1. ĮVADAS
1979 metais, Havajų universiteto profesorius Normanas Abramsonas sukūrė pirmąjį pasaulyje bevielio kompiuterinio ryšio tinklą, naudojant radijo ryšio bangas. Sistemą sudarė septyni kompiuteriai, kurie tarpusavyje keitiesi informacija, nenaudodami telefono linijų.
WLAN (angl. Wireless Local Area Network) tinklas kurtas panašiu principu kaip ir Ethernet tipo tinklai, tačiau duomenų keitimasis vykdomas bevieliu ryšiu. Taip pat bevieliuose tinkluose randama silpnųjų vietų, kurios būdingos laidiniuose tinkluose ir prie kurių prisideda savosios. Stengiantis apsaugoti bevielius tinklus nuo galimų atakų, buvo sukurtas IEEE802.11 standarto protokolas, kuriame kūrėjai numatė konkrečias tinklo nuo programišių apsaugos priemones.
Bevielis tinklas – dar vienas praėjimas prie tinklo, kurio dažniausiai siekiai programišiai. WLAN tinklai gana nauja technologija, turinti savyje daug taisytinu spragų apsaugos srityje. Didėjant Wi-Fi viešųjų interneto prieigos taškų, mobiliųjų telefonų, planšetinių ir nešiojamųjų kompiuterių, bevielių tinklų sauga tampa vis aktualesnė tema daugeliui organizacijų. Dėl bevielio ryšio suteikiamų patogumų ir didėjant bevielių tinklų viešojoje erdvėje, organizacijose, namuose, didėja įsilaužymo galimybių.
Bevielių tinklų paieška teritorijoje, keliaujant transporto priemone (angl. Wardriving) – asmens judėjimas specifinėje teritorijoje ir žymint bevielių prieigos taškų išsidėstymą statistiniais tikslais. Statistiniai tikslai naudojami atkreipti dėmesį į tinklų saugos problemas. Paieškos paremtos taisyklėmis: 1. Tinklų paieška nebūtinai atliekama keliaujant specialiu automobiliu (pėsčiomis, bet kokia kita transporto priemonė). 2. Tinklų paieškos metu be savininko leidimo nenaudojami jokie aptiktų prieigos taškų ar tinklų ištekliai.
Brovimasis į bevielius tinklus pasižymi tikslinėmis atakomis, kurių priežastis gali būti noras pasisavinti konfidencialią informaciją, siekiu pasinaudoti svetimais interneto resursais, išbandyti savo sugebėjimus ir panašiai. Jei įsilaužėlis naudojasi svetimais interneto resursais saviems kasdieniams tikslams – tikrina savo paštą, ieško viešos informacijas, tai reali žala nebus didelė. Tačiau, jei bevielis tinklas naudojamas kaip resursas spamo platinimui arba internetinės atakos realizavimui, tokia veikla gali tapti pavojinga net kontroliuojančių organizacijų požiūriu.
2. PRISIJUNGIMAI PRIE BEVIELIŲ RYŠIŲ TINKLŲ
Autentifikavimas – procesas, kurio metu nustatoma arba patvirtinama, kad kažkas autentiškas, arba kad kažkas yra tai, kuo jis skelbiasi esąs. Jei autentifikavimo informacija (slaptažodis) atitinka identifikavimo informaciją (vartotoją vardą) laikoma, kad autentifikavimo procesas sėkmingas ir vartotojo ar tinklo įrenginio tapatybė nustatyta. Autorizacija – procesas, kurio metu vartotojui priskiriamas galimybių pasiekti informacijos išteklius sąrašas, leidimas atlikti konkrečius veiksmus sistemoje.
Autentifikavimo eiga priklauso nuo konkrečių saugumo nuostatų ir leidžiamo saugumo lygio. Autentifikavimas atliekamas prieš klientui suteikiant tinklo prieigą. Autentifikacija užtikrinama mechanizmais:
• Paremtais žinoma informacija (slaptažodžiai, PIN (angl. Personal Identification Number) kodai ir panašiai).
• Priklausomais nuo turimų priemonių (kriptografinės kortelės, skaitmeniniai sertifikatai, mobilus telefonas ir panašiai).
