Sieci > Bezpieczeństwo > Model TCP/IP > Warstwa dostępu do sieci
Sieci LAN Zdalny dostęp Sieci WLAN
Bezpieczeństwo jest istotne na poziomie każdej warstwy modelu TCP/IP. Zabezpieczanie sieci należy dlatego rozpocząć od warstwy najniższej, która często jest zaniedbywana. Wielu atakom można zapobiec uniemożliwiając nieautoryzowany dostęp już na poziomie tej warstwy.
Sieci lokalne stały się bardzo popularne. Rozpowszechniły się zwłaszcza w komercyjnych środowiskach. Sieć LAN (ang. Local Area Network) wraz z dostępem do Internetu jest niezbędnym elementem funkcjonowania wielu firm. Najczęściej są to sieci Ethernet o topologii gwiazdy. Wynika to z faktu, że są one elastyczne, łatwo skalowalne i stosunkowo tanie w porównaniu z bardziej skomplikowanymi sieciami LAN [11].
Okablowanie skrętką dwużyłową jest standardową technologią używaną w sieciach LAN. Najczęściej stosowane są cztery pary przewodów połączone razem w wiązki, które osłonięte są koszulką z PCW lub teflonu. Istotną kwestią z punktu widzenia bezpieczeństwa jest promieniowanie elektromagnetyczne, które wytwarzane jest podczas przesyłania sygnału. Promieniowanie to może zostać wykorzystane przez pasywne urządzenia podsłuchowe. Inną możliwością, która należy rozważyć, jest bezpośrednie, nieautoryzowane wpięcie się do sieci. Z tego powodu bardzo ważną sprawą jest fizyczne bezpieczeństwo okablowania sieciowego. W niektórych przypadkach warto rozważyć zastosowanie kabli światłowodowych. Znacznie trudniej jest bowiem wykraść informacje przesyłane światłowodem niż skrętką dwużyłową [11].
Klasyczne przełączniki (ang. switch) są urządzeniami sieciowymi działającymi na poziomie drugiej warstwy modelu OSI. Potrafią więc analizować ruch sieciowy na poziomie tej warstwy i przesyłać ramki do konkretnego segmentu sieci. Przymiotnik „klasyczne” został użyty celowo, ponieważ istnieją również przełączniki, które potrafią operować w wyższych warstwach. Koncentratory (ang. hub) działają z kolei na poziomie pierwszym modelu OSI. Nie analizują ruchu sieciowego i przesyłają ramki do wszystkich segmentów sieci. Ilustruje to rysunek 2.2.
Rysunek 2.2 Porównanie działania koncentratora i przełącznika
Przedstawiona zasada działania przeciwdziała podsłuchiwaniu przesyłanych danych przez urządzenia znajdujące się w innych segmentach sieci. Wybierając przełącznik warto sprawdzić czy jest on odporny na popularny atak MAC Flooding. Atak ten wykorzystuje ograniczoną wielkość tablicy CAM (ang. Content Addressable Memory). Po zapełnieniu jej zawartości przełącznik zaczyna zachowywać się jak koncentrator. Przebieg takiego ataku przedstawia rysunek 2.3.
Rysunek 2.3a Atak MAC Flooding
Rysunek 2.3b Atak MAC Flooding
Rysunek 2.3c Atak MAC Flooding
Ochrona przed atakiem tego typu polega na zabezpieczeniu portów przełącznika (ang. port security). Do każdego portu przydzielana jest grupa adresów MAC (ang. Media Access Control). Inną możliwością jest ograniczenie liczby adresów MAC, których przełącznik może się nauczyć na danym porcie. W sytuacji wykrycia niedozwolonego adresu MAC przełącznik może odrzucić taką ramkę lub też zamknąć port. Możliwość zabezpieczenia portów przed nieautoryzowanym dostępem możliwa jest także zgodnie ze standardem IEEE 802.1X (ang. Port Based Network Access Control). Jako przykład mogą posłużyć przełączniki firmy Cisco. IEEE 802.1X omówiony jest dokładniej w części poświęconej sieciom bezprzewodowym.
