IT История

Известно, что разработчики стандарта 802.11b приложили немало усилий, чтобы упростить процедуру инсталляции и добиться совместимости продуктов различных изготовителей. Эта простота и усыпляет бдительность беспечных пользователей и администраторов, которые строят сети, не задумываясь о конфиденциальности. Даже в средствах защиты, предусматриваемых стандартом 802.11b, есть известные уязвимые места.

До появления Интернета доступ к традиционным проводным ЛВС можно было контролировать, поскольку такие сети размещались в пределах офиса. Но радиоволновые сигналы беспроводных ЛВС выходят за стены офиса, проникают через соседние помещения, принадлежащие другим фирмам, на автостоянку и дальше. Если не применить грамотных мер защиты, то любой человек, располагающий соответствующим оборудованием и некоторыми познаниями в области сетевых технологий, сможет перехватить ваш трафик.

Основные меры безопасности

Независимо от того, кто развертывает сеть - нетерпеливый домашний пользователь или беспечный администратор компании, - существует обязательный набор мер безопасности.

Во-первых, следует изменить принимаемое по умолчанию имя сети (ESSID), необходимое для регистрации в беспроводной ЛВС, и стандартный пароль узла доступа. Как правило, стандартные пароли и имена каждого изготовителя известны хакерам.

Во-вторых, использовать методы шифрования WEP (Wired Equivalent Privacy).

Без шифрования данные передаются в читаемой форме, и каждый владелец беспроводного анализатора протокола или сетевого адаптера, работающего в режиме перехвата всех пакетов, в зоне радиоприема сможет захватить данные без регистрации в сети. В WEP применяется алгоритм шифрования RC4, тот самый, что и в системах электронной торговли. Широко распространены 64 и 128-разрядные варианты WEP. Если возможно, используйте более надежное 128-разрядное шифрование.

В-третих, периодически менять ключи шифрования. Чем меньше данных передается с одним ключом шифрования, тем менее уязвима ваша информация.

И, наконец, активизировать в узлах доступа фильтрацию на уровне управления доступом к среде (Media Access Control, MAC). Каждый беспроводный адаптер PC Card снабжен уникальным идентификатором, известным как МАС-адрес. Во многих узлах доступа предусмотрена возможность составлять список разрешенных МАС-адресов. Адаптеры с адресами, которых нет в списке, получают отказ в доступе к сети.

Следует отметить, что это лишь минимальные меры предосторожности, даже если применить их все, опасность для данных не будет полностью устранена. Например, в июле 2001 года хакеры обнаружили уязвимое место в WEP, и уже в течение считанных недель в Интернете появилось несколько инструментов взлома, в которых было использовано это открытие.

Дополнительные способы защиты

Вероятно, WEP-защита приемлема для большинства домашних пользователей, в зависимости от степени конфиденциальности данных. Но администраторам предприятий необходимы более надежные алгоритмы шифрования. Логичным решением будут виртуальные частные сети (VPN), которые предусматривают шифрование IPSec и РРТР в беспроводных сегментах. Клиент беспроводной ЛВС передает шифрованные данные через узел доступа в концентратор VPN, который дешифрирует данные и пересылает их в проводную сеть. Это решение может быть удачным, особенно для малых ЛВС, но для крупных сетей оно, возможно, окажется слишком дорогостоящим и сложным.

Несколько независимых поставщиков попытались заполнить свободную нишу рынка, предложив аппаратные продукты VPN нового класса, предназначенные специально для беспроводных сетей. Компании Blue Socket, SMC Networks и Vernier Networks избрали похожие подходы, сконструировав аппаратные концентраторы, которые хорошо масштабируются и совместимы с любым беспроводным оборудованием. Каждое такое устройство располагается между узлами доступа беспроводной ЛВС и остальной проводной сетью как естественный и более безопасный шлюз для доступа к внутренним ресурсам. Несколько ведущих изготовителей беспроводных устройств также выпустили продукты со значительно улучшенными, но совершенно нестандартными схемами защиты.

Используемая в Agere Orinoco архитектура Advanced Mobile Security Architecture, технология LEAP, применяемая в Cisco Aironet, и Dynamic Security Link фирмы 3Com предусматривают определенный способ пользовательской аутентификации наряду с динамической генерацией уникального ключа WEP для каждого клиента. Для этих решений необходимы специальные клиентские программы, а также узлы доступа и платы одного изготовителя, но, тем не менее, они дают представление о направлении, в котором развиваются стандарты. Это надежные решения, но неясно, сколь долго просуществуют фирменные схемы после того, как будет подготовлен и принят настоящий открытый стандарт безопасности беспроводных ЛВС (это произойдет не раньше чем через год). Для этой цели организация IEEE сформировала рабочую группу (TGi), задачей которой будет повышение безопасности беспроводных ЛВС в едином, систематическом формате. TGi предложила временное решение под названием TKIP (Temporal Key Integrity Protocol - протокол обеспечения целостности при помощи временного ключа), которое должно работать с существующими и унаследованными аппаратными средствами; провайдеры беспроводной сети могут реализовать его в своих продуктах, обновив микропрограммное обеспечение. TKIP предусматривает механизм, который быстро меняет ключи шифрования пакетов (fast packet rekeying). Использование TKIP - не обязательное условие для сертификации Wi-Fi, но специалисты WECA надеются ввести его в процедуру тестирования к концу 2002 г.

Летом 2001 г. группа TGi одобрила применение предварительного стандарта 802.1х, который получил широкое признание среди изготовителей учрежденческих продуктов для беспроводных ЛВС. Первоначально спецификация 802.1х предназначалась для проводных сетей, но нашла основное применение в беспроводных ЛВС, где она обеспечивает стандартную инфраструктуру для управления сетевым доступом на уровне портов. Клиент беспроводной ЛВС посылает запрос авторизации в узел доступа, который идентифицирует клиента на сервере RADIUS, совместимом с ЕАР (Extensible Authentication Protocol - расширяемый протокол аутентификации). Сервер RADIUS может идентифицировать пользователя (по паролю) или машину (по МАС-адресу). Теоретически, беспроводный клиент не получит разрешения на вход в сеть до тех пор, пока транзакция не будет завершена. Однако в стандарте 802.1х не определена реализация ЕАР. В результате появилось множество вариантов ЕАР: EAP-MD5, EAP-TLS, EAP-TTLS, PEAP - все это способы, с помощью которых клиент беспроводной ЛВС идентифицирует себя на сервере RADIUS. Скорее всего, в ближайшем будущем наиболее распространенными решениями будут EAP-TTLS и PEAP (если эти решения будут ратифицированы).

В действительности, 802.1х не устраняет уязвимых мест WEP. Изъяны в алгоритме RC4 по-прежнему сохраняются, но взломщику труднее воспользоваться ими, так как уменьшается объем графика, шифруемого одинаковыми ключами.

Также набирает силу движение за полный отказ от RC4 в пользу более надежного алгоритма шифрования EAS. Фирма Atheros Communications уже выпустила EAS-совместимые микросхемы для стандарта 802.11а, но работа над подобными микросхемами для 802.11b затягивается.

Предполагается, что в конце 2002 г. в продаже появятся первые EAS-совместимые продукты 802.11а, но EAS-устройства 802.11b, по-видимому, будут выпущены ближе к середине 2003 г.