Андрей Кашкаров - Электронные устройства для глушения беспроводных сигналов (GSM, Wi-Fi, GPS и некоторых радиотелефонов)
К слову, вторая аналогичная площадка в черте Санкт-Петербурга находится на территории воинской части в п. Бугры (в административных границах Санкт-Петербурга).
Рис. 1.1. Антенны для «массового» глушения «вражьих голосов» (Санкт-Петербург)
Но перейдем к возможностям локального глушения беспроводной связи. Итак, в нашем случае в помещении используются электрические поля небольшой мощности. Теоретически злоумышленник может перехватывать информацию или же атаковать пользовательскую сеть, находясь на относительно безопасном расстоянии. В этой области существует множество различных способов защиты, и при условии правильной настройки можно быть уверенным в обеспечении необходимого уровня безопасности. Разберемся в них на конкретных примерах.
Передача сигналов беспроводным способом возможна благодаря электрическому полю. Разумеется, простой «нешифрованный» канал очень скоро станет доступен злоумышленникам, и пользоваться им будет небезопасно. Именно поэтому почти одновременно с системой передачи данных без проводов, в части Wi-Fi, разработаны специальные протоколы шифрования данных.
Известный и некогда популярный WEP – это протокол шифрования, использующий довольно нестойкий алгоритм RC4 на статическом ключе.
Существовали 64-, 128-, 256– и 512– и даже 1024-битное WEP-шифрование. Чем больше бит используется для хранения ключа, тем больше возможных комбинаций ключей, а соответственно, более высокая стойкость сети к взлому. Часть wep-ключа является статической (к примеру, 40 бит в случае 64-битного шифрования), а другая часть (24 бит) – динамическая (вектор инициализации) меняющаяся переменная в процессе работы сети. Основной уязвимостью протокола WEP является то, что векторы инициализации повторяются через некоторый промежуток времени, и взломщику потребуется лишь собрать эти повторы и вычислить по ним статическую часть ключа. Для повышения уровня безопасности можно дополнительно к wep-шифрованию использовать стандарт 802.1x или VPN. Неудивительно, что на смену ему в свое время пришел новый, более «защищенный» протокол.
WPA – более стойкий протокол шифрования, чем WEP, хотя используется тот же алгоритм RC4. Более высокий уровень безопасности достигается за счет использования протоколов TKIP и MIC.
TKIP (Temporal Key Integrity Protocol) – протокол динамических ключей сети, которые меняются довольно часто. При этом каждому устройству также присваивается ключ, который тоже меняется.
MIC (Message Integrity Check) – протокол проверки целостности пакетов, защищает от перехвата пакетов и из перенаправления. Также возможно использование 802.1x и VPN, как в случае с wep-протоколом.
На сегодняшний день пользуются популярностью два варианта протокола WPA: WPA-PSK (Pre-shared key).
Для генерации ключей сети и для входа в сеть используется ключевая фраза. Оптимальный вариант для домашней или небольшой офисной сети: WPA-802.1x.
Вход в сеть осуществляется через сервер аутентификации. Оптимально для сети крупной компании.
Усовершенствование протокола WPA активно происходит все предыдущие годы. В отличие от протокола WPA, используется более стойкий алгоритм шифрования AES. По аналогии с WPA, WPA2 также делится на два типа: WPA2-PSK и WPA2-802.1x.
Далее – для сведения – рассмотрим и другие варианты разных стандартов безопасности сети. Все это нам поможет понять, каким образом можно сохранять данные, передаваемые в эфире беспроводным способом, и каким образом злоумышленники проникают в наши пользовательские активы и получают доступ к данным. А это, в свою очередь, поможет нам с разных углов зрения изучить возможности блокирования беспроводных сетей или, при обоснованной необходимости, «заглушать» их.
1.2.2. Зачем нужны глушители сигналов?
В действительности это далеко не риторический вопрос. А популярность различных устройств – глушителей сигналов среди населения только подтверждает его значимость, ибо современная жизнь научила людей не доверять друг другу. Некоторые супруги не доверяют своим половинкам, родители – детям, начальники – подчиненным. Все пытаются разоблачить кого-то, найти компромат. Если ты человек, преуспевающий в бизнесе, значит, хранишь какие-то секреты. Конкуренты пытаются найти уязвимое место, чтобы забрать бизнес или нарушить его. Все это реалии сегодняшнего времени.