• Paremtais informacija, išvesta remiantis vartotojo individualiosiomis savybėmis (įvairūs biometriniai metodai – atpažinimas pagal piršto antspaudus, akies rainelę ir panašiai).
Autentifikavimo mechanizmai nėra neįveikiami t.y. šie autentifikavimo metodai pažeidžiami. Slaptažodžiai ir PIN kodai gali būti atspėti, neteisėtomis priemonėmis perimami arba panaudojus specialias technologijas iššifruojami. Įrenginius, kurie patvirtina jį turinčio tapatybę gali būti neteisėtai ar apgaulės būdu pasisavinami. Kriptografinių sistemų ir vienkartinių slaptažodžių schemos gali sutrikti ir nepasiteisinti, net kai turima kriptografiškai labai atsparius algoritmus. Biometriniai metodai gali būti pažeidžiami, informaciją su vartotojo individualiomis savybėmis perimant ir ją panaudojant autentifikuotis pakartotinai. Kiti autentifikavimo metodai gali būti nepatogūs vartotojui.
2.1 Atvira autentifikacija
Bevieliuose tinkluose nuo pradžių buvo naudojami du autentifikacijos būdai: atvira autentifikacija ir bendrojo rakto autentifikacija. Abu būdai pasižymi WEP (angl. Wired Equivalent Privacy) bevielio tinklo apsaugos algoritmu. Jei vykdoma atvira autentifikacija, WLAN klientui nieko nereikia pristatyti prieigos taškui. Klientas, norėdamas naudotis tinklu, siunčia paketą su prieigos taško (angl. Access Point) identifikatoriumi SSID (angl. Service Set Identifier), o jį gavęs prieigos taškas išsiunčia autentifikavimo atsakymo (patvirtinimo) paketą, jei gautasis SSID atitinka tikrąjį jo SSID. Visas atvirojo rakto autentifikavimo procesas atliekamas atviruoju tekstu (nešifruotu). Visi klientai su bet kokiu WEP raktu gali autentifikuotis prieigos taškui, o WEP raktas gali būti naudojamas tik po autentifikacijos srauto tarp vartotojo ir prieigos taško šifravimui. Šiam procesui nebūdinga tipinė autentifikacija. 32 simbolių unikalus identifikatorius SSID naudojamas kaip slaptažodis, jungiantis prie bevielio tinklo, tačiau SSID galima lengvai sužinoti, pasitelkiant bevielio tinklo stebėjimo programas.
2.2 Bendrojo rakto autentifikacija
Bendrojo rakto autentifikacijai naudojamas WEP raktas. Klientas siunčia rakto atpažinimo užklausą į prieigos tašką. Prieigos taškas generuoja 128 baitų ilgio atsitiktinių bitų seką ir siunčia klientui atviru tekstu. Klientas šią bitų eilutę užšifruoja ir siunčia atgal į prieigos tašką. Prieigos taškas eilutė iššifruoja ir palygina su pradine. Jei jos sutampa – klientas atpažįstamas.
Pagrindinis 64 bitų WEP protokolas naudoja 40 bitų raktą, kuris sujungiamas su 24 bitų inicializacijos vektoriumi. Išplėstas 128 bitų WEP protokolas naudoja 104 bitų dydžio raktus su inicializacijos vektoriumi. WEP tipo raktus lengva sužinoti t.y. priėmus maždaug 10MB tinklu siunčiamų duomenų. Naudojant dešifravimo technologijas, 40 bitų ilgio raktus galima sužinoti iki kelių minučių, o ilgesnį – iki valandos. Norint sužinoti, nežinoma ilgesnį raktą, reikalinga priimti daugiau paketų. RC4 pasižymi srautiniu šifru, todėl to paties rakto negalima panaudoti du kartus. Inicializacijos vektorius atsakingas už kintančio šifravimo rakto sukūrimą. Tačiau, jei tinklas pasižymi dideliu aktyvumu, tokio ilgio rakto neužtenka apsisaugoti nuo įsilaužėlių. Inicializacijos vektorių kolizijos ir galimybė pakeisti paketus – WEP silpnosios vietos, kurių nepašalina ir ilgesni raktai. Bendrojo rakto autentifikacija labiau pažeidžiama už atvirąją autentifikaciją, nes prieigos taškas siunčia atvirą tekstą, kurį vartotojas užšifravęs atsiunčia atgal. Jei programinius perima šiuos paketus, jam lengviau apskaičiuoti, koks slaptasis raktas.
