Стандарт IEEE 802.11 с традиционной безопасностью (Tradition Security Network,TSN) предусматривает два механизма аутентификации беспроводных абонентов: открытую аутентификацию (Open Authentication) и аутентификацию с общим ключом. В аутентификации в беспроводных сетях также широко используются два других механизма выходящих за рамки стандарта 802.11, а именно назначение идентификатора беспроводной локальной сети (Service Set Identifier, SSID) и аутентификация абонента по его MAC-адресу (MAC Address Authentication).
Идентификатор беспроводной локальной сети (SSID) представляет собой атрибут беспроводной сети, позволяющий логически отличать сети друг от друга. В общем случае, абонент беспроводной сети должен задать у себя соответствующий SSID для того, чтобы получить доступ к требуемой беспроводной локальной сети. SSID ни в коей мере не обеспечивает конфиденциальность данных, равно как и не аутентифицирует абонента по отношению к точке радиодоступа беспроводной локальной сети. Существуют точки доступа позволяющие разделить абонентов подключаемых к точке на несколько сегментов, это достигается тем, что точка доступа может иметь не один, а несколько SSID.
До мая 2001 г. стандартизация средств информационной безопасности для беспроводных сетей 802.11 относилась к ведению рабочей группы IEEE 802.11e, но затем эта проблематика была выделена в самостоятельное подразделение. Разработанный стандарт 802.11i призван расширить возможности протокола 802.11, предусмотрев средства шифрования передаваемых данных, а также централизованной аутентификации пользователей и рабочих станций.
Основные производители Wi-Fi-оборудования в лице организации WECA (Wireless Ethernet Compatibility Alliance), иначе именуемой Wi-Fi Alliance, устав ждать ратификации стандарта IEEE 802.11i, совместно с IEEE в ноябре 2002 г. анонсировали спецификацию Wi-Fi Protected Access (WPA), соответствие которой обеспечивает совместимость оборудования различных производителей.
Основные усовершенствования, внесенные протоколом TKIP:
− Пофреймовое изменение ключей шифрования. WEP - ключ быстро изменяется, и для каждого фрейма он другой;
− Контроль целостности сообщения. Обеспечивается эффективный контроль целостности фреймов данных с целью предотвращения проведения тайных манипуляций с фреймами и воспроизведения фреймов;
− Усовершенствованный механизм управления ключами.
В июне 2004 г. IEEE ратифицировал давно ожидаемый стандарт обеспечения безопасности в беспроводных локальных сетях - 802.11i. Действительно, WPA достоин восхищения как шедевр ретроинжиниринга.
Созданный с учетом слабых мест WEP, он представляет собой очень надежную систему безопасности, и обратно совместим с большинством существующего Wi-Fi-оборудования. WPA - практическое решение, обеспечивающее более чем адекватную безопасность для беспроводных сетей.
Однако WPA, в конце концов, компромиссное решение. Оно все еще основано на алгоритме шифрования RC4 и протоколе TKIP. Хотя и малая, но все же имеется вероятность открытия каких-либо слабых мест. Абсолютно новая система безопасности, целиком лишенная брешей WEP, представляет собой лучшее долгосрочное и к тому же расширяемое решение для безопасности беспроводных сетей. С этой целью комитет по стандартам принял решение разработать систему безопасности с нуля. Это новый стандарт 802.11i, также известный как WPA2 и выпущенный тем же Wi-Fi Alliance.
Стандарт 802.11i использует концепцию повышенной безопасности (Robust Security Network, RSN), предусматривающую, что беспроводные устройства должны обеспечивать дополнительные возможности. Это потребует изменений в аппаратной части и программном обеспечении, т.е. сеть, полностью соответствующая RSN, станет несовместимой с существующим оборудованием WEP. В переходный период будет поддерживаться как оборудование RSN, так и WEP (на самом деле WPA/TKIP было решением, направленным на сохранение инвестиций в оборудование), но в дальнейшем устройства WEP будут отмирать.
