Механизмы защиты беспроводных сетей

Окончание. Начало см. «Сети», 2004, № 15.

802.11i: следующая эра

С разработанным организацией IEEE стандартом Robust Security Networking нельзя не считаться. Создававшийся в качестве дополнения к базовому документу 802.11, он пришел на смену спецификации WEP. Утверждение этого стандарта состоялось лишь в июле, но, хотя оборудование для тестирования поступило к нам несколько раньше, оказалось, что 3Com, Airespace, Belkin, Buffalo, Proxim, SMC и Trapeze уже реализовали поддержку отдельных возможностей 802.11i в своих продуктах.

Основное отличие окончательной версии 802.11i от спецификации WPA заключается в применении процедуры Advanced Encryption Standard (AES), ориентированной на сети пакетной коммутации. Однако в 802.11i предусмотрено использование механизмов аутентификации 802.1X. А это означает, что при выборе простейшего сценария — шифрования на основе заранее рассылаемых ключей — среда 802.11i может оказаться даже более уязвимой, чем WLAN с использованием протокола WEP.

Не забудьте закрыть дверь!

Для построения защищенной беспроводной сети недостаточно просто обезопасить эфир. Следует накрепко «запереть» точки доступа, как и остальные элементы сетевой инфраструктуры. Мы специально исследовали возможность проникновения в компоненты сетевой инфраструктуры (точки доступа и коммутаторы). В частности, мы попытались оценить, насколько надежно защищены места подключения беспроводных устройств к кабельной сети. Для этого мы постарались, насколько возможно, сохранить используемую по умолчанию конфигурацию тестировавшегося оборудования. В ряде случаев производитель порекомендовал нам выбрать более защищенные параметры функционирования, например заменить протокол HTTP на Secure-HTTP.

Испытания показали, что в большинстве случаев конфигурация, принятая по умолчанию, обеспечивает очень слабый уровень защиты. Многие точки доступа не позволяют запретить практически незащищенные сетевые сервисы (Telnet, HTTP) и активизировать вместо них более защищенные (Secure Shell, HTTPS). Поставщики выбирают самые простые, а не самые надежные конфигурации. Так, хотя администраторы не любят контролировать работу точек доступа через интерфейс командной строки, продукты компании Actiontec поставляются по умолчанию с разрешенными сеансами Telnet и легко угадываемым паролем (он просто совпадает с именем пользователя). А главное, данный пароль нельзя ни изменить, ни заблокировать. Это существенный недостаток данного продукта, хотя последний и ориентирован на организации с ограниченным бюджетом.

В точках доступа, предназначенных для крупных корпоративных сетей и основанных на более совершенных платформах (к ним относятся, например, продукты HP и SMC), остались открытыми порты отладки в ОС реального времени VxWorks фирмы Wind River, которая установлена на обоих устройствах. Хотя пользователи пока не сталкивались с атаками, в которых использовались указанные порты, нельзя гарантировать их отсутствие в будущем.

Даже производители, которые уделяют повышенное внимание средствам защиты корпоративных сетей (такие, как фирма Aruba, оснастившая свой беспроводной коммутатор полноценным брандмауэром), оказываются неряшливыми в отношении управляющих параметров, устанавливаемых по умолчанию. Компания Trapeze, также сконцентрировавшая немало ресурсов на обеспечении безопасности, допустила другую «случайную» ошибку: вынуждая администратора использовать для управления протокол HTTPS, ее продукт позволяет вообще обходиться без пароля. Такое решение трудно отнести к хорошим манерам в области сетевой защиты, даже если речь идет о конфигурации, выбираемой по умолчанию

Как защитить WLAN?

Какие же меры следует предпринять, чтобы достичь приемлемого уровня защищенности беспроводной сети? Ответ на поставленный вопрос зависит от конкретной ситуации.

Если сеть строится «с нуля» и унаследованные сетевые устройства отсутствуют, воспользуйтесь средствами WPA и методами аутентификации 802.1X, запланировав переход на оборудование 802.11i после его появления на рынке. Применение методов 802.1X не введет вас в лишние расходы. Соответствующие программные средства распространяются бесплатно и встроены, в частности, в операционные системы Windows XP и Mac OS X. Чтобы определить, соответствует ли оборудование спецификации WPA, достаточно найти на нем маркировку WPA Enterprise, которая свидетельствует о прохождении процедуры сертификации в Wi-Fi Alliance. Естественно, вам потребуется сервер RADIUS, поддерживающий стандарт 802.1X.

