Сегодня многие украинские компании во главу угла ставят информационную безопасность офисных сетей беспроводного доступа. Поэтому вам наверняка будет интересно узнать об оптимальных способах их защиты.

Как известно, тот, кто владеет информацией, владеет всем. Однако сейчас все убедительнее звучит и другое, не менее справедливое утверждение тот, кто владеет информацией, больше всего на свете опасается ее потерять, точнее, утратить над ней контроль. А сделать это на фоне сегодняшнего телекоммуникационного бума и набирающей обороты интернет-экономики становится все проще.

Повсеместное внедрение беспроводных технологий позволило освободиться от оков, роль которых исполняли провода. Если еще пять лет назад возможность перемещаться по территории предприятия с ноутбуком, включенным в локальную сеть, казалась чем-то фантастическим и невероятным, то, по оценкам специалистов, уже к 2003 году количество пользователей беспроводных локальных вычислительных сетей (ЛВС) перевалит за миллиард. И это неудивительно. Согласитесь, что очень удобно оставаться в сети, перемещаясь из одного помещения предприятия в другое. Кроме того, беспроводные технологии позволяют объединять в единую локально-вычислительную сеть компьютеры нескольких удаленных филиалов компании.

Но, несмотря на высокие темпы роста, от перехода к использованию беспроводных сетей многие организации сдерживают два фактора: дороговизна оборудования и низкий уровень защиты информации. И если стоимость "железа" постоянно снижается, то количество "уязвимостей", обнаруженных в беспроводных технологиях, продолжает расти.

Обо всем по порядку

Достаточно вспомнить результаты анализа, который провели сотрудники Университета Беркли (Калифорния). Ученые утверждали, что алгоритм шифрования WEP, обеспечивающий 40- или 128-разрядное кодирование данных в семействе стандартов IEEE 802.11, уязвим перед рядом элементарных атак. Другая группа ученых из Университета Мэриленда также обнаружила серьезные "дыры" в протоколах доступа в беспроводные сети. А супермаркеты Best Buy просто были вынуждены отказаться от использования беспроводных кассовых терминалов после того, как в рассылке Bugtraq появилось сообщение о возможности перехвата данных, передаваемых в сети магазинов. Автор сообщения утверждал, что ему удалось перехватить SQL-запросы, содержащие название банка, идентификаторы касс, а также номера кредитных карт. Пресса тут же раздула скандал, отметив, что человечество в погоне за свободой уделило недостаточно внимания необходимости надежно защитить информацию от злоумышленников.

Масла в огонь подлили специалисты компании i-sec, которая занимается вопросами безопасности. Они устроили эффектную демонстрацию уязвимости беспроводных сетей с помощью... банки из-под чипсов Pringles. Используя специальную самодельную антенну, чертежи которой были взяты из Интернета, исследователи обнаружили и проникли в несколько десятков беспроводных сетей в финансовом квартале Лондона. Как отметили специалисты i-sec, эта демонстрация прежде всего доказывает не уязвимость беспроводных технологий, а халатность владельцев сетей. Ведь достаточно было внести несложные изменения в настройки оборудования, и никакие "чипсы" не страшны. Впрочем, обо всем по порядку.

Сегодня основным стандартом беспроводных сетей является IEEE 802.11b, позволяющий осуществлять передачу данных в диапазоне 2,4 ГГц со скоростью до 11 Мбит/с. Как известно, при создании беспроводных ЛВС применяются комбинированные решения: часть сети использует кабельные технологии, а другая обеспечивает доступ мобильных пользователей по беспроводным каналам. И если не считать "дырявое" ПО некоторых софтверных гигантов, кабельные сети прекрасно защищены. А вот вопрос безопасности беспроводных технологий по-прежнему не дает спать многим сисадминам.

Итак, что же угрожает безопасности беспроводных сетей? В большинстве случаев это, во-первых, нарушение физической целостности сети, во-вторых, прослушивание трафика и вторжение в сеть.

Обеспечить защиту целостности проводной сети довольно просто достаточно лишь ограничить доступ к ней потенциальных злоумышленников. С беспроводными ЛВС все обстоит намного сложнее, их целостность может быть нарушена действием как случайных, так и намеренно созданных радиопомех. Как правило, источниками первых являются СВЧ-устройства (работающие микроволновые печи, медицинское оборудование и т. п.) или природные явления, способные привести к появлению радиошумов. Эти же средства, наравне со специальными генераторами помех, могут использоваться и для преднамеренного создания помех, во время действия которых полностью или частично нарушается работоспособность сети. Следует отметить, что вероятность такого воздействия на сеть, находящуюся внутри здания, гораздо меньше вероятности подобного вмешательства в работу наружных сетей.

В стандарте IEEE 802.11 используются методы широкополосных радиосигналов FHSS (метод скачущей частоты) и DSSS (метод прямой последовательности), значительно снижающие риск нарушения целостности сети. Интересно, что широкополосная передача радиосигнала для обеспечения его стойкости к различным помехам применялась еще в период Второй мировой войны. Правда, в те времена она называлась технологией "размытого" спектра, так как сигнал передавался в широком частотном диапазоне (как бы размазываясь по нему).