2.3 MAC adresų filtravimas
Vienas iš WEP naudojančių bevielių vietinių tinklų prieigos valdymo mechanizmų – MAC (angl. Ethernet Media Access Control) adresų filtravimas. Sudaromas kompiuterių MAC adresų sąrašas (angl. Access Control List), kuriems leidžiama naudotis tinklo ištekliais. Autentifikuotis leidžiama tik tam vartotojui, kurio MAC adresas randamas ACL sąraše. MAC adresų filtravimo mechanizmas lengvai pažeidžiamas, nes programišiai pasinaudoję stebėjimo programomis, sužino vartotojų MAC adresus ir suklastoja MAC adresus. MAC adresą kiekvienas vartotojas kompiuteryje gali pasikeisti į bet kokį, o su pasirinktu/pakeistų MAC adresu jungtis prie bevielio tinklo. Taip pat galimas variantas, kad prie vieno prieigos taško, gali būti prisijungę keli vartotojai, turintys tuos pačius MAC adresus.
2.4 PSK metodas
Bevieliuose tinkluose, palaikančiuose WPA (angl. Wi-Fi Protected Access) standartą, autentifikacija gali būti: asmeniniame (angl. Personal) arba įmonės (angl. Enterprise) režime. Abiejų režimų metu vykdoma abipusė autentifikacija, kuri saugesnė už WEP algoritmo paremta autentifikacija. Asmeninis režimas, vadinamas PSK (angl. Pre-Shared Key) režimu, naudojamas namuose arba mažos įmonės tinkluose, nes joje nenaudojamas 802.1X autentifikacijos serveris. Vartotojai iš anksto jiems žinomu 256 bitų ilgio raktu šifruoja srautą. PSK nežinomas raktas gali būti sužinomas, jei raktui naudojama lengvai ir dažnai aptinkama frazė. Jei slaptažodis trumpas (iki 8 simbolių), gali būti sužinomas, pasinaudojant brutalios jėgos vykdymu (angl. Brute Force / offline dictionary attack). Jai reikalinga: priimti kelis paketus, kai vartotojas prisijungia prie bevielio tinklo ir vėliau analizuojant – atkurti slaptažodį. Tačiau, duomenų šifravimui naudojamos saugesnės technologijos TKIP (angl. Temporal Key Intergrity) arba AES (angl. Advanced Encryption Standard) ir pagrįstos CCMP (angl. Counter-Mode with Cipher Block Chaining Message Authentication Code Protocol) protokolu, dešifruoti paketus, pagal WPA standartą veikiančiuose tinkluose sunkiau arba neįmanoma.
2.5 EAP protokolas
Kai WPA bevielis tinklas veikia įmonės režimu, autentifikacijai naudojamas EAP (angl. Extensible Authentication Protocol) protokolas, kuris pasižymi IEEE 802.1X standartu. Skiriasi nuo asmeninio režimo, kad reikalingas autentifikacijos serveris. Darbui su autentifikacijos serveriu naudojamas autentifikacijos, prieigos valdymo ir registravimo (angl. AAA – Authentication, Access control, Accounting), dažniausiai RADIUS, protokolas, kuri atlieka autentifikacija ir raktų paskirstymą. Įmonės režime vartotojų prisijungimo duomenys valdomi centralizuotai. EAP privalumas – galima lengvai realizuoti prieigos taške, nes prieigos taškui aplamai nereikia žinoti autentifikavimo metodų ypatumų, veikimo principas – tarpininkas tarp kliento ir autentifikavimo serverio. 2.3 pav. pateikta EAP kadro struktūra.
