Рассмотрим несколько методов аутентификации беспроводной сети WLAN, а именно: открытую аутентификацию, PSK и EAP.
По умолчанию аутентификация беспроводных устройств не требуется. Всем устройствам разрешено устанавливать соединения независимо от их типа и принадлежности. Это называется открытой аутентификацией . Открытая аутентификация должна использоваться только в общедоступных беспроводных сетях, например, в школах и интернет-кафе (ресторанах). Она может использоваться в сетях, где аутентификация будет выполняться другими средствами после подключения к сети.
Предварительно согласованный ключ (PSK)
При использовании режима PSK точка доступа и клиент должны использовать общий ключ или кодовое слово. Точка доступа отправляет клиенту случайную строку байтов. Клиент принимает эту строку, шифрует ее (или скремблирует), используя ключ, и отправляет ее обратно в точку доступа. Точка доступа получает зашифрованную строку и для ее расшифровки использует свой ключ. Если расшифрованная строка, принятая от клиента, совпадает с исходной строкой, отправленной клиенту, то клиенту дается разрешение установить соединение.
В этом случае выполняется односторонняя аутентификация, т.е. точка доступа проверяет реквизиты подключаемого узла. PSK не подразумевает проверки узлом подлинности точки доступа, а также не проверяет подлинности пользователя, подключающегося к узлу.
Расширяемый протокол аутентификации (EAP)
EAP обеспечивает взаимную или двухстороннюю аутентификацию, а также аутентификацию пользователя. Если на стороне клиента установлено программное обеспечение EAP, клиент взаимодействует с внутренним сервером аутентификации, таким как служба удаленной аутентификации пользователей с коммутируемым доступом (RADIUS ). Этот внутренний сервер работает независимо от точки доступа и ведет базу данных пользователей, имеющих разрешение на доступ в сеть. При применении EAP пользователь, а не только узел, должен предъявить имя и пароль, которые затем проверяются по базе данных сервера RADIUS. Если предъявленные учетные данные являются допустимыми, пользователь рассматривается как прошедший аутентификацию.
Целью процедуры аутентификации и согласования ключей (Authentication and Key Agreement – AKA) является выполнение взаимной аутентификации между пользовательским терминалом и сетью, а также генерация ключа функции безопасности KSEAF (см. Рис. 7). Единожды сгенерированный ключ KSEAF, может использоваться для формирования нескольких контекстов безопасности, в т.ч. для 3GPP и non-3GPP доступа.
Release 15 3GPP определяет два обязательных метода процедуры аутентификации и согласования ключей – EPS-AKA" и 5G-AKA, которые будут рассмотрены ниже.
В рамках обоих методов вызывается функция деривации (KDF), которая на основании управляющей строки символов осуществляет преобразование криптографического ключа. В состав управляющей строки символов может входить имя обслуживающей абонента гостевой сети (Serving Network Name – SN-name). В частности, SN-name используется при вычислении:
- ключа функции безопасности KSEAF;
- отклика аутентификации (RES*, XRES*);
- промежуточных ключей CK’ и IK’.
SN-name конструируется путем объединения сервисного кода (service code ="5G") и идентификатора гостевой сети, которая аутентифицирует пользователя (network identifier или SN Id). SN Id вычисляется на основе мобильного кода страны (MCC) и мобильного кода сети (MNC) – см. Рис. 3.
Рис. 3 (network identifier или SN Id)
Использование имени обслуживающей сети (SN-name) позволяет однозначно привязывать результаты работы криптографических алгоритмов к конкретной гостевой сети.
В соответствии с политикой безопасности оператора связи функциональный модуль SEAF может инициировать аутентификацию пользовательского терминала (UE) в рамках любой процедуры, предусматривающей установку сигнального соединения с UE, например, при регистрации в сети (attach), либо обновлении зоны слежения (tracking area update). Для "выхода в эфир" UE должен использовать либо скрытый идентификатор SUCI (в случае первичной регистрации в сети), либо 5G-GUTI (в иной ситуации).
Для аутентификации пользовательского терминала SEAF использует ранее созданный и еще незадействованный вектор аутентификации, либо направляет запрос "Authentication Initiation Request" (5G-AIR) в AUSF, устанавливая в качестве идентификатора пользователя SUCI (в случае первичной регистрации в сети), либо SUPI (при получении от UE валидного 5G-GUTI). Запрос аутентификации (5G-AIR), помимо идентификатора пользователя должен также включать в себя тип доступа (3GPP или non-3GPP), а также имя обслуживающей сети (SN-name).
Далее AUSF проверяет правомочность использования имени обслуживающей сети (SN-name) и при успешной проверке – транслирует полученный запрос в блок унифицированной базы данных (UDM), где (при необходимости) функциональным модулем извлечения идентификатора пользователя (SIDF) выполняется расшифровка скрытого идентификатора пользователя (SUCI), после чего репозиторий учетных данных аутентификации (ARPF) осуществляется выбор соответствующего алгоритма аутентификации – 5G-AKA, либо EAP-AKA".
Метод аутентификации EAP-AKA" представляет собой дальнейшее развитие EAP-AKA и вводит новую функцию деривации, обеспечивающую привязку криптографических ключей к имени сети доступа. Запуск метода EAP-AKA", описанного в RFC 5448, осуществляется UDM/ARPF при получении им от AUSF запроса на аутентификацию пользователя (сообщения Authentication Information Request – Auth Info-Req). На Рис. 4 приведена диаграмма, включающая нижеперечисленные шаги.
Рис. 4 (Метод аутентификации EPS-AKA)
1. Модуль репозитория и обработки учетных данных пользователя (UDM/ARPF) генерирует вектор аутентификации, включающий в себя RAND, AUTN, XRES, CK, IK. Для вычисления вектора аутентификации используются пять односторонних функций f1-f5, реализуемых на основе блокового шифра MILENAGE (в соответствии с 3GPP TS 33.102 – см. Рис. 5) с установленным в значение "1" битом AMF. При вычислении f1-f5 используется 128-ми битное поле конфигурирования алгоритма – OP (operator-variant algorithm configuration field). OP позволяет сделать уникальную (секретную) реализацию алгоритма для каждого оператора. Значение OP (либо OPc, вычисляемое из OP и KI через функцию блочного шифрования) должно храниться в ARPF и на USIM пользователя.
Рис. 5 (Вектор аутентификации)
2. UDM/ARPF посредством функции деривации и с использованием имени обслуживающей сети (SN-name) вычисляет "привязанные" значения CK", IK" и передает вектор (RAND, AUTN, XRES, CK", IK") серверу аутентификации (AUSF) от которого был получен запрос.
3. AUSF запускает криптографическую функцию PRF метода EAP-AKA", описанную в RFC5448. Входными параметрами функции являются ключи CK" и IK", а также имя обслуживающей сети (SN-name). На выходе функции получаются следующие поля:
- K_encr – ключ (128 бит), используемый для шифрования отдельных атрибутов сообщений EAP-AKA" (в соответствии с политикой безопасности оператора связи);
- K_aut – ключ (256 бит), используемый для вычисления кодов контроля целостности сообщений EAP-AKA" (MAC – Message Authentication Code);
- K_re – ключ (256 бит), используемый при реаутентификации;
- MSK (Master Session Key) – мастер ключ (512 бит);
- EMSK (Extended Master Session Key) – расширенный мастер ключ (512 бит).