Метод FHSS. Использование метода скачущей частоты предусматривает деление полосы частот в диапазоне 2,4 ГГц на 79 каналов по 1 МГц. Данные передаются последовательно по разным каналам, алгоритм переключения которых согласовывается заранее. Кроме того, FHSS позволяет осуществлять несколько независимых сеансов передач данных одновременно в одном и том же частотном диапазоне. Каждая сеть при этом имеет свою уникальную последовательность частот, благодаря которой доступный диапазон используется более рационально.

Однако метод скачущей частоты, в котором применяется очень простая схема приема/передачи, обеспечивает предельную скорость передачи данных всего 2 Мбит/с. Причина этого малый канальный диапазон (1 МГц), вынуждающий FHSS-системы использовать весь спектр в 2,4 ГГц и максимально быстро "перескакивать" по каналам, что, в свою очередь, приводит к снижению общей скорости передачи данных.

Метод DSSS. При использовании метода DSSS диапазон 2,4 ГГц делится на 14 (в США 11) частично перекрывающихся каналов, по одному из которых (без переключения на соседние) пересылаются данные. При этом каждый информационный бит трансформируется по методу Баркера в 11-битный пакет транслируемых данных. Именно высокая избыточность для каждого бита обеспечивает надежность передачи (возможность восстановить сигнал при его частичной потере). Кроме того, в DSSS используются модуляции со сдвигом фазы с дифференциальным четвертичным переключением DQPSK для скорости 2 Мбит/с и выше, а также с дифференциальным двоичным переключением DBPSK для скорости 1 Мбит/с.

Несанкционированное вторжение

Потенциальный вред от подключения к сети нелегальных пользователей, как и от несанкционированного доступа к ее ресурсам, пожалуй, очевиден всем. Именно для предотвращения подобных действий используются процедуры аутентификации, авторизации и учета.

Аутентификация процесс проверки подлинности абонента (не стоит путать с идентификацией, которая заключается в присвоении потребителю определенного имени). Проще говоря, точка доступа просит подключающегося пользователя доказать, что он действительно тот, за кого себя выдает. Доказательством может служить как пароль (или кодовое слово), так и электронные и физические ключи (например, электронная карта). В последнее время этот процесс стал двусторонним, то есть точка доступа также проходит процедуру аутентификации.

В беспроводных сетях стандарта IEEE 802.11b аутентификация радиокарты проводится по ее уникальному MAC-адресу, а сеть аутентифицируется по названию (SSID). Но в случае, если радиокарта обслуживает нескольких пользователей, необходима дополнительная аутентификация каждого из них.

Авторизация процедура, обеспечивающая контроль за доступом аутентичных пользователей к ресурсам сети, то есть итогом успешной авторизации становится предоставление пользователю только тех прав, которые были назначены ему администратором.

Учет регистрация всех запросов, количества трафика, времени работы пользователя и прочих событий, происходящих в сети. Данные учета являются основой биллинговых систем в сетях коммерческих операторов беспроводной связи. Кроме того, накопленная информация позволяет восстановить последовательность событий и может быть использована как юридическое доказательство вины злоумышленников, атаковавших сеть.

Все три вышеуказанные процедуры (функции ААА: Authentication, Authorization, Accounting) в беспроводных сетях проводятся, как правило, сервером RADIUS (Remote Access Dial-In User Service). А стандартизация и обеспечение совместимости функций ААА возложены на независимую организацию WECA.

Итак, для проникновения в правильно настроенную сеть злоумышленнику необходимо иметь оборудование того же стандарта и той же технологии (DSSS или FHSS), на котором построена сеть; знать идентификатор (имя) сети SSID; быть в списке MAC-адресов, которым разрешен доступ в сеть; знать ключ шифра WEP и последовательность изменения частот, заданную пользователем (для технологии FHSS).

Как видите, выполнить все эти требования одновременно очень трудно (практически невозможно), что сводит к минимуму вероятность проникновения непрошеных гостей в сеть.

Прослушивание трафика

Ни для кого не секрет, что промышленный шпионаж является одной из наиболее технически продвинутых сфер деятельности человека. Многие компании готовы заплатить немалые деньги за секреты, мегабайтами накапливающиеся в локальных сетях конкурентов.

Стремление украсть чужую информацию породило, в свою очередь, противодействие каждая организация старается защитить свои сети адекватно ценности передаваемых в них данных. И если в случае с проводными технологиями для защиты трафика от прослушивания достаточно построить сеть на хорошо экранированной витой паре, то излучение беспроводных сетей может быть прослушано практически из любой точки зоны ее радиовидимости. Однако, в отличие от проводных "собратьев", радиосети имеют структуру с более сложными методами синхронизации оборудования. Но и это не служит надежной защитой, так как все типичные варианты синхронизации зафиксированы в описании стандарта. Для защиты трафика целесообразно использовать технологию FHSS, в которой предусмотрена возможность применения заранее заданной последовательности изменения частоты.

