Ограничиваем распространение радиосигнала, чтобы избавиться от непрошеных гостей
Беспроводные сети имеют очевидное слабое место: они непрерывно передают радиосигналы. Однако, чтобы устранить эту угрозу, достаточно просто ограничить распространение радиосигнала.
Логика проста - если злоумышленник не сможет перехватить сигнал, он не сумеет подключиться к сети. Существует три основных способа ограничить распространение радиосигналов беспроводной сети - уменьшить мощность излучения передатчика точки доступа, экранировать стены и окна помещений с помощью специальных покрытий, а также настроить направленность сигнала точки доступа таким образом, чтобы сигнал не распространялся за определенные границы. Рассмотрим эти способы подробнее.
Настройка мощности передатчика
В первую очередь я хочу рассказать о настройке выходной мощности передатчика беспроводной точки доступа.
Существуют ограничения комиссии FCC на использование спектра радиочастот и мощность излучаемого сигнала, которые могут использоваться сетевым оборудованием.
Мощность принимаемого сигнала затухает по мере удаления от источника: чем дальше от источника, тем слабее уровень принимаемого сигнала.
Многие производители оборудования предусматривают возможность настройки мощности радиопередатчика. Например, типичная точка доступа может выдавать 20 милливатт (мВт) мощности, но, используя дополнительные настройки оборудования, можно поднять мощность до 200 мВт или же опустить до 1 мВт. Таким образом можно управлять дальностью распространения сигнала.
Как правило, в любой типовой конфигурации сети можно несколько понизить уровень сигнала точки доступа без ущерба для соединений авторизованных пользователей.
Если аппаратура и встроенное программное обеспечение имеющейся точки доступа не позволяют управлять уровнем мощности передаваемого сигнала, можно воспользоваться микропрограммными прошивками независимых разработчиков. Для большинства моделей популярных точек доступа, в том числе ASUS, Buffalo Technology, Cisco Systems, Linksys, Motorola, NETGEAR, Siemens и USRobotics, существуют альтернативные прошивки микропрограммного обеспечения. Из них можно особо выделить OpenWrt (http://openwrt.org), DD-WRT (http://ddwrt.gruftie.com) и Sveasoft Alchemy and Talisman (http://sveasoft.com).
Каждый из вариантов достоин внимания (хотя следует заметить, что решение OpenWrt довольно сложно настроить, поскольку из-за модульной архитектуры потребуется разобраться со множеством добавляемых модулей, чтобы получить необходимую функциональность). Следует иметь в виду, что не всякая микропрограммная прошивка подойдет к конкретной аппаратуре точки доступа. Перед использованием альтернативного микрокода нужно тщательно проверить список совместимого оборудования и убедиться, что прошивка была успешно протестирована с данной моделью. Необходимо специально обратить внимание на совместимость версий микрокода с различными аппаратными версиями одних и тех же моделей точек доступа.
Как правило, прошивки независимых производителей просты в установке. Каждый продукт предоставляет несложный Web-интерфейс настройки и предлагает множество дополнительных функций и возможностей, которые недоступны в оригинальных прошивках производителя.
Обратите внимание, что использование неоригинальных прошивок может лишить потребителя права на гарантийный ремонт и замену оборудования, а также возможности обращения в службу поддержки производителя.
Если через какое-то время пользователь решит вернуть оборудование производителю, может случиться так, что ему откажут.
Вне зависимости от того, какую прошивку точки доступа предполагается использовать, нужно помнить, что, помимо настройки мощности передатчика точки доступа, качество приема сигнала пользовательскими компьютерами зависит от множества дополнительных факторов. Например, если рабочая станция использует высокочувствительную антенну, она может успешно подключиться к точке доступа даже при наличии очень слабого сигнала. Это происходит из-за того, что чувствительная антенна усиливает слабый сигнал и обеспечивает уверенный прием. При этом антенна будет выдавать выходной сигнал повышенной мощности при передаче данных с рабочей станции на точку доступа. Злоумышленники могут воспользоваться компьютерами с высокочувствительными антеннами для проникновения в сеть даже в том случае, если их оборудование расположено достаточно далеко от соответствующих точек доступа.
Было проведено множество демонстраций успешного использования чувствительных (направленных) антенн на расстояние до нескольких миль. На предотвращение этой угрозы направлен второй метод, который заключается в ограничении распространения радиосигналов.
Применение отражающих покрытий
Можно воспользоваться различными типами покрытий, защищающих стены и окна от проникновения радиосигналов. Эти покрытия поглощают или отражают радиосигнал, не пропуская его на другую сторону. С помощью таких покрытий можно ограничить доступность беспроводной сети отдела одной комнатой. Аналогично можно предотвратить прием точкой доступа сигналов от непрошеных гостей.
Эти покрытия представлены двумя основными типами - специальный вид краски, содержащий соединения, отражающие попадающий на них радиосигнал, и специальные панели, которые монтируются на внутренние или внешние стены. Оба типа покрытий являются достаточно дорогими и требуют значительных затрат на установку. Из-за высокой стоимости они не могут рассматриваться как оптимальное бюджетное решение.
