Библиотека Интернет Индустрии I2R.ru

Использование беспроводных ЛВС исключает расходы на прокладку кабелей, а также связанные с этим неудобства и бесконечные жалобы пользователей по поводу их вечной “привязки” к своим рабочим местам. Поэтому они всегда были и остаются предметом вожделения сетевых администраторов и менеджеров отделов информационных технологий (ИТ). Вот и сегодня, по мере утверждения стандартов на беспроводные сети, снижения цен на оборудование для них и увеличения их пропускной способности, все большее число менеджеров ИТ не в силах устоять перед искушением внедрить беспроводные ЛВС в своей компании. Так, компания Cahners In-Stat Group, занимающаяся исследованием рынка, прогнозирует в ближайшие несколько лет увеличение объема продаж беспроводных ЛВС в среднем на 25% в год — с 771 млн в 2000 г. до почти 2,2 млрд долл. в 2004 г.

Однако безопасность передачи корпоративной информации с помощью радиоволн по-прежнему остается проблемой номер один. Хотя стандартом 802.11b и предусмотрен ряд мер, позволяющих надежно защитить небольшие беспроводные сети, вопрос о том, будут ли эффективны эти меры в средах с десятками точек доступа и сотнями пользователей, все еще остается открытым.

По существу, проблема обеспечения безопасности беспроводных ЛВС масштаба предприятия делится на две самостоятельные проблемы, каждая из которых решается индивидуально. Это предоставление доступа к беспроводной сети только зарегистрированным пользователям и защита информации от радиоперехвата.

Управление доступом

Самый надежный способ обеспечить безопасный доступ пользователей к беспроводной сети (а следовательно, и к корпоративной) — это сделать так, чтобы точки доступа пропускали в сеть только пакеты, поступающие от клиентских устройств, адреса Ethernet которых содержатся в контрольном списке. Конечно, MAC-адрес можно подменить, но для этого злоумышленнику сначала придется узнать адрес адаптера Ethernet хотя бы одного из служащих вашей компании.

К сожалению, сделать это совсем несложно, ибо в отличие от внутренних сетевых адаптеров (Network Interface Card) MAC-адреса беспроводных адаптеров PC Card печатаются прямо на их корпусах.

Но даже если предположить, что будет гарантирована физическая защита карты от просмотра посторонних глаз, проблемы, связанные с составлением контрольного списка MAC-адресов и его распространением по всем точкам доступа, все равно останутся. Кроме того, каждая конкретная модель точки доступа имеет определенные ограничения на максимально допустимое число МАС-адресов, что влечет за собой проблему расширяемости беспроводной сети. Например, для устройства Orinoco компании Lucent Technologies это число равно 492. Хорошей новостью, однако, является тот факт, что список адресов чаще всего достаточно ввести один раз и сохранить его в файле для последующего распространения по другим точкам доступа.

Еще один параметр, который может быть использован для авторизации доступа к беспроводной сети, — это сетевое имя, или идентификатор SSID (Service Set ID). Этот параметр был введен с целью разрешать определенной группе абонентов использовать данную точку доступа. Последнюю можно сконфигурировать двумя способами: так, чтобы связываться с ней мог любой клиент, либо так, чтобы при установлении соединения запрашивалось сетевое имя. И хотя первоначально вовсе не предполагалось применять идентификатор SSID в качестве средства безопасности, второй способ настройки точки доступа позволяет оперировать им наподобие пароля.

Однако, как и при любой схеме парольной защиты, чем больше людей знают пароль, тем выше вероятность того, что им воспользуется постороннее лицо. Конечно, сетевое имя можно периодически изменять, но при этом каждому пользователю необходимо сообщать о таких изменениях, чтобы он сумел переконфигурировать свое беспроводное клиентское устройство, что, согласитесь, будет “съедать” все больше и больше рабочего времени по мере расширения вашей сети.

Остановить перехватчика!

Стандартом 802.11b предусмотрено шифрование данных, передаваемых от клиента к точке доступа и обратно, по методу WEP (Wired Equivalent Privacy). WEP — это факультативный механизм шифрования полезной нагрузки пакетов, основанный на использовании алгоритма RC-4 и 40-битового ключа шифрования. Учитывая, что к этим 40 битам пристыковывается еще и 24-битовая строка инициализации, идентифицирующая обменивающееся данными с ЛВС устройство, производители часто называют метод WEP 64-битовым методом шифрования.

