Статьи Безопасность беспроводных сетей

Сети Wi-Fi — это, конечно, здорово, но не всегда надежно. Вот несколько соображений о том, зачем и как можно повысить безопасность беспроводной сети.

Типичная ситуация: устанавливаем беспроводную сеть, включаем… и через пару недель у беспроводного шлюза начинаются странные "припадки": через каких-то пять минут он разрывает соединение. Для того чтобы диагностировать проблему, устанавливаем, например, утилиту NetStumbler, и оно с радостью показывает нам аж восемь других шлюзов, использующих тот же Wi-Fi-канал, что и наш. Пытаемся сменить канал… результат нулевой. Наконец, активируем службу Wireless Zero Configuration, входящую в состав Windows XP, (оказывается, беспроводной адаптер ее по умолчанию отключил) и — ура, заработало!

В других ситуациях многие пользователи Windows XP и эксперты по сетям Wi-Fi советуют, наоборот, полностью отключить Wireless Zero Configuration — такова сумасшедшая, непредсказуемая природа беспроводных сетей: то, что срабатывает в одних случаях, бесполезно в других.

Скоростной беспроводной доступ к компьютерам и другим устройствам нельзя игнорировать, особенно в тех местностях, где другие средства связи мало развиты. Однако при этом необходимо учитывать и сопутствующие ему проблемы.

Кроме конфликтов с программным обеспечением Windows, оборудование для беспроводных сетей страдает и от других неполадок, в число которых входят "мертвые зоны", отсутствие соединения из-за ошибок Windows, суженный диапазон Wi-Fi, помехи и нарушение безопасности.

"Черные дыры"

Согласно тестам Wi-Fi Alliance, беспроводной адаптер персонального компьютера способен устанавливать соединение со шлюзом на расстоянии 40–60 футов (12–18 м) в домашних условиях и 60–80 футов (18–24 м) в офисе. Это меньше, чем радиус в 150 футов (45,7 м), теоретически предсказанный некотрыми производителями устройств Wi-Fi.

Главная причина этого — помехи, вызванные внутренними перегородками, полами и этими мешками с водой, которые слоняются по коридорам и поглощают сигнал, — нами, человеками. С этим ничего поделать нельзя. Однако антенны на шлюзах только добавляют проблем, так как даже у самой лучшей из них область распространения сигнала не имеет форму идеальной сферы.

Что делать в этой ситуации? Найти более удачное место для шлюза или купить еще несколько антенн. Однако в любом случае, прежде чем действовать, необходимо измерить силу сигнала Wi-Fi в "мертвой зоне" — том месте, где вы хотите использовать компьютер, но не можете этого сделать. Например, может оказаться, что на одном конце большого стола сигнала практически нет, зато на другом конце прием отличный. Только не вздумайте поворачивать стол… может быть, лучше передвинуть стул? Для измерения силы сигнала можно воспользоваться простейшими программными средствами, поставляемыми в комплекте со многими беспроводными адаптерами и некоторыми ноутбуками. Однако для серьезной работы по устранению проблем этого будет маловато. С помощью уже упоминавшейся здесь бесплатной утилиты NetStumbler можно временно превратить ноутбук или КПК c адаптером Wi-Fi в удобный анализатор беспроводных сигналов, сканирующий частоты, используемые Wi-Fi-устройствами. Программа составляет список всех обнаруженных поблизости устройств с беспроводным подключением, указывая силу сигнала каждого из них.

Впрочем, NetStumbler — несколько беспокойная программа. Она поддерживается не всеми моделями адаптеров Wi-Fi, и ее не так-то просто освоить. Альтернативой может послужить устройство наподобие Smart ID WFS-1 WiFi Detector. Подобно NetStumbler, WFS-1 фиксирует сигналы в диапазоне 2,4 ГГц и измеряет их интенсивность. WFS-1 представляет собой портативный датчик размером с колоду карт, с двумя светодиодами, по которым можно определить силу сигнала после нажатия на кнопку. Устройство является направленным, поэтому, в отличие от NetStumbler, распознает источники сигнала, не относящиеся к стандарту Wi-Fi, такие как микроволновые печи и радиотелефоны.

Обнаружив основные источники помех, можно поискать более удачное место для шлюза — разумеется, если удастся таковое найти. В идеале, оно должно находиться как можно ближе к "мертвой зоне". Особое внимание стоит обратить на пространственную ориентацию шлюза. Даже так называемые всенаправленные антенны на самом деле имеют "преобладающие" направления, в результате чего шлюз, повешенный на стену, может посылать сигнал главным образом в пол или потолок. При каждом перемещении шлюза или антенны необходимо перепроверять интенсивность сигнала в той точке, где он должен приниматься.