Кроме того, стандарт IEEE 802.11 позволяет шифровать данные с использованием 40- или 128-разрядных ключей по алгоритму WEP. Его функциональность обеспечивают следующие составляющие. Во-первых, WEP-ключ, который распространяется среди всех абонентов отдельно взятой сети. Во-вторых, технологии кодирования/декодирования, использующие алгоритм RC4. В-третьих, 24-битный вектор инициализации, который, объединяясь с ключом WEP, создает входную последовательность алгоритма RC4. При этом для любого передаваемого пакета случайным образом выбирается уникальный вектор инициализации. В-четвертых, инкапсуляция (туннелирование) передача вектора инициализации и закодированных сообщений от отправителя к адресату. И в-пятых, проверка целостности передаваемого потока данных, результаты которой также кодируются и передаются в составе зашифрованного сообщения.

Безопасность на новом уровне

Таким образом, WEP обеспечивает конфиденциальность данных, передаваемых по беспроводным сетям, а использование программных и аппаратных ускорителей кодирования/декодирования исключает существенное снижение скорости передачи данных. Однако, в силу статичности ключей, алгоритм WEP оказался недостаточно устойчив к различного рода атакам, что послужило толчком для создания новых технологий защиты трафика. Поэтому ряд компаний совместно разработали и предложили использовать стандарт безопасности IEEE 802.1х, обеспечивающий принципиально новый уровень безопасности в беспроводных сетях.

Раньше из-за невозможности передачи ключей шифрования пользователю до успешного завершения аутентификации все данные во время процедуры подключения в сеть передавались открытым (доступным для легкого просмотра) трафиком. Но в рамках стандарта IEEE 802.1х был разработан протокол EAP для взаимной аутентификации пользователя и точки доступа. Для шифрования пароля и прочих ключей, ранее передававшихся незашифрованными, применяется односторонняя функция, работающая по алгоритму MD5 (использование случайного числа, полученного на предыдущем этапе пользовательским оборудованием от точки доступа).

В итоге передается сообщение длиной в 128 бит, перехватив которое злоумышленник не сможет быстро вычислить аргумент функции. А уже при следующей аутентификации пользовательским оборудованием будет применяться функция с другим аргументом.

Кроме того, связка RADIUS+WEP в стандарте IEEE 802.1х для шифрования трафика применяет одноразовые ключи, уникальные не только для каждого пользователя, но и для каждого сеанса работы в сети.

Однако даже в столь серьезных алгоритмах защиты есть не менее серьезные ошибки. В начале этого года сотрудники Университета Мэриленда обнаружили две опасные "дыры" в стандарте безопасности IEEE 802.1х. В частности, хакер может послать клиенту сети во время установки связи фальшивое сообщение "Сеанс связи прерван", которое якобы исходит от точки доступа. Клиент пытается подсоединиться повторно, а точка доступа продолжает считать, что сеанс связи все еще активен, чем хакер и может воспользоваться для подключения к сети. Кроме того, злоумышленник способен "замаскироваться" под узел защиты и, предварительно просматривая, ретранслировать все пакеты данных, курсирующие между клиентом и точкой доступа. Впрочем, по словам специалистов компании i-sec, избежать различных атак в большинстве случаев все же можно. Для этого необходимо не полениться и внести ряд изменений в настройки беспроводной сети.

Итак, рекомендуется сменить все присвоенные по умолчанию сетевые названия устройств, не называть сеть именем компании, отключить передачу на сетевые концентраторы и на все неиспользуемые функции, включить систему шифрования и поместить брандмауэр между беспроводной сетью и остальными компьютерами (устройствами сети).

Помимо семейства стандартов IEEE 802.11 на сегодняшний день существуют и другие технологии постороения беспроводных сетей, среди которых стоит отметить стандарт HiperLAN (High Perfomance Radio LAN), продвигаемый Европейским институтом стандартизации в области электросвязи (ETSI). Специалисты ETSI утверждают, что связь по HiperLAN столь же (если не более) безопасна, как и по проводным локальным сетям. Но неизвестно, какие дыры в технологии HiperLAN удастся обнаружить вездесущим хакерам, если она получит столь же широкое распространение, как и стандарт IEEE 802.11.

Конечно, беспроводные сети вряд ли обеспечат тот же уровень безопасности, что и проводные. Но их защита постоянно повышается. И, как ни прискорбно, но большинство владельцев беспроводных сетей становятся жертвами хакерских атак из-за собственной лени и неосмотрительности. Например, забыв включить шифрование, хозяин сети, взломанной с помощью банки из-под чипсов, льет крокодиловы слезы, проклиная производителей оборудования. А последние, тем временем, с утра до вечера продолжают совершенствовать системы безопасности беспроводных технологий. Поэтому не стоит забывать, что самым слабым звеном в системе безопасности любой компании являются обыкновенные люди. В число которых входим и мы с вами.

Источник: журнал "Мир связи" 9/2002