Фото: Fujitsu |
Сети Wi-Fi по своей природе уязвимы для взлома и «прослушки», однако на беспроводные сети вполне можно полагаться, если применить необходимые меры безопасности. К сожалению, Интернет полон устаревших советов и мифов по этому поводу. Ниже предлагаются правила по обеспечению безопасности Wi-Fi, развеивающие некоторые из этих мифов.
Не пользуйтесь WEP
Алгоритм WEP (Wired Equivalent Privacy) безнадежно устарел. Реализуемый им шифр могут легко и быстро взломать большинство даже неопытных хакеров, поэтому WEP лучше не пользоваться вообще. Тем, кто все еще это делает, рекомендуется немедленно переходить на WPA2 (Wi-Fi Protected Access) с аутентификацией 802.1X — стандарт 801.11i. Пользователи устаревших клиентских устройств или точек доступа, не поддерживающих WPA2, могут обновить их прошивку или просто купить новое оборудование.
Не пользуйтесь WPA/WPA2-PSK
Режим с общим ключом (pre-shared key, PSK) протоколов WPA и WPA2 недостаточно надежен для корпоративных или любых организационных сред. При использовании данного режима на каждом клиентском устройстве нужно вводить один и тот же заранее условленный ключ. Этот ключ необходимо менять каждый раз, когда организацию покидает очередной сотрудник или когда клиентское устройство потеряно или похищено. Для большинства сред это непрактично.
Применяйте 802.11i
Режим Extensible Authentication Protocol (EAP) протоколов WPA и WPA2 опирается на аутентификацию по стандарту 802.1X, а не на общие ключи, благодаря чему для каждого пользователя или клиентского устройства можно завести собственный набор верительных данных — имя и пароль и/или цифровой сертификат.
Сами ключи шифрования регулярно меняются автоматически в фоновом режиме. Так что для изменения параметров доступа пользователя или лишения его прав достаточно изменить верительные данные на центральном сервере, а менять общий ключ на каждом клиенте не нужно. Уникальные одноразовые ключи, действующие только в течение сеанса, также не дают пользователям возможности перехватывать трафик друг друга, что сейчас легко делается с помощью Firesheep, дополнения для Firefox или DroidSheep, приложения для Android.
Следует иметь в виду, что для максимальной безопасности нужно пользоваться WPA2 с 802.1X — сочетанием, известным еще и как 802.11i.
Для поддержки аутентификации 802.1X требуется сервер RADIUS/AAA. В случае использования Windows Server 2008 или более новой версии можно попробовать воспользоваться Network Policy Server или Internet Authenticate Server из предыдущих версий этой операционной системы. Те же, у кого не Windows Server, могут попробовать сервер FreeRADIUS с открытым кодом.
При использовании Windows Server 2008 R2 или новее можно разослать настройки 802.1X на присоединенные к домену клиентские устройства посредством модификации групповой политики. В других случаях для настройки клиентских устройств можно воспользоваться сторонними решениями.
Защищайте параметры аутентификации 802.1X для клиентских устройств
Режим EAP в WPA/WPA2 уязвим для посреднических атак. Однако их можно предотвратить путем защиты настроек EAP клиентского устройства. Например, в установках EAP в Windows можно включить проверку действительности сертификата сервера. Это делается путем выбора сертификата удостоверяющего центра, указания адреса сервера и отключения выдачи запроса для пользователей, разрешающего доверять новым серверам или сертификатам удостоверяющего центра.
Настройки 802.1X тоже можно разослать на присоединенные к домену клиентские устройства посредством групповой политики либо воспользоваться сторонним решением, например Quick1X компании Avenda.
Обязательно пользуйтесь системой предотвращения вторжений для беспроводных сетей
Обеспечение безопасности Wi-Fi не ограничивается непосредственной борьбой с попытками получить несанкционированный доступ к сети. Хакеры могут создавать фиктивные точки доступа в сети или проводить атаки на отказ в обслуживании. Чтобы распознавать такие вторжения и бороться с ними, следует внедрить беспроводную систему предотвращения вторжений. Конструктивно такие системы разных поставщиков могут различаться, но, как правило, все они прослушивают эфир в поисках фиктивных точек доступа и вредоносной активности, по возможности блокируют ее и предупреждают сисадмина.
Существует немало компаний, предлагающих решения такого типа, например AirMagnet и AirTight Networks. Есть и варианты с открытым кодом, в частности Snort.
Применяйте NAP или NAC
В дополнение к 802.11i и беспроводной системе предотвращения вторжений следует пользоваться технологией Microsoft Network Access Protection (NAP) или системой контроля доступа к сети (Network Access Control, NAC). Они могут обеспечить дополнительный контроль над доступом к сети по принципу идентификации клиентского устройства и определения его соответствия заданным политикам. Они также могут изолировать проблематичные клиенты и принудительно обеспечивать их соответствие политикам.
