Классификация механизмов защиты беспроводной сети
Беспроводные компьютерные сети все глубже проникают в повседневную жизнь. Если еще 5 лет назад встроенные в ноутбуки Wi-Fi-адаптеры были в диковинку, то сегодня даже мобильные телефоны имеют встроенные Wi-Fi и Bluetooth. Для отслеживания местоположения мобильных объектов все чаще используются технологии радиочастотной идентификации (RFID), появились серийные образцы беспроводных USB-хабов. О ставших обыденными технологиях мобильного доступа и передачи данных GSM, CDMA, GPRS и др. можно даже не упоминать.
 |
Уровень проникновения беспроводных сетей можно легко оценить, проехав с включенным в режим сканирования Wi-Fi-сетей ноутбуком по крупному городу или активировав поиск bluetooth-устройств в людном месте. Еще одну иллюстрацию плотности покрытия Wi-Fi в общемировом масштабе дает сайт www.anchorfree.com, где ведется статистика бесплатных точек доступа. Городом-рекордсменом беспроводных сетей является Сан-Франциско, где работают 473 бесплатные точки доступа. Городские Wi-Fi-сети развернуты в Сингапуре, Лондоне и многих других крупных городах.
По сравнению со странами Европы и США распространение Wi-Fi в Украине остается пока довольно низким. Однако, принимая во внимание темпы продаж Wi-Fi-устройств, можно уверенно прогнозировать, что уже через несколько лет крупные украинские города также будут покрыты “беспроводным облаком”.
Потенциальные уязвимости
Уязвимость массовых беспроводных сетей определяют следующие три основные причины.
1. Отсутстие физических границ. В отличие от проводной сети радиопокрытие не может быть строго ограничено стенами офиса. Сигнал от небольшой сети Wi-Fi, развернутой для подключения к интернету в конференц-зале, может быть доступен за сотни метров от здания. При отсутствии надежных механизмов защиты беспроводной сети от несанкционированного доступа вы, сами того не ведая, можете стать очень удобным бесплатным провайдером для соседей. Более того, при отсутствии надежной криптографической защиты передаваемой по Wi-Fi-сети информации потенциальные злоумышленники могут легко осуществить перехват.
2. Врожденные уязвимости беспроводных протоколов. С момента возникновения стандарты Wi-Fi (802.11) имели архитектурные уязвимости, связанные с криптографической защитой и безопасностью управления. В последних редакциях стандарта 802.11 уровень криптографической защиты заметно вырос, однако безопасность управления сетью по-прежнему оставляет желать лучшего.
3. Простота и доступность беспроводных технологий. Беспроводную точку доступа можно свободно купить и установить дома или на работе. Однако такие “бытовые” точки доступа предназначены для домашнего использования и обладают минимальной защищенностью. Даже этот минимальный набор пользователи часто не активируют в ходе экспресс-установки . Именно такие точки доступа зачастую являются источником бесплатного доступа к интернету для окружающих. Внешняя проверка в крупных компаниях, как правило, выявляет множество недокументированных и незащищенных сетей Wi-Fi. Если вы уверены, что в вашем офисе беспроводных сетей нет и поэтому не задумываетесь о безопасности, возможно это простой самообман.
Эволюция защиты беспроводных сетей
Начальная редакция стандарта беспроводной передачи данных IEEE 802.11, датируемая 1999 годом, предлагала протокол WEP (Wireless Equivalent Privacy) в качестве механизма защиты. Этот протокол оказался уязвимым — фактически сразу были найдены методики пассивного взлома, которые позволяли в течение десятка минут расшифровать используемый пароль WEP, прослушивая беспроводной трафик. А не так давно немецкими исследователями из Дармштадского политехнического университета был разработан новый способ взлома WEP, который требует всего нескольких десятков секунд. К этой угрозе изначально добавились уязвимость аутентификации по алгоритму Shared Key. Наличие аутентификации, как ни странно, упрощало злоумышленнику расшифровку пароля.
