Широкое распространение беспроводных локальных сетей
началось в 1999 году, после ратификации стандарта IEEE 802.11b.
Оборудование, работающее в этом стандарте, обеспечивало доступ в сеть
со скоростью до 11 Мбит/с. Конечно, такая пропускная способность не
слишком впечатляла, ведь большинство проводных ЛВС к тому времени уже
работало на 100 Мбит/с, однако простота развертывания сети с лихвой
покрывала скоростное ограничение.
После
появления версий "а" и "g" стандарта IEEE 802.11 скорость в
беспроводных локальных сетях поднялась до 54 Мбит/с, а в
инфраструктурах, построенных на оборудовании одного производителя, – и
до 108 Мбит/с (такое быстродействие достигается за счет одновременной
работы по двум частотным каналам). Стоит отметить, что стандарт IEEE
802.11a в России пока не прижился – очень уж сложно получить лицензию
на использование диапазона 5 ГГц. Поэтому абсолютное большинство
легальных сетей базируется на оборудовании версий "b" и "g" и
функционирует в диапазоне 2,4 ГГц, для которого введен упрощенный
порядок получения разрешений на эксплуатацию радиосетей.
Сегодня
развернуть беспроводную сеть можно довольно быстро. Некоторые системные
интеграторы готовы объединить все компьютеры офиса в течение одного
дня. От владельца при этом требуется только одно – выправить
соответствующее разрешение. Однако возникает законный вопрос: если все
выглядит так хорошо, почему же эти сети внедряются столь осторожно?
Цены на беспроводное оборудование сравнимы со стоимостью проводных
аналогов, а иногда бывают и ниже. Например, точка доступа может стоить
меньше 100 долл. Значит, есть что-то такое, что заставляет серьезно
задуматься при выборе способа построения сети, и совсем не обязательно
результат размышлений оказывается в пользу беспроводных технологий.
Можно
выделить две причины, из-за которых это происходит. Первая заключается
в том, что радиоволны не всегда способны достичь нужного нам места.
Учесть все факторы, влияющие на их распространение, практически
невозможно, и в каждом конкретном случае оборудование необходимо
тестировать. Конечно, справиться с такой задачей несложно – достаточно
поэкспериментировать с различными расположениями одной или нескольких
точек доступа. Но после этого возникает другая, уже более серьезная и
труднорешаемая проблема. Скажем, для того чтобы подключиться к
проводной сети, нужно иметь физический доступ к ней. К беспроводной же
теоретически может подключиться любой желающий, если он находится в
соответствующей зоне покрытия.
Чтобы
получить все преимущества беспроводной технологии и в то же время быть
уверенным, что никакой злоумышленник не сможет перехватить ваши данные
или подключиться к вашей инфраструктуре, необходимо знать способы
обеспечения безопасности, понимать их слабые и сильные стороны и уметь
правильно выбрать средства защиты. Задачу защиты беспроводной сети
можно разделить на две части. Первая – авторизация пользователей,
вторая – обеспечение конфиденциальности передаваемой информации.
Стандарты и версии
Прежде
всего рассмотрим, что представляет собой сам стандарт IEEE 802.11b с
точки зрения безопасности. Каждая беспроводная сеть имеет логическое
имя, или SSID (Service Set Identifier), и его надо знать при
подключении. По умолчанию SSID транслируется самой точкой доступа,
чтобы пользователь мог выбрать нужную ему сеть. Он может найти его на
своем компьютере в списке доступных сетей аналогично тому, как
осуществляется поиск сервера через ярлык "сетевое окружение". Однако в
целях безопасности трансляцию логического имени рекомендуется отключить
и прописывать SSID на клиентских компьютерах вручную.
Рекомендуется
также проводить авторизацию пользователей по MAC-адресам их сетевых
карточек, список которых настраивается на точке доступа.
Для
защиты данных разработчики стандарта IEEE 802.11b включили в него
протокол шифрования WEP (Wired Equivalent Privacy). Он позволяет
шифровать передаваемый трафик с помощью общего секретного ключа длиной
40 бит, что дает право говорить об этом протоколе как и о
дополнительном способе авторизации, поскольку пользователи или по
крайней мере администраторы, настраивающие рабочие места, должны знать
этот секретный ключ.
