Увеличение числа интеллектуальных портативных устройств и рост требований к обеспечению мобильности пользователей стимулируют развитие технологий беспроводной связи.
Интерес к локальным беспроводным сетям (Wireless Local Area Network, WLAN), обеспечивающим мобильность внутри помещений, все больше проявляют индивидуальные и корпоративные потребители. Это объяснимо: беспроводные сети имеют ряд преимуществ перед проводной инфраструктурой. Они удобны в использовании, позволяют оставаться на связи вне зависимости от местоположения, подключаться к Internet на скорости до 108 Мбит/с, отличаются гибкостью организации и относительно низкой стоимостью владения.
За доступ без проводов
Среди стандартов WLAN-сетей, на протяжении нескольких лет разрабатываемых институтом IEEE, наибольшее распространение получили спецификации IEEE 802.11b, 802.11g и 802.11a, объединенные термином Wi-Fi. Технологии такого класса, гарантирующие интероперабельность разных продуктов, продвигает международная организация Wi-Fi Alliance. В нее входят десятки производителей телекоммуникационного оборудования, в том числе Intel, IBM, Cisco, HP, Dell, RSA Labs, Hi-FN, Microsoft, Agere, Broadcom.
Многие члены альянса полагают, что развитая инфраструктура WLAN составит серьезную конкуренцию сетям 3G, поскольку имеет определенные преимущества. Уличные модификации технологии Wi-Fi увеличивает радиус действия точек доступа до 3 км, а основными преимуществами являются скорость передачи данных и небольшая временная задержка IP-пакетов. Несмотря на заявления производителей инфраструктурного оборудования 3G, результаты тестов демонстрируют, что технологии следующего поколения пока в состоянии обеспечивать скорости до 1 Мбит/с. Для сетей WLAN нормальным результатом является 20 Мбит/с на небольших расстояниях от точки доступа и 1–2 Мбит/с — на границе сети. Нужно учитывать также, что стоимость Wi-Fi-услуг намного меньше расценок на сервисы, предоставляемые посредством сетей 3G.
Исследовательская компания ABI Research прогнозирует на 2007 год рост числа публичных беспроводных точек доступа в мире до 179,5 тыс., что на 25% превышает результат 2006 года. В свою очередь, аналитики J’son & Partners подсчитали, что число публичных хот-спотов в России к концу прошлого года достигло 7 тыс., а к концу 2010 года увеличится до 13 тыс. По итогам минувшего года в нашей стране насчитывалось свыше 500 корпоративных беспроводных сетей. Как заверяет замминистра информационных технологий и связи РФ Дмитрий Милованцев, рынок беспроводного доступа растет на 61% ежегодно, в то время как проводного — только на 42%.
Несмотря на популярность услуг беспроводной передачи данных, специалисты отмечают ряд недостатков, затрудняющих развитие Wi-Fi. Среди них — более высокая стоимость оборудования по сравнению с проводными решениями, неполная совместимость с разработками сторонних производителей, высокое энергопотребление, зависимость скорости от состояния среды и помеховой обстановки, ограниченный радиус действия. Наибольшие сложности связаны с наложением сигналов закрытой (или использующей шифрование) точки доступа и публичной точки доступа, работающих на одном и том же или соседних каналах. Эта проблема может проявиться в условиях повышенной плотности элементов инфраструктуры WLAN, например в многоквартирных домах. Кроме того, домашние точки доступа Wi-Fi зачастую создают помехи работе локальных беспроводных сетей предприятий.
Опасная связь
Специалисты полагают, что перечисленные недостатки нивелируются с течением времени, когда начнется выпуск помехостойких экономичных систем с расширенным радиусом действия. Тем не менее остается серьезная проблема обеспечения безопасной передачи данных по радиоканалу.
Профессионалы с переменным успехом работают над ее решением уже несколько лет. Начало было положено в 1999 году, когда IEEE разработал спецификацию WEP (Wireless Equivalent Privacy), основанную на шифровании данных с помощью 24-битного ключа RC4. Из-за применения в протоколе статических общих ключей он был взломан через несколько месяцев после начала активного использования. Со временем в алгоритмы WEP добавились ключи длиной 64 бит и 128 бит, но и эти меры оказались малоэффективными. Взлом данного протокола стал одним из любимых экспериментов не только хакеров, но и профессионалов в области ИБ.
Прием, требующий достаточной технической сноровки, предполагает создание Evil Twin — «дьявольского близнеца», или ложной точки доступа. Способы организации атак этого типа и специальный инструментарий (утилиты Karma Tools, probemapper, airsnarf и др.) в избытке предлагаются в Рунете. На некоторых ресурсах содержится пошаговое руководство по взлому Wi-Fi-сети на базе WEP: эмуляция точки доступа, соответствующей требованиям станции, перехват пакетов, формирование ключей, получение IP-адреса, генерация целевых запросов, кража чужих данных и т.д. На сайте SecurityLab.ru можно бесплатно скачать утилиту wepoff, которая представляет собой эффективный инструмент для реализации атаки с созданием Evil Twin. С ее помощью ARP-сканирование сети всех адресов диапазона Automatic Private IP Addressing (APIPA) 169.254.ххх в режиме 802.11g only занимает менее 2 мин.