Непосредственно сразу после выхода стандарта 802.11 для устранения этих и других уязвимостей началась разработка более совершенной с точки зрения безопасности версии — IEEE 802.11i. Ключевыми нововведениями 802.11i являются:
• надежная аутентификация EAP/802.1x;
• совершенно новый протокол шифрования CCMP, который основан на криптографически стойком алгоритме AES;
• протокол ротации (замены) ключей TKIP , который обеспечивает обратную совместимость с алгоритмом шифрования, используемым в WEP, но предлагает больший уровень защищенности.
Ратификация стандарта 802.11i произошла лишь в 2004 году. Для обеспечения защиты выпускаемых беспроводных устройств организация Wi-Fi Alliance, образованная компаниями-производителями решений для сетей Wi-Fi, разработала стандарты WPA (Wi-Fi Protected Access) и WPA2. Спецификация WPA описывает поддержку 802.1x и TKIP, а WPA2, разработанный на основе 802.11i, добавляет шифрование AES. Сертификация доступных в продаже Wi-Fi устройств производится на соответствие стандартам WPA и WPA2.
Еще один класс угроз беспроводных сетей — незащищенность управления беспроводной сетью. Она возникает из-за того, что фреймы (пакеты) управления беспроводной сетью (Management Frame) передаются в открытом виде без какой-либо защиты. К управляющим фреймам относятся запросы на аутентификацию/деаутентификацию, сигнальные (beacon) фреймы, запросы на подключение и переподключение к точке доступа и прочее. Используя специально сформированные фреймы управления или генерируя большое количество пакетов, злоумышленник может организовать DoS-атаку на беспроводную сеть. Например, посылая запросы на деаутентификацию от имени легального компьютера, хакер может отключить его от беспроводной сети.
Решение для защиты управляющих фреймов достаточно очевидное: подписывать их с помощью кода проверки целостности. В таком случае фальшивые фреймы, сформированные злоумышленником, будут проигнорированы точкой доступа и беспроводным клиентом.
Появление незарегистрированных точек доступа (rogue access point) также представляет серьезную угрозу для беспроводной сети. Такие точки могут быть установлены злоумышленниками или сотрудниками для собственного применения. Противодействие этим угрозам основано на четко детерминированной политике сетевой безопасности, делающей невозможной подключение и работу несанкционированного оборудования.
 Выявление и локализация незарегистрированной точки доступа. |
Нейтрализация угроз
Для нейтрализации указанных угроз обычно используются:
• беспроводная система защиты от атак IDS/IPS;
• управление радиочастотным ресурсом;
• сервис определения местоположения.
В отличие от традиционной системы защиты от атак IPS (Intrusion Prevention System), которая акцентирует внимание на угрозах с 3 по 7 уровень сетевой модели OSI (Open Systems Interconnection), беспроводная IDS/IPS работает на первых двух уровнях OSI — физическом (радиочастотном) и канальном. Технология обнаружения и противодействия атакам Wireless IDS/IPS позволяет определить незарегистрированные точки доступа, локализовать их на карте сети с точностью 5-10 метров (с помощью сервиса определения местолоположения), вычислить порт коммутатора, к которому подключена нелегальная точка доступа и принудительно отключить от нее клиентов.
Современные средства Wireless IDS/IPS способны обнаружить несколько десятков разновидностей атак на беспроводные сети — включая радиоразведку, атаки на управление, радиоинтерференцию и прочее. Функциональность систем IDS/IPS может быть размещена в отдельном специализированном аппаратном устройстве или интегрирована в обычную точку доступа.
Значительное влияние на безопасность сети оказывает сервис управления радиочастотным ресурсом (RF Management). Во-первых, правильный RF Management позволит уже на этапе планирования сети максимально приблизить радиопокрытие к границам здания, избежать как “дыр” с неустойчивым приемом, так и выхода сигнала за пределы контролируемой зоны. Эти меры создадут преграду для злоумышленников, которые могут попытаться взломать сеть, находясь за пределами здания. Во-вторых, управление радиочастотным ресурсом в ходе эксплуатации сети позволит отслеживать случайные и злонамеренные радиопомехи и интерференции, в реальном времени подстраивая мощность передатчиков так, чтобы нейтрализовать негативное влияние сторонних сигналов.
