Лабораторная работа №4 по дисциплине: «Программное обеспечение вычислительных сетей» практикум



Скачать 136.42 Kb.
Дата11.11.2016
Размер136.42 Kb.
Нижегородский Государственный Технический Университет им.Р.Е. Алексеева

Кафедра «ВСТ»



Лабораторная работа №4

по дисциплине: «Программное обеспечение вычислительных сетей»

ПРАКТИКУМ

Методы и средства обеспечения безопасности сети Wi-Fi.

Выполнил:

Коновалов Алексей 10-В-2

Проверил:

Кочешков А.А.

г. Нижний Новгород

2012г.

1. Изучить средства обеспечения безопасности, поддерживаемые Wi-Fi адаптером DLink DWL-G520 и точкой доступа DLink DI-724P+ по стандарту 802.11. Сравнить методы аутентификации и шифрации WEP.


Чтобы выполнить данную работу, для начала необходимо сконфигурировать подключение клиентов к сети. Так как нам необходим только беспроводной адаптер, проводной адаптер я отключил.

Беспроводной адаптер мы можем сконфигурировать двумя способами. Задать IP-адрес статически или получить его от DHCP-сервера. В нашем случае адрес задавался статически.



IP = 192.168.0.101

NetMask = 255.255.255.0

Если сеть настроена, то можно подключиться к точке доступа. Если же нет, то нужно обратиться к ней по проводному соединению и произвести необходимые изменения в настройках. Точка доступа имеет IP-адрес 192.168.0.1.

Мы конфигурировали точку доступа по web-интерфейсу со второй машины, которая была подключена к локальной сети с IP-адресом 192.168.0.102.
В свойствах беспроводной сети я узнал, какие средства обеспечения безопасности поддерживает адаптер DLinkDWL-G520:

Проверка подлинности:


  • Открытая

  • Совместная

  • WPA

  • WPA-PSK

  • WPA2

  • WPA2-PSK

Шифрование:

  • Откючено

  • WEP

  • TKIP

  • AES

В настройках точки доступаDLink DI-724P+ я обнаружил следующие возможности:



Проверка подлинности:

  • None

  • WEP

  • 802.1x

  • WPA-PSK

  • WPA

Нетрудно заметить, что точка доступа не поддерживает WPA2 и WPA2-PSK. Также в ходе выполнения работы выяснилось, что точка доступа не использует шифрование AES.

    1. Сравнить методы аутентификации и шифрации WEP.


Аутентификация – проверка личности или экземпляра устройства участвующего во взаимодействии. Аутентификация происходит по одному или набору уникальных идентифицирующих свойств, например сертификаты или обладание секретом.

Методы шифрации:

  • WEP

Самый ненадежный способ шифрации данных называется WEP (WiredEquivalentPrivacy), он использует криптографический алгоритм RC4 c 40-битным или 104-битным ключом. Для аутентификации беспроводного устройства на точке доступа и обмена зашифрованными данными, WEP ключ на обоих устройства должен быть одинаковым. Этот ключ можно задать в формате ASCII или Hex. Перехватив достаточное количество пакетов, расшифровать такой ключ можно за одну минуту. Для этого достаточно использовать специальную утилиту для взлома WEP ключей. В качестве проверки целостности данных используется алгоритм CRC32.

  • 802.1x

Первоначально стандарт 802.1x задумывался для того, чтобы обеспечить аутентификацию пользователей на канальном уровне в коммутируемых проводных сетях. Алгоритмы аутентификации стандарта 802.11 могут обеспечить клиента динамическими, ориентированными на пользователя ключами. Но тот ключ, который создается в процессе аутентификации, не является ключом, используемым для шифрования фреймов или проверки целостности сообщений. В стандарте WPA для получения всех ключей используется так называемый мастер-ключ (MasterKey).

  • WPA

WPA(Wi-FiProtectedAccess) - технология обеспечения безопасности беспроводных сетей, где методом шифрования данных является алгоритм TKIP. После обмена pre-shared ключами, которые, по сути, представляют собой пароль для доступа в сеть, TKIP начинает генерировать новый ключ для каждого пакета, тем самым значительно улучшая криптостойкость данного механизма шифрации. Проверка целостности данных TKIP осуществляется по алгоритму MICHAEL (MIC).