EAP kadro struktūra Autentifikacijos mechanizmą apibūdina ne EAP, o įvairūs EAP metodai, kuriuos apibrėžia IETF RFC: • EAP-MD5 (autentifikuoja tik vartotoją serveriui – pažeidžiamas žodyno atakų). • EAP-OTP (naudojamas VPN ir PPP (angl. Point to Point Protocol), bet ne bevieliams tinklams, teikia tik vienpusę autentifikaciją). • EAP-GTC (autentifikacijai bevieliuose tinkluose dažniausiai naudojamas viduje TSL tunelio, sukurto TTLS arba PEAP). • EAP-TLS (naudoja saugų TLS (angl. Transport Layer Security) protokolą ir sertifikatus). • EAP-IKE (naudoją IKE (angl. Internet Key Exchange Protocol) protokolą). • EAP-SIM (naudojamas GSM (angl. Global System for Mobile Communications) SIM (angl. Subscriber Identity Module)). • EAP-AKA (naudojamas UMTS (angl. Universal Mobile Telecommunications System) USIM (angl. Universal Subscriber Identity Module).
Bevieliuose tinkluose gali būti naudojama ir kiti, į WPA sertifikavimo programą įtraukti šie EAP metodai:
• EAP-TLS.
• EAP-TTLS/MSCHAP
• PEAP/EAP-MSCHAP.
• PEAP/EAP-GTC.
• PEAP-TLS.
• EAP-SIM.
EAP TTLS ir EAP-PEAP (PEAP) metodai išskirtiniai, nes prieš autentifikacija sudaro TLS tunelį tarp kliento ir autentifikacijos serverio ir tada tuneliu atliekama autentifikacija. Tuneliavimas apsaugo nuo žodyno, „man in the middle“ arba sesijos parėmimo atakų. EAP-LEAP (angl. Lightweight Extensible Authentication Protocol) metodas paprastesnis, elementaresnis, greitesnis, pritaikomas apribotų skaičiavimo resursų aplinkose, naudojamas bevieliams tinklams. Pasižymi modifikuotą MS-CHAP versiją. Saugos raktai dinamiškai keičiami kiekvienai sesijai, taip apsisaugoma nuo surinktų duomenų dekodavimo. Autentifikacijai EAP-LEAP metodas naudota slaptažodį.
- 2.1 lentelė. EAP metodų savybė
Metodas |
Serverio autentifikacija |
Vartotojo autentifikacija |
Dinaminis raktų paskirstymas |
Rizikos |
EAP-MD5 |
Nėra |
Slaptažodžio santrauka |
Ne |
„Man-int-the-middle“ (MitM) ataka; sesijos parėmimas |
LEAP |
Slaptažodžio santrauka |
Slaptažodžio santrauka |
Taip |
Tapatybės atskleidimas; žodyno ataka |
EAP-TLS |
Viešojo rakto (sertifikatas) |
Viešojo rakto (sertifikatas arba kortelė) |
Taip |
Atskleista tapatybė |
EAP-TTLS |
Viešojo rakto (sertifikatas) |
CHAP, PAP, MS-CHAP, EAP |
Taip |
MitM ataka |
PEAP |
Viešojo rakto (sertifikatas) |
Bet koks EAP arba viešojo rakto |
Taip |
MitM, potencialus tapatybės atskleidimas 1 fazėje |
Autentifikatoriaus prievadas laikomas „neautorizuotas“ būsenoje, kurioje priimamas tik 802.1X autentifikacijos srautas, visas kitas srautas blokuojamas tinklo lygmenyje. Bendravimas tarp kliento ir autentifikatoriaus vyksta EAPOL (EAP over LAN) žinutėmis. Kada autentifikatorius gauna Start kadrą arba aptinka naują klientą, išsiunčia jam tapatybės užklausą (angl. Request Identity). Klientas atsako atsiųsdamas identifikuojančius duomenis (angl. Response Identity). Autentifikatorius gautas EAP žinutes įpakuoja į protokolo, naudojamo komunikacijai tarp autentifikatoriaus ir serverio, paketus ir persiunčia autentifikacijos serveriui. Vėliau gavęs serveris siunčia klientui (per autentifikatorių) nuorodas, kokį EAP metodą naudoti. Klientas gali pasiūlyti savo metodą arba sutikti su pasiūlytu. Toliau vyksta autentifikacija ir serveris atsiunčia atsakymą ar klientas autentifikuotas. Jei autentifikacija sėkminga, autentifikatoriaus prievado būsena tampa „autorizuotas“ ir nebeblokuojamas bet koks srautas.
