Точный
Статус документа
Статус документа

ГОСТ Р 59162-2020 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Безопасность сетей. Часть 6. Обеспечение информационной безопасности при использовании беспроводных IP-сетей

     Приложение A
     (справочное)

Техническое описание угроз и мер противодействия

     

А.1 Атака через посредника

При атаке через посредника, также называемой "человек посередине", нарушитель занимает положение между жертвой и ее партнером по связи без их ведома. Весь трафик проходит через нарушителя, который имеет возможность отслеживать его.

При атаке через посредника атакующий маскируется под точку доступа для клиента и под клиента для настоящей точки доступа. Клиент видит точку доступа, которая кажется ему настоящей, и подключается к ней. Через такую фиктивную точку доступа происходит кража МАС-адресов клиентов и связь с настоящей точкой доступа. Весь дальнейший трафик проходит через компьютер нарушителя.

Атаки через посредника известны большинству профессиональных специалистов по обеспечению безопасности. Распространенность такого типа атак несколько снизилась благодаря мерам по обеспечению физической безопасности и сложной, как правило, схеме коммутации двух конечных точек в современных сетях. Однако этот тип атаки переживает возрождение популярности благодаря появлению новых инструментов, облегчающих использование подобного рода уязвимости.

А.2 Перехват сессии

Перехват сессии происходит при получении третьей стороной контроля над сессией. Цель перехвата сессии заключается не в том, чтобы перехватить целиком беспроводное соединение, а в том, чтобы переключить на себя сессию веб-приложения, активированную в беспроводном соединении. Анализ сессии веб-приложения для подготовки к ее перехвату может быть выполнен в процессе атаки через посредника.

Классическая техника получения идентификатора сессии использует маршрутизацию IP-источника. В современной беспроводной среде анализ пакетов возможен путем простого мониторинга беспроводных соединений.

Существует несколько способов решения этой задачи. Сети Wi-Fi могут быть беззащитны от этих действий, поскольку не имеют никаких физических подключений, которые можно изменить. Перехват сессии может использоваться либо только для использования сессии, либо для получения доступа к сети Wi-Fi путем кражи идентификационных данных жертвы. Этот метод может использоваться в тех ситуациях, когда доступ в сеть защищен веб-порталом.

Большинство порталов базируется на списках доступа, содержащих МАС-адреса, и осуществляют проверку подлинности пользователей с использованием имени пользователя и пароля или неким другим похожим способом. После успешной проверки подлинности портал добавляет МАС-адрес клиента в список доступа на определенный период времени. Перехват сессии может использоваться либо только для использования сессии, либо для получения доступа к сети Wi-Fi путем кражи идентификационных данных жертвы. Затем нарушитель под видом точки доступа отправляет жертве сообщение об отключении ее MAC-адреса. Жертва удерживается отключенной посредством DoS-атаки из таких сообщений, а нарушитель маскируется под жертву, изменив свой MAC-адрес на адрес жертвы. После этого он владеет сессией до того момента, когда портал в следующий раз потребует аутентификации.

Несколько проще дождаться, когда жертва выйдет из беспроводной сети, и сразу же подтвердить свою личность, прежде чем портал зарегистрирует неактивность жертвы и деаутентифицирует ее. Комбинация анализа пакетов, ping-запросов и изменения MAC-адреса позволяет это сделать. На большинстве порталов время до ожидания активности составляет несколько минут.

Меры противодействия этой угрозе следующие:

- выбирать подходящую технологию, которая для протокола беспроводного соединения включает в себя криптографический алгоритм и механизм обмена ключами;

- во избежание прослушивания идентификаторов сессии требовать от веб-приложений использования технологии шифрования данных.

А.3 Wardriving

Wardriving - это поиск беспроводных сетей Wi-Fi c использованием оборудования или устройства с возможностями обнаружения Wi-Fi. Исторически этот термин связан с хакерами, которые передвигались на автомобилях в поисках открытых беспроводных сетей, определяемых по идентификатору набора услуг (SSID). SSID не является мерой безопасности. Это не пароль, который пользователи должны знать, чтобы иметь возможность подключиться к беспроводной сети. Любой клиент, который в настройках укажет подключение к любому SSID, обнаружит и подключится к ближайшей доступной и открытой точке доступа, независимо от используемого SSID. Это связано с тем, что точки доступа транслируют SSID как часть ответа клиентам, посылающим "широковещательный запрос".

В связи с этим, выявить все открытые беспроводные сети на заданной территории не составляет труда. Если владельцы этих открытых беспроводных сетей используют в названиях своих точек доступа беспроводной сети названия своих компаний, то можно составить виртуальную карту всех ресурсов беспроводной сети с указанием принадлежности на этой территории.

Существует множество бесплатных и простых в использовании инструментов с открытым исходным кодом, способных отображать точки беспроводного доступа, которые можно загрузить на портативные устройства. Использование таких инструментов для обнаружения точек беспроводного доступа также называется "Wardriving". Результат работы Wardriving называется "Warchalking", и представляет собой значки, отмечающие обнаруженные беспроводные сети. Вариантами этой угрозы являются Warwalking и Warflying, использующие ту же самую базовую уязвимость беспроводных сетей Wi-Fi.