Позволяют ли современные технологии строить надежно защищенные беспроводные локальные сети? Этот вопрос волнует руководителей ИТ-подразделений, которых прельщает перспектива перевода корпоративной сетевой инфраструктуры в эфир, но всерьез беспокоит проблема обеспечения безопасности.
Дабы выяснить, насколько оправданны эти опасения, мы протестировали 23 устройства для WLAN производства 17 компаний (табл. 1). Как оказалось, во многих из них поддержка стандарта Wired Equivalent Privacy (WEP) реализована на простейшем уровне, а потому этот протокол можно использовать только в специальных случаях. Наследник WEP — протокол Wi-Fi Protected Access (WAP) — также является уязвимым, но в комбинации с методом аутентификации 802.1X и при условии корректного применения обеспечивает неплохую защиту. Наконец, стандарт 802.11i, пришедший на смену этим протоколам, дает все необходимое для построения надежно защищенной WLAN.
Надо отдать должное производителям: средства безопасности корпоративного уровня сегодня можно встретить в продуктах всех ценовых категорий. Две трети протестированных изделий поддерживают спецификации 802.1X, и поставщики принимают все усилия для достижения совместимости со стандартом 802.1i.
В поисках защиты
Проведенные испытания разительно отличались от обычного тестирования продуктов, победитель которого выбирается по таким критериям, как производительность, средства управления или простота использования продукта. Мы сфокусировались исключительно на защите и, основываясь на результатах разнообразных тестов, попытались выяснить, какие из продуктов можно отнести к наиболее безопасным компонентам беспроводной сети.
Из клиентского оборудования пользователям можно смело рекомендовать сетевые адаптеры производства 3Com и Cisco, поскольку они обеспечивают множество функций защиты, свободны от неудачных реализаций протокола WEP и допускают переход на стандарт 802.1i. В категории точек доступа ситуация оказалась более сложной. Продукты 3Com и SMC успешно прошли все тесты, однако мы полагаем, что пристального внимания заслуживает также оборудование Cisco, HP и Proxim, которое потерпело неудачу в тестах с протоколом WEP, но наделено рядом дополнительных функций защиты. Более того, даже точка доступа NetPassage WPE54G-SMA компании Compex, ориентированная на сектор SOHO, способна переадресовывать пользователей на разные виртуальные ЛС, что следует рассматривать как мощное средство защиты.
Из числа беспроводных коммутаторов в первую очередь мы рекомендуем продукты компаний Aruba, Airespace и Trapeze — опять же исходя из разнообразия реализованных в них методов защиты. В корпоративной среде эти устройства обеспечат более высокий уровень безопасности, чем любая из протестированных точек доступа, не наделенная функцией коммутации.
WEP: пробуем на вкус
Недостатки WEP общеизвестны, и нас интересовало, годен ли этот протокол хоть на что-нибудь.
Самое слабое место WEP — отсутствие механизма управления ключами. Вы выбираете ключ шифрования, сообщаете его пользователям и после этого, как правило, никогда не меняете. Всякий, кто получил доступ к данному ключу, без труда раскодирует весь зашифрованный с его помощью трафик. В итоге будет нарушен режим конфиденциальности и злоумышленник сможет управлять правами сетевого доступа.
Мы имеем многолетний опыт тестирования WEP-продуктов и предполагали, что метод взлома ключей, используемый такими хакерскими инструментами, как WEPCrack и AirSnort, безнадежно устарел, ведь с момента их появления предложено множество вариантов противодействия. Оказывается, мы жестоко ошибались. Мало того, что примерно 40% продуктов не прошли тест на взлом WEP-ключей, некоторые поставщики даже откатились назад: последние версии их продуктов более уязвимы, нежели предыдущие (табл. 2).
Пытаясь объяснить незащищенность ПО современных продуктов от сетевых атак трехлетней давности, многие производители утверждают, что те администраторы, которые всерьез обеспокоены защитой WLAN, вряд ли станут делать ставку на протокол WEP. С этим доводом трудно не согласиться, но все-таки ничем нельзя оправдать выпуск беспроводного оборудования, не защищенного от простейших атак. Мы связались со службами технической поддержки всех компаний, изделия которых не прошли тест с применением ПО AirSnort, но лишь три из них, Airespace, Aruba и Trapeze, прислали нам в помощь своих сотрудников. Они устранили имевшиеся бреши в системе безопасности, установив новую версию программного кода.