Если перемещение или изменение пространственной ориентации шлюза и антенн не решает проблему, можно попробовать сменить антенну. К некоторым шлюзам, таким как Apple AirPort Extreme Base Station, предлагается две антенны. Некоторые компании производят антенны высокого качества, совместимые с любыми шлюзами.

Как мы с Windows искали Wi-Fi...

Понятие zero configuration — "нулевая конфигурация" — подразумевает максимально простую настройку. Но в случае со службой Windows XP Wireless Zero Configuration (WZC) это зачастую не так.

Проблема вот в чем: время от времени при включении Windows XP не соединяется с сетью. Наиболее распространенным симптомом является недоступная (серая) кнопка Connect (Соединить) в диалоговом окне сетевых подключений. Ситуация усугубляется еще тем, что адаптер как ни в чем не бывало мигает лампочками, а в окне Device Manager (Менеджер устройств) отображается так, как будто установлен совершенно правильно.

В некоторых конфигурациях эта ошибка возникает при каждой перезагрузке, в других — с пятого раза на шестой. Иногда она долго не проявляется, но в любам случае, когда возникает, доставляет массу хлопот.

На дискуссионных форумах высказывается мнение, что эта ошибка иногда — но не всегда — может быть исправлена после установки Microsoft Wireless Update Rollup Package. Этот пакет вышел еще в октябре 2003 г., и устанавливался через функцию Windows Update. Для того чтобы проверить, есть ли он на вашем компьютере, выберите команду Start?Windows Update (Пуск?Обновление Windows), выберите на левой панели режим View Installation History и поищите запись Update for Microsoft Windows XP (KB826942).

Если патч установлен, а проблема подключения осталась, попробуйте остановить и снова запустить службу Wireless Zero Configuration, отчего Windows XP переустановит драйверы сетевого адаптера.

Для того чтобы это сделать, нужно открыть консоль Services (Службы). Для этого щелкните правой кнопкой мыши на пиктограмме My Computer (Мой компьютер), расположенной на рабочем столе, и выберите команду Manage (Управление). На левой панели консоли управления откройте список Services and Applications (Службы и приложения) и выберите из него элемент Services (Службы). Просмотрите список на правой панели и дважды щелкните на элементе Wireless Zero Configuration.

Если служба не была отключена раньше, в диалоговом окне будет указан статус службы Started (Запущена), а кнопка Stop (Стоп) будет активной. Щелкните на ней, немножко подождите, пока станет активной кнопка Start (Пуск), и щелкните на ней. Если соединение восстановится, — рано радоваться: скорее всего, проблема будет повторяться, и вам придется каждый раз снова выполнять эту операцию.

Если после перезапуска службы все остается по-старому, — похоже, пора обновлять прошивку адаптера Wi-Fi ноутбука или драйверы Wi-Fi, чтобы их версия поддерживалась Windows XP. В самом худшем случае, когда WZC чаще сбоит, чем работает, отключите эту службу и используйте для настройки соединения с локальной сетью программное обеспечение, поставляемое с адаптером.

Расширение границ сети

Есть несколько способов расширить диапазон беспроводной сети за пределы досягаемости одного шлюза. Дешевле и надежнее всего будет установить несколько шлюзов Wi-Fi. Точки доступа состоят всего лишь из радиоприемника Wi-Fi, поэтому их проще настраивать, и с ними меньше проблем, однако они часто стоят дороже, чем шлюз.



Если есть возможность проложить провода в стенах или под полом, можно объединить несколько шлюзов локальной сетью Ethernet, создав своеобразный укрупненный узел связи. Можно также воспользоваться беспроводной системой распространения (Wireless Distribution System, WDS), позволяющей создать беспроводную "цепочку" из нескольких шлюзов Wi-Fi.



WDS еще называют беспроводным мостом, так как трафик каждого шлюза передается (по "мосту") другим шлюзам. Однако поскольку WDS не является стандартом, то эта технология поддерживается не всеми моделями шлюзов, и по-разному работает на устройствах различных производителей. Для использования WDS лучше всего приобрести все шлюзы одной фирмы. В частности, хорошими примерами WDS-совместимых шлюзов, полностью совместимых с Windows, являются Apple AirPort Extreme Base Station и Buffalo WBR-G54.