4. AUSF посылает якорной функции безопасности (SEAF) запрос EAP-Request/AKA"-Challenge, который далее прозрачно транслируется пользовательскому терминалу в NAS-сообщении. EAP-Request/AKA"-Challenge содержит следующие атрибуты:
- AT_RAND (случайное число);
- AT_AUTN (токен аутентификации);
- AT_KDF (идентификатор используемой функции деривации, где 1 – соответствует использованию функции деривации по умолчанию);
- AT_KDF_INPUT (имя обслуживающей сети – SN-name);
- AT_MAC (код контроля целостности сообщения – Message Authentication Code).
- вычисляет значения XMAC, RES, CK" и IK";
- запускает криптографическую функцию PRF алгоритма EAP-AKA" (аналогичную функции, выполняемой сервером аутентификации);
- проверяет корректность кода контроля целостности сообщения (атрибут AT_MAC);
- проверяет установку бита AMF атрибута AT_AUTN в значение "1";
- посылает якорной функции безопасности (SEAF) отклик EAP-Response/AKA"-Challenge с атрибутами AT_RES и AT_MAC, который далее прозрачно транслируется серверу аутентификации (AUSF).
6. AUSF проверяет корректность кода контроля целостности сообщения (атрибут AT_MAC) и выполняет аутентификацию пользовательского терминала, посредством сравнения значений RES и XRES, полученных от UE и ARPF/UDM соответственно.
7. В случае успеха AUSF через якорную функцию безопасности (SEAF) направляет UE отклик EAP-Success. Если политика безопасности оператора связи подразумевает передачу EAP-Success в зашифрованном виде – "protected successful result indications", предварительно выполняется обмен сообщениями нотификации. Также (при необходимости), через вызов функции SIDF выполняется дешифрация скрытого идентификатора (SUCI) и извлечение 5G SUPI.
8. На заключительном шаге ARPF/UDM формирует ключ функции аутентификации KAUSF, в качестве которого используются первые 256 бит расширенного мастер ключа (EMSK). В дальнейшем на основе KAUSF вычисляются ключи шифрования и контроля целостности в соответствии с иерархией криптографических ключей, приведенной на Рис. 7.
Метод аутентификации 5G-AKA представляет собой дальнейшее развитие EPS-AKA, описанного в рекомендации 3GPP TS 33.401 и применяемого на сетях 4G-LTE. Запуск метода 5G-AKA осуществляется UDM/ARPF при получении им от AUSF запроса на аутентификацию пользователя (сообщения Authentication Information Request – Auth Info-Req). На Рис. 6 приведена диаграмма, включающая в себя нижеперечисленные шаги.
Рис. 6 (Метод аутентификации 5G-AKA)
1. По аналогии с алгоритмом EAP-AKA" модуль репозитория и обработки учетных данных пользователя (UDM/ARPF) на основе блокового шифра MILENAGE генерирует вектор аутентификации, включающий в себя RAND, AUTN, XRES, CK, IK (бит AMF должен быть установлен в единицу).
2. UDM/ARPF посредством функции деривации и с использованием имени обслуживающей сети (SN-name) вычисляет:
- привязанное значение ожидаемого отклика XRES*,
- значение ключа функции аутентификации KAUSF,
формирует вектор "5G HE AV" (Home Environment Authentication Vector), включающий в себя RAND, AUTN, XRES*, KAUSF и направляет его серверу аутентификации (AUSF).
3. AUSF вычисляет:
- значение HXRES*, представляющего собой усеченный до 128-ми бит хэш от конкатенации ожидаемого отклика аутентификации XRES* и случайного числа RAND: HXRES* младшие 128 бит от SHA-256;
- значение ключа функции безопасности KSEAF.
Далее AUSF формирует вектор "5G AV" (5G Authentication Vector), включающий в себя RAND, AUTN, HXRES*, KSEAF и направляет его якорной функции безопасности (SEAF) посредством сообщения 5G-AIA (Authentication Initiation Answer). В случае, если запрос на аутентификацию (5G-AIR) содержал скрытый идентификатор пользователя (SUCI), AUSF через вызов функции SIDF, получает 5G SUPI и добавляет его в 5G-AIA.
4. SEAF осуществляет контроль таймера времени жизни полученного вектора и направляет пользовательскому терминалу NAS сообщение Auth-Req с включенными параметрами RAND и AUTN.
5. Пользовательский терминал:
- через вызов соответствующих функций USIM модуля вычисляет значения RES, AUTN, CK, IK;
- выполняет аутентификацию сети путем сравнения вычисленного и принятого значений AUTN;
- вычисляет значения ключей KAUSF и KSEAF;
- вычисляет привязанное значение отклика аутентификации RES*;
- направляет якорной функции безопасности (SEAF) сообщение Auth-Resp, содержащее RES*.
6. SEAF вычисляет хэш HRES* (по аналогии с AUSF) и осуществляет аутентификацию пользовательского терминала посредством сравнения HRES* и HXRES*.
7. При успешной аутентификации SEAF направляет AUSF сообщение подтверждения 5G-AC (Authentication Confirmation), содержащее в т.ч. значение отклика RES*, полученное от UE. Данный шаг является опциональным и может не использоваться при регистрации пользователя в домашней сети.
8. AUSF осуществляет проверку таймера времени жизни вектора аутентификации, сравнивает значения вычисленного (XRES*) и полученного (RES*) откликов, после чего завершает процедуру аутентификации.
3GPP рекомендует в рамках одной процедуры аутентификации генерировать и использовать только один вектор. Это позволит завершать каждую процедуру аутентификации сообщением подтверждения.
7 Протокол EAP
Протокол EAP (Extensible Authentication Protocol – расширяемый протокол аутентификации) представляет собой расширение для протокола РРР. Он содержит стандартный механизм поддержки ряда методов аутентификации, включая жетоны, протокол Kerberos, открытые ключи и секретные ключи S/Key. Этот механизм полностью поддерживается как серверами удаленного доступа Windows NT Dial-Up Server, так и сетевыми клиентами удаленного доступа Dial-Up Networking Client. Протокол EAP является крайне важным компонентом безопасных ВЧС, обеспечивающим защиту от силовых атак, подбора пароля по словарю и попыток угадать его.
Применение EAP расширяет возможности ВЧС на базе сервера удаленного доступа Windows NT Remote Access Service, позволяя производить аутентификацию с помощью модулей независимых производителей. Реализация этого протокола в среде Windows NT стала ответом Microsoft на многочисленные просьбы пользователей, которые не хотят отказываться от привычных аппаратных средств безопасности.