К сожалению, достаточно мощное оборудование способно в считанные секунды “взломать” 40-битовый ключ шифрования. Кроме того, в механизме WEP изначально заложена огромная “бомба замедленного действия”, которая может взорваться в любой момент, — ведь при шифровании данных по методу WEP все пользователи данной точки доступа владеют одним общим ключом шифрования. А если это так, то, чтобы добиться мобильности пользователей в пределах территории кампуса, все точки доступа и все беспроводные клиентские устройства должны быть настроены на работу с одним и тем же ключом шифрования.

Учитывая указанные ограничения метода WEP, некоторые производители полностью отказались от его использования в своих продуктах, тогда как большинство из них выпускают модели беспроводных устройств, основанные как на WEP, так и на других механизмах шифрования. Точку доступа можно сконфигурировать таким образом, чтобы она либо никогда не использовала метод WEP, либо, наоборот, использовала его всегда. В последнем случае клиенту направляется зашифрованный запрос. Если клиент отвечает на него неправильно, он не получает разрешение на использование точки доступа, что, по существу, равносильно применению ключа WEP в качестве еще одного пароля. Вы можете изменять ключ WEP периодически, как и сетевое имя, однако это приводит все к тем же проблемам оповещения пользователей и переконфигурирования оборудования.

Конечно, обладая ключом WEP, взломщик способен перехватить радиосигнал и расшифровать пакеты данных. Но, чтобы сделать это, он должен обладать достаточно высокой квалификацией, что доступно далеко не каждому.

Другие методы шифрования

Существуют ли другие способы защиты передаваемой с помощью радиоволн информации? Большинство производителей предлагают механизмы шифрования, основанные на 128-битовых ключах. Однако они пока не стандартизированы и, следовательно, не гарантируют совместимости оборудования. Кроме того, лишь немногие производители наделяют свои продукты аппаратными средствами шифрования. При шифровании данных по методу WEP у оборудования, которое лишено этих средств, наблюдается некоторое снижение производительности. Это объясняется тем, что ЦПУ устройства должно интенсивно обрабатывать данные каждого принимаемого и отправляемого пакета. Производительность современного оборудования может снижаться на 15—20%, при этом 128-битовое шифрование снижает ее еще сильнее. Что же касается старых моделей портативных компьютеров, то скорость их работы становится просто непозволительно низкой. Впрочем, есть беспроводные адаптеры, которые могут работать быстрее, чем все остальные. В США Национальная лаборатория прикладных исследований в области сетевых технологий (National Laboratory for Applied Network Research) провела ряд простых тестов на производительность. С результатами тестирования можно ознакомиться на Web-узле лаборатории по адресу http://www.scd.ucar.edu/nets/projects/wireless/performance.tests.html.

Некоторые ведущие производители предлагают свои фирменные решения проблемы масштабируемости аутентификации пользователей. По существу, это пилотные реализации находящегося в стадии рассмотрения стандарта IEEE 802.1x, который в конечном итоге призван решить эту проблему на уровне, обеспечивающем совместимость продуктов разных производителей (см.: “Стандарт 802.1х ждет своего часа”).

Во всех используемых в этих решениях схемах аутентификации клиент посылает точке доступа запрос на инициализацию процедуры аутентификации. В свою очередь, точка доступа пересылает этот запрос серверу RADIUS (Remote Authentication Dial-In User Service). Выполнив процедуру аутентификации, сервер RADIUS высылает клиенту через точку доступа уникальный ключ шифрования на текущий сеанс связи.

Хотя использование таких продуктов решает проблемы безопасности, связанные с аутентификацией клиентов и шифрованием данных, но работают они только в том случае, если все точки доступа и все купленные вами беспроводные адаптеры произведены одной фирмой.

Что же касается средне- и крупномасштабных беспроводных сетей, то применительно к ним все рассмотренные средства сетевой безопасности грешат одними и теми же недостатками: либо слишком много людей владеют общим секретом в форме сетевого имени или ключа WEP, либо слишком большое число MAC-адресов подлежит фильтрованию, либо вы оказываетесь привязанным к одному производителю беспроводных адаптеров.

VPN не подведет

Горячо надеясь на то, что стандарт 802.1х спасет положение, мы не забыли и два других подхода, заслуживающих вашего внимания. Оба они основаны на организации специальных подсетей для передачи вашего беспроводного трафика. Вместо обычных маршрутизаторов эти подсети содержат шлюзы, которые маршрутизируют пакеты только после выполнения процедуры аутентификации клиентов.

