Nieumyślna współpraca

Stan zabezpieczeń sieci WLAN w Polsce jest opłakany. Nawet domowej roboty anteny kierunkowe i tanie karty WLAN pozwalają z odległości kilometra "zwiedzać'' sieci firm i instytucji w całym kraju.

Stan zabezpieczeń sieci WLAN w Polsce jest opłakany. Nawet domowej roboty anteny kierunkowe i tanie karty WLAN pozwalają z odległości kilometra "zwiedzać' sieci firm i instytucji w całym kraju.

Kwestia bezpieczeństwa w sieciach WLAN powraca jak bumerang. Pomimo wielu publikacji przedstawiających powszechnie popełniane błędy konfiguracyjne podczas zabezpieczania sieci bezprzewodowych, wielu użytkowników, a nawet administratorów sieci nadal je popełnia. O skali problemu można się przekonać po krótkiej przejażdżce po centrum dowolnego polskiego miasta. Widok na ekranie jest wręcz zabawny... lub, jak kto woli, zatrważający - kontrolery domenowe w instytucjach rządowych, serwery plików w bankach, poczta...

Typowym schematem wdrożenia sieci WLAN jest uruchamianie stacji bazowych z fabrycznymi ustawieniami i jest to jeden z poważniejszych, choć nie jedyny błąd. Administratorzy robią milczące założenie, że skoro sieć bezprzewodowa działa, to znaczy, że wszystko jest w porządku. Ze względu na specyfikę zabezpieczeń mają być może trochę racji - w niektórych urządzeniach, zwykle w tych najprostszych, włączenie WEP powoduje istotny spadek wydajności. Poprawna konfiguracja klienta czasami może powodować kłopoty. W przypadku reinstalacji systemu trzeba zainstalować klucze WEP, a przy wymianie karty WLAN - zmienić konfigurację filtrów. Poza tym niektóre zapory IP i klienci VPN pracują niestabilnie, gdy połączenie jest słabej jakości.

Z punktu widzenia bezpieczeństwa ustawienia domyślne są dopuszczalne jedynie tam, gdzie w sieci lokalnej nie ma istotnych danych, pojawienie się intruza jest mało prawdopodobne, a kompatybilność, pewność i szybkość działania oraz łatwy serwis to sprawa priorytetowa. Przykładem jest podłączenie komputera do sieci za pomocą WLAN między blisko położonymi budynkami znajdującymi się na rozległym, chronionym terenie. Innym zastosowaniem prostej konfiguracji jest udostępnienie łącza internetowego (tylko połączenia do Internetu, bez dostępu do sieci LAN) dla komputerów przenośnych znajdujących się na chronionym terenie. Zastosowanie domyślnej konfiguracji - zwłaszcza w przypadku stacji bazowej włączonej wprost do sieci LAN - jest prawie zawsze ryzykowne.

Sieć widać z daleka

Beztroska administratorów jest czasami przerażająca. W centrum Warszawy działa wiele poważnych instytucji finansowych - do sieci jednej z nich podłączona jest markowa stacja bazowa dająca dostęp do sieci bez jakichkolwiek ograniczeń. Nie działają żadne zabezpieczenia. Jednocześnie powszechnie wiadomo, że firma ta posiada bardzo zaawansowane (i dobrze skonfigurowane) komercyjne firewalle chroniące sieć lokalną przed atakiem z Internetu. Takie błędy mogą mieć gorsze skutki niż niewłaściwa konfiguracja internetowej zapory sieciowej.

Przede wszystkim, w przypadku włamania z Internetu, w logach firewalli i systemów detekcji intruzów (IDS) zostaje zapisany adres IP klienta. Umożliwia to podjęcie działań w celu wykrycia intruza. Przy wsparciu ekspertów odpowiednich instytucji (takich jak policja) możliwe jest choćby zawężenie kręgu poszukiwań, co ułatwi pracę organom ścigania. Tymczasem w momencie zestawienia połączenia WLAN komputer włamywacza staje się częścią sieci lokalnej i ślady zostawiane przez niego są trudniejsze do analizy. Wiele kart WLAN umożliwia zmianę adresu sprzętowego MAC, więc nawet te ślady mogą prowadzić donikąd. Złapanie radiowego włamywacza na gorącym uczynku jest niesłychanie trudne. Wymaga szybkiego i sprawnego działania kilku podmiotów, w tym policji.

Na tym oczywiście nie koniec. Sygnał radiowy sieci działających w paśmie 2,4 GHz można w praktyce skutecznie odebrać z odległości większej, niż wynikałoby to ze specyfikacji. Dla zapewnienia dobrego pokrycia projektanci stosują anteny nadawcze o sporym zysku. Wychodzą przy tym z założenia, że lepiej jest zainwestować w dobre pokrycie niż w drogie karty klienckie, zawierające czułe anteny odbiorcze. Bez szczelnych barier elektromagnetycznych zasięgu fal radiowych nie da się łatwo ograniczyć - ściany, nawet grube, nie powstrzymają wycieku, o oknach nie wspominając. W tym ostatnim przypadku rozsądne będzie zastosowanie specjalnej folii ochronnej.