Независимо от того, используются ли шлюзы или точки доступа, неправильная настройка WDS-моста чревата многими проблемами. Типичная ситуация — когда три шлюза передают информацию по кругу, и она так и не попадает ни в интернет, ни пользователю.



Обычно один из шлюзов беспроводной сети ("интеллектуальный") обеспечивает мостовую связь между обычной, кабельной сетью и беспроводными клиентами, играет роль межсетевого экрана, а иногда назначает IP-адреса компьютерам, подключенным к сети по протоколу DHCP (Dynamic Host Configuration Protocol, протокол динамической конфигурации хоста). Этот шлюз играет роль барьера и связующего звена между внутренней сетью и сетью Интернет.



Остальные ("немые") шлюзы выполняют единственную функцию: обеспечивают беспроводной доступ. (Активация сервера DHCP на нескольких шлюзах — верный путь к проблемам. DHCP-сервер должен работать только на одном шлюзе, подключенном непосредственно к интернету.)



Еще один способ расширить диапазон беспроводной сети заключается в использовании адаптеров HomePlug, позволяющего передавать данные по кабелям электропроводки. Таким образом можно соединить два достаточно удаленных шлюза, если только они находятся в одном здании. Для этого сетевой кабель одного шлюза подключают адаптеру HomePlug, который включается в ближайшую электрическую розетку. В другой комнате монтируется аналогичная система, состоящая из второго адаптера HomePlug и шлюза. Если вам удастся приобрести адаптер HomePlug-Wi-Fi, то необходимость во втором шлюзе отпадет.



Главным ограничением адаптеров HomePlug является невозможность работы в изолированных цепях, а именно, в тех случаях, когда розетка соединена с выключателем.

Перекрытие сетей

Одна и та же сеть, доблестно проработав целый день, назавтра начинает барахлить… проблема может быть в том, что ваши хорошие соседи используют плохую технологию Wi-Fi.



Любое оборудование, работающее в диапазоне 2,4 ГГц (в том числе и устройства Wi-Fi), сконструировано так, чтобы создавать минимальные помехи для других устройств этого же диапазона, таких как радиотелефоны. Устройствам Wi-Fi приходится отличать полезные сигналы от радиомусора. Однако одни модели справляются с этой задачей лучше, а другие — хуже.



Например, компания Broadcom, производитель микросхем для беспроводной связи, опубликовала в прошлом году результаты тестов, согласно которым микросхемы ее конкурента, компании Atheros, создают помехи для других беспроводных устройств. Broadcom поставляет микросхемы стандарта 802.11g для шлюзов Apple, Belkin, Buffalo, Linksys и Motorola, а также для ноутбуков Dell, EMashines и Fujitsu. Технология Atheros используется в шлюзах и других устройствах D-Link и NetGear.



Причиной проблемы, на которую ссылается Broadcom, является режим Turbo, доступный для шлюзов Atheros, в котором удваивается скорость обмена данными между устройствами Atheros. Разумеется, Atheros отрицает наличие помех от ее устройств. Что же касается независимых инстанций, таких как Wi-Fi Alliance, то там данная проблема в настоящее время изучается.



Поэтому, если в соседней фирме установили оборудование на базе Atheros, и включили режим Turbo, остается только одно — решить вопрос по-хорошему, по-соседски. И наоборот, если вы используете оборудование Atheros, возможно, однажды кто-то постучится в вашу дверь…



В любом случае, помехи можно уменьшить, договорившись с соседями использовать разные каналы. Если же не удается установить источник помех или смена канала не дает желаемого эффекта, остается воспользоваться направленной антенной. Такая антенна, установленная в нужном месте здания и направленная на остальную его часть, позволяет устранить помехи, при этом не создавая проблем соседям.

Повышение безопасности Wi-Fi

Технология Wi-Fi заслужила репутацию незащищенной, когда речь идет об объединении компьютеров в локальную сеть. Большинство устройств Wi-Fi поставляются с отключенными функциями защиты, так что любой владелец ноутбука или PDA с адаптером Wi-Fi может остановиться под вашими окнами и внедриться в сеть.



Первая линия обороны, получившая название WEP (Wired Equivalent Privacy, защищенность кабельной сети), не прошла "проверку на прочность". Однако средства WEP-шифрования встраиваются во все устройства Wi-Fi, и лучше уж пользоваться ими, нежели вообще ничем. Тем не менее, алгоритмы шифрования WEP несовершенны. Их достаточно, чтобы остановить случайного прохожего, но настоящий злоумышленник, имея широко доступные программные средства, взломает WEP-защиту минут за 15, невзирая на загрузку сети.