2.6 Bendrųjų autentifikacijos technologijų apžvalga
2.2 lentelėje pateikta bendrų standartinių autentifikacijai naudojamų technologijų analizė. Keletas (slaptažodžiai, elektroniniai sertifikatai) technologijų naudojamos bevieliuose tinkluose, o kitos – gali būti naudojamos papildomai. Taip pat autentifikacijai gali būti naudojamos ir kelios technologijos vienu metu.
2.2 lentelė. Autentifikacijos technologijų analizė
|
Autentifikacijos technologijos |
Privalumai |
Trūkumai |
Žinoma informacija |
Bendras raktas |
·Lengva įdiegti, veikia ir su senesniais įrenginiais |
·Susikompromitavus vienam vartotojui, visiems vartotojams reikia keisti raktą |
Vienkartinis slaptažodis |
·Vieną kartą įsilaužus neilgai galima naudotis sistema |
·Kiekvieną kartą reikia sugeneruoti ir perduoti naują slaptažodį |
|
Daugkartinis slaptažodis |
·Dažniausiai nereikalauja daug papildomų priemonių įdiegiant |
·Jei naudojamas silpnas slaptažodis, kaip žodis iš žodyno ar trumpas žodis, galima nulaužti |
|
PIN kodas |
·Nesunku įdiegti ·Nebrangu |
·Gali būti nulaužtas ·Lengva pamiršti arba pamesti |
|
Turimos priemonės |
Elektroniniai sertifikatai |
·Saugu, nes sunku suklastoti |
·Pažeidžiamumas kolizijos atakai ·Nepatogu vartotojui, nepopuliaru |
USB raktai |
·Nereikia prisiminti, įvedinėti slaptažodžio ·Nėra tikimybės, kad suklys |
·Grėsmė, kad bus pamesta, sugadinta, pavogta arba suges |
|
Smart cards |
·Nereikia prisiminti, įvedinėti slaptažodžio ·Nėra tikimybės, kad suklys |
·Grėsmė, kad bus pamesta, sugadinta, pavogta arba suges |
|
Slaptažodžių generatorius |
·Sunkiau nulaužti palyginus su paprastu slaptažodžiu arba PIN kodu |
·Grėsmė, kad bus pamesta, sugadinta, pavogta arba suges |
|
Individualios savybės |
Atpažinimas pagal piršto antspaudą |
·Suklysti priimant gali tik 0,001% atvejų, suklysti atmetant gali tik 0,5% |
·Nepopuliaru, vartotojams reikia įsigyti papildomą įrangą, kur būtų įdiegta ši technologija |
Veido atpažinimo kamera |
·Patogu naudotis |
·Lengva apgauti panaudojant nuotrauką |
|
Garsų ir kalbos atpažinimas |
·Patogus vartotojams |
·Netikslumai naudojant triukšmingoje aplinkoje ·Netikslumai dėl riboto žodyno ·Nepatogu, nes kelia triukšmą (negali veikti tyliai) ·Galima apgauti panaudojant įrašą |
|
Rainelės skanavimas |
·Patogu naudotis |
·Brangus sprendimas ·Naujas ir sudėtingas įdiegti |
2.7 Autentifikavimo būdai ir jų pažeidžiamumai
Išanalizavus įvairius autentifikacijos metodus, galima palyginti ir įvertinti kiekvieno metodo pažeidžiamumus. 2.3 lentelėje pateikiama, kokios priemonėmis gali būti panaudotos neteisėto autentifikavimosi įvykdymui, esant įvairiems autentifikacijos metodams. Taip pat parodyta, kokie atitinkamų autentifikacijos metodų pažeidžiamumai ir kokio standarto tinkluose metodai naudojami. EAP protokolu pagrįsta autentifikacija laikoma saugia, todėl šie metodai nepateikiami.