Наглядная демонстрация успешной атаки на WEP была проведена в рамках конференции по безопасности в Гамбурге. Исследователи из института города Дотрмунд за 3 с взломали протокол путем извлечения 104-битного ключа — на основе предварительного перехвата беспроводных пакетов в течение нескольких минут. Инициаторы эксперимента утверждают, что повторить его можно с помощью любого современного ноутбука, КПК или смартфона.
На острие прогресса
Более совершенной технологией защиты беспроводных сетей передачи данных считается Wi-Fi Protected Access (WPA), утвержденная в 2004 году. Этот стандарт предполагает генерацию индивидуальных сессионных ключей для каждого клиента WLAN и аутентификацию пользователей. «Продвинутая» версия спецификации, WPA2 (стандарт 80211i), также появившаяся в 2004 году, позволяет реализовать механизмы защиты на аппаратном уровне.
Основным элементом технологии является протокол целостности временных ключей TKIP (Temporal Key Integrity Protocol), который подразумевает обновление ключей перед началом каждой сессии шифрования и проверку пакетов на принадлежность к данной сессии. Механизм аутентификации пользователей WPA основан на инструментарии EAP (Extensible Authentication Protocol) и таких его модификациях, как EAP-TLS, PEAP, EAP-Fast, LEAP. Они позволяют сетевому администратору задействовать множество алгоритмов «опознания» пользователей посредством сервера RADIUS.
В спецификации WPA2 включена поддержка защиты данных и контроля над доступом в сеть — для корпоративных пользователей (WPA2-Enterprise, на базе сертификатов RADIUS) и индивидуальных клиентов (WPA2-Personal, посредством разделяемых паролей). Пока случаи взлома систем, защищенных WPA, общественности не известны, хотя в Рунете имеются руководства для организации успешных атак не только для WEP, но и для Personal-версии протокола WPA2.
От общества секретов быть не может
С учетом всех фактов можно представить, насколько уязвимы общественные точки доступа Wi-Fi. Более половины подобных проектов во всем мире, по сведениям западных специалистов, базируются на протоколе WEP. Из 7 тыс. точек доступа, зарегистрированных в России в конце 2006 года, более 6 тыс. принадлежат оператору «Голден Телеком» (см. «Сети», 2007, №1, статья «Самый большой хот-спот в Европе»). Сеть Golden Wi-Fi все еще остается самой большой в Европе и второй по величине в мире; она обошла крупные системы в Сан-Франциско, Филадельфии и Лондоне. Защита данных, передаваемых внутри инфраструктуры Wi-Fi, обеспечивается при помощи оборудования Nortel Networks.
Помимо Golden Telecom услуги широкополосного доступа на базе Wi-Fi в Москве предоставляют пять крупных игроков: «Таском», Art Communications, «Р. М. Телеком», «Комстар-ОТС» и «Роснет». Число хот-спотов в регионах пока незначительно. Как сообщил Владимир Морозюк, директор «Комстар-ОТС» по беспроводным технологиям, защита информации при подключении к публичным хот-спотам поддерживается преимущественно механизмами аутентификации клиентов. В общедоступных сетях реализуются авторизация клиентов на основе протокола RADIUS и обеспечение безопасности идентификационных данных абонентов.
Бесплатные услуги беспроводного доступа, предлагаемые в столичных ресторанах, кинотеатрах, соляриях и салонах красоты в рамках проекта Яндекс.WiFi, отличаются наименьшей степенью защищенности. Пользуясь ими, необходимо понимать, что передаваемые и получаемые данные могут быть доступны посторонним. Все специалисты в области ИБ единодушны в том, что лучший способ обезопасить себя во время работы с публичными хот-спотами — не передавать через них конфиденциальную и личную информацию.
За броней корпорации
Другое дело — корпоративные Wi-Fi-сети, разворачиваемые в пределах одной организации с целью обеспечения мобильности сотрудников. Такие сети считаются наиболее защищенными беспроводными инфраструктурами, поскольку изначально создавались для передачи деловых, конфиденциальных данных. На базе точек доступа Wi-Fi организуются зоны беспроводного доступа к Internet в отдельных кабинетах, конференц-залах, переговорных комнатах, происходит объединение в сеть ПК и телефонов.
Реализуются подобные проекты, как правило, с помощью оборудования с поддержкой WPA2-Enterprise, что делает такую инфраструктуру стойкой к атакам. Для более полной защиты от несанкционированного доступа в большинстве солидных компаний используют средства создания туннелей VPN (по протоколам IPSec или SSL) и mobile VPN. Морозюк сообщил, что при построении корпоративных Wi-Fi-инфраструктур «Комстар-ОТС» применяет стандартный «набор» механизмов защиты — средства аутентификации EAP/802.1x, шифрования WPA и выделения каналов посредством VPN. Безопасность данных обеспечивается за счет возможностей специального оборудования. «Комстар-ОТС» использует в проектах продукты Cisco Aironet (1120B-A-K9, 1121G-A-K9, 1231G-A-K9), Linksys (WAP54G), 3Com (3CRGPOE10075).