Протокол EAP был предложен Целевой группой технической поддержки Интернета в качестве расширения для протокола РРР. Он содержит дополнительные механизмы аутентификации, необходимые для проверки РРР-соединений. Главная задача EAP состоит в динамическом подключении модулей аутентификации на обеих – клиентской и серверной – сторонах такого соединения. Этот протокол отличается очень высокой гибкостью, обеспечивая уникальность и вариативность аутентификации. Практическая реализация EAP включена в Microsoft Windows 2000.
7.1 Обеспечение безопасности на уровне транзакций
Очень высокий уровень безопасности ВЧС обеспечивается за счет применения микропроцессорных карточек и жетонов аутентификации. Микропроцессорные карточки представляют собой миниатюрные устройства размером с кредитную карточку со встроенными в них ЦПУ и небольшим объемом оперативной памяти. Сюда обычно заносятся данные, удостоверяющие личность пользователя (например, сертификаты открытого ключа), ключи шифрования и параметры учетной записи. Некоторые из микропроцессорных карточек содержат также алгоритм шифрования, благодаря которому криптоключи никогда не передаются вовне. В системах обеспечения безопасности удаленного доступа микропроцессорные карточки сегодня используются довольно редко, так как их поддерживают лишь немногие пакеты такого типа. Ситуация должна измениться с появлением Windows 2000. Эта операционная система позволит применять такие карточки при самых различных видах аутентификации, включая RAS, L2TP и PPTP.
Жетоны аутентификации выпускаются различными производителями, каждый из которых закладывает в них собственный алгоритм работы. Но все они представляют собой ни что иное, как аппаратный генератор паролей. Некоторые жетоны оснащаются миниатюрным жидкокристаллическим дисплеем и клавиатурой, напоминая внешним видом калькуляторы. После того, как пользователь введет свой цифровой идентификационный номер, на экране дисплея появляется секретный цифровой код, который выполняет функции пароля. Обычно секретный код носит уникальный характер и никогда не повторяется даже на данном устройстве. Жетоны аутентификации очень удобны для организации доступа по коммутируемым каналам (например, при работе со службой удаленного доступа), а также для аутентификации хост-компьютеров. Сетевое применение таких жетонов, как правило, основано на клиент-серверных технологиях (либо построено по другим схемам с применением паролей), поэтому не исключает перехвата передаваемой секретной информации.
Поддержку жетонов аутентификации, как и пользовательских сертификатов с открытым ключом, обеспечит синтетический протокол EAP-TLS (Extended Authentication Protocol-Transaction Layer Security – расширяемый протокол аутентификации и обеспечение безопасности на уровне транзакций). Он уже представлен на рассмотрение Целевой группы технической поддержки Интернета в качестве проекта спецификации на метод аутентификации повышенной надежности с применением сертификатов открытого ключа. При работе по схеме EAP-TLS клиент посылает на сервер удаленного доступа пользовательский сертификат, а в ответ получает с него серверный сертификат. Первый из них обеспечивает надежную аутентификацию пользователя на сервере, а второй гарантирует, что клиент вступил в контакт именно с тем сервером, который ему нужен. При проверке достоверности полученных данных оба участника такого обмена полагаются на цепочку доверенных органов сертификации.
Сертификат пользователя может храниться непосредственно на клиентском ПК, с которого производится удаленный доступ, либо на внешней микропроцессорной карточке. В обоих случаях воспользоваться сертификатом можно только после идентификации пользователя, которая производится путем обмена той или иной информацией (идентификационного номера, комбинации имени пользователя и пароля и т.д.) между пользователем и клиентским ПК. Такой подход в полной мере отвечает принципу программно-аппаратной защиты, рекомендуемому большинством экспертов в области безопасности связи.
EAP-TLS представляет собой, по сути, разновидность протокола EAP, реализованную в Windows 2000. Как и MS-CHAP, он служит для получения криптоключа, который используется протоколом MPPE для шифрования всех последующих данных.
7.2 Аутентификация с помощью службы RADIUS
RADIUS (Remote Authentication Dial-in User Service – служба дистанционной аутентификации пользователей по коммутируемым линиям) представляет собой центральный сервер с базой данных аутентификации и служит дополнением к другим протоколам аутентификации запросов. В основу этой службы положены протокол UDP, обслуживающий протоколы РРР, РАР и CHAP, а также функция входа в системы Unix и ряд других механизмов аутентификации. Кроме своего непосредственного предназначения служба RADIUS позволяет также производить учет бюджета ВЧС.
Получив от сетевой службы аутентификации NAS запрос на подключение пользователя, сервер RADIUS сравнивает полученные данные с информацией из своей базы данных. Здесь же находится и центральное хранилище параметров подключений для всех зарегистрированных пользователей. При необходимости сервер не ограничивается простым ответом на запрос (ДА/НЕТ), а сообщает в NAS ряд сведений относительно конкретного пользователя. В частности, он может указать наибольшее время сеанса, выделенный статический IP-адрес и информацию, позволяющую произвести обратный вызов пользователя.
Служба RADIUS может не только сама обращаться в свою базу данных для самостоятельной обработки запросов аутентификации, но и предоставлять ее другим серверам баз данных. В частности, ею может воспользоваться общий открытый сервер подключений сети или главный контроллер домена. Последний часто размещается на том же компьютере, что и сервер RADIUS, хотя это и не обязательно. Кроме всего прочего, сервер RADIUS может выполнять функции клиента-представителя удаленного сервера RADIUS.
7.3 Учет бюджета ВЧС с помощью службы RADIUS
Служба RADIUS позволяет осуществлять централизованное администрирование и учет бюджета нескольких туннельных серверов. Большинство серверов RADIUS можно настроить таким образом, чтобы они регистрировали запросы на аутентификацию в специальном учетном файле. Спецификациями предусмотрен набор стандартных сообщений, которыми служба NAS уведомляет сервер RADIUS о необходимости передавать учетную запись пользователя в начале каждого вызова, в его конце, либо повторять ее в процессе сеанса связи через заданные промежутки времени. А независимые разработчики предлагают ряд пакетов биллинга и аудита, которые на основе учетных записей RADIUS генерируют различные аналитические документы.
7.4 Протокол EAP и RADIUS
Чтобы совместно использовать протокол EAP с сервером RADIUS, необходимо внести коррективы как в службу NAS, так и в службу RADIUS. При традиционной схеме аутентификации эти службы производят одну-единственную транзакцию, состоящую из запроса и ответа на него. Однако при аутентификации по протоколу EAP служба NAS не может самостоятельно собрать информацию о клиенте, необходимую для аутентификации на сервере RADIUS. Для решения этой проблемы системный администратор может настроить службу NAS таким образом, что она будет направлять клиенту идентификатор, включив его в сообщение EAP. Тот в ответ сообщит службе сетевой аутентификации данные об имени пользователя и домене. Служба NAS включает их в запрос EAP-start и в таком виде направляет на сервер RADIUS. Дальнейший процесс аутентификации производится, как обычно: служба RADIUS передает клиенту через службу NAS сообщения EAP и отвечает на них до тех пор, пока аутентификация не даст положительного (или отрицательного) результата.