Dziś użytkownicy oczekują dostępu do Internetu z dowolnego miejsca. Wiele osób pracuje zdalnie. W związku z tym zdalny dostęp musi zapewniać takie same możliwości jakie dostępne są w sieciach LAN. Jednym z pierwszych protokołów zdalnego dostępu był SLIP (ang. Serial Line IP). Jest to protokół bardzo prosty, którego działanie sprowadza się do „ramkowania” pakietów IP i przesyłaniu ich łączem szeregowym [12]. Jego ograniczenia spowodowały powstanie PPP (ang. Point-to-Point Protocol). Lista funkcji protokołu PPP [8]:
- jednoczesna obsługa wielu protokołów,
- konfiguracja łączy,
- wykrywanie błędów,
- kompresja,
- szyfrowanie,
- informacje sieciowe,
- uwierzytelnianie.
Z punktu widzenia bezpieczeństwa interesujące jest funkcjonowanie uwierzytelniania
i szyfrowania w protokole PPP.
Protokół uwierzytelniania informuje partnera o konieczności przedstawienia się przed przejściem do dalszego etapu komunikacji. Domyślnym ustawieniem jest brak uwierzytelniania, ale każda ze stron może wymagać identyfikacji. Negocjowany jest wówczas protokół uwierzytelniający. Po uzgodnieniu wspólnego protokółu rozpoczynany jest kolejny etap komunikacji. Dopuszczalne są następujące protokoły [8]:
- PAP (ang. Password Authentication Protocol),
- CHAP (ang. Challenge Handshake Authentication Protocol) typu MD5,
- MS-CHAP (ang. Microsoft CHAP),
- EAP (ang. Extensible Authentication Protocol),
- SPAP (ang. Shiva PAP).
Rozszerzalny protokół uwierzytelniania EAP jest proponowanym protokołem uwierzytelniania dla PPP. Jego zaletą jest elastyczność. Odkłada wybór algorytmu do czasu zakończenia fazy sterowania łączem (ang. Link Control Phase - LCP) [6]. W fazie uwierzytelniania podejmowana jest decyzja o konkretnej metodzie uwierzytelniania. EAP pozwala na integrację protokołu PPP z serwerami RADIUS i innymi elementami systemów zabezpieczeń. Pozwala na korzystanie z różnych technik uwierzytelniania, włączając w to karty inteligentne, certyfikaty cyfrowe, hasła jednorazowe i klucze publiczne. Należy zauważyć, że EAP był początkowo przeznaczony do użycia z PPP, ale obecnie jest także wykorzystywany z IEEE 802.1X [5].
Protokół ECP (ang. Encryption Control Protocol) jest odpowiedzialny za konfigurację i włączenie szyfrowania ponad połączeniem PPP [16]. Obsługiwane algorytmy szyfrowania to DES i 3DES.
Sieci bezprzewodowe (ang. Wireless Local Area Network - WLAN) są coraz bardziej popularne. Wykorzystują one różne technologie transmisji: radio szerokopasmowe, radio wąskopasmowe, podczerwień, laser. Bezpieczeństwo w przypadku tych sieci jest sprawą szczególnie istotną. Wynika to z faktu, że każdy wyposażony w kompatybilne urządzenie może podłączyć się do sieci i podsłuchiwać przesyłane informacje. Zasięg sieci bezprzewodowej często przekracza powierzchnię biura, co ułatwia zastosowanie podsłuchu.
Sposób funkcjonowanie sieci WLAN określa zbiór standardów IEEE 802.11. Rozpatrzymy oferowane metody zabezpieczenia sieci bezprzewodowej. Oferowane są dwie metody uwierzytelniania [22]. Pierwszy sposób (ang. Open System Authentication) nie identyfikuje użytkowników wcale i pozwala każdej stacji podłączyć się do sieci. Druga metoda (ang. Shared Key Authentication) uwierzytelnia stację przed punktem dostępu (ang. Access Point - AP) wykorzystując współdzielone klucze. Kłopotem jest dystrybucja, co omówione jest w dalszej części. Identyfikacja przebiega następująco:
- AP przesyła do stacji, która próbuje się podłączyć, tekst do zaszyfrowania,
- stacja szyfruje tekst używając współdzielonego klucza i przesyła zaszyfrowany ciąg do AP,
- AP deszyfruje odebraną wiadomość i jeśli zgadza się ona z oryginałem to dostęp do sieci zostaje stacji przyznany.
Uwierzytelnianie jest jednostronne, dotyczy tylko klienta w stosunku do punktu dostępu. Należy też zaznaczyć, że uwierzytelniane jest urządzenie podłączające się do sieci, a nie użytkownik. Wiele urządzeń dostępowych pozwala na kontrolę dostępu przy wykorzystaniu SSID (ang. Service Set Identifier) lub adresów MAC.