  • WPA-PSK

WPA Pre-Shared Key (WPA-PSK) – облегченная версия WPA. Она больше подходит для небольших сетей. В ней, как и в WEP, существует статический ключ, но используется и TKIP (TemporalKeyIntegrityProtocol), автоматически меняющий ключ в определенных временных интервалах. TKIP намного превосходит WEP: механизм шифрования его более стойкий, к тому же его можно внедрить на существующем оборудовании. TKIP меняет ключ для каждого передаваемого пакета и тем самым устраняет любую возможность подбора.

  • WPA2

WPA2 - наиболее надежная на сегодняшний день технология обеспечения безопасности беспроводных сетей.WPA2 использует один из самых надежных протоколов шифрации AES - AdvancedEncryptionStandard. Алгоритм данного протокола использует длину ключа, которая составляет 128, 192 или 256 бит.

Нашей точкой доступа данный метод не поддерживается.



Методы аутентификации:

  • Открытая аутентификация

Открытая аутентификация, по сути, не является алгоритмом аутентификации в привычном понимании. Точка радиодоступа удовлетворит любой запрос открытой аутентификации.

В процессе открытой аутентификации происходит обмен сообщениями двух типов:



  • Запрос аутентификации (Authentication Request);

  • Подтверждение аутентификации (Authentication Response).

Таким образом, при открытой аутентификации возможен доступ любого абонента к беспроводной локальной сети. Если в беспроводной сети шифрование не используется, любой абонент, знающий идентификатор SSID точки радиодоступа, получит доступ к сети. При использовании точками радиодоступа шифрования WEP сами ключи шифрования становятся средством контроля доступа. Если абонент не располагает корректным WEP-ключом, то даже в случае успешной аутентификации он не сможет ни передавать данные через точку радиодоступа, ни расшифровывать данные, переданные точкой радиодоступа.

Проблемы открытой аутентификации

Открытая аутентификация не позволяет точке радиодоступа определить, является абонент легитимным или нет. Это становится заметной брешью в системе безопасности в том случае, если в беспроводной локальной сети не используется шифрование WEP.

Открытая аутентификация обычно используется в публичных сетях (кафе, рестораны, аэропорты) для предоставления бесплатного доступа клиентам к Интернету.


Ключ можно вводить интерактивно или в свойствах адаптера.

Аутентификация с общим ключом является вторым методом аутентификации стандарта IEEE 802.11. Аутентификация с общим ключом требует настройки у абонента статического ключа шифрования WEP.



Процесс аутентификации:

1. Абонент посылает точке радиодоступа запрос аутентификации, указывая при этом необходимость использования режима аутентификации с общим ключом.

2. Точка радиодоступа посылает подтверждение аутентификации, содержащее ChallengeText.

3. Абонент шифрует ChallengeText своим статическим WEP-ключом и посылает точке радиодоступа запрос аутентификации.

4. Если точка радиодоступа в состоянии успешно расшифровать запрос аутентификации и содержащийся в нем ChallengeText, она посылает абоненту подтверждение аутентификации, таким образом предоставляя доступ к сети.

Проблемы аутентификации с общим ключом

Аутентификация с общим ключом требует настройки у абонента статического WEP-ключа для шифрования ChallengeText, отправленного точкой радиодоступа. Точка радиодоступа аутентифицирует абонента посредством дешифрации его ответа на Challenge и сравнения его с отправленным оригиналом. Обмен фреймами, содержащими ChallengeText, происходит по открытому радиоканалу, а значит, подвержен атакам со стороны наблюдателя (Man-in-the-middleAttack). Наблюдатель может принять как нешифрованный ChallengeText, так и тот же ChallengeText, но уже в шифрованном виде. Шифрование WEP производится путем выполнения побитовой операции XOR над текстом сообщения и ключевой последовательностью, в результате чего получается зашифрованное сообщение (Cipher-Text). Важно понимать, что в результате выполнения побитовой операции XOR над зашифрованным сообщением и ключевой последовательностью мы имеем текст исходного сообщения. Таким образом, наблюдатель может легко вычислить сегмент ключевой последовательности путем анализа фреймов в процессе аутентификации абонента.