Для ограничения доступа в сеть можно воспользоваться фильтрацией адресов MAC (Media Access Control, управление доступом к среде) на шлюзе. Эта служба ограничивает адреса с помощью уникального кода, встроенного в каждый адаптер Wi-Fi и Ethernet.



MAC-фильтрация остановит хакера-новичка, но и она не идеальна: поскольку даже при использовании шифрования MAC-адреса передаются открытым текстом, опытный взломщик легко их распознает.



Вместо того чтобы полагаться исключительно на MAC-фильтрацию, лучше использовать ее в сочетании с шифрованием WPA (Wi-Fi Protecting Access, защищенный доступ к Wi-Fi), пришедшем на смену WEP. В WPA были исправлены основные недочеты WEP, и эта технология встроена во все устройства с сертификатом Wi-Fi, выпускаемые начиная с сентября 2003 г. Что же касается старого оборудования стандарта 802.11g, то для многих таких устройств (к сожалению, не для всех), выпущенных в период с 1999 по 2002 гг., доступны обновления встроенного ПО. Более подробные сведения об этом должны быть на сайте производителя.



Прежде чем использовать WPA в Windows XP, иногда требуется загрузить патч — в нем добавлена поддержка операционной системой WPA и еще нескольких новых технологий, необходимых для корректной работы WPA.



Этот патч поддержки WPA можно установить и на ноутбуки, поддерживающие технологию Intel Centrino. Однако, несмотря на выпуск Intel обновленных драйверов, еще не все производители интегрировали эти драйверы в версию Windows XP, устанавливаемую на их ПК. Поэтому более подробную информацию о настройке WPA на данной модели ноутбука следует искать на сайте его производителя. В этом году должен появиться новый адаптер Intel Centrino стандарта 802.11g с полной поддержкой WPA, не требующий загрузки драйверов и обновлений.



WPA предусматривает защиту сети с помощью парольной фразы (длинного пароля — от 8 до 63 символов). Парольная фраза вводится на шлюзе, на странице настройки WPA. После этого тот, кто хочет подключиться к сети, должен указать такую же фразу в параметрах своего адаптера Wi-Fi. Без парольной фразы соединение не происходит.



Для того чтобы ввести парольную фразу WPA в профиль Wireless Network Connections, дважды щелкните на пиктограмме My Network Places (Мои сетевые соединения), а затем — на надписи View Network Connections (Просмотр сетевых соединений), расположенной на левой панели. Щелкните правой кнопкой мыши на сетевом соединении Wi-Fi, выберите команду Properties (Свойства) и дважды щелкните на пиктограмме вашей сети на панели Preferred Networks (Желательные сети), расположенной в нижней части диалогового окна Properties (Свойства). Перейдите на вкладку Association (Соединение) и выберите из списка Network Authentication (Аутентификация сети) команду WPA-PSK. (При подключении к сети предприятия можно выбрать простой режим WPA.) Из списка Data Encryption (Шифрование данных) выберите команду TKIP, дважды введите парольную фразу WPA и щелкните на кнопке OK.



Напоследок отметим одну особенность, связанную с использованием WPA: несмотря на то, что этот стандарт обеспечивает высокую защищенность, в конце 2003 г. было опубликовано исследование, согласно которому парольная фраза короче 20 символов и состоящая исключительно из слов, которые есть в словаре, может быть расшифрована. Вывод прост: используйте длинные парольные фразы, включайте в них цифры и знаки пунктуации.

Когда необходима защищенная сеть

Несмотря на то, что технология Wi-Fi рассчитана на короткие дистанции, ее диапазона достаточно для того, чтобы соседи (или просто пассажиры случайно проехавшего мимо автомобиля) стали и соседями по беспроводной сети.