В качестве альтернативной схемы шифрования трафика WLAN можно прибегнуть к IPSec, особенно если предстоит организовать удаленный доступ к сети по этому протоколу. С точки зрения безопасности IPSec предлагает более совершенную модель шифрования, нежели WPA, но этим различием, скорее всего, смогут воспользоваться только оборонные ведомства. Применение IPSec порождает и негативные следствия — обусловленное туннелированием возрастание объемов служебного трафика может вызвать падение общей пропускной способности, и этот эффект особенно заметен в высокоскоростной сети.

Конечно, существует вариант применения простого протокола виртуальных частных сетей, например Point-to-Point Tunneling Protocol (PPTP), в беспроводных соединениях, в которых поддерживается только WEP. Преимущества использования PPTP поверх WEP, как и любого иного VPN-протокола, — наличие механизма аутентификации и второго уровня шифрования трафика. Хотя реализованная в PPTP модель безопасности гораздо слабее, чем в IPSec, этот протокол уже более пяти лет поддерживается всеми операционными системами, устанавливаемыми на портативных компьютерах. Вероятность купить устройство, на котором не сможет функционировать тандем WEP+PPTP, крайне низка. Другие решения, например «чистый» протокол IPSec или его использование поверх Layer 2 Tunneling Protocol (L2TP), более привлекательны с точки зрения безопасности, но никак не в отношении простоты в работе и совместимости продуктов разных фирм.

SMC 2555W-AG — одна из двух точек доступа, успешно прошедшая все тесты на безопасность WLAN

Еще одна проблема, непосредственно связанная с шифрованием беспроводного трафика как на уровне локальной сети, так и при передаче по VPN-туннелям, относится к поддержке устаревшего оборудования. В мире установлены миллионы беспроводных адаптеров, которые «воспринимают» протокол WEP, но практически не способны работать с более изощренной схемой аутентификации, предусмотренной стандартом 802.1X. Ситуацию еще больше усугубляют технические различия между WEP и WPA.

Когда речь идет о небольшой сети, состоящей из пяти-шести точек доступа, в качестве последних стоит использовать устройства, которые поддерживают несколько профилей безопасности на уровне одного радиоинтерфейса, либо изделия с двумя разными радиоинтерфейсами (такие, как протестированная нами модель ProCurve 520wl фирмы Hewlett-Packard). Самый худший сценарий предполагает, что каждый раз вместо одной вам придется устанавливать две точки доступа. Некоторые продукты верхнего ценового класса, включая WLAN-коммутаторы производства Airespace, Aruba и Trapeze, способны обрабатывать пакеты WEP, 802.11i и даже незашифрованный трафик, поэтому дублировать точки доступа не придется.

КОММУТАТОР Aruba 800 поставляется с интегрированным полнофункциональным брандмауэром

Если же к WLAN необходимо подключить одно-два унаследованных устройства, воспринимающих только протокол WEP (старую модель принтера или устройство хранения данных), стоит подумать о формировании для него отдельной беспроводной сети. В ней аутентификация будет осуществляться на MAC-уровне.

Наконец, еще одна проблема связана с работой в сети гостевых пользователей. В офисе всегда присутствуют лица, которым требуется услуга беспроводного доступа, но из-за которых вы не намерены жертвовать безопасностью WLAN. В ряде беспроводных устройств специально предусмотрена поддержка гостевого доступа путем переадресации незашифрованного трафика от пользователей, не прошедших процедуру аутентификации, в отдельную виртуальную WLAN. Такую сеть имеет смысл сформировать вне основной корпоративной сети. Помимо изделий уже упомянутых компаний Airespace, Aruba и Trapeze, подобный сценарий поддерживают точки доступа производства 3Com, Cisco, Compex, HP и Proxim.

БЕСПРОВОДНОЙ коммутатор Mobility Exchange 20 фирмы Trapeze

Не исключено, что вы решите пропустить гостевых пользователей через простейшую процедуру аутентификации средствами Web-интерфейса, прежде чем они покинут беспроводную сеть и, возможно, начнут работать в проводной. Эта мера поможет отличить «легитимных» гостевых пользователей от злоумышленников, околачивающихся на парковке возле вашего офиса. В зависимости от сложности выбранной модели защиты вам может потребоваться простейший брандмауэр, который будет поддерживать Web-аутентификацию либо одну или несколько более совершенных систем сетевой регистрации, предлагаемых, скажем, фирмами ReefEdge Networks и Vernier Software.

Защищают инструменты, а не стандарты

Помимо поддержки собственно стандартов безопасности, поставщики беспроводных устройств наделяют свои разработки множеством других функций защиты, включая средства контроля за доступом, формирования VPN, обнаружения и блокирования действий хакеров.