Такие подсети можно реализовать на базе технологии виртуальных ЛВС (Virtual LAN — VLAN) с помощью коммутаторов, поддерживающих стандарт IEEE 802.1Q, кадры Ethernet которого имеют четыре дополнительных бита. Используя этот протокол, администратор сети может объединить выбранные порты различных коммутаторов в единую подсеть. Что касается сетевой среды кампуса, то такое объединение возможно даже в том случае, когда объединяемые коммутаторы разнесены географически, но все задействованные при этом промежуточные коммутаторы поддерживают функцию транкинга VLAN. Узлы, использующие порты VLAN, не могут, минуя маршрутизатор (шлюз), связываться с узлами других подсетей, даже если последние расположены на том же физическом коммутаторе, что и эти порты VLAN.

После организации виртуальной ЛВС необходимо создать шлюз, который пропускал бы лишь трафик зарегистрированных пользователей. Для этого можно использовать сервер виртуальной частной сети (Virtual Private Network — VPN), поскольку его функция как раз и состоит в том, чтобы запрашивать аутентификацию, а затем обеспечивать клиентское устройство адресом IP и ключом шифрования. Пакеты с IP-адресами, назначенными сервером VPN, как правило, шифруются и инкапсулируются в другие пакеты. Даже получив IP-адрес обманным путем, вы не “одурачите” сервер VPN и не заставите его передавать ваш трафик, поскольку для проведения сеанса связи вы должны знать ключ шифрования. Сервер VPN, используемый в качестве шлюза, не только требует предварительной аутентификации пользователя, но и имеет еще одно довольно большое преимущество: беспроводной поток данных шифруется с помощью уникального ключа шифрования, что исключает необходимость в разделяемом ключе WEP.

Чтобы при отсутствии маршрутизатора получить доступ к другой подсети, все пользователи данной беспроводной подсети должны устанавливать соединения с помощью сервера VPN, но сделать это они смогут только после успешной авторизации.

Кроме обеспечения безопасности беспроводной передачи данных, имеется еще целый ряд веских аргументов в пользу организации сетей VPN. Например, их желательно использовать для предоставления безопасного, зашифрованного доступа к критически важным данным через Интернет или в тех случаях, когда удаленных пользователей необходимо воспринимать как локальных, и они могли бы получать доступ к службам, имеющим ограничения по IP-адресам клиентских систем.

Однако на практике реализовать подход, основанный на применении VPN, гораздо труднее, чем поездку за город. Углубленное освоение технологии, выбор подходящего производителя, конфигурирование сервера и поддержка клиентов — все это потребует немалых усилий и денежных затрат. Да и преодоление проблем, связанных с сетями VPN, — занятие тоже не из веселых.

Специализированный межсетевой экран

Есть еще один подход, заслуживающий внимания и основанный на использовании шлюза. И хотя он связан с разработкой небольшой специализированной программы, для передачи беспроводного трафика в подсеть в нем вместо маршрутизатора также используется технология VLAN. Но в данном случае роль шлюза для беспроводной подсети играет Unix-сервер с двумя сетевыми адаптерами и специализированной программой. Специалисты Технологического института штата Джорджия (г. Атланта) реализовали подобное решение, которое можно использовать как в беспроводных средах, так и в мобильных лабораториях. Оно отличается изяществом и простотой реализации.

В этом решении задействована функция межсетевого экранирования IP Tables, реализованная в последней версии ядра Linux и выполняющая операцию фильтрации пакетов. В момент соединения клиента с беспроводной (мобильной) сетью межсетевой экран/маршрутизатор выдает ему адрес DHCP. Чтобы инициализировать процедуру аутентификации, на клиентском устройстве должен быть запущен Web-браузер. Запрос HTTP или HTTPS, поступивший от клиента, инициирует автоматический переход на страницу аутентификации шлюза, при этом запрос на аутентификацию пересылается серверу Kerberos. При успешном завершении процедуры сценарий на языке Perl добавляет IP-адрес клиента в файл правил, делая его, таким образом, “известным” процессу межсетевого экранирования IP Tables.

У пользователя при этом создается впечатление, что беспроводная сеть начинает работать сразу же после запуска браузера и ввода имени и пароля. Не требуются ни инсталляция клиентского ПО, ни его конфигурирование. Конечно, этот метод обеспечивает лишь аутентификацию — и никакого шифрования. Да и масштабируемость его ограничивается всего несколькими сотнями одновременно работающих пользователей. Хотя другие организации реализовали решения, основанные на шлюзах, фильтрующих пакеты по MAC-адресам и требующих выполнения однократной предварительной регистрации IP-адреса пользователя, решение, предложенное Технологическим институтом штата Джорджия, позволяет подключаться к беспроводной сети, что называется “с лету”, и, кроме того, его использование гарантирует более четкую ассоциацию имени пользователя с MAC-адресом беспроводного устройства.