Некоторые пользователи интернета рассматривают проникновение в незащищенные беспроводные сети как вид спорта (известный под названием wardriving — "боевое вождение"). На некоторых веб-сайтах публикуются карты открытых сетей и данные, предоставленные "игроками", проехавшими мимо на автомобиле с ноутбуком, оборудованным GPS-устройством и программным обеспечением вроде NetStumbler или Kismet



Насколько рискованно работать в незащищенной сети? Как когда. Если никогда не читать почту и не делать электронных платежей, то можно отделаться сравнительно дешево. Максимально возможная неприятность связана с использованием паролей шлюза, предлагаемых по умолчанию. Эти пароли широко известны (есть в документации и опубликованы в интернете), так что любой тинейджер, желающий самоутвердиться, может, попав в зону действия сети, зарегистрироваться в ней и ввести новые пароли, которых вы не знаете. Со всеми вытекающими последствиями… Например, если злоумышленник удалит доступ к DSL, вы потеряете доступ к интернету, а если включит WEP-шифрование, — то и к собственной локальной сети.



На самом деле риск еще больше. Если к сети подключен, например, компьютер с общедоступными файлами, то какой-нибудь несостоявшийся Джеймс Бонд вполне может сделать с этими файлами все, что захочет. Если же он найдет еще и сетевой принтер с беспроводным адаптером, — то наверняка изведет все содержимое лотка на образчики остроумия собственного изготовления… Наконец, таким способом на компьютер способен проникнуть вирус или "троянец", хозяин которого сможет управлять им, находясь где-то поблизости.



Что же делать владельцу Wi-Fi? В первую очередь, активировать систему безопасности. Самое меньшее, — изменить стандартные настройки, такие как SSID и пароли, а также защитить паролем общедоступные диски.

Как закрыть беспроводную "черную дыру"

Есть три способа расширения диапазона беспроводной сети, позволяющие перекрыть "мертвые зоны" или просто увеличить пространство доступа для одного шлюза.

Мост Ethernet: соединение шлюзов Ethernet-кабелем

Беспроводной мост (WDS): между шлюзами устанавливается "радиомост" с передачей радиосигналов

Внешняя антенна: к шлюзу подключается направленная антенна, котрая и доставляет сигнал в "мертвую зону"


(Елена Полонская)

Источник​

 

Безопасность в беспроводных сетях

Широкое распространение беспроводных локальных сетей началось в 1999 году, после ратификации стандарта IEEE 802.11b. Оборудование, работающее в этом стандарте, обеспечивало доступ в сеть со скоростью до 11 Мбит/с. Конечно, такая пропускная способность не слишком впечатляла, ведь большинство проводных ЛВС к тому времени уже работало на 100 Мбит/с, однако простота развертывания сети с лихвой покрывала скоростное ограничение.



После появления версий "а" и "g" стандарта IEEE 802.11 скорость в беспроводных локальных сетях поднялась до 54 Мбит/с, а в инфраструктурах, построенных на оборудовании одного производителя, – и до 108 Мбит/с (такое быстродействие достигается за счет одновременной работы по двум частотным каналам). Стоит отметить, что стандарт IEEE 802.11a в России пока не прижился – очень уж сложно получить лицензию на использование диапазона 5 ГГц. Поэтому абсолютное большинство легальных сетей базируется на оборудовании версий "b" и "g" и функционирует в диапазоне 2,4 ГГц, для которого введен упрощенный порядок получения разрешений на эксплуатацию радиосетей.



Сегодня развернуть беспроводную сеть можно довольно быстро. Некоторые системные интеграторы готовы объединить все компьютеры офиса в течение одного дня. От владельца при этом требуется только одно – выправить соответствующее разрешение. Однако возникает законный вопрос: если все выглядит так хорошо, почему же эти сети внедряются столь осторожно? Цены на беспроводное оборудование сравнимы со стоимостью проводных аналогов, а иногда бывают и ниже. Например, точка доступа может стоить меньше 100 долл. Значит, есть что-то такое, что заставляет серьезно задуматься при выборе способа построения сети, и совсем не обязательно результат размышлений оказывается в пользу беспроводных технологий.



Можно выделить две причины, из-за которых это происходит. Первая заключается в том, что радиоволны не всегда способны достичь нужного нам места. Учесть все факторы, влияющие на их распространение, практически невозможно, и в каждом конкретном случае оборудование необходимо тестировать. Конечно, справиться с такой задачей несложно – достаточно поэкспериментировать с различными расположениями одной или нескольких точек доступа. Но после этого возникает другая, уже более серьезная и труднорешаемая проблема. Скажем, для того чтобы подключиться к проводной сети, нужно иметь физический доступ к ней. К беспроводной же теоретически может подключиться любой желающий, если он находится в соответствующей зоне покрытия.



