Защита открытых точек доступа
Экран 1. Карта точек доступа, составленная в рамках Public Internet Project

Цель некоммерческой организации Public Internet Project — расширение доступа к Internet. В 2002 году группа исследователей изучала возможности беспроводного доступа 802.11b в Нью-Йорке. На карте Манхэттена (см. экран 1) показаны результаты исследований группы. Синими точками отмечены защищенные беспроводные узлы доступа (Access Points, AP) с активизированными функциями Wired Equivalent Privacy (WEP). Таких узлов — менее 30% от общего числа отмеченных AP. Остальные 70% обозначены красными точками. Это незащищенные узлы, открытые для каждого, кто желает получить доступ в Internet. На первый взгляд это обстоятельство не вызывает тревоги. В конце концов, владелец AP имеет право сделать узел общедоступным.

Экран 2. Результаты поиска точек доступа

Перейдем к экрану 2, на котором отражены результаты поездки, которую я совершил по городу Модесто (шт. Калифорния), вооружившись портативным компьютером Compaq iPAQ Pocket PC с беспроводной сетевой платой Proxim ORiNOCO Gold PC Card и программой MiniStumbler Мариуса Милнера. Сравнительно немногочисленные символы замка означают защищенные AP в этом районе. Еще более показательны имена AP, которые, в сущности, представляют собой идентификаторы Service Set Identifiers (SSID). Целых четыре из 12 узлов доступа носят имя linksys, принимаемое по умолчанию для большинства узлов доступа компании Linksys. В ходе дополнительных проверок было обнаружено примерно такое же количество узлов доступа других поставщиков со стандартными именами. Эти устройства обычно открыты для доступа, не защищены и работают со стандартными административными параметрами. В результате любой желающий может не только получить доступ в Internet, но и взломать AP.

Новые режимы безопасности упрощают создание беспроводных сетей и поиск несанкционированных беспроводных AP, но они применяются лишь немногими индивидуальными пользователями. В результате число незащищенных AP бесконтрольно увеличивается. Исследовав «спальный» квартал Модесто, я отправился в деловой центр города и обнаружил похожую картину. Очевидно, многие малые предприятия устанавливают AP, не обращая никакого внимания на безопасность. Многие авторы сообщают аналогичные сведения, отмечая, что открытые AP можно найти везде, в том числе в юридических конторах и медицинских учреждениях.

Еще большую тревогу вызывает то, что круг владельцев незащищенных AP не ограничивается пользователями домашних компьютеров и малыми предприятиями. В 2002 году на первой странице Wall Street Journal была опубликована статья с подробным описанием похождений двух хакеров, которые развлекались, разъезжая по Кремниевой Долине с ноутбуком, оснащенным мощной антенной и успешно взламывая сети различных компаний, в том числе Sun Microsystems. А вы уверены в надежности защиты узлов доступа своей компании?

Проблема открытых AP, в сущности, затрагивает всех пользователей. Сколько раз в течение последнего года нам приходилось бороться с вирусами, червями и другими вредоносными программами, которыми были заражены корпоративные серверы? Каждый незащищенный AP — открытое приглашение хакерам поупражняться в разрушительной деятельности, сохраняя полную анонимность: они могут просто проехать в машине в зоне действия открытого AP, заразить сеть любым вирусом и уехать. Не хочется нагнетать напряженную атмосферу, но после 11 сентября мы все должны помнить об опасности терроризма, как физического, так и электронного. Незащищенные AP — идеальная среда для анонимной связи любых владельцев беспроводных мобильных устройств и защищенных почтовых программ.

Неудивительно, что многие пользователи оставляют свои AP незащищенными: как правило, функции безопасности таких устройств отключены по умолчанию, а в документации редко приводится подробное описание их применения. Кроме того, WEP-защита AP настолько слаба, что ее может взломать любой мало-мальски опытный хакер. Конечно, слабость защиты — не повод для того, чтобы отказаться от нее, но очевидно, что нужны более надежные средства.