  • Аутентификация по MAC-адресу

Аутентификация абонента по его MAC-адресу не предусмотрена стандартом IEEE 802.11, однако поддерживается многими производителями оборудования для беспроводных сетей, в том числе D-Link. При аутентификации по MAC-адресу происходит сравнение MAC-адреса абонента либо с хранящимся локально списком разрешенных адресов легитимных абонентов, либо с помощью внешнего сервера аутентификации. Аутентификация по MAC-адресу используется в дополнение к открытой аутентификации и аутентификации с общим ключом стандарта IEEE 802.11 для уменьшения вероятности доступа посторонних абонентов.

Проблемы аутентификации по МАС-адресу

Стандарт IEEE 802.11 требует передачи MAC-адресов абонента и точки радиодоступа в открытом виде. В результате в беспроводной сети, использующей аутентификацию по MAC-адресу, злоумышленник может обмануть метод аутентификации путем подмены своего MAC-адреса легитимным. Подмена MAC-адреса возможна в беспроводных адаптерах, допускающих использование локально администрируемых MAC-адресов. Сделать это можно либо средствами ОС, либо сторонними утилитами. Злоумышленник может воспользоваться анализатором трафика протокола IEEE 802.11 для выявления MAC-адресов легитимных абонентов.



1.2 Выполнить настройки в сети Wi-Fi




  • Открытая аутентификация.

Чтобы использовать открытую аутентификацию, мы сконфигурировали точку доступа следующим образом:

SSID = 5426AP

Security = None

После этого я сконфигурировал свою машину:



SSID = 5426AP

Проверка подлинности = открытая

Шифрование = отключено

После этого я успешно подключился к беспроводной сети.



  • Аутентификация с общим ключом.

Сконфигурируем точку доступа:

SSID = 5426AP

Security = WEP

Ключ доступа к сети = 12345.

После этого я сконфигурировал клиентскую машину, указав тот же самый статический ключ. Так же если ключ не задан, его можно явно вводить при подключении.



  • Аутентификация по MAC-адресу.

Сконфигурируем точку доступа, для этого укажем:

SSID = 5426AP

На точке доступа зададим MAC адреса легитимных абонентов. Будет осуществляться проверка по списку.



Wireless – Advanced - Filter

Мы разрешили следующие MAC-адреса:






00-17-9A-74-2C-8F




00-17-9A-74-2C-8D

Моя машина с адресом 00-17-9A-74-2C-8F успешно подключилась к беспроводной сети.

  • Сокрытие SSID.

Сконфигурируем точку доступа, для этого укажем:

SSID = 5426AP

Security = None

Далее запрещаем широковещательную рассылку SSID на точке доступа:



Wireless – Advanced – Performance – SSID performance Disable

После этого я удалил все беспроводные сети из списка на клиентской машине. Теперь наша беспроводная сеть 5426APперестала отображаться при поиске. Однако, если вручную указать необходимый SSID, подключение проходит успешно.


2. Опробовать наблюдение за сетью Wi-Fi с помощью сниффера.



2.1Преодолеть методы сокрытия SSID и контроль MAC-адресов.


Почти у всех точек доступа имеются такие возможности, как использование режима скрытого идентификатора сети и фильтрации по MAC-адресам, которые призваны повысить безопасность беспроводной сети. Однако это поможет разве что от случайных людей и совсем неопытных взломщиков.

Чтобы обнаружить сеть со скрытым SSID, я воспользовался утилитой wirelessnetview. Данная утилита отображает список всех доступных беспроводных сетей и их параметры. Утилита обнаружила беспроводную сеть без SSID, с МАС-адресом нашей точки доступа. Однако узнать её SSID средствами wirelessnetview я так и не смог.

Скрытый SSID сети можно узнать консольной утилитой airodump, и использовать его для несакционированного подкючения.

