Art Communications

Flex

T-SOFT

 

Обозрение подготовлено при поддержке Comptek

Безопасность в беспроводных сетях

 
Одной из самых больших проблем беспроводных сетей с момента их появления была низкая защищенность от перехвата данных. В отличие от проводных сетей, где перехват информации невозможен без физического доступа к среде передачи (кабелю или коммутационному оборудованию), радиосети оказываются практически беззащитными, если не применять специальных мер.

Первой реализацией системы защиты с шифрованием данных стала спецификация WEP (Wireless Equivalent Privacy), принятая IEEE в 1999 году и основанная на шифровании данных с помощью 24-битного ключа RC4. Однако уже в следующем году были найдены способы, позволяющие либо быстро определить ключ на основе анализа передаваемых данных, либо подменить нешифруемый заголовок пакета для того, чтобы перенаправить декодированный точкой доступа пакет другому получателю, для которого он будет закодирован уже его собственным ключом.

Значительным недостатком протокола WEP является использование статических общих ключей, что было вполне приемлемо для небольших корпоративных сетей, где в случае утраты адаптера можно было поменять ключи на всех остальных. Очевидно, что для оператора такой подход неприемлем. Кроме того, использование WEP со статическими ключами оказалось ненадежным и с точки зрения конфиденциальности данных: после того, как в конце 2001 года появились программы, позволяющие взламывать 40-битный WEP за 15-20 минут, а 128-битный — за 3-4 часа, репутация WEP была подмочена окончательно.

Позже рабочий комитет IEEE одобрил спецификации стандарта 802.11i, которыми определяется алгоритм защиты под названием TKIP (temporal key integrity protocol). Данный протокол предусматривает формирование новых ключей шифрования для каждых 10 КБ передаваемых данных.

Продолжается подготовка спецификации нового алгоритма, основанного на протоколе AES (advanced encryption standard) со 128-разрядным ключом. Этот метод шифрования считается более надежным, чем TKIP, и считается, что он должен прийти ему на смену.

К этому времени компания Cisco Systems выпустила серию адаптеров и точек доступа Cisco Aironet 350, обеспечивающих безопасность на базе нового протокола IEEE 802.1x/EAP (Extensible Authentication Protocol) и использующих RADIUS-сервер для обеспечения централизованного управления доступом и правами пользователей. Аутентификация с использованием EAP может быть привязана к имени и паролю пользователя, а не к общему ключу. Это удобно для операторов связи, поскольку для подключения новых и удаления старых абонентов достаточно модифицировать учетные записи этих абонентов в базе данных.

Дополнительно к этому, в рамках рекомендаций подкомитета IEEE 802.1i, который занимается вопросами обеспечения безопасности для беспроводных локальных сетей, были реализованы механизмы динамической генерации сессионных ключей (теперь вместо одного ключа на сеть каждый клиент при подключении получает свой собственный ключ на одну сессию), двухсторонней аутентификации (клиентский адаптер проверяет сеть, к которой подключается) и ряд модификаций алгоритма кодирования, повышающих его устойчивость к атакам.

Комментируя вопросы безопасности БСПД, Станислав Рыбалко, руководитель направления беспроводных технологий компании CompTek, сообщил следующее:

Станислав Рыбалко: В настоящее время по безопасности беспроводные сети (как внутриофисного, так и городского масштаба) могут обеспечивать очень серьезную защиту. Главное — правильно их настроить. Основные принципы этой защиты — это шифрация трафика плюс централизованная аутентификация, при которой выдача определенных уровней доступа производится и контролируется централизованно.

Централизованная аутентификация на городских сетях дает то преимущество, что, поскольку эта система привязывается к системе биллинга, то у оператора получается единая точка контроля доступа, привилегий, полномочий, баланса и пр.

Шифрация осуществляется достаточно длинными ключами (сейчас это в основном 128 бит) и является динамической, то есть даже в течение одной сессии, одного сеанса связи с базовой станцией ключи шифрования меняются, и, таким образом, подбор ключа становится бессмысленным. Что касается взлома с использованием подбора паролей — это уже вопрос к системному администратору, к его грамотности.

В 2002 году много писали про безопасность, были найдены определенные недостатки и упущения. Производители сделали соответствующие «заплатки». Что касается Wireless LAN, то это протокол 802.1х с централизованной аутентификацией, протоколы ЕАР, LEAP, TKIP и т.д. Идеологически они сводятся к двум основным вещам: динамическому кодированию и централизованной аутентификации.

CNews.ru: В чьей компетенции находятся вопросы безопасности: системного интегратора или сетевого администратора?

Станислав Рыбалко: Смотря кто разворачивает систему. Если ее разворачивает системный интегратор, как в случае корпоративных проектов по внутриофисным беспроводным сетям, то в этом случае вопросы безопасности находятся в компетенции специализированного интегратора, который, конечно, должен знать, как правильно настроить сеть таким образом, чтобы она была безопасной. А поддержка, авторизация новых пользователей остается на совести технического персонала, который отвечает за WLAN?овскую сеть этого предприятия. Персонал должен пройти соответствующее обучение, чтобы знать, как именно это оборудование настраивать.

CNews.ru: Итак, можно ли утверждать, что современные беспроводные сети — городские и WLAN — по безопасности ничем не уступают обычным проводным линиям?

Станислав Рыбалко: Можно сделать заявление, что современные беспроводные сети — как WLAN-овские, так и городского масштаба, — при грамотной настройке оборудования, во всяком случае того, которое мы продвигаем — Cisco Aironet для WLAN и Revolution или WiLAN для городских сетей — по уровню безопасности не будут уступать обычным проводным соединениям. Даже проводное соединение можно, при желании, взломать. Как и беспроводное. При правильной настройке системы защиты беспроводной сети получается дешевле снять защиту изнутри, то есть подкупить кого-то из персонала. Сразу скажу, что не у всех производителей, что касается безопасности, есть полный набор механизмов защиты и централизованного управления беспроводной сети. Производителей сейчас много. Поэтому я могу говорить и ручаться только за то оборудование, которое мы продвигаем.

Виталий Солонин / CNews.ru

Вернуться на главную страницу обзора

Toolbar | КПК-версия | Подписка на новости  | RSS