Существует много незамысловатых и доступных приборов, которые помогут недоброжелателям раскрыть все секреты. Наиболее популярными являются приборы со спутниковой навигацией, о которых мы поговорим далее.
Эти электронные устройства позволяют не только отследить местонахождение, но и прослушать разговор. Они миниатюрны, и обнаружить их невооруженным глазом не всегда возможно (неопытному человеку – практически невозможно), поскольку их маскируют под бытовые предметы (часы, калькулятор, евророзетки, флеш-накопители и другие «гаджеты»). К примеру, именно в таких случаях подавитель GPS-сигнала станет надежным защитником тому, кто хочет обезопасить себя и свою информацию; ведь верно говорят: «кто владеет информацией – владеет миром».
Но существуют глушители разных частот и разного назначения, равно как и стандарты шифрования каналов связи.
1.2.3. Протоколы разных стандартов безопасности сети
EAP (Extensible Authentication Protocol). Протокол расширенной аутентификации. Используется совместно с RADIUS-сервером в крупных сетях.
TLS (Transport Layer Security). Протокол, который обеспечивает целостность и шифрование передаваемых данных между сервером и клиентом, их взаимную аутентификацию, предотвращая перехват и подмену сообщений.
RADIUS (Remote Authentication Dial-In User Server). Сервер аутентификации пользователей по логину и паролю.
VPN (Virtual Private Network) – виртуальная частная сеть. Протокол был создан для безопасного подключения клиентов к сети через общедоступные интернет-каналы. Принцип работы VPN – создание так называемых безопасных «туннелей» от пользователя до узла доступа или сервера. Хотя VPN изначально был создан не для WI-Fi, его можно использовать в любом типе сетей. Для шифрования трафика в VPN чаще всего используется протокол IPSec, обеспечивающий практически стопроцентную безопасность. Случаев взлома VPN на данный момент неизвестно. Именно поэтому эту технологию часто используют для корпоративных сетей.
1.2.4. Дополнительные методы защиты пользовательской беспроводной сети
Вместе с тем важное звено в цепочке защиты пользовательской сети – фильтрация канала связи по MAC-адресу: она необходима для максимально возможного обеспечения безопасности работы. MAC-адрес – это уникальный идентификатор устройства (сетевого адаптера), «зашитый» в него производителем. На некотором оборудовании можно задействовать данную функцию и разрешить доступ в сеть необходимым адресам. Это создаст дополнительную преграду взломщику, хотя не очень серьезную – в принципе, MAC-адрес можно подменить.
Приватное скрытие SSID обеспечивает сети еще большую безопасность.
SSID – это идентификатор беспроводной сети. Большинство оборудования позволяет его скрыть, таким образом, при сканировании Wi-Fi-сетей пользовательской сети видно не будет. Хотя это не слишком серьезная преграда, если взломщик использует более продвинутый сканер сетей, чем стандартная утилита в операционной системе Windows.
Запрет доступа к настройкам точки доступа или роутера через беспроводную сеть реализуется следующим образом. Специально активировав эту функцию, можно запретить доступ к настройкам точки доступа через Wi-Fi-сеть, однако в ряде случаев и это не защитит пользователя от перехвата трафика или от проникновения в сеть.
Поэтому неправильная настройка оборудования, поддерживающего даже самые современные технологии защиты, не обеспечит должного уровня безопасности сети.
В каждом стандарте есть дополнительные технологии и настройки для повышения уровня безопасности, которые опытный пользователь умело применяет на практике, не манкируя обеспечением безопасности собственных данных.
Еще более простым способом блокируются данные, передаваемые по каналу Bluetooth.
Это распространенный, самый технически простой и доступный способ беспроводного соединения с компьютером или периферийным оборудованием – через радиоинтерфейс Bluetooth.
Еще более универсальны соединения по встроенному ИК-порту (инфракрасный порт, IRDA).
Инфракрасный порт (ИК-порт) позволяет установить беспроводное соединение мобильного телефона с любым устройством, имеющим ИК-порт (ноутбуком, карманным компьютером, модемом), который находится в прямой видимости от аппарата (не понадобится отдельный кабель для связи с компьютером и загрузки нового логотипа или мелодии на телефон).
В первую очередь ИК-порт нужен для синхронизации с ПК. Вы можете использовать телефон в качестве модема для ноутбука, в том числе и при наличии ИК-порта. Но на самом деле вариантов применения ИК-портов во втором десятилетии XXI века очень много, и этот способ незаслуженно забыли современные пользователи беспроводной связи.