В последние годы в корпоративных сетях российских компаний стали широко применяться беспроводные технологии. Такие сети привлекают внимание относительно невысокой стоимостью и простотой развертывания, удобством использования и гибкой архитектурой.

Технология Wi-Fi — удобное решение для подключения мобильных сотрудников или партнеров к сети предприятия, причем кроме ноутбуков в таких сетях можно применять КПК и смартфоны.

Самым уязвимым местом технологии Wi-Fi является среда распространения сигналов — радиоканалы, которые делают всю передаваемую информацию доступной для потенциального злоумышленника. Проникновение в корпоративную проводную сеть через Internet посредством взлома периметра защиты значительно сложнее беспроводного подключения, позволяющего взломщику сохранять полную конфиденциальность соединения и незаметность съема информации.

Основными угрозами в беспроводной сети являются:

  • получение неавторизированного доступа;
  • перехват трафика;
  • подмена точки доступа.

Именно доступность для внешних клиентов отличает сеть Wi-Fi от проводной среды, в которой есть периметр защиты, и администратору понятно, где могут находиться точки проникновения в сеть организации. При развертывании Wi-Fi часто выявляются такие недостатки:

  • ошибки проектирования сетевой архитектуры и конфигурирования сетевых устройств;
  • уязвимости программного обеспечения сетевого и каналообразующего оборудования;
  • использование простых паролей, раскрываемых методом прямого подбора;
  • отсутствие поддерживающих мер обеспечения безопасности (политик защиты, деления сети на сегменты, разграничения прав доступа и т.д.);
  • собственные уязвимости беспроводных сетей и несоблюдение элементарных мер безопасности (например, использование только встроенных защитных механизмов, обеспечивающих лишь базовый уровень безопасности).

Что же необходимо для создания полноценной системы защиты беспроводной сети?

  1. Разработайте внятную политику обеспечения безопасности при использовании WLAN. При построении такой системы важно иметь четкое представление о том, как должна быть защищена беспроводная сеть, кому разрешено ею пользоваться, каковы правила разграничения доступа, кто является ответственным и как разрешаются инциденты.
  2. Применяйте технологические средства для обеспечения безопасной работы WLAN. В протоколе WPA, пришедшем на смену WEP, исправлены основные недочеты последнего, но в определенных условиях (например, при использовании preshared key — PSK) есть вероятность взлома и такой системы. Специалисты рекомендуют применять в корпоративных сетях протокол WPA2, который, в отличие от WPA, базируется на более стойком алгоритме шифрования AES. Комбинирование WPA2, сертификатов и расширенных методов аутентификации пользователей обеспечивает достаточно высокий уровень защищенности.
  3. Используйте системы обнаружения вторжений (IDS) как на уровне среды передачи данных (для выявления ложных точек доступа и атак), так и на уровне TCP/IP. Обеспечьте безопасность портов управления оборудованием беспроводной сети. Как минимум, нужен запрет управления со стороны элементов беспроводной сети, а в идеале — полный контроль над доступом, в том числе консольным. Ведите мониторинг подозрительной активности вокруг зданий компании. В некоторых странах используются даже специальные радиопоглощающие обои для ограничения зоны радиопокрытия беспроводной сети.
  4. Обеспечьте аутентификацию всех соединений беспроводной сети, причем проверяться должны как клиенты, так и точки доступа. Для исключения возможности атак с использованием ложных точек доступа необходимо внедрять системы сетевой аутентификации по всей инфраструктуре (на основе протокола 802.1.х).
  5. Решите проблемы радиоинтерференции и покрытия сети. Единая централизованная инфраструктура WLAN упрощает управление большим количеством беспроводных точек доступа и автоматизирует процесс покрытия беспроводной сетью заданной территории. Контроллер самостоятельно определяет оптимальный радиоканал и мощность излучения для каждой точки, реализует некоторые функции L2- и L3-роуминга. В централизованной сети реализуется и динамическое распределение нагрузки: контроллер автоматически переключает пользователей на менее загруженные точки доступа. Кроме того, появляются механизмы централизованного контроля над обстановкой в эфире, эффективного обнаружения несанкционированных точек доступа и нарушителей (например, решение Aruba выполняет такие задачи, основываясь на местоположении источников излучения сигналов на карте).
  6. Защитите вашу проводную сеть от беспроводного сегмента. Для этого могут пригодиться межсетевые экраны и системы предотвращения вторжений, устанавливаемые на границе сред, технология VLAN (для разделения потоков между разными типами сетей), установка на мобильных устройствах персональных межсетевых экранов, антивирусов и т.д. Соответствие настроек мобильных устройств глобальной политике безопасности, принятой в организации, может проверяться при помощи специальных комплексов от Symantec, Cisco, CA и др.
  7. Обеспечьте внедрение единой системы управления информационной безопасностью по всей инфраструктуре корпоративной сети. Это позволит отслеживать нарушения в беспроводных и проводных сегментах сети с полным разбором инцидентов и динамическим реагированием на них. Для создания такой системы мы рекомендуем использовать решение Arcsight.

Михаил Романов (romanov@technoserv.ru) — начальник отдела информационной безопасности и планирования непрерывности бизнеса компании «ТехноCерв А/C»


Рисунок.