Чтобы преодолеть фильтрацию по MAC-адресам существует много разнообразных утилит, которые позволяют подменять MAC-адрес сетевого интерфейса. В нашем случае имелась в наличии утилита SMAC 2.0. Она предоставляет широкие возможности для злодеяний, однако в бесплатном режиме позволяет сменить МАС-адрес только одной машины и только на конкретный, предлагаемый самой программой.

Поэтому я изменял МАС-адрес непосредственно в настройках сетевого адаптера, ибо DLinkDWL-G520 позволяет это сделать.

Так как адрес 00-17-9A-74-2C-8F моей машины входил в список разрешенных, я для начала изменил его на 00-17-9A-74-5E-8F. После этого я не смог подключиться к точке доступа.

Затем я изменил адрес на известный мне адрес другой машины 00-17-9A-74-2C-8D, уже подключенной в этот момент к сети. Подключение прошло успешно. При этом в сети существовало одновременно две машины с одинаковыми МАС-адресами, что вызвало некоторые проблемы с сетевым взаимодействием.

В качестве нового MAC-адреса можно использовать MAC-адрес авторизованного в сети клиента, который определяется всё утилитой airodump.


2.2 Преодолеть защиту в виде WEP-адресации с 64-bit ключом.


Количество пакетов, которые нужно перехватить для успешного взлома сети, зависит от длины WEP-ключа (64 или 128 бит). Если в сети используется 64-битный WEP-ключ, то для успешного взлома вполне достаточно захватить полмиллиона пакетов, а во многих случаях – даже меньше. Время, которое для этого потребуется, зависит от интенсивности трафика между клиентом и точкой доступа, но, как правило, составляет не более нескольких минут.

Для начала мы настроили точку доступа:



Security = WEP, 64bit

Ключ = 12345

Для захвата пакетов мы воспользовались утилитой CommView® forWiFiv.6.3, которая является платной и отображает лишь часть пакетов. Так как на моей машине не было этой утилиты, я наблюдал за процессом, происходящим на соседней машине. Так же можно воспользоваться комплектом утилит aircrack-2.4, но они некорректно работают с нашим беспроводным адаптером DLinkDWL-G520.

После того, как набралось достаточно пакетов и выходной ivs-файл сформирован, можно приступать к его анализу. Для анализа сформированного ivs-файла потребуется утилита aircrack, которая запускается из командной строки. В принципе, это можно делать и параллельно вместе с перехватами пакетов. Поскольку такая информация, как индекс ключа и длина ключа шифрования, как правило, заранее неизвестна, обычно используется следующий упрощённый вариант запуска команды: aircrack.exeout.ivs.

3. Изучить стандарты обеспечения безопасности высокого уровня WPA и WPA2.



3.1 Выполнить настройки сети на протокол безопасности WPA-PSK.


Сконфигурируем точку доступа, для этого в настройках Wireless – Home выберем режим безопасности WPA-PSK:

Важным моментом является то, что мы задаем символический пароль 12345678 на устройство.

После этого я сконфигурировал клиентскую машину:

SSID = 5426AP

Проверка подлинности = WPA-PSK

Шифрование = TKIP

Ключ = 12345678

В результате я без проблем подключился к беспроводной сети.

Стойкость к взлому в этом протоколе безопасности напрямую зависит от длины и сложности пароля(8-63 символов). Основная задача – обеспечить более высокий уровень безопасности, при этом сохраняя совместимость со старым оборудованием 802.11.

Взлом такой сети можно осуществить банальным перебором паролей. Поэтому существуют стандарты повышенной безопасности, такие как WPA2, в котором используется шифрование AES.


4. Изучить основы стандарта 802.11i и систему аутентификации 802.1x с RADIUS-сервером.



4.1Установить и настроить на контроллере домена Windows службу IAS, выполняющую функции RADIUS-сервера.


Чтобы организовать RADIUS-сервер на Windows2003, необходимо установить и настроить службу IAS.

Чтобы настроить службу проверки подлинности(IAS), необходимо проследовать по вкладкам Администрирование – Служба проверки подлинности в Интернете.