В состав некоторых NAC-решений могут входить механизмы распознавания и предотвращения вторжений, однако следует убедиться, что они предназначены именно для беспроводных сетей. Сисадмины сред на основе Windows Server 2008 или более новых версий с клиентскими устройствами на базе WIndows Vista или новее могут воспользоваться технологией Microsoft NAP. В иных случаях можно применять сторонние решения, например систему PacketFence с открытым кодом.
Не полагайтесь на скрытые SSID
Один из мифов беспроводной безопасности состоит в том, что отключение широковещательной рассылки идентификаторов беспроводной сети «скроет» вашу сеть или по крайней мере сами SSID от хакеров. Однако такая опция лишь удаляет SSID из сигнальных кадров точки доступа. Идентификаторы сети по-прежнему содержатся в запросах на ассоциацию 802.11, а также иногда в пакетах проверки и ответах на них. Поэтому перехватчик может обнаружить «скрытый» SSID довольно быстро, особенно в сети с высокой активностью, с помощью легитимного анализатора беспроводных сетей.
Бытует мнение, что отключение публикации SSID тем не менее создает дополнительный уровень безопасности, но не следует забывать, что это может отрицательно сказаться на быстродействии сети и повысить сложность конфигурирования. Придется вручную вводить SSID на клиентах, что дополнительно усложняет их настройку. Кроме того, увеличится число зондирующих и ответных пакетов, из-за чего снижается доступная пропускная способность.
Не полагайтесь на фильтрацию по MAC-адресам
Еще один миф о защите беспроводных сетей: включение фильтрации по MAC-адресам позволяет создать дополнительный уровень безопасности, предотвращающий допуск посторонних клиентов в сеть. Это до некоторой степени верно, но следует помнить, что при прослушке трафика атакующие очень легко могут выяснить разрешенные MAC-адреса и подделать их на своих устройствах.
Поэтому не стоит слишком полагаться на надежность MAC-фильтрации, хотя этой функцией можно пользоваться для ограничения возможности пользователей подключать к сети несанкционированные устройства и компьютеры. Также следует иметь в виду высокую сложность ведения и своевременного обновления списка MAC-адресов.
Ограничьте набор SSID, к которым могут подключаться пользователи
Многие сисадмины упускают из виду простой, но потенциально серьезный риск: пользователи, специально или непреднамеренно подключающиеся к соседней или несанкционированной беспроводной сети, открывают свои компьютеры для возможного вторжения. Одним из способов предотвратить эту опасность является фильтрация SSID. В Windows Vista и более поздних версиях, например, можно создавать фильтры на допустимые SSID с помощью команд nethsh wlan. Для настольных ПК можно запретить все SSID, кроме вашей собственной беспроводной сети, а для ноутбуков можно просто запретить SSID соседних сетей, но сохранить возможность подключения к общественным зонам доступа или домашним сетям.
Забота о безопасности Wi-Fi не должна ограничиваться собственной сетью организации. Пользователи со смартфонами и планшетами, возможно, защищены, когда находятся в офисе, но что происходит, когда они подключаются к публичным зонам доступа или своим домашним сетям? Стоит позаботиться о том, чтобы эти соединения тоже были защищены от вторжений и прослушки.
К сожалению, внешние соединения по Wi-Fi защитить не так-то просто. Для этого нужно предоставить и порекомендовать пользователям определенные решения, а также просветить их по поводу рисков безопасности и мер их предотвращения.
Во-первых, на всех ноутбуках должны работать персональные межсетевые экраны (например, WIndows Firewall) для предотвращения вторжений. При использовании Windows Server этого можно добиться за счет соответствующей групповой политики либо с помощью решения для управления не входящими в домен компьютерами, например WIndows Intune.
Во-вторых, нужно обеспечить шифрование всего интернет-трафика пользователя для защиты от перехвата в сторонних сетях. Для этого доступ пользователя к сети его организации должен происходить через виртуальную частную сеть. Если сисадмин не желает предоставлять для таких целей собственную VPN организации, можно воспользоваться внешними сервисами вроде Hotsopt Shield или Witopia. В iOS (на iPhone, iPad и iPod Touch) и Android-устройствах можно применять встроенные VPN-клиенты. Однако для пользования VPN-клиентами устройств на основе платформ BlackBerry и Windows Phone 7 понадобится настроить сервер обмена собщениями.
Также нужно проследить, чтобы все сервисы организации, «смотрящие» в Интернет, были защищены — просто на случай, если пользователь не будет применять VPN, находясь в публичной или недоверенной сети. Например, если организация предоставляет внешний доступ к электронной почте (через почтовый клиент или Web), необходимо пользоваться SSL-шифрованием, чтобы не позволить локальным перехватчикам в недоверенной сети проследить верительные данные или сообщения пользователя.