Его имени и пароля и выдает разрешение на доступ к серверу выдачи разрешений, который, в свою очередь, дает “добро” на использование необходимых ресурсов сети. Однако данная модель не отвечает на вопрос о надежности защиты информации, поскольку, с одной стороны, пользователь не может посылать идентификационному серверу свой пароль по сети, а с другой – разрешение на доступ к обслуживанию в сети...
Протоколом VPN является протокол двухточечной туннельной связи (Point-to-Point Tunnelling Protocol – PPTP). Разработан он компаниями 3Com и Microsoft с целью предоставления безопасного удаленного доступа к корпоративным сетям через Интернет. PPTP использует существующие открытые стандарты TCP/IP и во многом полагается на устаревший протокол двухточечной связи РРР. На практике РРР так и остается...
При развёртывании беспроводных сетей в домашних условиях или небольших офисах обычно используется вариант протокола безопасности WPA на основе общих ключей - WPA-PSK (Pre Shared Key), который также называют режимом WPA-Personal. Он использует статический ключ аналогично WEP. При использовании WPA-PSK в настройках точки доступа и профилях беспроводного соединения клиентов указывается пароль длиной от 8 до 63 печатных символов ASCII. При подключении пользователь должен будет ввести этот пароль и, если пароли совпадают с записями в базе, он получит разрешение на доступ в сеть.
В режиме WPA-EAP (Extensible Authentication Protocol), который также называется режимом WPA-предприятие (WPA-Enterprise), запросы проверки подлинности пересылаются на внутренний сервер с протоколом RADIUS. Служба Сервер сетевой политики (Network Policy Server, NPS) обеспечивает проверку подлинности RADUIS на серверах. NPS-сервер может передавать запросы проверки подлинности на контроллер домена, позволяя защищенным беспроводным сетям WPA-EAP выполнять проверку подлинности контроллеров домена без ввода ключа пользователями.
Режим WPA-EAP обеспечивает очень гибкую проверку подлинности. Например, можно настроить, чтобы пользователь подключался к защищенной производственной сети WPA-Enterprise с помощью смарт-карты. Поскольку WPA-EAP не использует статический ключ, этим режимом безопасности легче управлять, потому что не требуется изменять ключ в случае его определения хакером. Для поверки подлинности множество точек беспроводного доступа могут использовать один центральный сервер. Кроме того, этот режим безопасности взломать намного сложнее, чем WEP или WPA-PSK. беспроводный сеть шифрование криптографический
Механизмы шифрования, которые используются для WPA-EAP и WPA-PSK, являются идентичными. Единственное отличие WPA-PSK состоит в том, что аутентификация производится с использованием пароля, а не по сертификату пользователя.
Достоинства и недостатки
Достоинствами WPA, по сравнению с WEP, являются:
Из недостатков можно выделить:
Недостатки WPA-PSK - статический ключ можно взломать с помощью технологий полного перебора значений. Кроме того, статическими ключами очень сложно управлять в производственной среде. В случае взлома отдельного компьютера, отконфигурированного с таким ключом, потребуется изменить ключ на каждой точке беспроводного доступа.
Источник: Башмаков А.В., Конспект лекция "Безопасность беспроводных сетей"
Известные уязвимости
Метод Бека-Тевса
6 ноября 2008 года на конференции PacSec двумя немецкими студентами, Мартином Беком из Дрездена и Эриком Тевсом из Дармштадта, был представлен способ, позволяющий взломать ключ TKIP, используемый в WPA, за 12-15 минут.
У TKIP было несколько особенностей, делавших его на тот момент самой надежной защитой. В частности, был предусмотрен контроль последовательности, в рамках которого точка доступа отвергала все пакеты, поступавшие вне очереди. Это защищало от так называемой "replay attack", при которой передача одних и тех же данных повторяется со злым умыслом и совсем не полезным "вложением". Также TKIP отличался 64-битным контролем целостности пакетов MIC, имевшим кодовое название MICHAEL. TKIP, помимо всего прочего, подразумевал передачу каждого пакета с уникальным ключом шифрования.
Поскольку TKIP создавался с учетом возможности программного апгрейда оборудования, ранее поддерживавшего только WEP, то шифр RC4 использовался и в нем, как и 4 байта для контроля целостности (ICV). Предложенный Беком и Тевсом в докладе метод атаки действует с учетом некоторых предположений, приводимых авторами: атакуемая сеть использует TKIP для шифрования трафика между точкой доступа и клиентами; в сети для адресации используется IPv4 c заранее известным диапазоном адресов вроде 192.168.0.X; длинным интервалом между сменами ключа (3600 секунд в примере авторов метода); QoS (Quality of Service, качество обслуживания) активирован.
Злоумышленник "прослушивает" трафик до тех пор, пока не найдет в нем ARP-запрос или ответ (ARP-протокол используется для сопоставления IP- и MAC-адресов в сети), такие пакеты легко вычисляются по характерной длине. Большая часть содержимого такого пакета хакеру известна, кроме последнего байта адреса, 8 байт MICHAEL и 4 байт контрольной суммы ICV. MICHAEL и ICV вместе образуют последние 12 байт. После этого хакер использует методы (chopchop), чтобы расшифровать оставшиеся байты. В TKIP есть два способа борьбы с такими атаками:
Тем не менее, обходной путь был найден: хакеру просто нужно запустить атаку по другому каналу QoS, отличному от того, по которому прошел пакет. Если последний байт адреса в ходе атаки был угадан неверно, пакет просто "сбросится", если же он был угадан верно, клиент пошлет уведомление MIC failure, но счетчик при этом не сработает. Хакеру нужно выжидать по крайней мере 60 секунд между отсылкой пакетов, чтобы не спровоцировать 1-й вариант защиты. 12 с небольшим минут - и в распоряжении атакующего значения MIC и ICV. Осталось угадать только IP-адреса точки и клиента.
Далее открывается широкое поле для экспериментов. Можно перенаправлять трафик, используя поддельные ARP-ответы. Если файрволл клиента не контролирует исходящий трафик, можно попытаться установить двустороннее соединение с клиентом, получая "ответы" не напрямую, а перенаправляя их через Интернет.
В качестве мер противодействия Бек и Тевс предлагали три варианта:
Метод Охигаси-Мории
Метод, разработанный сотрудником университета Хиросимы Тосихиро Охигаси (Toshihiro Ohigashi) и профессором университета Кобе Масакату Мории (Masakatu Morii), создан на базе технологии Бека-Тевса (Beck-Tews). Данная технология предусматривает незначительную модификацию пакетов, зашифрованных по временному протоколу целостности ключа (Temporal Key Integrity Protocol, TKIP) в рамках механизма безопасности WPA, и отправку измененных пакетов обратно на точку доступа. Недостаток метода Бека-Тьюза заключается в том, что на его выполнение требуется от 10 до 15 минут.