Алексей Лукацкий, консультант по ИБ Cisco Systems, рассказал, что широкий функционал развертывания защищенных сетей Wi-Fi имеет продукт Cisco Wireless LAN Controller. Данная система, применимая для построения сетей любого масштаба, может поставляться в виде самостоятельного решения (Cisco 4400 Series WLAN Controller) или модулей для сервисных маршрутизаторов Cisco ISR 2800, 3800 и 3700 (WLCM) и коммутатора Catalyst 6500 (Wireless Service Module, WiSM).
В зависимости от конфигурации беспроводной контроллер способен управлять разным количеством точек доступа, от 6 до 300. Продукт поддерживает стандарты и протоколы 802.11i (WPA2), WPA, WEP, методы аутентификации (EAP, EAP-TLS, EAP-TTLS, PEAP, EAP-Fast, Cisco LEAP и SIM), свыше 20 спецификаций защиты, включая FIPS 140-2, X.509, различные Wi-Fi-протоколы. Функционал контроллера позволяет обнаруживать, локализовать и блокировать несанкционированно установленные точки доступа. С помощью продукта можно организовывать аутентификацию пользователей посредством RADIUS, разграничивать доступ через ACL, терминировать трафик IPSec VPN (для 4400 Series). Управление опциями контроллера осуществляется через Web-интерфейс, каналы HTTPS и SSH.
Недавно на рынке появилось новое решение — платформа Cisco Secure Wireless Solution, объединяющая функционал Cisco Unified Wireless Network, системы NAC Appliance, межсетевые экраны ASA firewall, программные агенты Cisco Security Agent, программные продукты Cisco IPS, Cisco Secure ACS и Secure Services Client. Данный продукт позволяет организовать централизованное управление информационной безопасностью беспроводных и проводных фрагментов сетей.
Nortel и НР (подразделение ProCurve) предлагают оборудование Wi-Fi, рассчитанное на применение как в небольших компаниях, так и в крупных организациях. Комплексное «уличное» решение Nortel Wireless Mesh Network поддерживает стандарт 802.11, обеспечивает аутентификацию пользователей через серверы RADIUS и защиту от вредоносного контента посредством межсетевого экранирования. В состав системы входят беспроводные точки доступа Nortel Wireless Access Point 7220, шлюз безопасности Nortel Wireless Gateway 7250, двухточечный инструментарий Nortel Wireless Bridge 7230, средство управления и мониторинга Nortel Enterprise Network Management System. Исходя из индивидуальных потребностей, заказчики могут включать в свои системы отдельные компоненты или внедрять платформу целиком.
Компания НР предлагает использовать для построения беспроводных сетей семейство серверов беспроводного доступа ProCurve Secure Access 700wl. Серия 700wl специально разработана как более дешевая и простая платформа обеспечения безопасности сетей LAN. Устройства этой серии легко интегрируются в действующие системы аутентификации, сетевые устройства и инфраструктуру WLAN. Благодаря централизованному управлению политиками и системами ИТ-администраторы могут легко адаптировать политики безопасности и управления пользователями к изменяющимся бизнес-требованиям. В портфеле НР есть такие решения, как сервер доступа ProCurve Access Control Server 745 wl, способный контролировать работу 50 тыс. беспроводных клиентов, а также точки доступа ProCurve Wireless Access Point 420 wl (реализует функцию обнаружения ложных точек доступа) и ProCurve Access Point 530 WW (обеспечивает автоматическое назначение пользователю определенной VLAN).
Наиболее полно функционал защиты беспроводных сетей реализован в системе Airdefense одноименной компании. Она позволяет администратору создавать карту беспроводной инфраструктуры с указанием мест расположения устройств и отслеживать изменения. Например, если один из элементов сети отключен, украден, выведен из строя или к ней подключился «посторонний» терминал, в центр управления автоматически поступает уведомление. С помощью Airdefense можно обнаруживать атаки и попытки сканирования трафика, отключать отдельные узлы, фиксировать нарушения ИБ-политики, блокировать опасный контент, анализировать производительность сети.
Разработчики устройств с поддержкой Wi-Fi постепенно движутся к созданию все более защищенных систем. По данным Wi-Fi Alliance, около четверти всех решений, работающих на базе данного стандарта, поддерживают протокол WPA2, и их доля продолжает расти. Перспективные безопасные продукты для разработки имеются в портфелях LinkSys, Gigabyte, SMC Networks, D-Link, Netgear и других компаний. О том, что в ближайшие годы спрос на технологии Wi-Fi не уменьшится, свидетельствует включение соответствующих модулей в продукцию некоторых поставщиков мобильных терминалов. И никто с уверенностью не может сказать, чем закончится противостояние 3G и WLAN — по крайней мере, в мегаполисах.