и, если исследуемая сеть его использует, то блок управления дает команду блоку захвата трафика сети начать записывать трафик этой беспроводной сети. При наличии нескольких сетей, использующих шифрование, захват трафика сетей производится поочередно.
Блок анализа трафика сети выполняет следующие функции:
- извлекает пакеты, которые представляют интерес для вскрытия ключа шифрования;
- удаляет заведомо «неинтересные» пакеты (например, размер которых меньше заголовка стандарта IEEE 802.11).
Блок проведения атак на протоколы аутентификации (пример его реализации показан на фиг.5) проводит атаку над данными, накопленными в блоке памяти. В зависимости от используемого протокола шифрования с помощью демультиплексора данные с выхода блока памяти передаются на тот или иной блок проведения атаки. Выбор того или иного типа атаки осуществляет блок управления, который посылает сигналы на управляющие входы демультиплексора. Атака на протокол WPA/WPA2 возможна только с помощью либо перебора паролей по словарю, либо методом полного перебора. При использовании протокола шифрования WEP используются статистические атаки, такие как PTW и FMS. С целью сокращения времени взлома используется внедрение трафика в беспроводную сеть, использующую протокол шифрования WEP. Для этого с первого выхода блока контроля и управления подается на вход блока генерации пакетов команда, заставляющая данный блок вырабатывать необходимый трафик, например ARP пакеты. Данный сигнал содержит информацию о MAC адресе той точки доступа, в сеть которой планируется внедрять ARP пакеты.
Блок индикации отображает данные о сетях, определенные с помощью блока инвентаризации сети, а также в случае успешного проведения атаки ключи, используемые в исследуемых беспроводных сетях. По итогам проведения исследования доступных беспроводных сетей делается вывод об их защищенности. Так, незащищенными (имеющими уязвимости) сетями считаются те, которые используют открытую аутентификацию и аутентификацию с общим ключом (WEP), а также те сети, в которых при использовании WPA/WPA2 устанавливается простой пароль, который был подобран во время проведения атаки на сеть, использующую такой пароль. Найденные пароли беспроводных сетей, использующие протоколы шифрования WEP и WPA/WPA2 отображаются блоком индикации.
Блоки инвентаризации сети, захвата трафика сети, анализа трафика сети, генерации пакетов могут быть реализованы на ПЛИС фирмы Xilinx серии Spartan 3, а блоки управления и проведения атак на протоколы аутентификации - Virtex 6. В качестве блока беспроводного интерфейса можно использовать беспроводной адаптер фирмы Atheros.
1. RU 2005133198 А, ТРАСТВЭЙВ КОРПОРЕЙШН, 10.06.2006
2. US 20050037733 A1, 3E Technologies, 17.02.2005
3. Владимиров А.А., Гавриленко К.В., Михайловский А.А. Wi-фу: «боевые» приемы взлома и защиты беспроводных сетей. - М.: НТ Пресс, 2005. - 464 с.
4. Биттау А., Хендли М., Лаки Д., The Final Nail in WEP's Coffin. - 2006. [Электронный ресурс]. - Режим доступа: http://tapir.cs.ucl.ac.uk/bittau-wep.pdf). свободный. - Загл. с экрана.- Яз. англ.
Устройство выявления уязвимостей в беспроводных сетях типа Wi-Fi, содержащее блок беспроводного интерфейса, выход которого соединен с входом блока инвентаризации сети, блок захвата трафика сети, первый вход которого соединен с первым выходом блока инвентаризации сети, а выход соединен с входом блока анализа трафика сети, выход блока анализа трафика сети соединен с первым входом блока памяти, выход которого соединен с первым входом блока проведения атак на протоколы аутентификации, выход блока проведения атак на протоколы аутентификации соединен с первым входом блока индикации, второй вход которого соединен с пятым выходом блока управления, первый выход которого соединен с входом блока генерации пакетов, выход блока генерации пакетов соединен с входом блока беспроводного интерфейса, вход блока управления соединен со вторым выходом блока инвентаризации сети, второй, третий и четвертый выходы блока управления соединены со вторыми входами блока захвата трафика сети, блока памяти и блока проведения атак на протоколы аутентификации соответственно, при этом блок управления дает команду блоку генерации пакетов на генерацию трафика в сеть, использующую протокол шифрования WEP, осуществляет выбор сети, чей трафик будет захвачен в блоке захвата трафика сети, дает команды на чтение/запись в блок памяти, осуществляет выбор типа атаки в зависимости от используемого протокола шифрования, а также перенаправляет информацию, полученную в блоке инвентаризации сети, на блок индикации.