Метод, предложенный Охигаси и Мории, как и технология Бека-Тьюза, использует принцип атаки "человек посередине" (man-in-the-middle), который предусматривает вмешательство в коммуникацию между пользователями. Риск обнаружения атаки при таком подходе весьма высок, поэтому возможность сократить продолжительность атаки до 60 секунд является огромным преимуществом - по крайней мере, для хакеров.
Необходимо заметить, что соединения WPA, использующие более защищённый стандарт шифрования ключа AES, а также WPA2-соединения, не подвержены этим атакам.
Немного о WPA 2
23 июля 2010 года была опубликована информация об уязвимости Hole196 в протоколе WPA2. Используя эту уязвимость, авторизовавшийся в сети злонамеренный пользователь может расшифровывать данные других пользователей, используя свой закрытый ключ. Никакого взлома ключей или брут-форса (полный перебор) не требуется.
Более правильно было бы сказать, что протокол защиты WPA2 взломан, настолько обширную уязвимость нашли специалисты по сетевой безопасности из компании AirTight Networks. Они доказали, что протокол защиты данных WPA2, наиболее распространенный сейчас в сетях WiFi, можно взломать с целью получения любой информации из такой сети. Кроме того, специалисты утверждают, что уязвимость может помогать хакерам атаковать различные ресурсы, используя возможности взломанной сети.
Обнаруженная уязвимость оказалась применимой ко всем беспроводным сетям, которые совместимы со стандартом IEEE802.11 Standard (Revision, 2007). Уязвимость получила и собственное название - Hole 196.
Уязвимость была найдена при использовании атаки типа Man-in-the-middle. Человек, авторизовавшийся в такой сети, и воспользовавшийся эксплоитом, сможет перехватывать и расшифровывать данные, передаваемые внутри сети. Кроме того, при использовании этой "дыры" становится возможным подмена MAC-адресов. Таким образом, информацию можно передавать поддельным клиентским системам, и это же позволяет использовать ресурсы взломанной сети для атак на различные веб-ресурсы, без особого опасения быть обнаруженным.
Способы взлома беспроводных сетей, защищенных WPA
WPA-TKIP
Уязвимость в протоколе WPA-TKIP, обнаруженной исследователями и членами команды aircrack-ng Мартином Бэком и Эриком Тюзом.
В результате эксплуатации уязвимости основной ключ невозможно восстановить, можно лишь узнать ключ, используемый для проверки целостности и ключевой поток. На основании этого, не зная основного ключа, появляется возможность передавать пакеты в сеть. Получаются обратно пакеты по схеме, подобной easside-ng.
Эту уязвимость можно проверить, используя тестовую программу tkiptun-ng добавленную в aircrack-ng. Известно, что для проведения атаки необходимо сменить MAC своего адаптера на MAC клиента, который атакуется. Также атакуемая точка доступа должна поддерживать QoS или WMM, использовать WPA + TKIP (не AES), и время смены временного ключа должно быть больше 3600 секунд. Если все это присутствует, то можно запускать: #tkiptun-ng -h
После успешного исполнения можно получить поток ключа, с помощью которого можно создавать пакеты и запускать их в сеть.
Протокол WPA2 не подвержен этой уязвимости.
Классический взлом WPA. Перехват handshake.
Суть атаки - в переборе всех возможных комбинаций ключа до его определения. Метод гарантирует успех, но если ключ достаточно длинный и не находиться в словарях, то можно считать себя защищенным от этой атаки. Таким образом, взламываются как WPA так и WPA2 сети, но лишь в PSK режиме.
Шифрования WPA/WPA2 PSK уязвимы к атакам по словарю. Для осуществления этой атаки, необходимо получить 4-way WPA handshake между wifi-клиентом и точкой доступа (АР), а также словарь содержащий парольную фразу.
WPA/WPA2 PSK работает следующим образом: он вытекает из ключа предварительной сессии, которая называется Pairwise Transient Key (PTK). PTK, в свою очередь использует Pre-Shared Key и пять других параметров - SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), Authenticator MAC-address (MAC-адрес точки доступа) и Suppliant MAC-address (МАС-адрес wifi-клиента). Этот ключ в дальнейшем использует шифрование между точкой доступа (АР) и wifi-клиентом. Злоумышленник, который в этот момент времени прослушивает эфир, может перехватить все пять параметров. Единственной вещью, которой не владеет злодей это - Pre-Shared key. Pre-Shared key получается (создается) благодаря использованию парольной фразы WPA-PSK, которую отправляет пользователь, вместе с SSID. Комбинация этих двух параметров пересылается через Password Based Key Derivation Function (PBKDF2), которая выводит 256-bit"овый общий ключ.
В обычной/типичной WPA/WPA2 PSK атаке по словарю, злоумышленник будет использовать словарь с программой (инструментом). Программа будет выводить 256-bit"овый Pre-Shared Key для каждой парольной фразы и будет использовать ее с другими параметрами, которые были описаны в создании PTK. PTK будет использоваться для проверки Message Integrity Check (MIC) в одном из пакетов handshake. Если они совпадут, то парольная фраза в словаре будет верной, в противном случае наоборот (неверной).
Эта атака встроена в пакет aircrack-ng. Сначала нужно словить аутентификацию клиента, чтобы на основании ее уже восстанавливать основной ключ. Это проще всего сделать, запустив #airodump-n g и дождавшись аутентификации, либо запустив атаку деаутентификации #aireplay-ng -0 <количество деаутентификаций> . Через некоторое время, airodump-ng покажет, что аутентификация уловлена и записана в файл. После этого, нужно лишь запустить aircrack-ng <файл аутентификации> и ждать.
Ускорить процесс можно используя большой словарь с часто используемыми словами. Еще поможет использование специализированных микроконтроллеров или видеокарт. Без этого перебор всех возможных ключей займет слишком много времени.
Для противостояния такой атаке можно использовать достаточно длинные и необычные ключи.
Wi-Fi Protected Setup
Wi-Fi Protected Setup (WPS) - стандарт, предназначенный для полуавтоматического создания беспроводной домашней сети, созданный Wi-Fi Alliance. Официально запущен 8 января 2007 года.
Большинство современных роутеров поддерживают механизм WPS. Целью протокола WPS является упрощение процесса настройки беспроводной сети, поэтому изначально он назывался Wi-Fi Simple Config. Протокол призван оказать помощь пользователям, которые не обладают широкими знаниями о безопасности в беспроводных сетях, и как следствие, имеют сложности при осуществлении настроек. WPS автоматически обозначает имя сети и задает шифрование, для защиты от несанкционированного доступа в сеть, при этом нет необходимости вручную задавать все параметры.
Существует три варианта использования WPS:
Здесь PIN-код состоит из восьми цифр - следовательно, существует 10^8 (100 000 000) вариантов для подбора. Но дело в том, что последняя цифра PIN-кода представляет собой контрольную сумму, которая высчитывается на основании семи первых цифр. В итоге получаем уже 10^7 (10 000 000) вариантов. К тому же, проверка PIN-кода осуществляется в два этапа - каждая часть проверяется отдельно. Получаем 10^4 (10 000) вариантов для первой половины и 10^3 (1 000) для второй. Итого, всего лишь 11 000 вариантов для полного перебора. Но здесь стоит отметить один важный момент - возможная скорость перебора. Она ограничена скоростью обработки роутером WPS-запросов: одни точки доступа будут выдавать результат каждую секунду, другие - каждые десять секунд.
