Но обеспечиваемая с помощью Wi-Fi мобильность кроме очевидных преимуществ содержит и менее очевидные недостатки. Прежде, чем рассуждать о преимуществах и недостатках IEEE 802.11, не лишним будет освежить в памяти что представляют эти технологии.
• технология беспроводного обмена информацией;
• скорость передачи данных до 600 Мбит/с;
• использует помехоустойчивые технологии передачи сигнала;
• позволяет покрыть с помощью одного передатчика зону без препятствий радиусом около 160 метров;
• есть возможность значительно расширить зону покрытия при использовании нескольких передатчиков;
• каждый из передатчиков работает на одном из 13 выделенных каналов. Число каналов в зависимости от страны может меняться;
• работает как в незащищенном режиме, так и с использованием методик обеспечения защиты данных.
Плюсы и минусы
Wi-Fi имеет целый ряд преимуществ по сравнению с традиционными сетями. Условно их можно объединить в два кратких блока.
Простота внедрения. Высокая скорость развертывания сети достигается за счет того, что нет необходимости прокладывать кабельные соединения. Хорошая масштабируемость сети дополняется гибкостью дизайна — можно развернуть ЛВС на тех участках, где использование проводных технологий затруднительно или невозможно.
Мобильность. В пределах зоны покрытия возможны практически любые перемещения абонентов. Это позволяет как значительно повысить эффективность труда сотрудников компании, так и снизить операционные затраты на содержание сетевой инфраструктуры. Выгода от использования беспроводного доступа наглядно видна там, где часто меняется расположение рабочих мест.
Но, кроме преимуществ, Wi-Fi имеет ряд особенностей, связанных со своей «природой». Особенно это касается сферы защиты информации. Существует расхожее мнение, что WiFi небезопасен с точки зрения защиты информации. С одной стороны да, с другой — нет
• Да. Wi-Fi крайне небезопасен, если не предприняты меры по авторизации пользователей и защите передаваемых данных.
• Нет. Wi-Fi может быть достаточно безопасным, если приняты соответствующие меры по авторизации пользователей и защите пересылаемых данных.
Радиоэфир — среда открытого доступа. Каждый, находящийся в зоне покрытия, может «прослушать» эфир, что ставит под угрозу конфиденциальность передаваемой информации. Для устранения этого недостатка используются механизмы авторизации и шифрования. К сожалению, не все стандарты имеют высокую стойкость к взлому.
Также типично заблуждение: «Мое предприятие будет защищать информацию в беспроводной среде не ранее, чем начнет пользоваться этой средой». Хочу обратить внимание, что, независимо от вашего желания, вы и ваша сетевая инфраструктура можете находиться в зоне покрытия Wi-Fi-сетей. Фактически любая корпоративная сеть, находящаяся в зоне потенциального покрытия беспроводной сети, должна быть защищена надлежащим образом. Если учесть, что покрытие может создать любой ноутбук, смартфон или мобильный телефон, то становится очевидным, что в той или иной мере защиты требуют все корпоративные сети. Конечно, если в организации запрещено использование Wi-Fi, то угроз со стороны IEEE 802.11 и связанных с ними рисков компрометации корпоративных ресурсов значительно меньше. Но есть ряд типичных ситуаций, в которых простого запрета может оказаться недостаточно. Человеческий фактор, случайное или намеренное подключение Wi-Fi-устройств к корпоративной сети могут привести к серьезным нарушениям безопасности. Чтобы правильно строить защиту беспроводных сетей, необходимо знать и понимать угрозы, которым подвержены Wi-Fi-cети (рис. 2).
Наиболее распространенные атаки
Rogue AP. Чужая точка доступа в зоне покрытия организации может повлиять как на скорость передачи точек, так и на стабильность приема сигнала от них. Поскольку Wi-Fi использует перекрывающиеся каналы (рис. 3), то работа одной точки доступа неизбежно влияет на работу соседей. Также не исключены коллизии, когда две точки доступа работают на одном канале.
Honeypot AP. Для злоумышленника совсем несложно создать внешнюю открытую точку доступа, которая будет выглядеть достаточно привлекательной для подключения. Сотрудники компании смогут подключиться к внешней незащищенной WiFi-сети для получения свободного доступа к сайтам, запрещенным корпоративной политикой. Но опасность не только и не столько в использовании сомнительных интернетресурсов, а в том, что подключение по Wi-Fi двустороннее! А это значит, что злоумышленник, разместивший Honeypot AP, может получить сетевой доступ к подключенным устройствам из корпоративной сети, а через них — доступ в корпоративную сеть.
Adhoc connection. Перебор вариантов подключения адаптером Wi-Fi может привести к подключению к соседним Wi-Fiустройствам, что создает дополнительные проблемы, связанные с безопасностью.