Протокол RADIUS часто используется в различных сетевых устройствах (маршрутизаторы, модемные стойки, коммутаторы и т.д.) для аутентификации пользователей. Основной причиной этого является то, что сетевые устройства имеют обычно очень ограниченные аппаратные ресурсы и не могут хранить в памяти информацию о большом числе пользователей.

Протокол RADIUS обеспечивает централизованное управление пользователями, что очень важно в целом ряде случаев. Например, интернет-провайдеры могут иметь десятки и даже сотни тысяч пользователей, и разместить такой объем информации в памяти любого сетевого устройства просто невозможно. При этом число пользователей может постоянно варьироваться в течение суток, дня или часа. Именно поэтому необходимо иметь централизованную базу данных, где хранится информация обо всех пользователях. Протокол RADIUS поддерживается практически всеми производителями сетевого оборудования, в то время как другие протоколы аутентификации удаленных пользователей не получили массовой поддержки со стороны производителей.

Формат RADIUS-сообщения



Поле Identifier длиной один байт устанавливается RADIUS-клиентом в ответ на запрос RADIUS-сервера. Поле атрибутов содержит имя пользователя и пароль и также позволяет передавать дополнительные данные о клиенте от RADIUS-сервера сетевым устройствам, к которым непосредственно подключены пользователи.

Основные режимы функционирования протокола RADIUS: запрос доступа (Access-Request), в котором передается пароль и имя пользователя, после чего он сопровождается передачей сообщений разрешения или отказа в доступе (Access-Accept, Access-Reject). Далее для удобства будем называть стороны, участвующие в процессе аутентификации, "клиент" и "сервер". Сервер содержит базу данных пользователей и проводит их аутентификацию.

Для прохождения аутентификации на сервере клиент создает запрос доступа (Access-Request) и передает его RADIUS-серверу, поле атрибутов данного сообщения должно включать как минимум имя пользователя и пароль. Поле идентификации запроса доступа также создается клиентом. Этот процесс не регламентируется в самом протоколе RADIUS, но обычно поле реализуется как простой счетчик, который увеличивается на 1 при каждом новом запросе. Запрос доступа содержит 16-байтное поле запроса аутентификатора (RequestAuthenticator), которое генерируется случайным образом. Данное сообщение в целом не защищено, шифруются только поля атрибутов, содержащие имя пользователя и пароль. Для этого клиент и сервер имеют общий секрет. Общий секрет совместно с полем запроса аутентификатора используется для вычисления 16-байтного значения (с помощью хэш-функции MD5), которое затем объединяется с паролем пользователя.

После получения сообщения запроса доступа RADIUS-сервер проверяет, обладает ли он общим секретом с клиентом, и если нет, то сообщение просто сбрасывается без уведомления клиента. Поскольку сервер также обладает общим секретом с клиентом, он может вычислить незашифрованное имя и пароль клиента (через процедуру, обратную описанной выше). Затем имя и пароль сверяются с пользовательской базой данных.

В случае успешной проверки имени и пароля пользователя сервер создает сообщение разрешения доступа и передает его пользователю, в обратном случае он получает сообщение об отказе в доступе. Оба сообщения имеют одинаковые номера идентификаторов, равные номеру идентификатора в запросе доступа клиента. Поле ответа аутентификатора (ResponseAuthenticator) вычисляется с помощью применения хэш-функции MD5 над полями запроса аутентификатора и полями пакета разрешения доступа.



Когда клиент получает сообщение-ответ от сервера, он проверяет, отсылал ли ранее запрос с номером идентификатора, который указан в сообщении, и если нет, то оно просто сбрасывается. Далее клиент декодирует поле ответа аутентификатора с помощью процедуры, обратной вышеописанной, и сравнивает полученный результат с полем аутентификатора в поле запроса. Это гарантирует взаимную проверку клиента и сервера и делает практически невозможными хакерские атаки, основанные на подмене сервера.


База данных защищена авторским правом ©bezogr.ru 2016
обратиться к администрации

    Главная страница