Комитет IEEE разработал новый беспроводной стандарт 802.11i с повышенным уровнем безопасности, и поставщики, в том числе Linksys, начинают выпускать продукты на базе 802.11i. Крупные организации применяют компонент еще одного беспроводного стандарта, 802.1x. В отличие от WEP, которому требуются отдельные ключи аутентификации для каждого AP, 802.1x обеспечивает сквозную аутентификацию на центральном узле — как правило, сервере RADIUS (Remote Authentication Dial-In User Service — служба дистанционной аутентификации пользователей по коммутируемым линиям), таком как Microsoft Internet Authentication Service (IAS) в Windows Server. Администраторы могут интегрировать центральный узел непосредственно с Active Directory (AD), и данная конфигурация значительно менее уязвима для хакеров.

Microsoft обеспечивает беспроводную аутентификацию 802.1x в модуле расширения для Windows 2000 и во встроенном клиенте для Windows XP. Функции 802.1x для более ранних версий операционной системы реализованы в программе Odyssey компании Funk Software. Продукт совместим с большинством машин на базе Windows, в том числе с устройствами Pocket PC.

Благодаря 802.1x в значительной мере решается проблема беспроводной безопасности для корпоративных пользователей, но пользователи малого/домашнего офиса вряд ли установят у себя дома сервер RADIUS. Чтобы решить эту проблему, ассоциация Wi-Fi Alliance предложила метод защищенного доступа WPA (Wi-Fi Protected Access). В WPA используются модели 802.1x EAP (Extensible Authentication Protocol — расширяемый протокол аутентификации) и Dynamic Key Distribution (динамическое распределение ключа) с функцией проверки целостности сообщений (Message Integrity Check). Для пользователей малого/домашнего офиса в WPA предусмотрен режим заранее переданного ключа (совпадающие пароли), благодаря которому аутентификацию можно провести без сервера RADIUS. В отличие от статических, вводимых вручную ключей WEP, WPA автоматически распространяет надежно зашифрованные ключи для каждого пользователя, каждого сеанса или пакета. WPA — надмножество 802.1x, поэтому в нем сохранена возможность серверной аутентификации для крупных предприятий. К сожалению, для развертывания WPA необходимы совместимые узлы доступа и клиенты. 29 апреля 2003 года представители Wi-Fi Alliance обнародовали список первых сертифицированных WPA-совместимых продуктов. Среди них — узлы доступа (и эталонные схемы AP) компаний Atheros Communications, Broadcom, Cisco Systems и Intersil, а также адаптеры фирм Intel и Symbol Technologies. Компания Linksys, которая одной из первых предложила широко распространенные AP и клиентские решения начального уровня, недавно выпустила программу коррекции для своих продуктов 802.11g, поддерживающую официальную спецификацию 802.11g и WPA. У пользователей появится возможность модернизировать программное обеспечение существующих AP и адаптеров для работы с WPA. Для этого следует обратиться к поставщику аппаратных средств.

А тем временем...

Не дожидаясь, пока поставщики предоставят WPA-совместимые аппаратные средства, можно принять некоторые меры для защиты AP. Большинство современных AP располагают хотя бы WEP-функциями безопасности, во многих есть фильтры адресов MAC, а в некоторых можно блокировать публичные объявления SSID. Ни одна из этих мер не обеспечивает идеальной защиты, поскольку WEP уязвима для атак с использованием перебора и фальсификации MAC-адресов, но они затрудняют задачу случайных хакеров. Кроме того, можно воспользоваться брандмауэром для AP и отыскать следы попыток взлома в журналах брандмауэра. Но прежде чем принимать меры защиты, администратор или владелец AP должен узнать о существовании проблемы.

