Беспроводные технологии достаточно прочно вошли в нашу жизнь и обеспечили вполне «обкатанный» способ построения локальных сетей небольшого размера.
Среди протоколов беспроводных локальных сетей (БЛС) наибольшую популярность получил IEEE 802.11b, самый первый и самый дешевый в коммерческой реализации. На смену ему уверенно приходит IEEE 802.11g, предлагающий новые схемы модуляции и кодирования радиосигнала и, как следствие, значительную скорость работы.
Несмотря на очевидные удобства использования беспроводных сетей, их внедрению и распространению мешает отсутствие стандарта, обеспечивающего достаточный уровень безопасности корпоративных приложений. До принятия такого стандарта приходится искать различные пути повышения уровня безопасности БЛС.
Стандарт IEEE 802.11 включает в себя некоторые средства защиты пользовательского доступа и шифрования трафика. Прежде всего, это SSID или имя БЛС. Если широковещательная трансляция SSID запрещена, то подключающемуся клиенту необходимо заранее знать это имя для получения доступа к сети. Другим механизмом, который задуман как основное средство защиты, является протокол WEP (Wired Equivalent Privacy). Он позволяет шифровать трафик, передаваемый между точкой доступа и клиентским устройством. Для настройки механизма WEP необходимо указать ключи шифрования, которые должны совпадать у всех участников сеанса связи в беспроводной локальной сети.
Как показало время, все эти механизмы не обеспечивают необходимого уровня безопасности, и злоумышленник с легкостью может их обойти. Для поиска в эфире точек доступа и других беспроводных устройств разработано большое количество хакерского программного обеспечения. В частности, для Windows-платформ существует популярная программа NetStumbler (www.netstumbler.com). Она сканирует диапазон частот и показывает все найденные в данной точке БЛС. Программа выдает пользователю SSID, номер канала, сведения о наличии/отсутствии шифрования, определяет уровень сигнала и т. д. При наличии GPS-приемника можно узнать точные координаты потенциальной «жертвы» и закачать их на сервер, на котором находится постоянно пополняющаяся карта обнаруженных беспроводных сетей.
Что касается протокола WEP, его слабость тоже проявилась достаточно давно. Для того, чтобы узнать ключ шифрования, необходимо просто прослушивать эфир в течение некоторого времени. Проанализировав необходимое количество пакетов, можно легко вычислить ключ. Популярной программой для вычисления WEP-ключей является AirSnort (http://airsnort.shmoo.com), работающая под управлением операционной системой Linux. Для вычисления ключа шифрования WLAN нужно перехватить порядка 5—10 млн пакетов, что соответствует нескольким часам или дням работы точки доступа — в зависимости от загрузки сети.
Итак, как мы видим, все стандартные механизмы обеспечения безопасности БЛС можно достаточно легко обойти с помощью программных средств, доступных всем желающим. Как же защитить данные и не пустить злоумышленников в свою сеть?
В 2002 году сообщество производителей беспроводного оборудования (Wi-Fi Alliance) опубликовало стандарт WPA (Wi-Fi Protected Access), который дает возможность решения проблем защиты. Прежде всего, он обеспечивает динамическую генерацию ключей шифрования сеансов связи, что позволяет защититься от атак типа прослушивания трафика и вычисления статического WEP-ключа. Помимо этого, стандарт допускает проведение аутентификации пользователя перед его доступом в БЛС.
До появления этой спецификации WPA любой человек, знающий SSID, мог воспользоваться ресурсами корпоративной сети. Даже при наличии WEP-шифрования ключи настраивались под сетевую карточку, а не под конкретного пользователя. Но в стандарт WPA входит протокол, который позволяет запрашивать имя и пароль пользователя, проверять их с учетными записями в базе данных сервера аутентификации, а затем принимать решение о допуске в сеть. На рынке уже существуют решения с поддержкой этого стандарта, и если вы только планируете развернуть беспроводную сеть, имеет смысл искать продукты с подобными механизмами защиты. Однако даже современные средства построения БЛС не всегда гарантируют 100-процентную безопасность. Некоторые «фирменные» реализации протокола аутентификации пользователей (например, Cisco LEAP) не исключают перехвата шифрованного трафика авторизации с последующим поиском пользовательского пароля методом перебора.
Вскоре должен быть утвержден стандарт 802.11i, который «вберет» в себя основные достижения стандарта WPA и обеспечит более надежные механизмы шифрования. Однако когда это произойдет, точно сказать нельзя. Поэтому пока необходимо применять дополнительные меры защиты БЛС, которые перечислены ниже.
- В первую очередь, при развертывании БЛС нужно менять настройки безопасности точек доступа, установленные по умолчанию. Каждый производитель точки доступа присваивает ей имя SSID по умолчанию. Если вы его не поменяете, злоумышленник сможет определить тип используемого оборудования, что значительно облегчит ему задачу проникновения в сеть. Список SSID и паролей, устанавливаемых производителями по умолчанию, содержится в Internet по адресу http://mediawhore.wi2600.org/nf0/wireless/ ssid_defaults/ssid_defaults-1.0.5.txt.
- Если оборудование не обеспечивает поддержку протокола WPA, нужно активировать хотя бы стандартные механизмы WEP. Хотя WEP-ключ может быть взломан, это требует некоторых усилий, что способно отпугнуть большинство непрофессиональных хакеров.
- Многие беспроводные устройства позволяют осуществлять фильтрацию клиентов по MAC-адресам. Вы можете составить таблицу MAC-адресов, с которых разрешен доступ в корпоративную сеть. Вместе с тем следует иметь в виду, что MAC-адрес сетевой карточки при желании легко изменить программным способом, а значит, полностью полагаться на это средство нельзя.
- Для усложнения доступа к сети и запутывания злоумышленников следует установить ложные точки доступа. Существует программа Fake AP, доступная по адресу http://www.blackalchemy.to/ Projects/fakeap/fake-ap.html, которая позволяет генерировать тысячи сигналов с ложными идентификаторами SSID. Клиентское устройство воспринимает их как сигналы от настоящих точек доступа, и злоумышленнику весьма трудно выбрать из них истинный.
- Необходимо отключить широковещательную трансляцию SSID. Хотя SSID может быть определен и путем пассивного прослушивания сети, это создаст злоумышленнику дополнительные трудности.
- По возможности используйте шифрованные VPN-соединения между рабочей станцией и сервером, если трафик должен пройти беспроводной участок сети.
- Используйте межсетевой экран, чтобы отделить проводной участок локальной сети от беспроводного. Это поможет снизить риск проникновения в вашу локальную сеть, в которой находятся серверы с корпоративными данными, даже если злоумышленник получит доступ к БЛС.
— Вячеслав Лущинский (slaval@mail.ru), менеджер по проектам компании «Линкомп» (www.lincomp.ru).