Новая утилита поможет проникнуть в большинство корпоративных беспроводных сетей
Если у вас в компании проведена корпоративная беспроводная локальная сеть, поспешу вас огорчить. Есть все основания полагать, что ваша корпоративная сеть легко уязвима для сетевых атак с целью хищения аутентификационной информации, что может серьёзно повлиять не только на работу внутренней сети, но и на управление доступом к серверам.
Ни использование надёжных идентификационных протоколов типа PEAP, EAP-FAST или EAP-TTLS, ни применение алгоритмов шифрования типа AES не смогут защитить от взлома, поскольку причина уязвимости кроется в некачественно разработанном клиенте для управления беспроводной сетью. Известные клиенты от Microsoft, Apple и Funk позволяют пользователям вовремя обнаружить начинающуюся атаку, но предоставляют очень незначительную информацию. Это очень серьёзный недостаток в клиентской конфигурации TLS.
Главная проблема протокола LAN EAP для аутентификации в беспроводной среде заключается в отсутствии естественного и интуитивного метода определения соответствия имени в цифровом сертификате с именем SSID. В частности, в поле «subject» - «название» (именуемое также CN "Common Name" или DN - "Designated Name") цифрового сертификата сервера можно ввести что угодно. Большинство организаций, по крайней мере, вводят в это поле часть названия компании, а если сертификат выдаётся коммерческим центром, в конце поля обязательно присутствует имя домена.
Это проблема не касается HTTP-клиентов (веб-браузеров), так как они автоматически сверяют имя домена из URL-адреса с информацией из поля «subject» цифрового сертификата. То есть, когда пользователь входит в безопасную зону SSL/TLS сайта https://secure.mybank.com, и в поле «subject» прописано secure.mybank.com, на экране появляется небольшая иконка в виде замка, уведомляющая владельца сертификата (например VeriSign или Entrust) о том, что он находится в безопасной зоне сервиса secure.mybank.com. Но в беспроводных клиентах, использующих основанный на TLS протокол аутентификации EAP, всё происходит гораздо сложнее. Если такая сеть имеет SSID-имя «МояКомпания», то в поле названия сертификата наверняка будет прописано: «зашифрованное.название.какой-то.там.компании», что, как видите, не имеет ничего общего с именем SSID.
Клиентские системы Microsoft Windows XP SP2 и Vista, управляемые средствами Групповой политики (Group Policy), предоставляют самый высокий уровень настроек аутентификации, если, конечно, администратор знает, что именно нужно настраивать. С другой стороны, автономно настраиваемый клиент беспроводной сети Microsoft не позволяет просматривать имя сертификата. Если пользователь получает новый сертификат, и всё, что может увидеть администратор - это «VeriSign trust network» (одобрено VeriSign), тогда как имя сертификата «хакер.из.любой.точки.мира» скрыто от просмотра, могут возникнуть серьёзные сбои в соединении.
Тем не менее, Windows XP SP2 и Vista позволяют запретить пользователю выполнять соединение к фальшивым RADIUS-серверам, однако это зависит от правильной конфигурации системы пользователя, что встречается далеко не всегда. На изображении ниже можно увидеть, какие опции следует включить администратору. О том, как настраивать эти и другие параметры вручную и автоматически, можно узнать из моего руководства по безопасности беспроводных локальных сетей.
Самое главное, удостовериться в том, что:
1. Включена (enabled) проверка сертификата сервера (Validate server certificate).
2. Поле «Connect to these servers» (Подключён к следующим серверам) определяет соответствующее поле «subject» цифрового сертификата X.509 (также известного, как CN или DN)). Не пугайтесь. Имена добавочных серверов можно вводить через точку с запятой. В своём руководстве по обеспечению безопасности локальных сетей я не определяю это поле, его можно оставлять пустым в определённых ситуациях. Если, к примеру, у вас есть частный сертификат, заблокировали возможность проверки сертификатов и не извещаете пользователей о новых серверах и сертификатах, данное поле заполнять не нужно. Но если сертификат общий, этот параметр необходимо включить и заполнить соответствующее поле.
3. Для параметра CA (certificate authority) нужно указать тип ключа: общий или частный.
4. Опция «do-not-prompt user to authorize new servers or trusted certificate authorities» («не позволять пользователю авторизироваться на новых серверах и получать подтверждения от доверенных центров сертификации») является главным нововведением в беспроводных клиентах Windows. Клиент Funk Odyssey также снабжён этой защитной функцией, но она отсутстствует в других беспроводных клиентах, например, в Mac OS X. Возможность пользователей обращаться в дополнительные центры сертификации несёт в себе самую большую опасность.
Чтобы решить эту проблему программисты Джошуа Райт и Брэд Антониевич создали утилиту FreeRADIUS-WPE, использующую созданную разработчиками уязвимость для проникновения в сеть. Зачем они это сделали? Чтобы администраторы могли самостоятельно проверить состояние своих сетей и убедиться в том, что проблема существует. Без этой программы её можно решить пусть менее удобными, но не менее эффективными методами. Но похоже, что в настоящее время мало кому есть до этого дело. Теперь, когда общество узнало о создании такой утилиты, у администраторов есть шанс использовать FreeRADIUS-WPE для пробного проникновения в собственные сети, пока злоумышленники не сделали это раньше них.
Автор: George Ou Версия на английском: blogs.zdnet.com Копирование статьи разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник русскоязычной версии.