MAC Spoofing. Один из способов авторизации клиентов — использование MAC-адресов сетевой карты. Подмена MAC-адреса представляют собой довольно простую операцию. Таким образом, злоумышленник может получить доступ от имени другого пользователя.
Взлом криптозащиты. Большинство применяемых в Wi-Fi алгоритмов шифрования имеют слабую криптостойкость и некоторые уязвимости инициализации шифрования. Это позволяет получить доступ к шифруемой информации путем осуществления атак brute-force или атак на алгоритм.
Также существует довольно много проблем, связанных с неправильной настройкой точки доступа, подключения клиентов или ассоциации процессов авторизации с клиентами, которые «приоткрывают дверь» злоумышленникам и предоставляют возможность для осуществления атак. В свою очередь хакер, получив доступ в сеть, может осуществить взлом клиентов сети, используя стандартные тактики: сканирование на наличие уязвимостей и реализация атак на найденные уязвимости.
Рецепты построения безопасных сетей
Безопасность — это не только обеспечение конфиденциальности. Первый шаг при построении защищенной беспроводной сети — выбор архитектуры. Правильный выбор позволит обеспечить высокую доступность, детализированную наблюдаемость, а также упростить управляемость и тем самым снизить операционные затраты на управление сетью.
Исходя из этих соображений, ведущие производители предлагают комплексные решения. Основными тенденциями преобразования архитектуры можно считать:
• внедрение мониторинга радиочастотного ресурса;
• дополнение защиты средствами определения и предотвращения вторжений;
• средства принудительной реализации политики безопасности.
Конечно, внедрение всего комплекса средств защиты не для каждой организации может оказаться своевременным и оправданным. Оценка рисков со стороны Wi-Fi-сетей, зрелость процессов информационной безопасности и в конце-концов доступный для таких целей бюджет — все это позволяет определить, насколько востребована защита и оправданны капиталовложения в ее развитие.
Исходя из опыта, могу сказать, что с наименьшими затратами внедрение защиты Wi-Fi-сред проходит в организациях, уже использующих Wi-Fi-инфраструктуру ведущих производителей. Средства обеспечения безопасности будут лишь дополнением к уже существующим решениям. Основные затраты при этом относятся не к безопасности, а к построению бизнес-критической инфраструктуры. Реализацию сервиса безопасности для Wi-Fi-сетей организации можно разделить на уровни, которые показывают этапы наращивания степени безопасности.
2. IDS — детектирование атак в Wi-Fi-радиоэфире.
3. IPS — предотвращение атак в WiFi-радиоэфире. Наиболее оправданно иметь такие средства для уже существующей инфраструктуры беспроводного доступа. Тем не менее, если есть требования к обеспечению блокировки всех нелегитимных устройств в зоне покрытия, стоит задуматься о внедрении этого решения еще до разворачивания инфраструктуры Wi-Fi.
4. Реализация политики безопасности предприятия относительно настроек безопасности подключения. Внедрения наиболее стойких алгоритмов авторизации и шифрования.
5. Проверка подключаемого рабочего места на соответствие политикам безопасности предприятия: версия ОС, обновления антивируса и т.п. Внедрение дополнительных средств контроля доступа.
6. В качестве дополнительной меры безопасности — реализация VPN для доступа к корпоративным ресурсам. Это значительно уменьшит риски компрометации корпоративных информационных ресурсов.
Параллельно с этапами внедрения средств обеспечения безопасности должны проходить следующие организационные меры:
• построение инфраструктуры: разворачивание точек доступа и контролеров; • внедрение процесса оценки рисков от Wi-Fi-среды;
• интеграция процесса управления Wi-Fi-сетью;
• внедрение процесса обеспечения безопасности Wi-Fi-сред;
• учет и оптимизация ресурсов управления.
Разумеется, проведение этих работ зачастую требует большого количества высококвалифицированных кадров, имеющих как специализацию, так и практический опыт.
Взгляд в будущее
Напоследок хотелось бы обозначить векторы развития беспроводных технологий в корпоративном секторе и ожидания по их развитию в ближайшем будущем. В первую очередь, интерес к беспроводным технологиям продолжит расти. Они вышли на тот уровень, когда скорость, защищенность и ценовая доступность делают возможным внедрение беспроводных сетей для повышения эффективности работы на большинстве предприятий.
На данный момент заметен рост заинтересованности в средствах обеспечения безопасности беспроводных решений. Уверен, такая тенденция будет продолжаться. Все больше организаций заинтересованы в комплексной безопасности, а не формальном перекрытии наиболее очевидных уязвимостей.
Повышение зрелости IT-процессов в целом будет стимулировать внедрение процесс-ориентированного подхода к организации беспроводных сетей. Немаловажную роль в этом также играют внутренние и внешние регуляторы: корпоративные и отраслевые стандарты и требования контролирующих организаций.
Автор статьи — консультант службы телеком-технологий и информационной безопасности ООО «БМС консалтинг»