Проблемы, с которыми столкнулись разработчики и пользователи сетей на основе стандарта 802.11 вынудили искать новые решения защиты беспроводных сетей. Были выявлены компоненты, влияющие на системы безопасности беспроводной локальной сети:
) Архитектура аутентификации;
) Механизм аутентификации;
) Механизм обеспечения конфиденциальности и целостности данных.
Архитектура аутентификации IEEE 802.1x - стандарт IEEE 802.1x описывает единую архитектуру контроля доступа к портам с использованием разнообразных методов аутентификации абонентов.
Алгоритм аутентификации Extensible Authentication Protocol
или EAP (Расширяемый протокол идентификации) поддерживает централизованную
аутентификацию элементов инфраструктуры беспроводной сети и её пользователей с
возможностью динамической генерации ключей шифрования.
Виртуальная частная сеть (Virtual Private Network, VPN) - это метод, позволяющий воспользоваться телекоммуникационной инфраструктурой общего пользования, например сетью Интернет для предоставления удаленным офисам или отдельным пользователям безопасного доступа к сети организации. Поскольку беспроводные сети 802.11 работают в нелицензируемом диапазоне частот и легко доступны для случайного или злонамеренного прослушивания, то именно в них развертывание и обслуживание VPN приобретает особую важность, если необходимо обеспечить высокий уровень защиты информации.
Защищать нужно как соединения между хостами в беспроводной локальной сети, так и двухточечные каналы между беспроводными мостами. Для обеспечения безопасности особо секретных данных нельзя полагаться на какой-то один механизм или на защиту лишь одного уровня сети. В случае двухточечных каналов проще и экономичнее развернуть VPN, покрывающую две сети, чем реализовывать защиту на базе стандарта 802.11i включающую RADIUS-сервер и базу данных о пользователях.
Пользоваться же реализацией стандарта на базе предварительно разделенных ключей (PSK) и протокола 802.1x при наличии высокоскоростного канала между сетями не самый безопасный метод. VPN - это полная противоположность дорогостоящей системе собственных или арендованных линий, которые могут использоваться только одной организацией. Задача VPN - предоставить организации те же возможности, но за гораздо меньшие деньги. Сравните это с обеспечением связи за счет двухточечных беспроводных каналов с мостами вместо дорогих выделенных линий. VPN и беспроводные технологии не конкурируют, а дополняют друг друга. VPN работает поверх разделяемых сетей общего пользования, обеспечивая в то же время конфиденциальность за счет специальных мер безопасности и применения туннельных протоколов, таких как туннельный протокол на канальном уровне (Layer Two Tunneling Protocol, L2TP). Смысл их в том, что, осуществляя шифрование данных на отправляющем конце и дешифрирование на принимающем, протокол организует «туннель», в который не могут проникнуть данные, не зашифрованные должным образом. Дополнительную безопасность может обеспечить шифрование не только самих данных, но и сетевых адресов отправителя и получателя. Беспроводную локальную сеть можно сравнить с разделяемой сетью общего пользования, а в некоторых случаях (хот-споты, узлы, принадлежащие сообществам) она таковой и является. VPN отвечает трем условиям: конфиденциальность, целостность и доступность.
Следует отметить, что никакая VPN не является устойчивой к DoS- или DDoS-атакам и не может гарантировать доступность на физическом уровне просто в силу своей виртуальной природы и зависимости от нижележащих протоколов. Две наиболее важные особенности VPN, особенно в беспроводных средах, где имеется лишь ограниченный контроль над распространением сигнала, - это целостность и, что еще более существенно, конфиденциальность данных. Возьмем жизненную ситуацию, когда противнику удалось преодолеть шифрование по протоколу WEP и присоединиться к беспроводной локальной сети. Если VPN отсутствует, то он сможет прослушивать данные и вмешиваться в работу сети. Но если пакеты аутентифицированы, то атака «человек посередине» становится практически невозможной, хотя перехватить данные по-прежнему легко. Включение в VPN элемента шифрования уменьшает негативные последствия перехвата данных. VPN обеспечивает не столько полную изоляцию всех сетевых взаимодействий, сколько осуществление таких взаимодействий в более контролируемых условиях с четко определенными группами допущенных участников.