AirSnort и WEPCrack — далеко не единственные средства, используемые для атаки на WEP-системы. Если в сети применяются 40-разрядные ключи, ПО KisMAC позволяет вскрыть их «методом грубой силы».
В ряде тестировавшихся точек доступа, включая разработки компаний Belkin, Linksys и Netgear, все WEP-ключи генерируются после ввода единственного пароля. На практике использование этого метода зачастую приводит к появлению далеко не случайных WEP-ключей. В результате уровень защищенности сети оказывается даже ниже, чем при работе с обычными 40-разрядными WEP-ключами.
Многие компании реализовали так называемый «высокозащищенный» протокол WEP, позволяющий работать с ключами, длина которых превышает стандартные 104 бита. Маркетинговая составляющая этого шага понятна, а вот в техническом плане он лишен всякого смысла. Попытка подобрать даже 104-разрядный ключ методом простого перебора потребует больше времени, чем прогнозируемое время жизни Вселенной, так что в дальнейшем увеличении разрядности нет необходимости. Зато вред от него очевиден: применение ключей нестандартной длины приводит к несовместимости продуктов разных компаний.
Вывод напрашивается сам собой: WEP — не тот протокол, на который надо делать ставку, если вы всерьез намерены обезопасить корпоративную WLAN. К счастью, все протестированные продукты, за исключением двухдиапазонного адаптера фирмы Linksys, выполненного в стандарте CardBus, поддерживают более совершенные механизмы защиты.
802.1X: мостик в новый мир
Стандарт аутентификации для проводных сетей 802.1X дает неплохие результаты при переносе в беспроводную среду. WEP-ключи начинают генерироваться отдельно для каждого пользователя и для каждого сеанса, аутентификация которого проводится средствами 802.1X. Конечно, многочисленные недостатки протокола WEP при этом не исчезают, но стандарт 802.1X позволяет решить главную практическую проблему. Отныне никто из потребителей не будет в течение долгих месяцев, а то и лет работать с одним и тем же WEP-ключом, а частота смены ключей напрямую контролируется сетевым администратором.
Еще одно преимущество схемы аутентификации 802.1X состоит в том, что администратор точно знает, кто работает в сети. Для входа в нее каждый пользователь должен ввести параметры аутентификации в диалоговом окне. «Мощность» метода аутентификации выбирается администратором — от простой пары «имя пользователя/пароль» до цифровых сертификатов.
В случае применения стандарта 802.1X в его «чистом» виде основная нагрузка ложится на клиента беспроводной сети, а точка доступа в процессе аутентификации практически не участвует. Для большинства протестированных продуктов активизация средств поддержки 802.1X точкой доступа сводится к выбору одной из двух опций: разрешить применение метода 802.1X или применять его в обязательном порядке. После этого остается лишь «привязать» точку доступа к RADIUS-серверу, поддерживающему данный стандарт.
Правда, некоторые продукты не обладают такой гибкостью. Скажем, беспроводной коммутатор Mobility Exchange 20 производства Trapeze допускает использование механизма аутентификации 802.1X, но при этом задействуется собственный встроенный сервер аутентификации. Такое решение значительно ускоряет процесс развертывания сети, особенно если имеющейся сервер RADIUS не поддерживает стандарт 802.1X.
Средства 802.1X интегрированы далеко не во все беспроводные устройства. Примером могут служить протестированные нами изделия Buffalo Technology и Linksys. Беспроводной адаптер и точка доступа фирмы Belkin также не поддерживают «чистый» стандарт 802.1X, хотя и допускают использование соответствующей схемы аутентификации совместно с протоколом WPA.
В целом же поддержка стандарта 802.1X в беспроводных клиентских адаптерах встречалась нам чаще, чем в ходе предыдущего тестирования. К тому же компания Microsoft встроила предусмотренные в нем механизмы аутентификации в ОС Windows XP, а Apple сделала то же самое в десятой версии Mac OS.
Основная проблема при использовании средств 802.1X на стороне клиента (независимом либо в тандеме с WPA или с 802.11i) связана с подбором совместимого механизма аутентификации. Даже если этот метод будет неодинаковым для всех сетевых устройств, они должны поддерживаться имеющимся сервером RADIUS. Пожалуй, единственным общим знаменателем может служить метод аутентификации с шифрованием Protected Extensible Authentication Protocol (PEAP), основанный на протоколе компании Microsoft, в котором используется процедура согласования MS Challenge Handshake Authentication Protocol (MSCHAPv2).
