Информационная безопасность
       

Чем усилить безопасность беспроводной сети?


Как уже понятно, скрытие идентификатора SSID, ведение списка валидных MAC-адресов и использование WEP-шифрования обеспечивают не безопасность, а ее видимость - примерно как решетки на окнах, сделанные из пластилина. Путь один: найти методы, способные реально усложнить жизнь злоумышленникам, ведь, как известно, невзламываемых ключей не бывает, дело лишь во времени, требуемом для их вычисления.

На сегодняшний день разумными считаются три средства, дополняющие уже имеющиеся, - стандарты IEEE 802.1x, 802.11i и протокол WPA.

IEEE 802.1x применяется для авторизации, аутентификации и аккаунтинга пользователей, чтобы проверить возможность предоставления доступа к сети. В случае 802.1x используются уже динамические ключи шифрования, что является несомненным плюсом. 802.1х предназначен для работы со сторонними средствами, такими как сервер RADIUS (Remote Access Dial-In User Server) и протокол EAP (Extensive Authentication Protocol).

Сервер RADIUS - своего рода "проходная", вахтер на которой самостоятельно решает, пустить пользователя в сеть или нет. К чести некоторых производителей беспроводного доступа (например, D-Link и U.S. Robotics), возможность авторизации и аутентификации пользователя на сервере RADIUS с помощью 802.1х предусмотрена даже в достаточно старых устройствах стандарта 802.11b.


Средства 802.1x в точке доступа стандарта 802.11b

В настоящее время есть несколько популярных реализаций RADIUS-серверов: FreeRadius, GNU Radius, Cistron Radius, Radiator Radius, Microsoft IAS, Advanced Radius. Некоторые из них - коммерческие продукты, некоторые - доступны для бесплатного использования с соблюдением соответствующих лицензионных требований.

Что следует в данном случае понимать под терминами "авторизация", "аутентификация" и "аккаунтинг"? Аутентификация - процесс определения тождественности пользователя, в наиболее общем виде - посредством имени ("логина") и пароля. Авторизация - определение сетевых сервисов, доступных конкретному пользователю, и сервисов, к которым доступ запрещен.
Наконец, аккаунтинг - журналирование использования сетевых ресурсов и сервисов.

В общем случае алгоритм привязки RADIUS-сервера к беспроводной сети может быть таков:



  1. Сетевой администратор дает команду RADIUS-серверу завести новую учетную карточку пользователя с занесением в нее имени пользователя, под которым он будет проходить аутентификацию, и его пароля.
  2. Внесенный в базу RADIUS-сервера пользователь с помощью беспроводной связи подключается к точке доступа, чтобы проверить электронную почту.
  3. Точка доступа запрашивает у пользователя его имя и пароль.
  4. Точка доступа связывается с RADIUS-сервером и дает запрос на аутентификацию пользователя.
  5. RADIUS-сервер находит валидные имя пользователя и пароль, дает добро на новую сессию и заводит в журнале соответствующую запись о начале новой сессии.
  6. Точка доступа предоставляет пользователю возможность работать с теми сервисами, которые ему предписаны (это и есть авторизация).
  7. По окончании сессии, которая может быть прервана либо самим пользователем, либо RADIUS-сервером (например, истек "нарезанный" по регламенту промежуток времени работы), RADIUS-сервер делает в журнале запись об окончании сеанса.


Как видим, процедура достаточно строгая, но в тоже время логически верная - хотя и относится лишь к управлению доступом.

Кстати, до сих пор удачных попыток взлома 802.1х не зафиксировано, поэтому развитие идет, безусловно, в верном направлении.

В качестве дополнения к неубедительному протоколу WEP имеется WPA - Wi-Fi Protected Access. WPA реализует принцип временных ключей шифрования и тесно взаимодействует с TKIP - Temporal Key Integrity Protocol (протокол целостности временных ключей). WPA работает в связке с 802.1х и EAP и совместим с последним из компонент всего комплекса безопасности - протоколом 802.11i.

802.11i предусмотрен в качестве глобальной замены WEP (его иногда называют также WPA2). 802.11i является как бы "надмножеством" WPA - сочетает все его возможности со своими оригинальными. 802.11i использует гораздо более мощный, нежели RC4 у WEP, алгоритм шифрования - это AES (Advanced Encryption Standart).



В действительности построить хорошо защищенную сеть можно и при помощи уже имеющихся средств - даже несмотря на WEP, SSID broadcasting и MAC-доступ. Хорошо зарекомендовавшее себя решение - Virtual Private Network, виртуальная частная сеть, в которую можно "завернуть" всю беспроводную сеть вместе с ее огрехами в области безопасности. Средства VPN работают на глобальном сетевом уровне, поэтому, видимо, в настоящее время это один из немногих способов обеспечения достойной безопасности - благо технология IPSec портирована с IPv6 на IPv4.

Об этом, кстати, упоминают и известные нам разработчики AirSnort Хегирли и Брюстль: "Мы можем посоветовать сетевым пользователям обратить внимание на методы шифрования "точка-точка", виртуальные частные сети, для шифрования трафика от вашего ноутбука до сервера".

Пожалуй, они правы: развертывание виртуальной частной сети поверх имеющейся беспроводной позволяет решить львиную долю проблем безопасности - на фоне VPN недостатки WEP, SSID и т. д. будут просто несущественны, так как особой практической ценности в данном случае они не имеют.


Содержание раздела