Wi-Fi против “плохих парней”

Дэйв Молта

Построение защищенной корпоративной БЛВС больше не является невыполнимой задачей благодаря новым стандартам и средствам мониторинга.

Стандарты безопасности беспроводных сетей чрезвычайно сложны. Некоторые даже считают их невразумительными. Например, значение термина “аутентификация” в серии стандартов 802.11 кардинально отличается от традиционного его истолкования ИТ-сообществом. Для того чтобы реализовать базовую схе-му “имя/пароль пользователя”, в БЛВС, помимо какого-нибудь протокола 802.1х, вам потребуется еще один протокол — Extensible Authentication Protocol с целым набором типов аутентификации ЕАР. Довольно запутанно, не правда ли?

Но не все так плохо. Давно ожидаемая спецификация 802.11i с поддержкой шифрования фреймов данных 802.11 на базе технологии AES, усовершенствованной аутентификацией и динамическим назначением ключей уже на подходе. Однако так или иначе она не решит всех проблем. Хотя спецификация и обеспечивает некий фундамент безопасности, но в процессе реализации решений на ее основе вы столкнетесь с рядом трудностей. Кроме того, ряд критичных проблем безопасности, включая обнаружение вторжений нелегальных устройств и физическую защиту точек доступа и их конфигураций, выходит за рамки данной спецификации. И наконец, комитету 802.11i не удалось стандартизировать механизм “быстрой передачи”, необходимый для поддержки роуминга в беспроводных VoIP-приложениях.

В помощь начинающим

Как и при любой реализации защиты сети, проектирование безопасной БЛВС следует начинать с анализа рисков и формирования политики безопасности. Одни организации разворачивают “грязные” БЛВС в “демилитаризованной зоне” и поступают с их трафиком так же, как и с трафиком Интернет, другие придерживаются строгой политики запрета в отношении БЛВС, что может потребовать значительных инвестиций в средства мониторинга.

БЛВС имеют много общего с сетями Ethernet, однако беспроводная технология отличается от применяющейся в последних главным образом тем, что среду передачи БЛВС почти невозможно контролировать физически. Хуже того, вооружившись недорогой направленной антенной, взломщик может расположиться неподалеку от вашего здания и спокойно перехватывать ваш трафик. Вот почему для БЛВС необходима сложная многоуровневая система защиты.

Основные требования к системе безопасности БЛВС подразделяются на три категории: аутентификация, конфиденциальность и авторизация. Необходимо обеспечить физическую безопасность всех компонентов инфраструктуры БЛВС, своевременное выявление уязвимостей и обнаружение вторжений.

Наиболее распространенный метод обеспечения аутентификации заключается в том, чтобы задействовать “защитное перекрытие” и беспроводные точки доступа. Использующие этом метод организации обычно разворачивают свои БЛВС перед межсетевым экраном, часто создавая виртуальные ЛВС, если беспроводной инфраструктурой охватывается несколько зданий. В этом случае, даже вторгнувшись в БЛВС, взломщик не получит прав доступа, помимо гостевых. Поскольку пользователи БЛВС “выглядят” как Интернет-пользователи, очевидным решением проблемы безопасности становится применение технологии VPN. Но такое решение дорого, требует инсталляции VPN-клиентов на всех конечных точках сети, при этом невозможно обеспечить интероперабельность с не-Windows-системами, добиться масштабируемости в условиях интенсивного трафика и безопасности на уровне 2. Защита на уровне 2 в БЛВС гораздо более важна, чем в прочих ЛВС: в беспроводной среде циркулирует служебная информация со сведениями о вашей сети.

Так называемая атака parking-lot является сущим кошмаром для администратора сети. Для борьбы с ней и ей подобными атаками компании AirDefense, AirMagnet, Network Chemistry и другие производители предлагают средства мониторинга БЛВС, интегрируемые с компонентами инфраструктуры или использующие выделенные радиочастотные сенсоры. Эти системы мониторинга позволяют обеспечивать соблюдение политики безопасности, выявлять уязвимости, вторжения и нелегальные устройства, а также местонахождение атакующего..