Однако
ошибки в проектировании и реализации протокола WEP сделали его
малопригодным для серьезной защиты. В 2001 году появились статьи,
показывающие возможность взлома этого протокола. Для того чтобы
вычислить секретный ключ, достаточно перехватить несколько миллионов
пакетов, что соответствует нескольким часам или нескольким дням работы
точки доступа, в зависимости от нагрузки сети. Выпуск версии WEP с
более длинным ключом (104 бит и выше) не сильно изменил положение: для
его взлома требуется лишь чуть большее время сбора пакетов. Таким
образом, полагаться на WEP могут разве что домашние пользователи,
желающие оградить себя от "любопытных глаз". В случае же корпоративных
беспроводных сетей необходимо помнить еще и том, что ключи для WEP
вводятся вручную, и если хоть один из них станет известен
потенциальному злоумышленнику, администратору предстоит малоприятная
работа по перенастройке ключей всего набора.
Что
касается упомянутых механизмов обеспечения безопасности с помощью SSID
или MAC-адресов, то на поверку и они оказываются лишь иллюзией защиты.
Ведь даже если при отключенной функции широковещательной трансляции
имен вы не увидите SSID в списке доступных сетей, его все равно можно
узнать, перехватив сетевой трафик между точкой доступа и клиентом. Ну а
MAC-адреса вообще передаются по сети в открытом виде, что позволяет
злоумышленнику без труда узнать какой-либо из них и подставить его в
качестве адреса своей сетевой карточки, так как делать это можно и
программными методами.
В итоге
мы видим, что хотя стандарт IEEE 802.11 и предусматривает некоторые
механизмы обеспечения безопасности, на поверку они оказываются
неработоспособными.
Понятно,
что такое положение дел не может удовлетворить требования к
инфокоммуникационной системе современного предприятия. Поэтому инженеры
из IEEE взялись за разработку специального стандарта безопасности для
беспроводных локальных сетей – IEEE 802.11i. Ожидается, что он будет
утвержден еще до выхода этого номера журнала из печати.
Дополнительные инструменты
Несмотря
на то что вскоре должен появиться стандарт безопасности, постоянно
растущие потребности рынка заставляют производителей и пользователей
оборудования искать решения, не дожидаясь его выхода. Кстати,
большинство дополнительных технологий, применяемых сегодня для этих
целей, станут частью будущего стандарта.
Некоторые
из них собраны в стандарте авторизации 802.11x. Его смысл заключается в
том, что авторизоваться должен не компьютер, как это происходит в
случае с MAC-адресом или WEP-ключом, а сам пользователь. Такой механизм
более надежен, поскольку за компьютером в ваше отсутствие может
оказаться кто угодно. Точка доступа с поддержкой 802.11x, прежде чем
пустить клиента в сеть, запрашивает его имя и пароль. Протокол, по
которому происходит общение пользователя с точкой доступа, называется
EAP (Extensible Authentication Protocol). До завершения авторизации
весь трафик от клиента, кроме EAP, блокируется. Полученные имя и пароль
точка доступа передает на сервер авторизации, и если тот подтверждает
наличие в базе такого пользователя, начинает пропускать весь его
сетевой трафик. Чтобы работать с этим протоколом, операционная система
компьютера должна его "понимать". В настоящий момент стандарт 802.11x
реализован только в Windows XP и Windows Server 2003. Для других
операционных систем необходимо использовать дополительное ПО (в
частности, программу Microsoft 802.1x Authentication Client для
предыдущих версий Windows можно загрузить с адреса www.microsoft.com/windows2000/server/evaluation/news/bulletins/8021xclient.asp).
Для
обеспечения конфиденциальности данных разработан протокол TKIP
(Temporal Key Integrity Protocol), который является дополнением к
протоколу WEP, а кроме того, позволяет решить еще две задачи – проверку
целостности WEP-пакетов и шифрование каждого WEP-пакета отдельным
ключом. До появления TKIP весь трафик шифровался единственным ключом,
что и давало возможность вычислить его из большого количества пакетов.