Чтобы получить все преимущества беспроводной технологии и в то же время быть уверенным, что никакой злоумышленник не сможет перехватить ваши данные или подключиться к вашей инфраструктуре, необходимо знать способы обеспечения безопасности, понимать их слабые и сильные стороны и уметь правильно выбрать средства защиты. Задачу защиты беспроводной сети можно разделить на две части. Первая – авторизация пользователей, вторая – обеспечение конфиденциальности передаваемой информации.

Стандарты и версии

Прежде всего рассмотрим, что представляет собой сам стандарт IEEE 802.11b с точки зрения безопасности. Каждая беспроводная сеть имеет логическое имя, или SSID (Service Set Identifier), и его надо знать при подключении. По умолчанию SSID транслируется самой точкой доступа, чтобы пользователь мог выбрать нужную ему сеть. Он может найти его на своем компьютере в списке доступных сетей аналогично тому, как осуществляется поиск сервера через ярлык "сетевое окружение". Однако в целях безопасности трансляцию логического имени рекомендуется отключить и прописывать SSID на клиентских компьютерах вручную.



Рекомендуется также проводить авторизацию пользователей по MAC-адресам их сетевых карточек, список которых настраивается на точке доступа.



Для защиты данных разработчики стандарта IEEE 802.11b включили в него протокол шифрования WEP (Wired Equivalent Privacy). Он позволяет шифровать передаваемый трафик с помощью общего секретного ключа длиной 40 бит, что дает право говорить об этом протоколе как и о дополнительном способе авторизации, поскольку пользователи или по крайней мере администраторы, настраивающие рабочие места, должны знать этот секретный ключ.



Однако ошибки в проектировании и реализации протокола WEP сделали его малопригодным для серьезной защиты. В 2001 году появились статьи, показывающие возможность взлома этого протокола. Для того чтобы вычислить секретный ключ, достаточно перехватить несколько миллионов пакетов, что соответствует нескольким часам или нескольким дням работы точки доступа, в зависимости от нагрузки сети. Выпуск версии WEP с более длинным ключом (104 бит и выше) не сильно изменил положение: для его взлома требуется лишь чуть большее время сбора пакетов. Таким образом, полагаться на WEP могут разве что домашние пользователи, желающие оградить себя от "любопытных глаз". В случае же корпоративных беспроводных сетей необходимо помнить еще и том, что ключи для WEP вводятся вручную, и если хоть один из них станет известен потенциальному злоумышленнику, администратору предстоит малоприятная работа по перенастройке ключей всего набора.



Что касается упомянутых механизмов обеспечения безопасности с помощью SSID или MAC-адресов, то на поверку и они оказываются лишь иллюзией защиты. Ведь даже если при отключенной функции широковещательной трансляции имен вы не увидите SSID в списке доступных сетей, его все равно можно узнать, перехватив сетевой трафик между точкой доступа и клиентом. Ну а MAC-адреса вообще передаются по сети в открытом виде, что позволяет злоумышленнику без труда узнать какой-либо из них и подставить его в качестве адреса своей сетевой карточки, так как делать это можно и программными методами.



В итоге мы видим, что хотя стандарт IEEE 802.11 и предусматривает некоторые механизмы обеспечения безопасности, на поверку они оказываются неработоспособными.



Понятно, что такое положение дел не может удовлетворить требования к инфокоммуникационной системе современного предприятия. Поэтому инженеры из IEEE взялись за разработку специального стандарта безопасности для беспроводных локальных сетей – IEEE 802.11i. Ожидается, что он будет утвержден еще до выхода этого номера журнала из печати.

Дополнительные инструменты

Несмотря на то что вскоре должен появиться стандарт безопасности, постоянно растущие потребности рынка заставляют производителей и пользователей оборудования искать решения, не дожидаясь его выхода. Кстати, большинство дополнительных технологий, применяемых сегодня для этих целей, станут частью будущего стандарта.