В данном случае очень большую роль играет просвещение, и здесь нам могут помочь читатели этой статьи. Обладатели ноутбука и карманного мобильного устройства с беспроводной платой могут исследовать сеть в своем доме или офисе. Программу для таких исследований, например NetStumbler, можно получить бесплатно. Если в офисе будет обнаружен несанкционированный AP, то следует обязательно поговорить с человеком, установившим его, и убедиться, что приняты соответствующие меры защиты. Можно пообщаться с коллегой, установившим открытый AP, или оставить экземпляр данной статьи в таком месте, где он попадется на глаза беззаботному пользователю беспроводной сети.

Конечно, большинство ИТ-адмиинистраторов не смогут досконально исследовать свое предприятие. Необходимо программное решение, которое будет самостоятельно анализировать данные, поступающие от AP, маршрутизаторов и, возможно, беспроводных мобильных устройств, и автоматически предупреждать ИТ-персонал при обнаружении несанкционированного узла доступа. Таких продуктов существует несколько. AirDefense RogueWatch автоматически отыскивает беспроводные AP, работая совместно с системой обнаружения попыток проникновения Intrusion Detection System (IDS) собственной разработки. Компания AirWave предлагает факультативные модули обнаружения беспроводных и проводных несанкционированных AP для платформы AirWave Management Platform (беспроводные модули работают только с определенными AP). Фирма Wavelink реализовала функции обнаружения несанкционированных AP в продукте Wavelink Mobile Manager; программа генерирует отчет обо всех узлах доступа в зоне действия каждого мобильного устройства и сравнивает эту информацию со списком санкционированных AP. Представители Cisco Systems объявили, что в четвертом квартале 2003 года в рамках инициативы Structured Wireless-Aware Network в продуктах компании появятся функции обнаружения несанкционированных AP; в частности будут модернизированы «вшитые» программы маршрутизаторов серий Cisco Aironet 1100 и Aironet 1200.

Приняв соответствующие меры для защиты собственных AP и повысив уровень знаний рядовых пользователей об опасности, которую несут открытые узлы доступа в домах и малых офисах, мы сможем снизить остроту проблемы, пока не получат широкое распространение более надежные технологии, такие как WPA и 802.11i.

Джон Рулей — независимый технический писатель. Готовит еженедельные выпуски Windows 2000 Pro UPDATE (http://www.win2000mag.com/update). С ним можно связаться по адресу: jruley@ainet.com


Дополнительные ресурсы

Статьи Microsoft

Enterprise Deployment of Secure 802.11 Networks Using Microsoft Windows»

http://www.microsoft.com/windowsxp/pro/techinfo/ deployment/wireless/default.asp

Overview of the WPA Wireless Security Update in Windows XP»

http://support.microsoft.com/?kbid=815485

Q313664: Recommended Update»

http://www.microsoft.com/windows2000/downloads/ recommended/q313664/default.asp

Продукты

AirDefense RogueWatch

http://www.airdefense.net/products/roguewatch.shtm

AirWave Management Platform

http://www.airwave.com/marketing_docs/ airwave_rogue_detection.pdf

Cisco Structured Wireless-Aware Network

http://newsroom.cisco.com/dlls/prod_060203.html

MiniStumbler, NetStumbler

http://www.netstumbler.com

Odyssey

http://www.funk.com/radius/wlan/wlan_radius.asp

Wavelink Mobile Manager

http://www.wavelink.com/downloads/pdf/ wlmobilemanager_hiw_1002.pdf

Web-узлы

Проект стандарта IEEE 802.1x

http://www.ieee802.org/1/pages/802.1x.html

Рекомендации центра National Infrastructure Protection Center (NIPC) 802.11b

http://www.nipc.gov/publications/ nipcpub/ bestpract.html

Исследование 802.11b Public Internet Project

http://publicinternetproject.org/ research/research_sum.html

Wi-Fi Protected Access (WPA) ассоциации Wi-Fi Alliance

http://www.wi-fi.org/opensection/protected_access.asp

Поделитесь материалом с коллегами и друзьями