Теперь случайным образом генерируется число, называемое вектором
инициализации (Initialization Vector – IV). Затем из некоторого
основного ключа (master key) генерируется WEP-ключ, который
складывается с IV. В результате каждый пакет шифруется уникальным
ключом. Количество возможных комбинаций гарантирует, что ключи не будут
повторяться в течение ста лет непрерывной работы.
Хотя
протокол TKIP закрывает дыры, существующие в WEP, в будущей стандарт
безопасности 802.11i, по всей видимости, войдет еще один протокол
шифрования – AES (Advanced Encryption Standard), который обеспечивает
еще более надежную защиту. Этот протокол иногда применяется для
создания стандартных VPN-каналов, если, конечно, позволяет
быстродействие процессоров, так как он требует значительно больших
мощностей, чем используемые по настоящее время DES и 3DES. Многие
производители чипсетов для беспроводного оборудования уже закладывают
поддержку AES на будущее, но пока эта функциональность, как правило,
заблокирована.
WPA – прообраз стандарта безопасности 802.11i
Учитывая
все сказанное выше, мы приходим к выводу, что сегодня уже есть
механизмы, которые могут дать нам уверенность в безопасности
беспроводной сети. Но тут возникает другая проблема – совместимость
устройств. Как узнать, будет ли установленная у вас аппаратура
обеспечивать все функции безопасности при работе с оборудованием
другого производителя? Чтобы помочь нам разобраться в этом, консорциум
производителей беспроводного оборудования (Wi-Fi Alliance) в конце 2002
года выпустил промежуточный вариант стандарта 802.11i – WPA (Wi-Fi
Protected Access).
Эта
спецификация включает в себя доработки WEP на основе TKIP и авторизацию
по стандарту 802.1x с использованием протокола EAP. Поддержка WPA
является обязательной для всех устройств, появившихся после сентября
2003 года и имеющих сертификат консорциума Wi-Fi Alliance. На выставке
CeBIT 2004 представители последнего объявили, что у них уже прошли
сертификацию 175 моделей от более чем 40 производителей. Если вы хотите
узнать, обладает ли приглянувшееся вам изделие современными механизмами
безопасности, ищите в его описании поддержку WPA. Чтобы воспользоваться
преимуществом WPA, нужно, чтобы все устройства в сети поддерживали этот
стандарт. Если хотя бы одно из них такой функциональностью не обладает,
то вся сеть перейдет на обычный WEP.
Оборудование
стандарта 802.11g, являясь самым новым на сегодняшний момент, с
наибольшей вероятностью имеет поддержку WPA или по крайней мере
позволяет провести обновление ПО с такой поддержкой. Большинство старых
точек доступа стандарта 802.11b возможностью подобного обновления не
обладают. С другой стороны, оборудование 801.11g до сих пор не прошло
лицензирование в российских официальных органах, что может затруднить
его использование в больших масштабах. Все это надо учитывать при
выборе сетевой платформы.
Но
допустим, что все наши устройства соответствуют стандарту WPA. Означает
ли это, что работающая на их основе сеть полностью безопасна?
Однозначно положительно ответить на этот вопрос нельзя, так как
остаются некоторые нюансы, о которых следует помнить. Прежде всего
необходимо очень тщательно выбирать пароли. Впрочем, это требование
касается любых сетей, а не только беспроводных.
При
настройке WPA указывается пароль, с помощью которого в дальнейшем будут
выдаваться ключи для шифрования трафика. Однако злоумышленник может
подобрать его методом перебора, предварительно "заставив" точку доступа
повторно провести процедуру обмена ключами и перехватив трафик.
Следовательно, пароль должен быть настолько сложным, чтобы не дать
злоумышленнику сделать это.