Из этого перечня в протестированных продуктах чаще всего встречается функция контроля за доступом на MAC-уровне. Ее реализовали 3Com, Actiontec, Airespace, Aruba, Buffalo, Cisco, HP, Netgear, Proxim, SMC и Trapeze. Для использования данной функции вам придется выяснить Ethernet-адреса всех беспроводных адаптеров, подключающихся к сети. Эта процедура может показаться утомительной, но позволит защититься от непрофессиональных злоумышленников.

Средства контроля за доступом по MAC-адресам бывают двух типов. Точка доступа для домашней беспроводной сети требует постоянного хранения на ней статического перечня MAC-адресов. Этот метод оказался столь популярным, что производители точек доступа и беспроводных коммутаторов стали применять его в более сложных сетевых конфигурациях: несколько точек доступа могут обращаться к списку статических MAC-адресов, хранящемуся на сервере RADIUS, с целью определить, какому оборудованию разрешено подключение к сети.

Второй тип систем контроля за доступом представляет собой брандмауэр, интегрированный с точкой доступа. В одних продуктах, например в точке доступа WL-450 компании 3Com, реализована простейшая фильтрация пакетов, в основном для защиты WLAN от сетевого «мусора», вроде широковещательного трафика IPX-маршрутизации. Другие изделия поддерживают набор более изощренных фильтров. Скажем, коммутатор Airespace 4000 и точки доступа производства Buffalo, Cisco, HP и Proxim позволяют расширить сферу контроля за доступом вплоть до уровня IP. А компания Aruba встроила в свой беспроводной коммутатор Aruba 800 полнофункциональный брандмауэр.

Средства контроля за доступом фирмы Trapeze работают с пользователями, прошедшими полную процедуру аутентификации. В большинстве продуктов списки доступа определяются для той WLAN, в которой производилась регистрация. В результате все пользователи, работающие в данной локальной сети, получают один и тот же список. Инженеры компании Trapeze решили «привязать» список допустимых IP-адресов к пользователям, прошедшим аутентификацию. Вследствие этого список доступа каждого потребителя определяется исходя из его регистрационной информации. Похожую схему опционально предлагает и Airespace. Использование для целей аутентификации сервера RADIUS позволяет также присвоить имя списку контроля за доступом, который относится к конкретному пользователю.

Тем, кто сделал ставку на протокол IPSec, пригодятся серверы VPN-туннелей, встроенные в беспроводные коммутаторы производства Aruba и Airespace. Конечно, вам не придется самостоятельно формировать туннели для соединения с точкой доступа или беспроводным коммутатором — упомянутые компании сумели автоматизировать эту процедуру. Вы можете также поместить рядом с WLAN отдельное VPN-устройство, правда, рискуя лишиться части преимуществ, которые сулит интегрированный сервер VPN-туннелей. Речь идет о строгой привязке беспроводного клиента к туннелю IPSec или об упрощении топологии сети, в которой имеется несколько мест выхода из WLAN в кабельную инфраструктуру.

На практике бывает так, что аутентификация пользователей оказывается намного важнее шифрования трафика. Примером могут служить БЛС ОП. Метод, придуманный производителями для таких случаев, довольно прост. Независимо от того, какие Internet-ресурсы интересуют пользователя, система первым делом направляет его на специальную Web-страницу для ввода регистрационных данных. Этот тип аутентификации обеспечивается установкой внешних устройств, в изобилии присутствующих на рынке. Их выпускают, в частности, Vernier и ReefEdge. Соответствующая функция встроена и в беспроводные коммутаторы производства Airespace и Aruba.

Рассказ о безопасности беспроводных сетей будет неполным без упоминания о настоящем пугале для сетевых профессионалов — несанкционированных точках доступа. Часть протестированных продуктов (включая точки доступа производства HP и Proxim, а также коммутаторы компаний Airespace и Trapeze) содержат множество функций для выявления подобных устройств, подключенных к вашей WLAN, и генерации соответствующих отчетов.

Фирма Aruba пошла еще дальше, разработав средство обнаружения сетевых атак Wireless IDS. Оно позволяет не только распознать нештатные точки доступа и некоторые типы инструментария, используемого для организации атак на беспроводные сети, но и гарантировать строгое следование корпоративным стандартам на этапе развертывания WLAN (схемы нумерации радиоканалов, шифрования данных и др.). Aruba и Airespace предлагают также средства активного противодействия хакерам. Обнаружив подозрительную точку доступа, коммутатор изолирует ее от сети, не позволяя клиентским устройствам устанавливать с ней беспроводные соединения.