2.3 lentelė. Priemonės neteisėto autentifikavimosi įvykdymui
Tinklo standartas |
Autentifikacijos metodas |
Pažeidžiamumas |
Priemonės neteisėto autentifikavimosi įvykdymui |
WEP |
Atvira autentifikacija |
SSID |
Tinklo srauto stebėjimas |
Bendrojo rakto autentifikacija |
Raktas ir inicializacijos vektorius |
Dešifravimo technologijos |
|
MAC adresų filtravimas |
MAC adresas |
MAC adreso pakeitimas |
|
WPA |
PSK |
Trumpas arba atspėjamas raktas |
Žodyno ataka |
TKIP šifravimas |
ARP žinučių „chopchop“ analizė ir ataka |
2.4 lentelėje nurodyta, kokios atakos bevieliame tinkle apskritai įmanomos naudojant tam tikrus autentifikacijos metodus. Kai kurias atakas galima įvykdyti net bevieliame tinkle, kuriame naudojamas EAP autentifikacijos metodas.
2.4 lentelė. Atakos bevieliame tinkle
Tinklas |
Autentifikacijos metodas |
Pažeidžiamumas |
Atakos |
WEP |
Atvira autentifikacija |
SSID |
Slaptas klausymasis; Įsiveržimas ir resursų pavogimas; Srauto nukreipimas; Netikri tinklai ir stoties nukreipimas; Denial of Service (DoS) |
Bendrojo rakto autentifikacija |
Raktas ir inicializacijos vektorius |
||
MAC adresų filtravimas |
MAC adresas |
||
WPA |
PSK |
Trumpas arba atspėjamas raktas |
Slaptas klausymasis; Įsiveržimas ir resursų pavogimas; DoS ataka; Žodyno ataka |
TKIP šifravimas |
Gali būti nukreiptas srautas ir sudarytas dvipusis kanalas su klientu; DoS |
||
EAP-TLS |
|
Tapatybės atskleidimas |
|
EAP-TLS/MSCHAP |
|
„Man in the Middle“ ataka |
|
PEAP EAP-MSCHAP |
|
„Man in the Middle“ ataka; Potencialus tapatybės atskleidimas 1 fazėje |
|
PEAP/EAP-GTC |
|
||
PEAP-TLS |
|
||
EAP-SIM |
|
|
3. IŠVADOS IR INFORMACIJOS ŠALTINIAI
WEP senesnis tinklo saugos metodas, kuris raktu užšifruoja informaciją ir kompiuteris per tinklą siunčia kitam kompiuteriui. WEP technologijoje naudojami autentifikacijos būdai: atvira ir bendrojo rakto. Užtikrinti saugumą nesaugiuose WEP technologijas naudojančiuose bevieliuose tinkluose įmanoma pasitelkiant užšifruotus tuneliavimo protokolus (pavyzdžiui IPSec, Secure Shell), tačiau pakankamas saugumo lygis turėtų būti pasiekiamas pačiame bevieliame tinkle. WPA naudoja du autentifikavimo režimus: asmeninį (WPA/PSK, nenaudojamas autentifikacijos serveris) ir įmonės (EAP, naudojamas autentifikacijos serveris). Saugiausias autentifikacijos mechanizmas bevieliuose tinkluose – EAP protokolu pagrįstas metodas, o WEP algoritmo autentifikacija pažeidžiama dėl silpno slapto rakto.
Informacijos šaltiniai:
1. http://vddb.library.lt/fedora/get/LT-eLABa-0001:E.02~2011~D_20110901_140213-99282/DS.005.0.01.ETD, atvira ir bendrojo rakto autentifikacija, PSK metodas, EAP protokolas, žiūrėta 2015-04-21.
2. http://www.ifko.ktu.lt/~otas/Sauga/05_Bevieliai%20tinklai.ppt, bevielių tinklų istorija ir susipažinimas, Wardriving, žiūrėta 2015-04-21.
3. http://www.slk.lt/studentu-konferencijos/2010/articles/PDF/33_ITS_SLK_A.%20Narutavi cius.pdf, MAC filtravimas, WEP, WPA, RADIUS serveris, žiūrėta 2015-04-21.