Начнем с непререкаемой истины: безопасность ни одного из элементов ИТ никогда не бывает достаточной. Всегда имеются неудачные стратегии, реализации, просто ошибки, а новые угрозы возникают каждый день. Необходимо постоянно на шаг опережать злоумышленников. Взломать сеть или прослушивать канал связи должно быть настолько трудно, чтобы лишь самые щедро финансируемые своими государствами шпионы были способны нанести вред. И даже им должно быть сложно прорвать хорошо продуманную оборону.
Первые беспроводные локальные сети в начале 1990-х, помимо очевидной медлительности, ненадежности, дороговизны и очень малой дальности действия, были фундаментально незащищенными. Каждый обладатель подходящего радиоприемника, даже находясь вне здания на автостоянке, мог подслушивать без особых проблем.
В качестве первого шага к решению насущной в ту пору проблемы в первом (1997 год) стандарте IEEE802.11 (http://www.ieee802.org/11/) был предусмотрен механизм безопасности, известный как WEP, Wired Equivalent Privacy — конфиденциальность, эквивалентная проводным линиям. Это название не очень хорошо характеризует WEP, поскольку в то время (впрочем, как и сейчас) большинство проводных линий были вообще не защищены. Характеристики WEP, при всех недостатках этого решения, были гораздо лучше. Любой человек с подходящим инструментом, находящийся вблизи провода, особенно проложенного в виде неэкранированной витой пары, мог незаметно подключиться к линии Ethernet. Конечно, защита периметра считалась хорошей идеей, по крайней мере до откровений Эдварда Сноудена. Но на самом деле она, мягко говоря, ущербна.
Однако защита WEP также имела фундаментальные недостатки и легко преодолевалась. Поэтому Wi-Fi Alliance (https://www.wi-fi.org/), профессиональная организация, которая определяет характеристики производственных проводных и беспроводных сетей, быстро подготовила эффективную исправленную версию: протокол Wi-Fi Protected Access (WPA). В основе WPA лежит протокол Temporal Key Integrity Protocol (TKIP), который появился в составе нового стандарта WEP, IEEE802.11i, выпущенного в 2004 году. По протоколу TKIP меняются ключи для пакетов, что предотвращает атаки против WEP. Однако сегодня никто, ни при каких обстоятельствах не будет использовать WPA или WEP: имеющиеся в них уязвимости устранить невозможно.
На смену WPA пришел стандарт WPA2 с усовершенствованной проверкой подлинности и гораздо более надежным механизмом шифрования (известным как CCMP). В основе CCMP лежит алгоритм Advanced Encryption Standard, или AES (https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.197.pdf). Но даже WPA2 подвергается атакам, поэтому был разработан стандарт WPA3 (https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-introduces-wi-fi-certified-wpa3-security), очевидно лучший на сегодня подход к базовой безопасности Wi-Fi. Самое важное — WPA3 гораздо надежнее защищает от атак методом подбора, может применяться на новом оборудовании и обратно совместим с WPA2 в переходный период, который, скорее всего, растянется на годы.
Как и в случае с WPA и WPA2, существует два базовых режима безопасности WPA3, Personal («Персональный») и Enterprise («Корпоративный»). Режим Personal поддерживает предварительно созданные общие ключи и обеспечивает более продуманную проверку подлинности по сравнению с WPA2. Эффективная длина ключа — 128 разрядов. В режиме Enterprise используется более сложная проверка подлинности, как правило на основе стандарта 802.1X, и ключи длиной 192 разряда.
Организация Wi-Fi Alliance также представила механизм, именуемый Easy Connect, предназначенный для безопасного подключения к устройствам с минимальным или отсутствующим интерфейсом в виде экрана, что типично для автономных устройств, подключаемых к общедоступным сетям (IoT). Используемый метод получает широкое распространение: приложение сканирует QR-код, и безопасное соединение устанавливается автоматически. Очевидно, это гораздо проще, чем превратить устройство в ложную точку доступа при первом включении, ввести учетные данные целевой точки доступа, обычно со смартфона или другого беспроводного клиента, а затем выполнить перезагрузку. Этот неудобный, отнимающий много времени и подверженный ошибкам процесс чаще всего использовался в прошлом.
Наконец, организация Wi-Fi Alliance объявила о программе Wi-Fi Certified Enhanced Open, которая должна повысить безопасность открытых точек доступа там, где распространение учетных данных практически нереализуемо. Хочу сразу предупредить — использование VPN на уровне 3 (IPSec и многие современные коммерческие VPN-службы) или уровне 4 (обычно на веб-странице отображается небольшой значок замка) в сетях без средств защиты Wi-Fi необходимо. Существует много продуктов и служб, предоставляющих VPN по вполне приемлемым ценам.
Однако нельзя утверждать, будто один лишь стандарт WPA3 обеспечивает достаточную безопасность. Как отмечалось выше, дополнительные меры на уровнях 3, 4 и даже защита приложений на уровне 7 часто, если не всегда, желательны или даже обязательны, в зависимости от локальной политики безопасности. Защита WPA3 на уровне 2 инкапсулирует и таким образом защищает весь трафик верхнего уровня, но помните, что атака на уровне 1 (радиоволны, распространяющиеся в атмосфере) — не единственное направление нападения и последующего взлома.
WPA3 пока не реализован во всех продуктах, и можно смело сказать, что многие точки доступа и клиенты текущего поколения не будут обновлены до WPA3. Причина, конечно, в перспективной спецификации 802.11ax, и формируемый поставщиками спрос на WPA3 может дать многим потенциальным покупателям дополнительный стимул для модернизации не только ради повышения производительности, но и, что столь же важно, большей безопасности. Ведь всем нам всегда не хватает и того и другого.
Я рекомендую обязательный переход на WPA3, но это лишь один из элементов общего решения безопасности.