Некоторые из них собраны в стандарте авторизации 802.11x. Его смысл заключается в том, что авторизоваться должен не компьютер, как это происходит в случае с MAC-адресом или WEP-ключом, а сам пользователь. Такой механизм более надежен, поскольку за компьютером в ваше отсутствие может оказаться кто угодно. Точка доступа с поддержкой 802.11x, прежде чем пустить клиента в сеть, запрашивает его имя и пароль. Протокол, по которому происходит общение пользователя с точкой доступа, называется EAP (Extensible Authentication Protocol). До завершения авторизации весь трафик от клиента, кроме EAP, блокируется. Полученные имя и пароль точка доступа передает на сервер авторизации, и если тот подтверждает наличие в базе такого пользователя, начинает пропускать весь его сетевой трафик. Чтобы работать с этим протоколом, операционная система компьютера должна его "понимать". В настоящий момент стандарт 802.11x реализован только в Windows XP и Windows Server 2003. Для других операционных систем необходимо использовать дополительное ПО (в частности, программу Microsoft 802.1x Authentication Client для предыдущих версий Windows можно загрузить с адреса http://www.microsoft.com/windows2000/server/evaluation/news/bulletins/8021xclient.asp

Для обеспечения конфиденциальности данных разработан протокол TKIP (Temporal Key Integrity Protocol), который является дополнением к протоколу WEP, а кроме того, позволяет решить еще две задачи – проверку целостности WEP-пакетов и шифрование каждого WEP-пакета отдельным ключом. До появления TKIP весь трафик шифровался единственным ключом, что и давало возможность вычислить его из большого количества пакетов. Теперь случайным образом генерируется число, называемое вектором инициализации (Initialization Vector – IV). Затем из некоторого основного ключа (master key) генерируется WEP-ключ, который складывается с IV. В результате каждый пакет шифруется уникальным ключом. Количество возможных комбинаций гарантирует, что ключи не будут повторяться в течение ста лет непрерывной работы.



Хотя протокол TKIP закрывает дыры, существующие в WEP, в будущей стандарт безопасности 802.11i, по всей видимости, войдет еще один протокол шифрования – AES (Advanced Encryption Standard), который обеспечивает еще более надежную защиту. Этот протокол иногда применяется для создания стандартных VPN-каналов, если, конечно, позволяет быстродействие процессоров, так как он требует значительно больших мощностей, чем используемые по настоящее время DES и 3DES. Многие производители чипсетов для беспроводного оборудования уже закладывают поддержку AES на будущее, но пока эта функциональность, как правило, заблокирована.

WPA – прообраз стандарта безопасности 802.11i

Учитывая все сказанное выше, мы приходим к выводу, что сегодня уже есть механизмы, которые могут дать нам уверенность в безопасности беспроводной сети. Но тут возникает другая проблема – совместимость устройств. Как узнать, будет ли установленная у вас аппаратура обеспечивать все функции безопасности при работе с оборудованием другого производителя? Чтобы помочь нам разобраться в этом, консорциум производителей беспроводного оборудования (Wi-Fi Alliance) в конце 2002 года выпустил промежуточный вариант стандарта 802.11i – WPA (Wi-Fi Protected Access).



Эта спецификация включает в себя доработки WEP на основе TKIP и авторизацию по стандарту 802.1x с использованием протокола EAP. Поддержка WPA является обязательной для всех устройств, появившихся после сентября 2003 года и имеющих сертификат консорциума Wi-Fi Alliance. На выставке CeBIT 2004 представители последнего объявили, что у них уже прошли сертификацию 175 моделей от более чем 40 производителей. Если вы хотите узнать, обладает ли приглянувшееся вам изделие современными механизмами безопасности, ищите в его описании поддержку WPA. Чтобы воспользоваться преимуществом WPA, нужно, чтобы все устройства в сети поддерживали этот стандарт. Если хотя бы одно из них такой функциональностью не обладает, то вся сеть перейдет на обычный WEP.



Оборудование стандарта 802.11g, являясь самым новым на сегодняшний момент, с наибольшей вероятностью имеет поддержку WPA или по крайней мере позволяет провести обновление ПО с такой поддержкой. Большинство старых точек доступа стандарта 802.11b возможностью подобного обновления не обладают. С другой стороны, оборудование 801.11g до сих пор не прошло лицензирование в российских официальных органах, что может затруднить его использование в больших масштабах. Все это надо учитывать при выборе сетевой платформы.



Но допустим, что все наши устройства соответствуют стандарту WPA. Означает ли это, что работающая на их основе сеть полностью безопасна? Однозначно положительно ответить на этот вопрос нельзя, так как остаются некоторые нюансы, о которых следует помнить. Прежде всего необходимо очень тщательно выбирать пароли. Впрочем, это требование касается любых сетей, а не только беспроводных.



При настройке WPA указывается пароль, с помощью которого в дальнейшем будут выдаваться ключи для шифрования трафика. Однако злоумышленник может подобрать его методом перебора, предварительно "заставив" точку доступа повторно провести процедуру обмена ключами и перехватив трафик. Следовательно, пароль должен быть настолько сложным, чтобы не дать злоумышленнику сделать это.