К сожалению, комбинация PEAP/MSCHAPv2 не подходит для сетей с зашифрованными пользовательскими паролями, в частности при хранении паролей на UNIX-сервере в формате /etc/password. В результате приходится либо прибегать к другому механизму аутентификации (вроде Tunneled Transport Layer Security/Password Authentication Protocol — TTLS/PAP, которая воспринимает зашифрованные пароли), либо менять тип идентификационных параметров, например на цифровые сертификаты. Последние поддерживаются всеми протестированными клиентскими устройствами, отвечающими стандарту 802.1X.
Хотя пара TTLS/PAP не получила широкого распространения в клиентских устройствах (исключениями стали продукты 3Com и Apple), ее поддержку можно обеспечить. Для этого нужно установить специальные клиентские приложения для ОС Windows, например Odyssey фирмы Funk Software или Aegis производства Meetinghouse Data Communications.
При всех достоинствах стандарта 802.1X для достижения наивысшего уровня безопасности WLAN его следует дополнить алгоритмом шифрования, превосходящим WEP по возможностям. Недаром на методах шифрования 802.1X основаны другие механизмы защиты, прежде всего — WPA и 802.11i.
WPA: в ожидании своего часа
Спецификацию WPA активно продвигает консорциум Wi-Fi Alliance. Ее разработали производители, обеспокоенные тем, что из-за недостатков WEP могут существенно замедлиться продажи беспроводных устройств. Взяв одну из ранних версий стандарта 802.11i, они выкинули из нее разделы, наиболее сложные в реализации, — прежде всего, механизм шифрования Advanced Encryption Standard (AES). Благодаря такому упрощению первые продукты, прошедшие сертификацию на соответствие WPA, появились на рынке уже через пять месяцев после опубликования спецификации.
WPA повышает уровень защищенности беспроводных сетей несколькими способами. В первую очередь, это позволяет сделать новый протокол шифрования Temporal Key Integrity Protocol (TKIP), обеспечивающий более эффективное использование ключей шифрования (см. врезку). Несмотря на сохранение прежнего алгоритма шифрования RC4, новые методы генерации и смены ключей позволили избавиться от многих недостатков WEP. Кроме того, WPA гарантирует более высокую защищенность трафика сети 802.11x от нежелательных изменений. Добавить сообщение в передаваемый поток данных либо модифицировать пересылаемый пакет теперь практически невозможно.
Но главное усовершенствование, привнесенное в механизмы защиты WLAN спецификацией WPA, состоит в использовании разных ключей шифрования для разных сеансов. При установлении соединения между клиентской станцией и точкой доступа генерируется новый ключ. При этом используются случайные числа, последовательность которых инициируется автономно для каждого соединения, и MAC-адреса обоих устройств.
При корректном использовании протокола WPA значительно повышается уровень защищенности WLAN, но простейший вариант его реализации приводит к тому, что сеть становится даже более уязвимой, чем при работе с WEP. Речь идет о работе с заранее разосланным ключом (Pre-Shared Key, PSK) вместо применения алгоритма аутентификации 802.1X. В этом случае в сети используется крайне редко сменяемый пароль, который сообщается каждому, кто хочет подключиться к сети. Все протестированные устройства, за исключением продуктов фирмы Linksys, поддерживают комбинацию WPA-PSK (табл. 3). Если длина пароля невелика, в момент подключения очередной клиентской станции к сети злоумышленник может перехватить несколько пакетов, а затем восстановить по ним используемый ключ PSK. При этом его действия останутся незамеченными, ведь для захвата необходимого числа пакетов достаточно нескольких секунд, а загрузка сети останется на прежнем уровне.
Конечно, подверженность сети подобным атакам зависит и от людей, выбирающих неподходящие пароли. Если вы заставите пользователей при настройке параметров беспроводного соединения задавать 64-символьные шестнадцатеричные пароли, то можете считать, что от подобных атак вы защищены. Однако сами пользователи отдают предпочтение встроенному в WPA механизму обработки идентификационных фраз, который преобразует строку из 8—63 символов в 64-цифровой ключ. Более половины продуктов поддерживают исключительно генерацию ключей по идентификационным фразам; работая с ними, вы не сможете ввести 64-символьный шестнадцатеричный ключ, даже если очень захотите.
Проблема — в том, что такую фразу нетрудно угадать. Рабочая группа в составе IEEE, создававшая стандарт 802.11i, специально отмечает, что идентификационная фраза из восьми или десяти букв эквивалентна ключу длиной меньше 40 бит, т. е. обеспечиваемый ею уровень безопасности уступает таковому для протокола WEP. В любом случае идентификационная фраза короче 20 символов вряд ли защитит вашу сеть.