Второй
нюанс заключается в том, что при авторизации по протоколу 802.1x/EAP
имя и пароль пользователя передаются в незашифрованном виде. Обычно это
происходит уже в проводном участке сети, который соединяет точку
доступа с сервером авторизации, и не является проблемой, по крайне мере
относящейся к беспроводным сетям. Однако если сервер авторизации
подключен через радиоканал, то тут уже следует принять дополнительные
меры безопасности. На сегодняшний день для этих целей существуют вполне
надежные механизмы. Например, компания Microsoft разработала свою
версию протокола EAP – она называется EAP-TLS. При ее использовании
весь EAP-трафик шифруется по протоколу TLS, который широко применяется
в таких приложениях, как электронная почта или веб-доступ. Для работы
по протоколу EAP-TLS на каждом клиентском компьютере должен быть
цифровой сертификат – определенный набор данных, выдаваемый центрами
сертификации. Например, такой сертификат можно получить у компании
Verisign (www.verisign.com). Для внутреннего пользования компания может
организовать собственный центр выдачи сертификатов при условии, что
сервер авторизации работает под Windows. Но в более глобальном масштабе
работа с такими "фирменными" сертификатами будет затруднена, так как
остальные участники сети не станут считать их подлинными.
Еще
один вариант безопасной реализации протокола EAP представляет собой
PEAP (Protected EAP) – совместная разработка компаний Microsoft и
Cisco. Его преимуществом перед EAP-TLS является то, что он не требует
установки цифровых сертификатов.
К
сожалению, на сегодняшний день как в продаже, так и в использовании
остается огромное количество устройств без поддержки WPA. Что же
необходимо делать, если вы применяете именно такое оборудование, но
хотите защитить свои данные от злоумышленников? Тут можно дать два
основных совета:
для любого трафика, проходящего через беспроводную сеть, используйте защищенные VPN-соединения;
точки
доступа устанавливайте в отдельную сеть, защищенную межсетевым экраном,
чтобы беспроводной участок отгородить от проводной ЛВС.
Естественным
образом возникает вопрос о законности использования средств шифрования
– как в беспроводных, так и в любых других сетях. В связи с этим
необходимо знать, что лицензированию подлежит деятельность по
распространению и техническому обслуживанию шифровальных
(криптографических) средств, предоставлению услуг в области шифрования
информации, разработке и производству таких продуктов, а также
защищенных с их помощью информационных и телекоммуникационных систем.
Из сказанного можно сделать вывод, что если вы применяете технологии
шифрования для своих личных нужд, являясь частным лицом или
коммерческой организацией, то необходимости в лицензировании нет.
Однако государственные учреждения либо организации, работающие с
государственной тайной, не смогут на законных основаниях использовать
функции безопасности беспроводных устройств.
Современный
рынок беспроводного оборудования представлен достаточным количеством
производителей на любой вкус и кошелек. Есть и свои лидеры в каждом его
сегменте. Если вы ищете решение подешевле, то устройства с неплохими
характеристиками производит компания D-Link. Однако поскольку ее
продукты в первую очередь предназначены для индивидуальных
потребителей, то не все они обладают необходимым набором функций.
На
рынке корпоративных решений лидирует Cisco Systems. Ее оборудование
является не самым дешевым, зато позволяет применять новейшие технологии
в области безопасности сетей. У компании есть специальный программный
пакет Cisco Wireless Security Suite, состоящий из трех компонентов:
поддержка 802.11x;
поддержка фирменного протокола Cisco LEAP (фирменная реализация EAP);
поддержка протокола TKIP.
Протокол
Cisco LEAP обладает рядом преимуществ по сравнению со стандартными
реализациями. Например, он позволяет производить двустороннюю
авторизацию, когда не только точка доступа проверяет клиента, но и сам
клиент убеждается в том, что работает с легальной точкой доступа.
Кроме
того, пакет Cisco Wireless Security Suite с помощью RADIUS-сервера
может выдать полную статистику о работе беспроводных точек доступа и
клиентских компьютеров, что позволяет получить информацию о том, к
каким ресурсам сети обращаются пользователи.
Отсутствие
единого стандарта безопасности препятствует появлению нового
оборудования для защищенной работы в беспроводных сетях. Производители
пока не спешат наделять свое оборудование дополнительной
функциональностью. После выхода стандарта 802.11i ситуация должна
кардинально измениться, и тогда помимо прочего мы увидим и недорогие
устройства, способные обеспечить необходимый уровень этого важнейшего
параметра сетевой работы.