Есть много способов классификации VPN, но основные три вида -
это сеть-сеть, хост-сеть и хост-хост.
Этим термином иногда описывают VPN-туннель между двумя географически разнесенными частными сетями.такого типа обычно применяются, когда нужно объединить локальные сети с помощью сети общего пользования так, как будто они находятся внутри одного здания. Основное достоинство такой конфигурации состоит в том, что сети выглядят как смежные, а работа VPN-шлюзов совершенно прозрачна для конечных пользователей. В этом случае важно также туннелирование, поскольку в частных сетях обычно используются описанные в RFC 1918 зарезервированные адреса, которые не могут маршрутизироваться через Интернет. Поэтому для успешного взаимодействия трафик необходимо инкапсулировать в туннель.
При такой конфигурации удаленные пользователи подключаются к корпоративной сети через Интернет.
Сначала мобильный клиент устанавливает соединение с Интернет, а затем инициирует запрос на организацию зашифрованного туннеля с корпоративным VPN-шлюзом. После успешной аутентификации создается туннель поверх сети общего пользования и клиент становится просто еще одной машиной во внутренней сети. Все более широкое распространение надомной работы стимулирует интерес к такому применению VPN.
В отличие от VPN типа сеть-сеть, где число участников
невелико и более или менее предсказуемо, VPN типа хост-сеть легко может вырасти
до необъятных размеров. Поэтому системный администратор должен заранее
продумать масштабируемый механизм аутентификации клиентов и управления ключами.
Такая топология, по-видимому, встречается реже всего. Речь
идет о двух хостах, обменивающихся друг с другом шифрованными и нешифрованными
данными. В такой конфигурации туннель организуется между двумя хостами и весь
трафик между ними инкапсулируется внутри VPN. У таких сетей не много
практических применений, но в качестве примера можно назвать географически
удаленный сервер резервного хранения. Оба хоста подключены к Интернет, и данные
с центрального сервера зеркально копируются на резервный. Например, простые
сети VPN типа хост-хост можно использовать для защиты одноранговых (Ad Hoc)
сетей.
Ранее были описаны основные уязвимости Wi-Fi, а так же различные
варианты безопасного доступа к беспроводной сети. Однако, стоит подытожить все
выше сказанное, и вывести принципы надежного соединения в сети Wi-Fi.
Итак, что может сделать владелец компьютера, оснащенного беспроводным доступом, чтобы обеспечить безопасный доступ в публичных местах?
Во-первых, важно помнить об обновлении вашего программного обеспечения: устанавливайте все последние обновления к системе и приложениям и проверяйте веб-сайт производителя вашего беспроводного адаптера на предмет последних драйверов и обновлений прошивок.
Далее, выключите службу общего доступа к файлам и принтерам для всех публичных сетей, к которым вы подсоединяетесь. Это ограничит доступ к общим ресурсам вашего компьютера через ненадежные WLAN-соединения (wireless LAN), в то же время позволит пользоваться Интернетом.
Конечно, вам придется установить брандмауэр, чтобы защитить ваши соединения от атак типа «man-in-the-middle», когда злоумышленники пытаются установить ложную точку доступа и заставить вас подсоединиться к ней или перехватывают передаваемые пакеты данных с помощью упомянутых выше методов прослушивания.
Теперь настройте ПО вашего беспроводного адаптера или Мастер беспроводного подключения (Wireless Network Setup Wizard) в Windows так, чтобы исключить автоматическое подключение к вновь обнаруженным беспроводным сетям. Если в месте вашего нахождения существует несколько беспроводных сетей, создайте список сетей в порядке снижения уровня их надежности. Убедитесь, что вы выключили беспроводной адаптер ноутбука, если вы не используете Интернет.