Ограничение распространения сигнала
Третий метод «укрощения» беспроводных сигналов заключается в ограничении направления передачи сигналов от антенны точки доступа.
Практически все предлагаемые на рынке точки доступа продаются со всенаправленными антеннами, транслирующими сигнал равномерно на 360?. При этом форма распространения сигнала может быть представлена в виде тора (или пончика). При этом достаточно просто добиться того, чтобы сигнал от точки доступа распространялся в определенном направлении - для этого можно приобрести направленную антенну или добавить рефлекторы (отражатели сигнала) к обычной всенаправленной антенне. Как мы увидим, добавление рефлекторов — более простой и дешевый способ.
Рефлектор отражает сигнал в основном в направлении, перпендикулярном поверхности отражателя. Например, точка доступа размещается в углу комнаты; тогда, если разместить рефлекторы вдоль стен за антенной, основной сигнал будет распространяться внутри комнаты и лишь незначительный сигнал будет выходить за ее пределы позади антенны.
Для перехвата информации потенциальному злоумышленнику необходимо находиться внутри области распространения радиосигнала, так что с помощью рефлекторов можно существенно ограничить область, в которой вероятен несанкционированный перехват сигнала имеющейся точки доступа. Использование рефлекторов не только позволяет защитить сеть от злоумышленников, но и может оказаться полезным для снижения интерференции между сетями нескольких организаций, размещающихся внутри одного здания. Рефлектор ограничивает распространение сигнала в соседние помещения, снижая степень риска для информационной безопасности.
Проектирование эффективных рефлекторов основывается на проектировании антенн - весьма сложный процесс, требующий специальных знаний. Можно с уверенностью утверждать, что большинство администраторов сетей не обладают достаточной квалификацией для проектирования эффективных рефлекторов. Но, к счастью, некоторые администраторы, обладающие глубокими знаниями в области радио и проектирования антенн, сделали свои разработки доступными всем желающим.
Так, Мишель Эрскайн предлагает три схемы рефлекторов, которые ограничивают сигнал для всенаправленных антенн, используемых большинством точек доступа. Угловой рефлектор (Corner Reflector, http://www.freeantennas.com/projects/Ez-10), параболический рефлектор (Parabolic Reflector, http://www.freeantennas.com/projects/template2) и цилиндрический параболический рефлектор (Deep Dish Cylindrical Parabolic Reflector, http://www.freeantennas.com/projects/template) позволяют направить распространение сигнала в определенную сторону. При этом все три рефлектора усиливают сигнал в выбранном направлении и ограничивают передаваемую мощность за рефлектором.
Рефлекторы исключительно просты в изготовлении, а установка сводится к надеванию рефлектора на антенну.
В это трудно поверить, но предлагаемые конструкции легко сделать из доступных элементов, которые можно приобрести в канцелярском магазине. Для изготовления углового и параболического рефлектора потребуются картон или прозрачная пленка для печати слайдов, немного алюминиевой фольги и универсальный или резиновый клей. Для изготовления цилиндрического параболического рефлектора потребуются те же материалы, но проще взять банку из-под чипсов, на которую уже нанесена алюминиевая фольга, а еще понадобится проволочная сетка или кусок тонкого пластичного металла. Если точка доступа использует две антенны, потребуется изготовить два рефлектора, по одному для каждой из них.
Чертежи и схемы для изготовления отражателей можно загрузить с сайта автора. Обратите внимание, что для достижения наибольшего эффекта необходимо точное соблюдение пропорций.
На рисунках показана конфигурация распространения сигнала при использовании рефлекторов. Антенна обозначается черной вертикальной чертой, торообразное облако представляет форму распространения радиосигнала, мы видим, как меняется сигнал при использовании сетки в качестве отражателя.
Рисунок 1. Распространение сигнала от параболического рефлектора |
На рис. 1 изображен сигнал, получаемый при применении параболического и цилиндрического параболического рефлектора; как видно из схемы, распространение сигнала за антенну практически блокировано. На рис. 2 изображен сигнал при использовании углового рефлектора, в этом случае излучение за антенной несколько больше, но все равно сигнал экранируется достаточно эффективно.
Рисунок 2. Распространение сигнала от углового рефлектора |
Эти решения очень экономичны. Коммерческие направленные антенны могут стоить сотни долларов, а такие отражатели можно изготовить в считанные минуты и почти без затрат.
Оптимальным решением для большинства случаев будет снижение уровня мощности передатчика точки доступа в сочетании с направленной антенной, которая ограничит распространение сигнала. Разумеется, ни одно из предложенных решений не позволяет полностью отказаться от других стандартных мер сетевой безопасности.
Марк Джозеф Эдвардс - Старший редактор Windows IT Pro и ведущий еженедельного электронного бюллетеня Security UPDATE. С ним можно связаться по адресу mark@ntsecurity.net