Przeciętna stacja bazowa wyposażona w fabryczną antenę prętową i umieszczona w pokoju wieżowca ze szklanymi ścianami emituje sygnał na tyle silny, że w sprzyjających warunkach do sieci można zalogować się z odległości... ponad jednego kilometra. Wystarczy komputer przenośny z czułą kartą WLAN o mocy 100 mW wyposażony w zewnętrzną antenę o zysku rzędu 20 dBi. Taka antena może kosztować nawet kilka tysięcy złotych, ale koszt nie jest barierą. Karta PCMCIA ze słynnym chipsetem Orinoco (ok. 200 zł) doposażona w domowej roboty "wzmacniacz" z opakowania po piłkach tenisowych lub chipsach Pringles daje możliwość zalogowania się do stacji bazowej odległej o kilkaset metrów.

Proste, kosztowne błędy

Zapewnienie bezpieczeństwa wszystkim komputerom w dużej sieci lokalnej jest kłopotliwe. Między innymi z powodu problemów z działaniem mechanizmu Windows Update (w standardowej konfiguracji) wielu administratorów ogranicza się do aktualizacji jedynie serwerów Windows, mniej dbając o bezpieczeństwo stacji roboczych. Wykrycie włamywacza w takich warunkach jest niesłychanie trudne. Pomocne byłyby zapewne systemy IDS/IPS działające na każdym komputerze, ale są one kosztowne. Włamywacz ma więc duże szanse wykorzystać dziury w zabezpieczeniach i pozostać niewidocznym przez bardzo długi czas.

Ułatwieniem dla włamywacza będzie także błędna konfiguracja domeny Windows, zwłaszcza przechowywanie skrótów kryptograficznych haseł na stacjach roboczych, które można odszyfrować za pomocą gotowych narzędzi, takich jak LC4 lub Cain. Gdy nie są wymuszane odpowiednie założenia złożoności haseł, włamywacz łatwo uzyskuje hasła użytkowników, a przy odrobinie szczęścia - także administratora domeny Windows. Jeśli w domenie nie prowadzi się stosownego audytu na stacjach roboczych, wykrycie intruza jest skrajnie trudne - o wykryciu faktu włamania decyduje zwykle przypadek.

Nie używasz, wyłącz

Zagrożeniem dla sieci WLAN są użytkownicy notebooków, którzy nie wyłączają kart WLAN nawet wtedy, gdy nie korzystają z sieci. Włamywacz może bowiem posłużyć się własną stacją lub kartą działającą w trybie 802.11 ad hoc, po to by karta WLAN zalogowała się do niego. Rozpoznanie adresu MAC to dobry przyczółek do ataku na sieć lokalną. W warunkach biurowych dobrym pomysłem jest zastosowanie honeypota - łatwego do zdobycia punktu dostępu, ale wiodącego donikąd. Już sama świadomość, że próby włamań są podejmowane powinna być sygnałem do działania.

Typowe błędy

  • ozgłaszanie identyfikatorów ESSID

  • brak filtrów adresów sprzętowych

  • brak szyfrowania połączenia nawet za pomocą WEP

  • brak filtrów IP na bramkach

  • bak zapory IP tuż za stacją bazową i na klientach...

  • włączenie stacji bazowych wprost do sieci LAN.
Nieumyślna współpraca

Wbrew powszechnemu mniemaniu, aby uzyskać dostęp do sieci lokalnej, nie trzeba nawet logować się do stacji bazowej - wystarczy pasywna analiza ruchu radiowego. Atakujący mają do dyspozycji doskonałe narzędzia do tego celu, jak Kismet czy AirSnort. Te narzędzia idealnie nadają się zresztą także do łamania kluczy WEP. Gdy jeszcze karta WLAN posiada odpowiedni firmware, dane można zbierać całkowicie pasywnie, nie ujawniając swojej obecności... Zastosowanie systemu detekcji intruzów opierającego działanie na przechwytywaniu sygnału radiowego jest możliwe, niemniej będzie trudne w realizacji. Najkorzystniej jest użyć typowych narzędzi sieciowych IDS wpiętych do tej samej podsieci co stacja bazowa WLAN. Jedynym znanym mi rozwiązaniem bazującym na analizie ruchu radiowego jest zastosowanie sniffera sieciowego podłączonego do karty WLAN przełączonej w tryb promiscous mode. Dobrymi kandydatami są karty oparte na chipsecie Prism 2,5, gdyż sterowniki wbudowane w jądro Linuxa od razu obsługują ten tryb, zaś systemy detekcji intruzów pracujące na nim są jednymi z najbardziej rozwojowych, a przy tym są dobrze udokumentowane.

Nie należy ufać jednej metodzie zabezpieczeń. Wiele stacji bazowych posiada powszechnie znane hasła serwisowe, umożliwiające uzyskanie dostępu do konfiguracji urządzenia. Po zalogowaniu się do stacji bazowej włamywacz może zmienić jej konfigurację na taką, która pozwoli na łatwe wejście do sieci w przyszłości. W takim przypadku sieć stoi otworem, chyba że zastosuje się drugi stopień zabezpieczenia, choćby darmowy i najprostszy, w formie wydzielonej podsieci chronionej zaporą IP, serwerem VPN lub serwerem proxy.


Zobacz również