Реализацию брутфорса можно выполнить с помощью утилиты wpscrack , а так же с помощью утилиты Reaver . Reaver будет предпочтительней в виду своей большей функциональности и поддержкой намного большего количества беспроводных адаптеров.
Как и для любой другой атаки на беспроводную сеть, понадобится Linux. Для использования Reaver необходимо проделать следующие вещи:
После можно приступать непосредственно к перебору PIN"а. Необходимо указать имя интерфейса (переведенного ранее в режим мониторинга) и BSSID точки доступа:
$ reaver -i mon0 -b 00:21:29:74:67:50 -vv
Ключ "-vv" включает расширенный вывод программы, чтобы можно было убедиться, что все работает как надо. Если программа последовательно отправляет PIN"ы точке доступа, значит, все работает хорошо, и остается только ждать. Процесс может затянуться - примерно время может варьироваться от четырех до десяти часов. Как только он будет подобран, программа об этом сообщит и выдаст. Найденный ключ WPA-PSK, можно сразу же использовать для подключения.
Также стоит отметить то, что существует более быстрый вариант. Дело в том, что у некоторых одинаковых моделей роутеров обычно оказывается одинаковый PIN. И, если, PIN модели выбранного роутера уже известен, то время взлома составляет буквально несколько секунд.
Защититься от атаки можно пока одним способом - отключить WPS в настройках роутера. Правда, сделать это возможно далеко не всегда. Или, чтобы максимально противодействовать брутфорсу, можно блокировать WPS на неопределенное время после нескольких неудачных попыток ввода PIN-кода. То перебор может затянуться на очень и очень долгое время, в зависимости от выставленного значения периода блокировки.
Немного о WPA/WPA2-Enterprise. Взлом MS-CHAPv2.
В Enterprise, MS-CHAPv2 является только одним из возможных методов EAP. Популярность MS-CHAPv2 вызвана тем, что это наиболее простой метод для интеграции с продуктами Microsoft (IAS, AD, и т.д.).
Утверждается, что MS-CHAPv2 взламывается с результативностью 100%. Для этого нужно перехватить обмен по протоколу MS-CHAPv2, после чего, используя уязвимости в шифровании можно вычислить реквизиты пользователя. Утверждается, что MS-CHAPv2 используется в системах VPN и WPA2-Enterprise. При этом и VPN и WPA2 упоминаются в контексте AAA-серверов (Authentication, Authorization, Accounting), что весьма логично, так как именно там и ловится нешифрованный MS-CHAP. Т.е., если перехватить MS-CHAPv2 обмен между клиентом и AAA-сервером - можно вычислить реквизиты пользователя.
Но так как при наличии туннеля перехват сессии MS-CHAPv2 уже невозможен (вначале надо взломать шифрование туннеля), такой способ взлома действителен только, если сымитировать точку доступа. Тогда можно спокойно заполучить и клиента, и его MS-CHAPv2 сессию, при условии, что отсутствуют сертификаты на точке доступа и выключена проверка сертификатов на клиентах.
Таким образом, для грамотно построенной беспроводной сети с WPA2-Enterprise на основе PEAP/MS-CHAPv2 такая атака не страшна. Разве что, вклиниться в канал между аутентификатором (точкой доступа, контроллером) и AAA-сервером, но это уже не относится к WPA.
В процессе аутентификации можно выделить три основных участника процесса:
В некоторых случаях сервер аутентификации и аутентификатор могут быть одним устройством, например домашние устройства использующие метод EAP-PSK. В целом процесс аутентификации происходит следующим образом:
Сводная таблица кодов пакетов EAP:
Облегченный расширяемый протокол аутентификации (англ. Lightweight Extensible Authentication Protocol ), метод, разработанный компанией Cisco до ратификации IEEE стандарта безопасности 802.11i . Cisco распространил протокол через CCX (Cisco Certified Extensions) как часть протокола 802.1X и динамического WEP из-за отсутствия отдельного промышленного стандарта в индустрии. В операционных системах семейства Windows отсутствует встроенная поддержка протокола LEAP , однако поддержка протокола широко распространена в сторонних программах-клиентах (чаще всего идущих в комплекте с беспроводным оборудованием). Поддержка LEAP в Windows может быть добавлена путём установки клиентского ПО компании Cisco, которое обеспечивает поддержку протоколов LEAP и EAP-FAST. Многие другие производители WLAN оборудования также поддерживают протокол LEAP из-за его высокой распространённости.
LEAP использует модифицированную версию протокола MS-CHAP - слабо защищённого протокола аутентификации , информация о пользователе и пароле в котором легко компрометируется ; в начале 2004 года Джошуа Райтом был написан эксплойт протокола LEAP, названный ASLEAP . Взлом основан на том, что, во-первых, все элементы запроса и ответа, помимо хеша пароля, передаются в незашифрованном виде или легко рассчитываются на основе данных, которые отправляются по сети. Это означает, что злоумышленнику типа человек посередине получения хеша пароля будет достаточно, чтобы повторно авторизоваться. Во-вторых, создание ключей является потенциально слабым. Дополнение 5 байт нулями означает, что последний ключ имеет ключевое пространство 2 16 . Наконец, один и тот же исходный текст шифруется с помощью двух ключей (при отправке хеша серверу и при ответе), что означает, что сложности 2 56 достаточно, чтобы взломать оба ключа. После того, как злоумышленник имеет все ключи, он получает хеш пароля, которого достаточно для повторной аутентификации (подробнее в MS-CHAP).
Встроенная поддержка этого метода есть во всех операционных системах семейства Windows (начиная с Windows 2000 SP4), Linux и Mac OS X (с версии 10.3).
В отличие от многих других реализаций TLS , например в HTTPS , большинство реализаций EAP-TLS требует предустановленного сертификата X.509 у клиента, не давая возможности отключить требование, хотя стандарт не требует этого в обязательном порядке . Это могло помешать распространению «открытых», но зашифрованных точек беспроводного доступа . В августе 2012 года hostapd и wpa_supplicant была добавлена поддержка UNAUTH-TLS - собственного метода аутентификации EAP и 25 февраля 2014 добавлена поддержка WFA-UNAUTH-TLS, метода аутентификации, аутентифицирующий только сервер . Это позволит работать через EAP-TLS так же, как через HTTPS , где беспроводная точка доступа даёт возможность свободного подключения (то есть не требует проверки подлинности клиентов), но при этом шифрует трафик (IEEE 802.11i-2004 , то есть WPA2) и позволяет пройти аутентификации при необходимости. В стандартах также содержатся предложения по использованию IEEE 802.11u в точках доступа, чтобы сигнализировать о доступности метода EAP-TLS, аутентифицирующего только сервер, используя стандартный протокол EAP-TLS IETF, а не стороннего метода EAP .
