Опубликован: 20.02.2006 | Доступ: свободный | Студентов: 2942 / 490 | Оценка: 4.22 / 3.75 | Длительность: 33:08:00
ISBN: 978-5-9556-0087-1
Лекция 10:

Средства для беспроводных сетей

Поддержка GPS в Kismet

Kismet способен записывать данные GPS, если имеется приемник GPS, подключенный к машине. Для его чтения требуется программное обеспечение демона GPS для Kismet, GPSD. GPSD можно взять по адресу http://russnelson.com/gpsd/. Необходимо включить поддержку GPS при компиляции Kismet с помощью параметров времени компиляции, приведенных выше в табл. 10.4. После этого Kismet будет автоматически добывать координаты услышанных сетей и протоколировать их.

Можно сделать еще один шаг и отобразить эти координаты на карте, так же как для программы в Windows. Kismet поставляется со встроенной программой GPSMAP, которая автоматически изображает собранные данные на картах в формате .gps. Для этого, правда, требуется предоставить собственную откалиброванную GPS-карту. Для построения карт в Linux имеется программа с открытыми исходными текстами GPSDrive. Ее можно загрузить со страницы http://gpsdrive.kraftvoll.at/index.shtml.

Kismet как система обнаружения вторжений

Kismet можно настроить как беспроводную систему обнаружения вторжений, перехватывающую входящие сигналы и обнаруживающую беспроводной трафик, ассоциированный с агрессивным объездом или иной подозрительной беспроводной активностью. Kismet обнаруживает около 10 различных видов трафика, включая опросы NetStumbler, а также активность Airjack и других беспроводных хакерских средств. В настоящее время эти возможности Kismet довольно ограничены, но можно ожидать их развития в будущем. И поскольку исходные тексты открыты, всегда можно расширить функциональность самостоятельно, запрограммировав собственные сигналы тревоги. Еще одна возможность - передать по каналу данные Kismet традиционным системам обнаружения вторжений, таким как Snort, для более детального анализа. Функции обнаружения вторжений задаются в файле kismet.conf и по умолчанию отключены. Kismet можно настроить и для сбора известных криптографически слабых ключей для такой программы, как AirSnort, - следующего средства, представленного в этой лекции, которое анализирует беспроводные пакеты и пытается взломать шифрование WEP.

AirSnort: Программа восстановления ключей шифрования WEP

AirSnort

Исходные авторы/основной контакт: Jeremy Bruestle и Blake Hegerle

Web-сайт: http://schmoo.airsnort.org

Платформы: Большинство Linux

Лицензия: GPL

Рассмотренная версия: 2.4.22

Авторы разработали AirSnort как практическое приложение для демонстрации слабых мест в WEP - протоколе шифрования для беспроводных сетей. В статье, озаглавленной "Слабые места алгоритма генерации ключей RC4", написанной специалистами по криптографии Флюхрером, Мартином и Шамиром, детализированы теоретические слабости алгоритма WEP и показано, что некоторые векторы инициализации будут слабыми. Пакеты, зашифрованные с помощью слабых векторов инициализации, можно собрать и со временем накопится достаточно данных для экстраполяции разделяемого секретного ключа. Это позволяет легко расшифровывать пакеты. Вскоре после опубликования статьи были выпущены два средства, AirSnort и WEPCrack, эксплуатирующие описанные слабости для восстановления ключей WEP, фактически - взламывающие WEP. Оба средства хороши, но AirSnort обладает некоторой дополнительной функциональностью как беспроводной сетевой анализатор. AirSnort сейчас - проект с открытыми исходными текстами, базирующийся по адресу SourceForge.net, с момента своего появления он существенно расширен и улучшен. Поскольку на платформе Windows подобных средств нет, для тестирования WEP в настоящее время имеется лишь два жизнеспособных варианта - AirSnort и WEPCrack.

Применение AirSnort

Зачем применять AirSnort в собственной беспроводной сети? Может создаться впечатление, что у этой программы нет законного применения, а ее единственное назначение - служить инструментом взлома. Однако я считаю, что единственный способ узнать, каким опасностям подвержена ваша беспроводная сеть, - делать то, что делают хакеры, чтобы проверить, можно ли взломать ваше шифрование, и сколько для этого потребуется времени. AirSnort позволяет сделать именно это.

Пытаясь взломать беспроводное шифрование, можно уяснить, насколько это реально. При использовании стандартного WEP - это просто вопрос времени. Математически установлено, что в некоторой точке его можно взломать с помощью данного средства. Вопрос только в том, сколько на это потребуется времени. Если нужно много времени, то можно обоснованно считать, что вы достаточно защищены. Если трафик в вашей беспроводной ЛВС небольшой, то на взлом может уйти несколько дней или даже недель. Это делает вашу сеть практически неинтересной для большинства случайных хакеров. Однако если сеть используется интенсивно, то кто-нибудь сможет собрать достаточное количество пакетов, чтобы взломать ее через несколько часов или за день.

