Защита и безопасность WiFi сети

Эта статья посвящена вопросу безопасности при использовании беспроводных сетей WiFi.

Введение - уязвимости WiFi

Главная причина уязвимости пользовательских данных, когда эти данные передаются через сети WiFi, заключается в том, что обмен происходит по радиоволне. А это дает возможность перехвата сообщений в любой точке, где физически доступен сигнал WiFi. Упрощенно говоря, если сигнал точки доступа можно уловить на дистанции 50 метров, то перехват всего сетевого трафика этой WiFi сети возможен в радиусе 50 метров от точки доступа. В соседнем помещении, на другом этаже здания, на улице.

Представьте такую картину. В офисе локальная сеть построена через WiFi. Сигнал точки доступа этого офиса ловится за пределами здания, например на автостоянке. Злоумышленник, за пределами здания, может получить доступ к офисной сети, то есть незаметно для владельцев этой сети. К сетям WiFi можно получить доступ легко и незаметно. Технически значительно легче, чем к проводным сетям.

Есть ли возможность сохранить конфиденциальность при использовании WiFi?

Да. На сегодняшний день разработаны и внедрены средства защиты WiFi сетей. Такая защита основана на шифровании всего трафика между точкой доступа и конечным устройством, которое подключено к ней. То есть радиосигнал перехватить злоумышленник может, но для него это будет просто цифровой "мусор".

Как работает защита WiFi?

Точка доступа, включает в свою WiFi сеть только то устройство, которое пришлет правильный (указанный в настройках точки доступа) пароль. При этом пароль тоже пересылается зашифрованным, в виде хэша. Хэш это результат необратимого шифрования. То есть данные, которые переведены в хэш, расшифровать нельзя. Если злоумышленник перехватит хеш пароля он не сможет получить пароль.

Но каким образом точка доступа узнает правильный указан пароль или нет? Если она тоже получает хеш, а расшифровать его не может? Все просто - в настройках точки доступа пароль указан в чистом виде. Программа авторизации берет чистый пароль, создает из него хеш и затем сравнивает этот хеш с полученным от клиента. Если хеши совпадают значит у клиента пароль верный. Здесь используется вторая особенность хешей - они уникальны. Одинаковый хеш нельзя получить из двух разных наборов данных (паролей). Если два хеша совпадают, значит они оба созданы из одинакового набора данных.

Кстати. Благодаря этой особенности хеши используются для контроля целостности данных. Если два хеша (созданные с промежутком времени) совпадают, значит исходные данные (за этот промежуток времени) не были изменены.

Тем, не менее, не смотря на то, что наиболее современный метод защиты WiFi сети (WPA2) надежен, эта сеть может быть взломана. Каким образом?

Есть две методики доступа к сети под защитой WPA2:

1. Подбор пароля по базе паролей (так называемый перебор по словарю).
2. Использование уязвимости в функции WPS.

В первом случае злоумышленник перехватывает хеш пароля к точке доступа. Затем по базе данных, в которой записаны тысячи, или миллионы слов, выполняется сравнение хешей. Из словаря берется слово, генерируется хеш для этого слова и затем этот хеш сравнивается с тем хешем который был перехвачен. Если на точке доступа используется примитивный пароль, тогда взлом пароля, этой точки доступа, вопрос времени. Например пароль из 8 цифр (длина 8 символов это минимальная длина пароля для WPA2) это один миллион комбинаций. На современном компьютере сделать перебор одного миллиона значений можно за несколько дней или даже часов.

Во втором случае используется уязвимость в первых версиях функции WPS. Эта функция позволяет подключить к точке доступа устройство, на котором нельзя ввести пароль, например принтер. При использовании этой функции, устройство и точка доступа обмениваются цифровым кодом и если устройство пришлет правильный код, точка доступа авторизует клиента. В этой функции была уязвимость - код был из 8 цифр, но уникальность проверялась только четырьмя из них! То есть для взлома WPS нужно сделать перебор всех значений которые дают 4 цифры. В результате взлом точки доступа через WPS может быть выполнен буквально за несколько часов, на любом, самом слабом устройстве.

Настройка защиты сети WiFi

Безопасность сети WiFi определяется настройками точки доступа. Несколько этих настроек прямо влияют на безопасность сети.

Режим доступа к сети WiFi

Точка доступа может работать в одном из двух режимов - открытом или защищенном. В случае открытого доступа, подключиться к точке досутпа может любое устройство. В случае защищенного доступа подключается только то устройство, которое передаст правильный пароль доступа.