Требование предустановленного сертификата на стороне клиента - одна из причин высокой защищённости метода EAP-TLS и пример «жертвования» удобства в пользу безопасности. Для взлома EAP-TLS не достаточно скомпрометировать пароль пользователя, для успешной атаки злоумышленнику также потребуется завладеть соответствующим пользователю сертификатом клиента. Наилучшей безопасности можно добиться, храня сертификаты клиентов в смарт-картах .
Tunneled Transport Layer Security (Безопасность Транспортного Уровня через Туннель), метод EAP, расширяющий возможности метода TLS. Он разработан компаниями Funk Software и Certicom и довольно хорошо поддерживается большинством платформ (Windows с версии 8, а Windows Mobile с версии 8.1 ).
Клиент может (но не обязан) быть аутентифицирован сервером при помощи подписанного Центром Сертификации PKI-сертификатом . Необязательность аутентификации клиента сильно упрощает процедуру настройки, так как нет необходимости генерировать и устанавливать на каждый из них индивидуальный сертификат.
После того, как сервер аутентифицирован клиентом при помощи сертификата, подписанного Центром Сертификации и, опционально, клиент-сервером, сервер может использовать получившееся защищённое соединение (туннель) для дальнейшей аутентификации клиента. Туннель позволяет использовать протоколы аутентификации, рассчитанные на каналы, защищённые от атаки MITM и от «прослушки». При использовании метода EAP-TTLS никакая информация, используемая для аутентификации, не передается в открытом виде, что ещё больше затрудняет взлом.
Pre-Shared Key (Заранее известный ключ) , метод определённый в RFC 4764 , использующий для взаимной аутентификации и обмена сессионным ключом заранее оговорённый ключ. Метод разработан для работы в незащищённых сетях, таких как IEEE 802.11 , и в случае успешной аутентификации обеспечивает защищённое двустороннее соединение между клиентом и точкой доступа.
EAP-PSK задокументирован в экспериментальной RFC и обеспечивает лёгкий и расширяемый EAP метод, не использующий асимметричное шифрование . Этот метод требует четырёх сообщений (минимально возможное количество) для взаимной аутентификации.
На другой день простившись только с одним графом, не дождавшись выхода дам, князь Андрей поехал домой.
Уже было начало июня, когда князь Андрей, возвращаясь домой, въехал опять в ту березовую рощу, в которой этот старый, корявый дуб так странно и памятно поразил его. Бубенчики еще глуше звенели в лесу, чем полтора месяца тому назад; всё было полно, тенисто и густо; и молодые ели, рассыпанные по лесу, не нарушали общей красоты и, подделываясь под общий характер, нежно зеленели пушистыми молодыми побегами.
Целый день был жаркий, где то собиралась гроза, но только небольшая тучка брызнула на пыль дороги и на сочные листья. Левая сторона леса была темна, в тени; правая мокрая, глянцовитая блестела на солнце, чуть колыхаясь от ветра. Всё было в цвету; соловьи трещали и перекатывались то близко, то далеко.
«Да, здесь, в этом лесу был этот дуб, с которым мы были согласны», подумал князь Андрей. «Да где он», подумал опять князь Андрей, глядя на левую сторону дороги и сам того не зная, не узнавая его, любовался тем дубом, которого он искал. Старый дуб, весь преображенный, раскинувшись шатром сочной, темной зелени, млел, чуть колыхаясь в лучах вечернего солнца. Ни корявых пальцев, ни болячек, ни старого недоверия и горя, – ничего не было видно. Сквозь жесткую, столетнюю кору пробились без сучков сочные, молодые листья, так что верить нельзя было, что этот старик произвел их. «Да, это тот самый дуб», подумал князь Андрей, и на него вдруг нашло беспричинное, весеннее чувство радости и обновления. Все лучшие минуты его жизни вдруг в одно и то же время вспомнились ему. И Аустерлиц с высоким небом, и мертвое, укоризненное лицо жены, и Пьер на пароме, и девочка, взволнованная красотою ночи, и эта ночь, и луна, – и всё это вдруг вспомнилось ему.
«Нет, жизнь не кончена в 31 год, вдруг окончательно, беспеременно решил князь Андрей. Мало того, что я знаю всё то, что есть во мне, надо, чтобы и все знали это: и Пьер, и эта девочка, которая хотела улететь в небо, надо, чтобы все знали меня, чтобы не для одного меня шла моя жизнь, чтоб не жили они так независимо от моей жизни, чтоб на всех она отражалась и чтобы все они жили со мною вместе!»
Возвратившись из своей поездки, князь Андрей решился осенью ехать в Петербург и придумал разные причины этого решенья. Целый ряд разумных, логических доводов, почему ему необходимо ехать в Петербург и даже служить, ежеминутно был готов к его услугам. Он даже теперь не понимал, как мог он когда нибудь сомневаться в необходимости принять деятельное участие в жизни, точно так же как месяц тому назад он не понимал, как могла бы ему притти мысль уехать из деревни. Ему казалось ясно, что все его опыты жизни должны были пропасть даром и быть бессмыслицей, ежели бы он не приложил их к делу и не принял опять деятельного участия в жизни. Он даже не понимал того, как на основании таких же бедных разумных доводов прежде очевидно было, что он бы унизился, ежели бы теперь после своих уроков жизни опять бы поверил в возможность приносить пользу и в возможность счастия и любви. Теперь разум подсказывал совсем другое. После этой поездки князь Андрей стал скучать в деревне, прежние занятия не интересовали его, и часто, сидя один в своем кабинете, он вставал, подходил к зеркалу и долго смотрел на свое лицо. Потом он отворачивался и смотрел на портрет покойницы Лизы, которая с взбитыми a la grecque [по гречески] буклями нежно и весело смотрела на него из золотой рамки. Она уже не говорила мужу прежних страшных слов, она просто и весело с любопытством смотрела на него. И князь Андрей, заложив назад руки, долго ходил по комнате, то хмурясь, то улыбаясь, передумывая те неразумные, невыразимые словом, тайные как преступление мысли, связанные с Пьером, с славой, с девушкой на окне, с дубом, с женской красотой и любовью, которые изменили всю его жизнь. И в эти то минуты, когда кто входил к нему, он бывал особенно сух, строго решителен и в особенности неприятно логичен.
– Mon cher, [Дорогой мой,] – бывало скажет входя в такую минуту княжна Марья, – Николушке нельзя нынче гулять: очень холодно.
– Ежели бы было тепло, – в такие минуты особенно сухо отвечал князь Андрей своей сестре, – то он бы пошел в одной рубашке, а так как холодно, надо надеть на него теплую одежду, которая для этого и выдумана. Вот что следует из того, что холодно, а не то чтобы оставаться дома, когда ребенку нужен воздух, – говорил он с особенной логичностью, как бы наказывая кого то за всю эту тайную, нелогичную, происходившую в нем, внутреннюю работу. Княжна Марья думала в этих случаях о том, как сушит мужчин эта умственная работа.