SSID jest ciągiem określającym nazwę sieci. Klient musi być skonfigurowany z odpowiednim SSID, aby mógł uzyskać dostęp do sieci. Ciąg ten jest jednak często rozgłaszany przez punkt dostępu i dlatego może być łatwo podsłuchany.
Adresy MAC mogą być sprawdzane podczas próby podłączania się klienta do sieci. Wymaga to utworzenia i utrzymywania aktualnej listy dopuszczalnych adresów MAC. Adres taki można jednak stosunkowo łatwo zmienić. Potencjalny włamywacz potrzebuje więc tylko podsłuchać wykorzystywane w sieci adresy MAC.
Dzielone klucze są również wykorzystywane przez system WEP (ang. Wired Equivalent Privacy) do szyfrowania przesyłanych danych. Problemem jest dystrybucja kluczy. Standard nie wyjaśnia w jaki sposób dostarczać klucze do każdej stacji. Nie jest to problemem przy małej liczbie urządzeń, ale rozprowadzenie kluczy w dużej sieci staje się poważnym wyzwaniem. Skutek jest taki, że WEP nie jest wykorzystywany wcale lub też hasła zmieniane są bardzo rzadko. Rzadko zmieniane hasła mogą być z kolei podsłuchane i złamane. Dodatkowym ułatwieniem jest słaba implementacja szyfrowania RC4 zastosowana w WEP [4]. Dwa znane programy, które są wykorzystywane do ujawniania haseł to AirSnort (airsnort.shmoo.com) i WepCrack (wepcrack.sourceforge.net).
Brak silnych zabezpieczeń dla WLAN wpłynęły na powstanie standardu 802.1X (ang. Port Based Network Access Control). Standard ten wykorzystuje protokół EAP. Dzięki temu 802.1X jest bardzo wszechstronny, gdyż EAP obsługuje wiele różnych metod uwierzytelniania. Określa się równocześnie w jaki sposób pakiety EAP mają być przesyłane w ramkach Ethernet, Token Ring lub FDDI (ang. Fiber Distributed Data Interface). W tym celu wprowadzono EAPOL (ang. EAP encapsulation over LANs) [5]. Standard pozwala, aby wspólne uwierzytelnianie i generacja kluczy sesji zachodziły na poziomie wyższych warstw zgodnie z wybraną przez EAP metodą. Klienci WLAN są uwierzytelniani punktowi dostępu z wykorzystaniem serwera AAA (ang. Authentication, Authorization and Accounting).
Komunikacja rozpoczyna się, kiedy klient próbuje połączyć się z punktem dostępu. AP odpowiada, jednocześnie otwierając port na przekazywanie wyłącznie pakietów EAP od klienta do serwera uwierzytelniającego (na przykład RADIUS [5]). Każdy inny ruch jest blokowany do czasu, kiedy klient nie zostanie uwierzytelniony. Serwer AAA odszukuje użytkownika we własnej lub zewnętrznej bazie danych. Sprawdza typ uwierzytelniania jaki ma być zastosowany i uprawnienia użytkownika. Cały proces uwierzytelniania i autoryzacji (ang. Authentication, Authorization - AA) jest szyfrowany utrudniając przechwycenie hasła lub ID. Po pomyślnym przebiegu AA serwer pozwala AP otworzyć połączenie dla użytkownika. Użytkownik i AP otrzymują równocześnie tymczasowe klucze WEP, dzięki czemu cała sesja klienta jest szyfrowana. Opisany przebieg AA ilustruje rysunek 2.4.
Rysunek 2.4 Działanie IEEE 802.1X
Bezpieczeństwo WLAN jest sprawą zasadniczą, więc wiele firm dodaje i rozwija własne metody uwierzytelniania:
- EAP-TLS (ang. Transport Layer Security) – Microsoft,
- EAP-TTLS (ang. Tunneled Transport Layer Security) – Funk Software i Certicom,
- EAP-Cisco Wireless, LEAP (ang. Lightweight Extensible Authentication Protocol) – Cisco,
- PEAP (ang. Protected EAP) – RSA, Microsoft, Cisco.
Zastosowanie 802.1X z protokołem EAP wymaga następujących komponentów:
- bezprzewodowa karta sieciowa kompatybilna z 802.1X,
- programowy klient dostępu obsługujący EAP,
- punkt dostępowy sieci bezprzewodowej kompatybilny z 802.1X i EAP,
- serwer uwierzytelniający kompatybilny z EAP,
- PKI (ang. Public Key Infrastructure).