Второй нюанс заключается в том, что при авторизации по протоколу 802.1x/EAP имя и пароль пользователя передаются в незашифрованном виде. Обычно это происходит уже в проводном участке сети, который соединяет точку доступа с сервером авторизации, и не является проблемой, по крайне мере относящейся к беспроводным сетям. Однако если сервер авторизации подключен через радиоканал, то тут уже следует принять дополнительные меры безопасности. На сегодняшний день для этих целей существуют вполне надежные механизмы. Например, компания Microsoft разработала свою версию протокола EAP – она называется EAP-TLS. При ее использовании весь EAP-трафик шифруется по протоколу TLS, который широко применяется в таких приложениях, как электронная почта или веб-доступ. Для работы по протоколу EAP-TLS на каждом клиентском компьютере должен быть цифровой сертификат – определенный набор данных, выдаваемый центрами сертификации. Например, такой сертификат можно получить у компании Verisign (www.verisign.com). Для внутреннего пользования компания может организовать собственный центр выдачи сертификатов при условии, что сервер авторизации работает под Windows. Но в более глобальном масштабе работа с такими "фирменными" сертификатами будет затруднена, так как остальные участники сети не станут считать их подлинными.



Еще один вариант безопасной реализации протокола EAP представляет собой PEAP (Protected EAP) – совместная разработка компаний Microsoft и Cisco. Его преимуществом перед EAP-TLS является то, что он не требует установки цифровых сертификатов.



К сожалению, на сегодняшний день как в продаже, так и в использовании остается огромное количество устройств без поддержки WPA. Что же необходимо делать, если вы применяете именно такое оборудование, но хотите защитить свои данные от злоумышленников? Тут можно дать два основных совета:

для любого трафика, проходящего через беспроводную сеть, используйте защищенные VPN-соединения;

точки доступа устанавливайте в отдельную сеть, защищенную межсетевым экраном, чтобы беспроводной участок отгородить от проводной ЛВС.

Естественным образом возникает вопрос о законности использования средств шифрования – как в беспроводных, так и в любых других сетях. В связи с этим необходимо знать, что лицензированию подлежит деятельность по распространению и техническому обслуживанию шифровальных (криптографических) средств, предоставлению услуг в области шифрования информации, разработке и производству таких продуктов, а также защищенных с их помощью информационных и телекоммуникационных систем. Из сказанного можно сделать вывод, что если вы применяете технологии шифрования для своих личных нужд, являясь частным лицом или коммерческой организацией, то необходимости в лицензировании нет. Однако государственные учреждения либо организации, работающие с государственной тайной, не смогут на законных основаниях использовать функции безопасности беспроводных устройств.



Современный рынок беспроводного оборудования представлен достаточным количеством производителей на любой вкус и кошелек. Есть и свои лидеры в каждом его сегменте. Если вы ищете решение подешевле, то устройства с неплохими характеристиками производит компания D-Link. Однако поскольку ее продукты в первую очередь предназначены для индивидуальных потребителей, то не все они обладают необходимым набором функций.



На рынке корпоративных решений лидирует Cisco Systems. Ее оборудование является не самым дешевым, зато позволяет применять новейшие технологии в области безопасности сетей. У компании есть специальный программный пакет Cisco Wireless Security Suite, состоящий из трех компонентов:

поддержка 802.11x;

поддержка фирменного протокола Cisco LEAP (фирменная реализация EAP);

поддержка протокола TKIP.

Протокол Cisco LEAP обладает рядом преимуществ по сравнению со стандартными реализациями. Например, он позволяет производить двустороннюю авторизацию, когда не только точка доступа проверяет клиента, но и сам клиент убеждается в том, что работает с легальной точкой доступа.



Кроме того, пакет Cisco Wireless Security Suite с помощью RADIUS-сервера может выдать полную статистику о работе беспроводных точек доступа и клиентских компьютеров, что позволяет получить информацию о том, к каким ресурсам сети обращаются пользователи.



Отсутствие единого стандарта безопасности препятствует появлению нового оборудования для защищенной работы в беспроводных сетях. Производители пока не спешат наделять свое оборудование дополнительной функциональностью. После выхода стандарта 802.11i ситуация должна кардинально измениться, и тогда помимо прочего мы увидим и недорогие устройства, способные обеспечить необходимый уровень этого важнейшего параметра сетевой работы.

Источник​