Процедура тестирования

В расположенной в городе Таксон (шт. Аризона) лаборатории нашего партнера Opus One мы сформировали две тестовые сети. Одна служила для испытаний клиентских станций, в которые были установлены беспроводные сетевые карты, а другая — для тестирования точек доступа и коммутаторов WLAN. Для мониторинга в обоих случаях использовались ноутбуки компании Dell с установленной на них ОС Red Hat Linux 9 и модернизированной версией ПО с открытым кодом AirShort, применявшегося для взлома WEP-ключей. Кроме того, для выявления незначительных проблем в области совместимости продуктов разных поставщиков задействовалось портативное устройство AirMagnet Handheld.

Приложение AirSnort предназначено для оперативной расшифровки ключей, используемых в любой сети, которая встречается на его пути. С этой целью ПО собирает пакеты, передаваемые всеми клиентскими устройствами сети и всеми точками доступа. Мы модифицировали данную программу для работы только с теми пакетами, которые отправляло тестировавшееся устройство. Это позволяло нам всякий раз точно определять, какой продукт — точка доступа или клиентская станция — оказывался не защищенным от AirSnort. Кроме того, мы добились вывода на печать «слабых» векторов инициализации, которые AirSnort использовало для взлома WEP-ключей.

Для тестирования беспроводных адаптеров стандарта PC Card использовался ноутбук ThinkPad корпорации IBM с 1,2-ГГц процессором, 512 Мбайт оперативной памяти и ОС Windows 2004 с пакетом Service Pack 4. В роли точки доступа выступало устройство Aironet 350 производства Cisco Systems. Для тестирования точек доступа применялся тот же ноутбук с беспроводным адаптером Aironet 350, который генерировал трафик.

В каждом тесте для формирования двунаправленного трафика высокой интенсивности использовалась Unix-команда ping с опцией flood. Ноутбук с ПО AirSnort «прослушивал» как минимум 50 млн переданных через эфир пакетов, что даже при очень высокой скорости передачи занимало порядка 12 ч. Нам было важно, чтобы AirSnort воспринимал все возможные векторы инициализации, получая максимальные шансы восстановить применяемые WEP-ключи. Поскольку в общей сложности существует 16 млн таких векторов, нам пришлось генерировать огромное число пакетов, ведь только так можно гарантировать, что каждый вектор встретится по крайней мере один раз (кстати, если какой-то вектор встретится дважды, результата это не улучшит).

Хотя большинство беспроводных устройств для генерации векторов инициализации используют простейший счетчик (на практике это соответствует наивысшей степени защиты), в некоторых продуктах этой же цели служит генератор случайных чисел. Мы остановились на диапазоне 32—50 млн векторов, поскольку он гарантирует, что мы и в самом деле оцениваем WEP-производительность конкретного продукта. Даже при насыщении имевшейся полосы пропускания генерация такого количества пакетов потребовала массу времени. Поэтому утверждения о том, что для взлома WEP-ключей достаточно 15 мин, являются сильным преувеличением.

Конечно, в реальной корпоративной WLAN такой уровень «наполнения» сети передаваемыми пакетами встречается крайне редко. В ходе тестирования нам пришлось даже отключить основную офисную беспроводную сеть, поскольку генерировавшийся тестовый трафик привел к полному насыщению областей радиоспектра, предусмотренных стандартами 802.11b/g.

Чтобы удостовериться в существовании и успешном функционировании средств восстановления ключей, которые применяются хакерами в ходе офлайновых атак на сети с протоколом аутентификации LEAP или на сети с шифрованием при помощи заранее разосланных ключей протокола WPA, мы прибегли к помощи приложения KisMAC. Оно осуществляет анализ трафика WLAN и также основано на открытом коде. При тестировании средств аутентификации, соответствующих стандарту 802.1X, в качестве сервера аутентификации использовался RADIUS-сервер Odyssey фирмы Funk.

Закончив испытание тех функций, которые имеют непосредственное отношение к беспроводной передаче, мы занялись поиском незащищенных сетевых сервисов, угадыванием паролей и тестированием уровня безопасности проводных интерфейсов точек доступа. С этой целью применялись различные хакерские инструменты с открытым кодом — Nmap, wget, Nessus и IP Stack Integrity Checker (ISIC), выполнявшиеся на виртуальной машине Vmware (она облегчала их запуск и перемещение между двумя беспроводными сетями среды тестирования).