Существует три типа (стандарта) защиты WiFi сетей:

• WEP (Wired Equivalent Privacy). Самый первый стандарт защиты. Сегодня фактически не обеспечивает защиту, поскольку взламывается очень легко благодаря слабости механизмов защиты.
• WPA (Wi-Fi Protected Access). Хронологически второй стандарт защиты. На момент создания и ввода в эксплуатацию обеспечивал эффективную защиту WiFi сетей. Но в конце нулевых годов были найдены возможности для взлома защиты WPA через уязвимости в механизмах защиты.
• WPA2 (Wi-Fi Protected Access). Последний стандарт защиты. Обеспечивает надежную защиту при соблюдении определенных правил. На сегодняшний день известны только два способа взлома защиты WPA2. Перебор пароля по словарю и обходной путь, через службу WPS.

Таким образом, для обеспечения безопасности сети WiFi необходимо выбирать тип защиты WPA2. Однако не все клиентские устройства могут его поддерживать. Например Windows XP SP2 поддерживает только WPA.

Помимо выбора стандарта WPA2 необходимы дополнительные условия:

Использовать метод шифрования AES.

Пароль для доступа к сети WiFi необходимо составлять следующим образом:

1. Используйте буквы и цифры в пароле. Произвольный набор букв и цифр. Либо очень редкое, значимое только для вас, слово или фразу.
2. Не используйте простые пароли вроде имя + дата рождения, или какое-то слово + несколько цифр, например lena1991 или dom12345.
3. Если необходимо использовать только цифровой пароль, тогда его длина должна быть не менее 10 символов. Потому что восьмисимвольный цифровой пароль подбирается методом перебора за реальное время (от нескольких часов до нескольких дней, в зависимости от мощности компьютера).

Если вы будете использовать сложные пароли, в соответствии с этими правилами, то вашу WiFi сеть нельзя будет взломать методом подбора пароля по словарю. Например, для пароля вида 5Fb9pE2a (произвольный буквенно-цифровой), максимально возможно 218340105584896 комбинаций. Сегодня это практически невозможно для подбора. Даже если компьютер будет сравнивать 1 000 000 (миллион) слов в секунду, ему потребуется почти 7 лет для перебора всех значений.

WPS (Wi-Fi Protected Setup)

Если точка доступа имеет функцию WPS (Wi-Fi Protected Setup), нужно отключить ее. Если эта функция необходима, нужно убедиться что ее версия обновлена до следующих возможностей:

1. Использование всех 8 символов пинкода вместо 4-х, как это было вначале.
2. Включение задержки после нескольких попыток передачи неправильного пинкода со стороны клиента.

Дополнительная возможность улучшить защиту WPS это использование цифробуквенного пинкода.

Безопасность общественных сетей WiFi

Сегодня модно пользоваться Интернет через WiFi сети в общественных местах - в кафе, ресторанах, торговых центрах и т.п. Важно понимать, что использование таких сетей может привести к краже ваших персональных данных. Если вы входите в Интернет через такую сеть и затем выполняете авторизацию на каком-либо сайта, то ваши данные (логин и пароль) могут быть перехвачены другим человеком, который подключен к этой же сети WiFi. Ведь на любом устройстве которое прошло авторизацию и подключено к точке доступа, можно перехватывать сетевой трафик со всех остальных устройств этой сети. А особенность общественных сетей WiFi в том, что к ней может подключиться любой желающий, в том числе злоумышленник, причем не только к открытой сети, но и к защищенной.

Что можно сделать для защиты своих данных, при подключении к Интерне через общественную WiFi сеть? Есть только одна возможность - использовать протокол HTTPS. В рамках этого протокола устанавливается зашифрованное соединение между клиентом (браузером) и сайтом. Но не все сайты поддерживают протокол HTTPS. Адреса на сайте, который поддерживает протокол HTTPS, начинаются с префикса https://. Если адреса на сайте имеют префикс http:// это означает что на сайте нет поддержки HTTPS или она не используется.

Некоторые сайты по умолчанию не используют HTTPS, но имеют этот протокол и его можно использовать если явным образом (вручную) указать префикс https://.

Что касается других случаев использования Интернет - чаты, скайп и т.д, то для защиты этих данных можно использовать бесплатные или платные серверы VPN. То есть сначала подключаться к серверу VPN, а уже затем использовать чат или открытый сайт.

Защита пароля WiFi

Во второй и третьей частях этой статьи я писал, о том, что в случае использования стандарта защиты WPA2, один из путей взлома WiFi сети заключается в подборе пароля по словарю. Но для злоумышленника есть еще одна возможность получить пароль к вашей WiFi сети. Если вы храните ваш пароль на стикере приклеенном к монитору, это дает возможность увидеть этот пароль постороннему человеку. А еще ваш пароль может быть украден с компьютера который подключен к вашей WiFi сети. Это может сделать посторонний человек, в том случае если ваши компьютеры не защищены от доступа посторонних. Это можно сделать при помощи вредоносной программы. Кроме того пароль можно украсть и с устройства которое выносится за пределы офиса (дома, квартиры) - со смартфона, планшета.

Таким образом, если вам нужна надежная защита вашей WiFi сети, необходимо принимать меры и для надежного хранения пароля. Защищать его от доступа посторонних лиц.

Иван Сухов, 2015 г.