Постоянно проверяйте список доступных беспроводных сетей во время перемещения - какие из них активны и каким оператором поддерживаются. Где это возможно, подключайтесь к сети, которая поддерживается учреждением, в котором вы находитесь (например, отелем, информационным стендом аэропорта, кафе).
Важно также помнить о том, что никогда не стоит вводить пароли или иные конфиденциальные данные, если вы подключены к беспроводной сети, незащищенной WPA2-шифрованием. Не делайте этого для получения или отправления почты, открытия страниц, загружаемых не по протоколу HTTPS, проведения финансовых операций. Обычная работа в сети, просмотр прогноза погоды и спортивных результатов или чтение последних новостей, возможно, не представляют большой опасности, но любая активность, требующая персональной идентификации, не должна осуществляться в незащищенной сессии браузера.
Еще один важный момент: два беспроводных устройства могут
соединиться друг с другом напрямую для произвольного объединения в сеть
посредством радиоволн. Конфигурации некоторых беспроводных адаптеров позволяют
устанавливать подобное соединение автоматически, без ведома пользователя.
Убедитесь, что ваша система не настроена на работу именно так.
Шифрование в беспроводных сетях - ключ к безопасности данных. Чтобы создать вашу собственную безопасную беспроводную сеть, вам понадобится маршрутизатор или точка доступа с поддержкой WPA2-шифрования. И даже в этом случае вам придется указать пароль, который сможет устоять против прямого подбора по словарю. Более слабые алгоритмы шифрования, такие как WPA (с коротким ключом) или WEP, могут быть взломаны в течение нескольких минут, поэтому мы настоятельно рекомендуем использовать WPA2-шифрование. Некоторые маршрутизаторы способны поддерживать WPA2 после обновления их прошивки.
Другой путь к улучшению безопасности беспроводной сети состоит в изменении учетной записи по умолчанию для удаленного доступа к странице настройки вашей точки доступа. Если ваше устройство использует стандартную комбинацию имени пользователя и пароля «Admin»/»Admin», установленную на фабрике, поменяйте их как только предоставится возможность, на нечто более уникальное и непонятное. Это предотвратит потенциальные попытки изменения настроек безопасности вашего маршрутизатора и получение атакующим доступа к вашей персональной сети с использованием его собственной учетной записи.
Указывайте уникальный SSID (идентификатор точки доступа)
вашей сети - это имя сети, которое транслируется и является видимым для всех,
кто осуществляет поиск доступных беспроводных сетей. Будьте осторожны при
передаче WPA2-ключа вашим доверенным лицам, которые будут подключаться к вашей
сети (клиентам сети), или вручную настройте их доступ и проинструктируйте их,
чтобы они подключались только под указанным именем.
Отслеживайте появление новых точек доступа в вашем районе и напоминайте вашим
мобильным пользователям об опасностях подключения к недоверенным или
вредоносным точкам доступа. С их помощью хакеры могут перехватывать трафик от и
к клиентам и даже захватить проводную сеть, если клиент одновременно подключен
к проводной сети (Ethernet LAN).
Включите фильтрацию IP и MAC адресов на вашем маршрутизаторе. Фильтрация MAC-адресов позволяет вручную добавить сетевые адаптеры с указанными аппаратными идентификаторами в белый список, чтобы никакое устройство с несовпадающим идентификатором не получило доступ в сеть. Фильтрация IP-адресов использует такой же принцип - получить доступ смогут лишь клиенты с указанными доверенными IP-адресами, но это потребует выключения DHCP-сервера в конфигурации вашего маршрутизатора и назначения разрешенных IP-адресов вручную. Также вам может показаться полезным ограничить число клиентов, подключающихся к сети (ограничив, по необходимости, количество узлов в подсети) и указать временные интервалы, во время которых маршрутизатор будет разрешать подключение к сети (доступно лишь в некоторых устройствах).
Ограничьте широковещательный диапазон точки доступа таким образом, чтобы она была доступна только на определенном расстоянии; сигнал будет подавляться при достижении этого предела. Эта возможность доступна только в некоторых устройствах.