Безопасные топологии и политики доступа
Необходимо всегда помнить, что беспроводная сеть является всего лишь элементом корпоративной сети и почти всегда подключается к общей проводной сети. Поэтому специфические механизмы защиты беспроводной сети обязательно дополняются традиционными для проводных сетей решениями.
1. Сегментация. Необходимо выделять беспроводную сеть в отдельный сегмент. Разнотиповые беспроводные сети (например, внутренняя и гостевая) следует выделить в отдельные сегменты. Разделение сегментов желательно проводить через межсетевые экраны. Точки “соприкосновения” сегментов можно дополнительно усилить проводными системами защиты от атак.
2. Расширенный контроль доступа. Предоставляя доступ в беспроводную сеть гостевым или мобильным компьютерам, необходимо проверять их соответствие корпоративной политике безопасности. Такой контроль получил название Network Admission Control (NAC). Например, для гостевых станций можно установить такие правила: подключение только с разрешения уполномоченного сотрудника; наличие актуальной версии антивируса; отсутствие вредоносного ПО и пр.
3. Защита коммутируемой среды. На уровне коммутаторов проводной сети (особенно если к ним подключены беспроводные точки) необходимо активировать защиту от спуфинга, ARP, DHCP-атак и др.
4. Дополнительная криптографическая защита. Если по каким-либо причинам активация надежной криптографии на уровне Wi-Fi (WPA2/802.11i) невозможна, следует использовать IPSec-туннели поверх Wi-Fi. Иногда для дополнительной надежности оправданно одновременное использование IPSec и WPA2.
5. Защита пользовательских устройств. Для защиты пользовательских терминалов от прямых атак используются хостовые системы защиты от атак (HIPS) и антивирусы. В частности, в задачи HIPS может входить и блокирование подключений к неизвестным беспроводным сетям. Для мобильных пользователей может быть интересна настройка политики безопасности пользовательских устройств в зависимости от типа текущей беспроводной сети. Например, принудительная активация межсетевого экрана при переходе ноутбука из защищенной корпоративной беспроводной сети в публичную сеть.
Выбор средств защиты
На практике выбор средств защиты зависит от критичности и рисков тех или иных угроз. Компания Cisco предлагает сгруппировать вышеперечисленные средства защиты по трем категориям: Bronze, Silver, Gold.
Для малых офисов, как правило, достаточно средств защиты Bronze. Этот уровень обеспечит требуемую безопасность и для Wi-Fi-сетей, которые используются для доступа к интернету на ограниченных площадях (например, в конференц-залах).
Если же через с помощью беспроводных каналов осуществляется работа с корпоративными информационным ресурсами, а Wi-Fi-покрытие распространяется на значительную площадь, следует задуматься о дополнительных механизмах категории Silver.
Наконец, если к сети часто подключаются мобильные и гостевые рабочие станции, если существует угроза целенаправленной атаки на беспроводную сеть, систему защиты следует усилить средствами категории Gold.
Заключение
Конечно, все категории защиты условны. Даже малый офис, в котором основные бизнес-задачи “завязаны” под функционирование Wi-Fi, может потребовать Silver или даже Gold средств защиты. Развитие бизнеса может потребовать повышение сетевой защиты и ужесточения контроля доступа. Важно, чтобы по мере развития сети беспроводное оборудование позволяло модернизировать механизмы защиты без существенной модернизации или редизайна топологии.
В этом контексте интересен набирающий популярность подход, предполагающий перенос интеллектуальной составляющей беспроводной сети в систему управления или контроллер и минимизацию функций, возложенных на точку доступа. Этот подход оправдан еще и потому, что почти все защитные механизмы сосредотачиваются в системе управления и могут быть легко модернизированы без замены точек доступа.
Владимир Либман,
cистемный инженер Cisco
С автором материала можно связаться по email: voilibma@cisco.com