Знание этого поможет вам лучше обезопасить свою сеть, обосновать необходимость внедрения дополнительных средств защиты, таких как усиление физического контроля или ограничение трафика, а также обновления беспроводного оборудования. Устройство Cisco Aeronet использует разновидность WEP, называемую LEAP, для улучшения и исправления слабостей исходного протокола WEP. Беспроводная сеть, основанная на этом протоколе, должна быть невзламываемой, по крайней мере с помощью легко доступных средств. Вы можете определить, что уровень вашего трафика делает непрактичным взлом шифрования. В любом случае, знание сделает ваш сон более спокойным.

Установка AirSnort

Приведение в рабочее состояние драйверов и программного обеспечения для AirSnort может быть весьма трудоемким. Требования AirSnort по сути те же, что и у Kismet. Вернитесь к разделу "Установка сетевой интерфейсной платы и драйверов" и следуйте описанной там процедуре. Когда все будет сделано, можно устанавливать AirSnort. Это - легкая половина дела.

  1. Загрузите файл программы с прилагаемого к книге компакт-диска или официального Web-сайта и распакуйте его.
  2. Перейдите в каталог, в который вы распаковали файл, и выполните процедуру
    ./autogen.sh
  3. Станьте пользователем root и запустите
    make

    Программа будет собрана автоматически. Если не возникнет ошибок, значит, вы успешно установили AirSnort.

Запуск AirSnort

AirSnort включает три основных исполнимых файла:

  • airsnort выполняет работу по сбору пакетов из некоторого источника, обычно беспроводной сетевой платы.
  • gencases разбирает перехваченные данные для выявления слабых ключей.
  • decrypt выполняет попытки автономного расшифрования файлов, загруженных из другого источника.

AirSnort воспринимает файлы других анализаторов беспроводных сетей, если они сохраняются в формате pcap. Kismet, наше рекомендуемое беспроводное средство для Linux, будет заранее специально вылавливать интересные для AirSnort пакеты, избавляя от этого шага.

Не обязательно собирать всю совокупность данных за один раз. AirSnort дает возможность сохранить сеанс, открыть его позже и дописать. Это делает AirSnort особенно опасным для беспроводных сетей, так как для сбора достаточного для взлома сети количества пакетов не требуется проводить весь сеанс без перерыва вблизи вашего здания. Эту деятельность можно разделить на небольшие, менее заметные интервалы, предполагая, что ключи в целевой сети меняются не очень часто.

После установки программы AirSnort можно запустить ее, набрав в командной строке airsnort. Интерфейс - сама простота: один экран, на котором отображаются интересные пакеты и общее число шифрованных и нешифрованных пакетов. В верхней части показаны такие настройки, как тип сетевой платы и т.д. Слева можно изменить некоторые настройки, такие как размах - число пробных угадываний, которое будет делать AirSnort для каждого байта ключа при попытках расшифрования для ключей в 40 или в 128 бит. По умолчанию используется 3 для 40-битного шифрования и 2 для 128-битного. Если у вас недостаточно данных или избыток вычислительной мощности, можно попробовать немного увеличить это значение, но не делайте его больше 4 или 5.

Затем можно откинуться на спинку кресла и собирать пакеты. Не ждите, что сможете взломать ключи WEP за несколько минут. Чтобы AirSnort сработал успешно, требуется примерно от 1500 до 4500 пакетов со слабыми ключами. Это соответствует примерно от 100 до 500 МБ данных. Чтобы собрать столько данных в сети с умеренной нагрузкой, может потребоваться день или больше. В менее загруженной сети на это уйдет значительно больше времени, а в более загруженной - существенно меньше. В любом случае потребуется не менее двух часов, а, возможно, и больше. Конечно, многое зависит и от удачи, поэтому ваши результаты могут варьироваться от часа до бесконечности. Как правило, на сбор данных стоит затратить примерно столько времени, сколько, по вашему мнению, затратит его средний посторонний хакер, желающий остаться незамеченным. И, конечно, возможность AirSnort возобновлять сеансы позволяет значительно сократить временное окно, так как хакеры могут собирать данные в несколько приемов.

После успешного взлома ключ WEP отображается слева на экране как в текстовом, так и в исходном шестнадцатеричном виде, и сеанс перехвата завершается. Счастливого WEP-взлома!

Что делать, если вам удастся вычислить свои ключи WEP? Не паникуйте, потому что случайные хакеры в большинстве своем не создадут вам проблем. Однако необходимо подумать об усилении защиты своей беспроводной сети, чтобы затруднить посторонним сбор этих данных. Можно принять ряд мер, начиная от замены оборудования до реконфигурирования и изменения расположения вашей точки доступа. Исходя из критичности данных в сети следует выбрать адекватные меры.

Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Александр Путятинский
Александр Путятинский

Добрый день по окончании данного курса выдается сертификат?