Настоящая статья — это попытка сделать обзор текущего состояния безопасности беспроводных сетей с целью ответа на вопрос: возможно ли уже сегодня построить корпоративную беспроводную сеть, устраивающую собственника сети с точки зрения обеспечения требуемого уровня безопасности, а также в соответствии с требованиями законодательства РФ и руководящих документов в области защиты информации?
Технологии беспроводных сетей широко используется во всем мире, привлекая внимание пользователей относительно невысокими экономическими затратами и простотой развертывания, удобством использования и гибкой архитектурой. Бесспорным лидером на рынке беспроводных сетей, является оборудование, отвечающее спецификациям семейства стандартов 802.11. Поэтому в дальнейшем при употреблении термина «беспроводные сети», будем иметь в виду сети, построенные на оборудовании, совместимом со стандартами семейства 802.11.
Одним из основных сегментов рынка оборудования беспроводных сетей является решение для так называемых «офисных или корпоративных» сетей. Характерная особенность такого решения — создание непрерывной зоны покрытия в пределах офисного здания. Данное решение часто требует размещения достаточно большого количества точек доступа. И в таком случае, актуальной становится задача мониторинга и управления беспроводной сетью. Следовательно, уже на этапе проектирования необходимо заложить в решение использование средств централизованного управления и мониторинга состояния сети, что в дальнейшем позволит существенно снизить совокупную стоимость владения системой (TCO). В дальнейшем мы не будем возвращаться к вопросам ТСО, — это тема отдельной статьи и отдельного обсуждения.
Другим основным вопросом при построении беспроводных сетей, безусловно, является вопрос обеспечения требуемого уровня безопасности информации, циркулирующей в сети. В первую очередь, причина остроты вопроса в используемой среде передачи данных — радиоэфире. В отличие от обычных сетей, в которых информация передается по проводам, осуществить перехват информации в радиоэфире намного проще — достаточно иметь комплект оборудования, аналогичный комплекту оборудования абонента беспроводной сети. Поэтому в спецификации стандартов 802.11 особое внимание уделено вопросам безопасности — определен протокол обеспечения безопасности беспроводных сетей WEP (Wired Equivalent Privacy).
Безусловно, вопрос обеспечения безопасности, поставленный в этой статье далеко нетривиален, но с чего-то надо начинать… И чтобы подступиться к решению этого вопроса, давайте определим доступные нам меры и средства, позволяющие сделать беспроводную сеть как можно более безопасной. Итак, нам необходимо:
Все эти методы защиты сегодня можно реализовать на оборудовании практически любого производителя, представленного на рынке беспроводных сетей стандарта 802.11 и имеющего логотип Wi-Fi1.
Назовем комплекс вышеперечисленных мер защиты «начальным» уровнем, ниже которого опускаться категорически нельзя при проектировании корпоративной беспроводной сети.
Допустим, весь комплекс мер реализован, но, увы, учитывая известные технические и технологические проблемы протокола WEР2, и как следствие, низкий уровень сложности взлома подобной сети, беспроводную сеть с «начальным» уровнем безопасности лучше всего рассматривать как далеко небезопасную сеть. И, как следствие, точки доступа такой сети (даже при использовании WEP) не следует соединять с внутренней проводной сетью, — они должны находиться по внешнюю сторону от межсетевого экрана. Таким образом, обрабатывать конфиденциальную информацию в сети с описанным выше начальным уровнем безопасности нельзя.
Чтобы исправить ситуацию, некоторые производители (например, Agere Systems, D-Link, US Robotics,), с целью улучшения базового уровня защищенности, предлагают использовать более длинные ключи шифрования протокола WEP2 — 128, 152 или даже 256 бит. Но это часто приводит к отсутствию совместимости с оборудованием стандарта 802.11 других производителей. Кроме того, с точки зрения злоумышленника, трафик протокола WEP представляет из себя набор исходных данных для решения задачи криптоанализа типа «вскрытие с использованием выбранного ключа»3.
А учитывая то, что злоумышленнику известен алгоритм смены ключей, определенный протоколом WEP, на решение этой задачи он затратит несколько часов4. После чего нам обеспечено несанкционированное подключение к нашей беспроводной сети. Мало того, заменить MAC-адрес своей карты доступа на MAC-адрес карты доступа легального пользователя, для злоумышленника не составит особого труда, а нам станет фактически не возможно обнаружить подобный взлом. Увеличение длинны ключа даже до 256 бит, лишь увеличивает количество пакетов, которые должен прослушать злоумышленник (например, используя анализаторы пакетов AirMagnet или AiroPeek), и время, необходимое злоумышленнику для криптоанализа.
Поточный шифр RC4, лежащий в основе WEP-шифрования и разработанный американцем Рональдом Райвестом в 1987 году, получил широкое распространение благодаря удачному сочетанию криптографической стойкости и высокого быстродействия. Уязвимости реализации протокола RC-4 в WEP изучаются криптографами достаточно давно5. По мнению многих экспертов необходимо заменить криптографический инструментарий протокола WEP на более прочный.
Итак, осознание проблем протокола WEP пришло не вчера, поэтому уже сегодня на рынке есть решения, позволяющие сделать использование протокола WEP более безопасным. Например:
Использование некоторых протоколов стандарта 802.1х (о них речь пойдет ниже), позволяет решить проблему динамической смены ключей шифрования для беспроводных устройств.
Протокол MIC (Message Integrity Check) позволяет защитить WEP-пакеты от их изменения и подделки, в процессе передачи.
Протокол TKIP (Temporal Key Integrity Protocol), также разработаный с целью улучшения ситуации с безопасностью протокола WEP, предполагает использование уникальной ключевой последовательности для каждого устройства, а также обеспечивает динамическую схему ключа каждые 10 000 пакетов. Однако, также как и WEP, протокол TKIP использует для шифрования криптографический алгоритм RC4. Отметим, что для использования протокола TKIP нет необходимости отказываться от имеющегося оборудования 802.11, достаточно лишь обновить программное обеспечение (разумеется, если производитель реализовал поддержку этого протокола).
Теперь обратимся к вопросам обеспечения безопасного информационного взаимодействия пользователей беспроводной сети с ресурсами корпоративной сети. Для решения этой задачи, нам потребуются реализовать авторизацию пользователей беспроводной сети (в протоколе WEP проверка аутентичности пользователя не реализована совсем), а также использовать более сильные методы защиты, способные обеспечить требуемый уровень конфиденциальности и целостности информации. Один из таких методов — установка сервера контроля доступа, использующего протоколы стандарта EAP/802.1х6 (LEAP; PEAP; EAP-TLS; EAP-TTLS), с целью усиленной аутентификации абонентов беспроводной сети.
Остановимся более подробно на этом методе. Стандарт 802.1х в нашем случае определяет взаимодействие клиента беспроводной сети с сервером доступа на этапе авторизации абонента в системе. Схема авторизации пользователя в беспроводной сети показана на рисунке 1.