Князь Андрей приехал в Петербург в августе 1809 года. Это было время апогея славы молодого Сперанского и энергии совершаемых им переворотов. В этом самом августе, государь, ехав в коляске, был вывален, повредил себе ногу, и оставался в Петергофе три недели, видаясь ежедневно и исключительно со Сперанским. В это время готовились не только два столь знаменитые и встревожившие общество указа об уничтожении придворных чинов и об экзаменах на чины коллежских асессоров и статских советников, но и целая государственная конституция, долженствовавшая изменить существующий судебный, административный и финансовый порядок управления России от государственного совета до волостного правления. Теперь осуществлялись и воплощались те неясные, либеральные мечтания, с которыми вступил на престол император Александр, и которые он стремился осуществить с помощью своих помощников Чарторижского, Новосильцева, Кочубея и Строгонова, которых он сам шутя называл comite du salut publique. [комитет общественного спасения.]
Теперь всех вместе заменил Сперанский по гражданской части и Аракчеев по военной. Князь Андрей вскоре после приезда своего, как камергер, явился ко двору и на выход. Государь два раза, встретив его, не удостоил его ни одним словом. Князю Андрею всегда еще прежде казалось, что он антипатичен государю, что государю неприятно его лицо и всё существо его. В сухом, отдаляющем взгляде, которым посмотрел на него государь, князь Андрей еще более чем прежде нашел подтверждение этому предположению. Придворные объяснили князю Андрею невнимание к нему государя тем, что Его Величество был недоволен тем, что Болконский не служил с 1805 года.
«Я сам знаю, как мы не властны в своих симпатиях и антипатиях, думал князь Андрей, и потому нечего думать о том, чтобы представить лично мою записку о военном уставе государю, но дело будет говорить само за себя». Он передал о своей записке старому фельдмаршалу, другу отца. Фельдмаршал, назначив ему час, ласково принял его и обещался доложить государю. Через несколько дней было объявлено князю Андрею, что он имеет явиться к военному министру, графу Аракчееву.
В девять часов утра, в назначенный день, князь Андрей явился в приемную к графу Аракчееву.
Лично князь Андрей не знал Аракчеева и никогда не видал его, но всё, что он знал о нем, мало внушало ему уважения к этому человеку.
«Он – военный министр, доверенное лицо государя императора; никому не должно быть дела до его личных свойств; ему поручено рассмотреть мою записку, следовательно он один и может дать ход ей», думал князь Андрей, дожидаясь в числе многих важных и неважных лиц в приемной графа Аракчеева.
Князь Андрей во время своей, большей частью адъютантской, службы много видел приемных важных лиц и различные характеры этих приемных были для него очень ясны. У графа Аракчеева был совершенно особенный характер приемной. На неважных лицах, ожидающих очереди аудиенции в приемной графа Аракчеева, написано было чувство пристыженности и покорности; на более чиновных лицах выражалось одно общее чувство неловкости, скрытое под личиной развязности и насмешки над собою, над своим положением и над ожидаемым лицом. Иные задумчиво ходили взад и вперед, иные шепчась смеялись, и князь Андрей слышал sobriquet [насмешливое прозвище] Силы Андреича и слова: «дядя задаст», относившиеся к графу Аракчееву. Один генерал (важное лицо) видимо оскорбленный тем, что должен был так долго ждать, сидел перекладывая ноги и презрительно сам с собой улыбаясь.
Но как только растворялась дверь, на всех лицах выражалось мгновенно только одно – страх. Князь Андрей попросил дежурного другой раз доложить о себе, но на него посмотрели с насмешкой и сказали, что его черед придет в свое время. После нескольких лиц, введенных и выведенных адъютантом из кабинета министра, в страшную дверь был впущен офицер, поразивший князя Андрея своим униженным и испуганным видом. Аудиенция офицера продолжалась долго. Вдруг послышались из за двери раскаты неприятного голоса, и бледный офицер, с трясущимися губами, вышел оттуда, и схватив себя за голову, прошел через приемную.
Вслед за тем князь Андрей был подведен к двери, и дежурный шопотом сказал: «направо, к окну».
Князь Андрей вошел в небогатый опрятный кабинет и у стола увидал cорокалетнего человека с длинной талией, с длинной, коротко обстриженной головой и толстыми морщинами, с нахмуренными бровями над каре зелеными тупыми глазами и висячим красным носом. Аракчеев поворотил к нему голову, не глядя на него.
– Вы чего просите? – спросил Аракчеев.
– Я ничего не… прошу, ваше сиятельство, – тихо проговорил князь Андрей. Глаза Аракчеева обратились на него.
– Садитесь, – сказал Аракчеев, – князь Болконский?
– Я ничего не прошу, а государь император изволил переслать к вашему сиятельству поданную мною записку…
– Изволите видеть, мой любезнейший, записку я вашу читал, – перебил Аракчеев, только первые слова сказав ласково, опять не глядя ему в лицо и впадая всё более и более в ворчливо презрительный тон. – Новые законы военные предлагаете? Законов много, исполнять некому старых. Нынче все законы пишут, писать легче, чем делать.
– Я приехал по воле государя императора узнать у вашего сиятельства, какой ход вы полагаете дать поданной записке? – сказал учтиво князь Андрей.
– На записку вашу мной положена резолюция и переслана в комитет. Я не одобряю, – сказал Аракчеев, вставая и доставая с письменного стола бумагу. – Вот! – он подал князю Андрею.
На бумаге поперег ее, карандашом, без заглавных букв, без орфографии, без знаков препинания, было написано: «неосновательно составлено понеже как подражание списано с французского военного устава и от воинского артикула без нужды отступающего».
– В какой же комитет передана записка? – спросил князь Андрей.
– В комитет о воинском уставе, и мною представлено о зачислении вашего благородия в члены. Только без жалованья.
Князь Андрей улыбнулся.
– Я и не желаю.
– Без жалованья членом, – повторил Аракчеев. – Имею честь. Эй, зови! Кто еще? – крикнул он, кланяясь князю Андрею.
Ожидая уведомления о зачислении его в члены комитета, князь Андрей возобновил старые знакомства особенно с теми лицами, которые, он знал, были в силе и могли быть нужны ему. Он испытывал теперь в Петербурге чувство, подобное тому, какое он испытывал накануне сражения, когда его томило беспокойное любопытство и непреодолимо тянуло в высшие сферы, туда, где готовилось будущее, от которого зависели судьбы миллионов. Он чувствовал по озлоблению стариков, по любопытству непосвященных, по сдержанности посвященных, по торопливости, озабоченности всех, по бесчисленному количеству комитетов, комиссий, о существовании которых он вновь узнавал каждый день, что теперь, в 1809 м году, готовилось здесь, в Петербурге, какое то огромное гражданское сражение, которого главнокомандующим было неизвестное ему, таинственное и представлявшееся ему гениальным, лицо – Сперанский. И самое ему смутно известное дело преобразования, и Сперанский – главный деятель, начинали так страстно интересовать его, что дело воинского устава очень скоро стало переходить в сознании его на второстепенное место.
