Стандарт IEEE 802.11i закроет все известные бреши в системе безопасности беспроводных локальных сетей IEEE 802.11 (известных также как Wi-Fi), но процедура его окончательного утверждения завершится не ранее чем через год.
Приблизительно в то же время на рынке появятся первые готовые продукты, соответствующие данной спецификации. Такое заявление прозвучало на весенней конференции Intel Developer Forum из уст сетевого архитектора Intel Джесси Уокера, непосредственно участвовавшего в разработке предварительного описания стандарта.
Впрочем, уже имеющиеся технические решения позволяют заметно повысить безопасность беспроводных локальных сетей. Многие компании могут обеспечить дополнительную защиту, внедрив хотя бы средства, предусмотренные базовым стандартом 802.11.
«Технология WEP (Wired Equivalent Privacy), которую с самого начала поддерживали все продукты, соответствующие стандартам 802.11, позволяет шифровать данные в беспроводной сети, — отметил Джесси Уокер. — Однако она не отличается надежностью, поскольку предполагает повторное использование одного и того же ключа. Проанализировав небольшой объем трафика, любой, даже начинающий хакер способен вычислить этот ключ. Кроме того, технология WEP не позволяет противодействовать подмене данных в момент их прохождения по радиосети».
Эффективная система обеспечения защиты беспроводной сети включает в себя несколько компонентов, и главными из них считаются механизмы, которые гарантируют, что данные действительно поступают из предполагаемого источника, а их несанкционированный просмотр и изменение невозможны. «Одной лишь аутентификацией здесь не обойтись, — подчеркивает инженер Cisco по технической поддержке Шри Сандаралингам. — Наряду с ней пользователям нужны надежный механизм шифрования и средства поддержания целостности данных».
Помимо других усовершенствований стандарт 802.11i будет включать в себя алгоритм для создания новых ключей в начале каждого сеанса. Кроме того, он обеспечит проверку пакетов на предмет отсутствия связи передаваемых данных с деятельностью хакеров. Управление ключами будет осуществляться с помощью службы аутентификации пользователей RADIUS и средств стандарта IEEE 802.1x.
После утверждения стандарта 802.11i пользователям следует установить в своих беспроводных сетях специализированные программные компоненты безопасности и привести их в соответствие со спецификациями WPA (Wireless Protected Access), одобренными ассоциацией Wi-Fi Alliance. По словам Уокера, начиная с августа все коммерческие продукты Wi-Fi будут оснащаться средствами WPA.
Во многих компаниях беспроводные локальные сети не имеют даже простейших средств защиты от так называемых «боевых машин», в которых злоумышленники ездят мимо офисных зданий, перехватывая трафик беспроводных сетей. Зачастую администраторы считают, что беспроводные сети в их организации не используются, в то время как сотрудники самостоятельно устанавливают собственные бесконтрольные точки доступа.
Чтобы обезопасить себя от «боевых машин», пользователям достаточно активизировать имеющиеся в стандартном арсенале средства шифрования WEP. В большинстве случаев взломщики не станут связываться с такой сетью, предпочитая более легкие жертвы.
На следующем этапе рекомендуется запустить механизмы аутентификации и динамические компоненты WEP с изменяющимися ключами. Благодаря этим мерам можно защититься от «детских» сценариев взлома и от подростков, которые используют для проникновения в чужие системы пакетные хакерские средства, скачиваемые из Internet. К подобным средствам относятся технологии EAP-TLS, PEAP и Cisco LEAP (Lightweight EAP). Последняя основана на протоколе, разработанном и применяемом корпорацией Cisco для более серьезной, чем обеспечиваемая WEP, защиты выпускаемых ею продуктов корпоративного класса.
Для защиты от профессиональных хакеров Сандаралингам советует обратиться к более мощным системам шифрования, например к используемой в WPA и стандарте 802.11i технологии TKIP (Temporal Key Integrity Protocol). Другой вариант — протокол CKIP (Cisco Key Integrity Protocol), представляющий собой фирменную реализацию инженерами Cisco рекомендаций еще не утвержденного стандарта 802.11i.
По мере того как стандартные механизмы защиты WLAN набирают силу, корпорация Cisco начинает реализовывать их спецификации в своих продуктах. Вместе с тем она продолжает обеспечивать поддержку и собственных протоколов, предлагая их реализацию в конечных продуктах и решениях. «Если говорить о позиции нашей компании, то мы с удовлетворением воспримем повсеместное распространение технологии WPA и ее поддержку всеми производителями», — заявил Сандаралингам.