Как в случае с WEP, для расшифровки ключа PSK в сети, защищенной средствами WPA, существуют несколько программных средств. Одно из них, KisMAC, позволило нам убедиться, что 8-символьный PSK можно взломать в течение нескольких дней, какие бы устройства не были установлены в сети.
Комбинация из протокола WPA и механизма аутентификации 802.1X, иногда именуемая WPA-Enterprise, обеспечивает высокий уровень безопасности. Средства 802.1X гарантируют надежную аутентификацию как клиентских станций, так и инфраструктурного оборудования WLAN. При этом ключи шифрования, уникальные для каждого сеанса, не так-то легко перехватить. Правда, за повышенный уровень безопасности надо платить. В сети придется установить сервер RADIUS, совместимый со стандартом 802.1X и поддерживающий обработку цифровых сертификатов, а клиентские станции оснастить программными средствами 802.1X, поддерживающими применяемый метод аутентификации.
Таким образом, сегодня сочетание WPA и 802.1X, пожалуй, ближе всего к «идеальному решению» с точки зрения защиты WLAN. К тому же не составляет труда найти устройства, в которых реализована такая комбинация и которые имеют приемлемую цену. Но будьте готовы к тому, что по мере появления на рынке разработок, соответствующих стандарту 802.11i, основанные на WPA изделия начнут сходить со сцены.
Окончание следует
Коротко о TKIP
Определенный в стандарте IEEE 802.11i протокол Temporal Key Integrity Protocol (TKIP) отвечает за ту часть уравнения под названием «безопасность WLAN», которая связана с шифрованием данных. При разработке этого протокола учитывалось одно крайне строгое ограничение: он должен работать на существующем оборудовании, а следовательно, не может претендовать на выделение значительных вычислительных ресурсов под процедуры шифрования.
TKIP представляет собой «оболочку», расположенную поверх существующего механизма шифрования WEP. Он опирается на те же механизмы шифрования и алгоритм RC4, которые используются в WEP. Однако длина ключа шифрования выбрана равной 128 разрядам. Таким образом, снимается основная проблема протокола WEP — недостаточная длина ключей.
Важной особенностью TKIP является смена ключа, используемого для каждого передаваемого пакета. Сам ключ генерируется как сочетание базового ключа, именуемого парным временным ключом (Pairwise Transient Key), MAC-адреса передающего узла и порядкового номера пакета. Подобное смешение снижает нагрузку как на клиентские станции, так и на точки доступа, но уровень защищенности ключа оказывается достаточно высоким.
Каждый пакет, шифруемый средствами TKIP, имеет 48-разрядный порядковый номер, который автоматически увеличивается при передаче очередного пакета и используется в качестве вектора инициализации и для генерации ключей. Его присутствие в качестве части ключа шифрования гарантирует, что ключи у разных пакетов будут отличаться. Это позволяет избежать коллизионных атак, которые могут возникнуть при работе с протоколом WEP в случае применения одного и того же ключа шифрования к двум разным пакетам.
Использование порядкового номера в роли вектора инициализации снижает остроту еще одной проблемы WEP — ответных атак. Поскольку вероятность повторного использования 48-разрядного номера равна нулю, ни один из сетевых узлов не будет реагировать на старые пакеты, поступившие по беспроводному соединению. Из-за несоответствия порядковых номеров они будут распознаны как устаревшие.
Наконец, самой важной частью комбинированного ключа TKIP является уже упомянутый базовый ключ. Даже не генерируя уникальные базовые ключи, протокол TKIP ликвидировал многие слабые места WEP, но главная проблема осталась: все пользователи WLAN постоянно работают с практически не защищенным ключом. На ликвидацию этой бреши и нацелена генерация базового ключа.
Новый базовый ключ создается всякий раз, когда клиентская станция устанавливает соединение с точкой доступа. При этом используется хеширование специального секретного ключа сеанса, случайных чисел, генерируемых и точкой доступа, и клиентской станцией, а также MAC-адресов обоих устройств. Применение механизма аутентификации 802.1X позволяет сделать секретный ключ уникальным. Его защищенную передачу на клиентскую станцию выполняет сервер аутентификации. Применение же TKIP в сочетании с предварительно разосланными ключами лишает этот протокол его главного преимущества, поскольку в таком случае секретный сеансовый ключ становится известным всем устройствам сети и никогда не меняется.