Средства безопасности беспроводных сетей

Популярность беспроводных сетей растет. Они отличаются простотой развертывания, приемлемой ценой и уровнем мобильности, не достижимым при использовании проводных сетей. Однако обеспечить безопасность таких сетей и управлять ими чрезвычайно трудно. Из-за простоты применения и сравнительной незрелости технологии с беспроводными сетями часто работают лица, не имеющие достаточного опыта и соответствующих знаний.

Существует несколько беспроводных стандартов, самый распространенный из которых — стандарт 802.11b, поддерживающий скорость передачи данных 11 Мбит/с. Используется также стандарт 802.11a на 54 Мбит/с. Стандарты 802.11b и 802.11a несовместимы, и соответствующие устройства работают в разных диапазонах радиоспектра. В недавно утвержденном стандарте 802.11g соединены элементы спецификаций 802.11b и 802.11a; предусмотрена обратная совместимость с 802.11b.

Режим инфраструктуры, в котором работает большинство беспроводных сетей, обеспечивает синхронный обмен данными между беспроводными станциями и узлами доступа (Access Point, AP). Многие AP могут работать в качестве шлюза или маршрутизатора, передающего данные между проводной и беспроводной сетями.

Беспроводные стандарты 802.11a, 802.11b и 802.11g отвечают требованиям стандарта безопасности Wired Equivalent Privacy (WEP), который предотвращает перехват данных, пересылаемых по радиоволнам. В WEP используются секретные 40-, 128- или 168-разрядные общие ключи (в зависимости от поставщика и стандарта). Симметричный ключ, полученный из общего секретного ключа, применяется для шифрования и восстановления сетевых пакетов, пересылаемых по радиоволнам. Метод WEP небезупречен, и взломщик может проникнуть в беспроводную сеть, даже находясь на значительном удалении от офиса. Устранить недостатки WEP можно с помощью стандарта управления ключом 802.1x (также небезупречного), протоколов PPTP, Layer Two Tunneling Protocol (L2TP) и IP Security (IPSec), которые обеспечивают аутентификацию пользователя и шифрование данных в виртуальных частных сетях (VPN).

Существует несколько способов защиты беспроводной сети с помощью VPN. Обычно все беспроводные станции логически размещаются вне корпоративной сети, и каждая станция связывается через соединение PPTP и брандмауэр с RRAS-сервером, расположенным в демилитаризованной зоне (DMZ). RRAS-сервер обеспечивает прохождение трафика между клиентами, которые имеют действующее VPN-соединение с корпоративной сетью. Клиенты не могут установить соединение до тех пор, пока беспроводная станция не будет успешно аутентифицирована на VPN-сервере (как правило, для этого необходимо ввести имя пользователя и пароль). После того как соединение установлено, все пересылаемые через соединение данные шифруются. Еще один распространенный вариант — использование IPSec для организации соединений каждой беспроводной станции с AP. В данной конфигурации для аутентификации обычно применяется секретная последовательность символов, а для генерации и обновления ключей шифрования — функции управления соединением.

VPN-совместимые беспроводные маршрутизаторы, рассмотренные в данном обзоре, играют роль шлюзов между беспроводными и проводными сетями. Некоторые продукты располагают дополнительными функциями брандмауэра, такими, как проверка пакетов на соответствие заданным условиям (Stateful Packet Inspection, SPI) и преобразование сетевых адресов (Network Address Translation, NAT). Другие продукты предназначены для использования в качестве кабельных или DSL-шлюзов и могут работать в качестве DHCP-сервера в малых и домашних офисах. Все перечисленные маршрутизаторы совместимы с протоколом VPN (т. е. IPSec, PPTP или L2TP). Существует два режима VPN: сквозной (pass-through) и активный. В первом случае маршрутизатор без вмешательства передает входящий и исходящий VPN-трафик для беспроводной станции. В активном режиме маршрутизатор устанавливает VPN-соединение с беспроводной станцией, с другими шлюзами и маршрутизаторами или же в обоих направлениях.

Джон Хоуи — менеджер консалтинговой фирмы Security Toolkit, специализирующейся на системной и сетевой безопасности. С ним можно связаться по адресу: jhowie@security.toolkit.com.

Поделитесь материалом с коллегами и друзьями