Воздушные стены

Хотя зона действия базовых станций в этих перспективных сетях сильно ограничена, а в стандарте IEEE 802.11ac так и вообще предусмотрена индивидуальная настройка радио под профиль каждого клиента, проблемы с информационной безопасностью в мире «гигабитного Wi-Fi» встают с новой силой.

Основная защита беспроводного соединения — шифрование, которое при увеличении объемов передаваемых данных «съедает» все больше сетевых ресурсов, поэтому и требования к инфраструктурному оборудованию офисной сети Wi-Fi ужесточаются. Разберемся с тем, какие инструменты защиты необходимо использовать при внедрении высокоскоростных технологий беспроводной связи и как с их помощью можно построить надежную, высокозащищенную среду передачи данных. Перечислим механизмы защиты, используемые в беспроводных технологиях.

• Шифрование. Поскольку получить радиосигнал корпоративной сети может любой пользователь — легальный и нелегальный, во всех беспроводных технологиях предусмотрено шифрование передаваемых через эфир данных. Этот механизм изначально разработали и для Wi-Fi, однако первые стандарты, такие как WEP и WPA, оказались не очень удачными — сейчас уже существует возможность перехватить и расшифровать соединения, зашифрованные с помощью этих стандартов. Поэтому разработчиками Wi-Fi был придуман стандарт WPA2, который сейчас активно используется, именно его и рекомендуют для установки по умолчанию при сертификации оборудования в соответствии с требованиями Wi-Fi Alliance.
• Пароли. Надежность шифрования зависит от паролей — по ним происходит начальная настройка параметров защищенной сети. Однако их также можно перехватить, а иногда и выведать с помощью специальной «фальшивой» точки доступа. Кроме того, пароли рекомендуется регулярно менять, что при использовании в корпоративной сети представляет большую проблему — необходимо заменить пароли не только на всех базовых станциях, но и на всех устройствах, которые к сети подключаются. Сделать это в масштабе крупной компании достаточно сложно, поэтому пароль традиционно остается стандартным для всех базовых станций сети и на все время эксплуатации последней. Он очень быстро становится известен всем, поэтому о надежной защите таким способом говорить не приходится. Некоторые системы управления мобильными устройствами (MDM) могут решать задачи смены паролей в том числе на мобильных устройствах, правда для этого нужно установить на них специальные агенты.
• Одноразовые пароли. Существует технология, которая предусмаривает использование дополнительных одноразовых паролей (ваучеров) для временного доступа к корпоративным ресурсам. В данном случае при подключении пользователь получает доступ только к небольшому сегменту сети, который отделен межсетевым экраном от основной корпоративной сети. Такие решения могут послужить для подключения как временных пользователей, так и привилегированных пользователей, но уже с использованием более сложной защиты, например с применением аппаратных генераторов одноразовых паролей. Основной проблемой в этом случае является доставка этих одноразовых паролей пользователю. Это можно сделать по SMS, с помощью специального устройства генерации таких паролей или специальной программы.
• Взаимная аутентификация. Наиболее действенным методом защиты беспроводных сетей является взаимная аутентификация базовой станции и клиента с помощью несимметричного шифрования. Технология такого шифрования развивалась параллельно с WPA2 в Институте инженеров по электротехнике и электронике (IEEE), где разработали протокол, построенный на механизме взаимной аутентификации устройств с помощью сертификатов IEEE 802.1x. Этот стандарт для беспроводной связи был принят и сейчас используется под именем IEEE 802.11i. Он предполагает, что у каждого устройства есть собственный секретный и открытый ключи, которые позволяют, не прибегая к паролям, воспользоваться несимметричными алгоритмами шифрования для взаимной аутентификации устройств. «Сейчас основной механизм защиты Wi-Fi — это IEEE 802.11i, который встроен в любые канальные технологии, в том числе в 802.11n и будущий 802.11ac, — отметил Алексей Лукацкий, консультант по информационной безопасности компании Cisco. — Он обеспечивает полный комплекс защитных механизмов: аутентификацию, авторизацию и шифрование».

Однако стандарт вводит дополнительный компонент системы — удостоверяющий центр, который проверяет клиента и точку доступа на легитимность. Причем и клиент может проверить точку доступа, к которой он подключен, на легитимность — стандарты серии WPA такой возможности не предоставляют, поэтому и получается реализовать взлом системы шифрования с помощью фальшивой точки доступа. Понятно, что разворачивать систему взаимной аутентификации по стандарту 802.11i эффективно только в большой корпоративной сети, где каждому сотруднику выдают собственный сертификат. Менять сертификаты нужно только по истечении срока давности, что в правильно настроенной системе делается автоматически. Впрочем, есть вариант и для небольших компаний, когда можно обойтись без удостоверяющего центра, в этом случае сертификаты нужно предварительно распространить между участниками обмена. Это похоже на пароли WPA2 с той лишь разницей, что клиент может аутентифицировать базовую станцию и отказаться взаимодействовать с поддельной.

Следует отметить, что для мобильной связи угрозой является не только перехват информации, но и получение сведений о местоположении сотрудника. Радиус зоны связи одной базовой станции достаточно небольшой, что позволяет обнаруживать сотрудника по его месту подключения. Если злоумышленнику станут известны географические координаты точек доступа, он сможет по подключению определять, где именно сейчас располагается сотрудник, и следить за его перемещениями. «Если любой смартфон окажется рядом с нашей станцией Wi-Fi, то появится ассоциация между географическими координатами точки доступа и ее IP-адресом, причем не у нас, а на американском сервере», — предупредил Григорий Василиев, менеджер по продукту SafePhone НИИ СОКБ. В самих платформах Android и iOS включен такой механизм определения местоположения по базовым станциям, однако при использовании Wi-Fi по IP-адресу абонента (читай — точки доступа) также можно достаточно точно определять местоположение устройства. При использовании стандарта IEEE 802.11i посторонний не сможет подключиться к корпоративной точке доступа, и для корпоративных устройств стоит запретить определение местоположения, но это уже нужно сделать с помощью средств управления мобильными устройствами MDM.

Таким образом, защитные технологии для перспективных сетей Wi-Fi существуют, однако пока пользователи применяют только наиболее простые и удобные из них, которые, к сожалению, хакеры уже вполне научились обходить. Тем не менее компаниям стоит изучить возможности по защите беспроводных решений и мобильных устройств, это понадобится и при переходе к модели BYOD (Bring Your Own Device), и при предоставлении временных рабочих мест, и для резервирования проводных коммуникаций. Лукацкий предупредил, что «есть два подхода к обеспечению безопасности Wi-Fi: интеллектуальная точка доступа, которая сама авторизует пользователей и подключается к Active Directory для получения разрешений для клиента, и вариант с простой точкой доступа, но интеллектуальным контроллером, который управляет беспроводными соединениями в масштабе предприятия». Первый вариант хорош для небольших компаний, у которых не очень много точек доступа. Если же нужно обеспечить безопасной беспроводной связью большие площади, тогда стоит установить контроллер и уже управлять им.