Защищенная конфигурация точки доступа

Выбор оптимального решения для обеспечения безопасности беспроводной сети

Как только были обнаружены технологические недостатки беспроводных сетей первого поколения, началась активная работа по их устранению. Пока одни компании, в том числе корпорация Майкрософт, работали над совершенствованием стандартов беспроводной связи, многие аналитические фирмы, производители средств обеспечения сетевой безопасности и т. д. пытались обойти недостатки, присущие прежним стандартам. В результате было разработано несколько подходов к обеспечению безопасности беспроводных сетей.

Сравнительная информация об основных вариантах (кроме наиболее популярного подхода — отказа от беспроводных сетевых технологий) приведена в следующей таблице.

Таблица 2. Сравнение подходов к обеспечению безопасности беспроводных сетей

Примечание.   По поводу строгой проверки подлинности следует отметить, что во многих реализациях VPN, в которых используется туннельный режим IPsec, применяется слабая схема проверки подлинности с помощью общих ключей, называемая XAuth.
Нынешние версии ОС Windows не поддерживают проверку подлинности пользователей с сопоставлениями IPsec, но эта функциональность будет реализована в ОС Windows Vista и Longhorn.
При проверке подлинности компьютера он остается подключенным к беспроводной и кабельной сетям, даже если в систему не вошел ни один пользователь. Это необходимо для нормальной работы некоторых функций, основанных на доменах, например перемещаемых профилей.

Как ясно из приведенной таблицы, есть много факторов, которые нужно проанализировать при оценке возможных способов защиты беспроводной сети. При выполнении этой оценки нужно учесть самые разные показатели: от расходов на реализацию и администрирование решения до его общей защищенности. Все указанные выше подходы имеют свои преимущества и недостатки, поэтому, чтобы можно было принять обоснованное решение, нужно лучше ознакомиться с каждым из них.

Ниже рассматриваются следующие варианты (список упорядочен по убыванию степени обеспечиваемой ими защиты):

Отказ от развертывания беспроводной сети

В среде специалистов по обеспечению безопасности бытует высказывание, которое гласит: «Лучше всего защищена та система, которую никто никогда не включает». Таким образом, самым надежным способом защиты от уязвимостей, присущих беспроводным сетям или любым другим технологиям, является отказ от их внедрения. Недостаток этого подхода очевиден: компания, отказывающаяся от внедрения любой технологий, может оказаться неконкурентоспособной в современных экономических условиях, когда любое преимущество, в том числе технологическое, может оказаться решающим фактором успеха.

Как уже говорилось, перед внедрением любой новой технологии в конкретной компании нужно оценить потребности компании, ее устойчивость к риску и фактический риск. Беспроводные технологии — не исключение. Беспроводные сети имеют целый ряд преимуществ, но для конкретной организации эти преимущества могут быть не так важны или вообще не иметь значения.

При выборе защищенного беспроводного решения для бизнеса примите во внимание все возможные варианты, в том числе отказ от беспроводных технологий. Если будет сделан вывод, что организация не готова к развертыванию беспроводной сети, это решение следует отразить в действующей корпоративной политике, чтобы предотвратить ослабление защиты корпоративной сетевой среды из-за самовольного создания беспроводных сетей конечными пользователями.

Использование стандарта WPA с протоколом EAP-TLS

Использование стандарта WPA или WPA2 с протоколом EAP-TLS (Extensible Authentication Protocol Transport Layer Security, EAP-TLS) и сертификатами пользователей и компьютеров является наиболее надежным методом проверки подлинности стандарта 802.1X из тех, что поддерживаются беспроводными клиентами, работающими под управлением нынешних версий ОС Windows. Цифровые сертификаты используются в протоколе EAP-TLS для взаимной проверки подлинности, при которой беспроводная клиентская система подтверждает свою подлинность серверу проверки подлинности и наоборот. Для проверки подлинности по протоколу EAP-TLS необходимо, чтобы инфраструктура открытого ключа (PKI) выдавала сертификаты и поддерживала их актуальность. Для достижения наивысшего уровня защиты инфраструктуру открытого ключа нужно сконфигурировать так, чтобы она выдавала сертификаты беспроводного доступа и пользователям, и компьютерам.

Из-за высоких затрат на реализацию и накладных расходов, связанных с администрированием инфраструктуры открытого ключа, это очень хорошо защищенное решение обычно применяется только в компаниях среднего и крупного размера. Однако благодаря выпуску сервера Microsoft Small Business Server, который предоставляет базовые службы сертификатов, требуемые протоколом EAP-TLS, открываются широкие возможности для применения этого решения в небольших компаниях.

Примечание.   В настоящее время не существует объектов групповой политики (GPO), поддерживающих стандарт WPA2, что может затруднить реализацию этого стандарта в сравнительно крупных системах. Однако сейчас разрабатываются обновления для ОС Windows Server 2003 и Windows XP, необходимые для обеспечения поддержки WPA2 на уровне GPO. ОС нового поколения Windows Vista и Longhorn будут снабжены интегрированной поддержкой стандарта WPA2.

Использование стандарта WPA с протоколом PEAP-MS-CHAP v2

Использование стандарта WPA или WPA2 с протоколами PEAP (защищенный протокол расширенной проверки подлинности) и MS-CHAPv2 (протокол проверки пароля Microsoft, версия 2) и строгими требованиями к паролям — второй по степени защиты метод обеспечения безопасности беспроводной сети из поддерживаемых нынешними версиями клиентских ОС Windows. Если создание инфраструктуры открытых ключей представляется невозможным, использование PEAP-MS-CHAPv2 является реальным и безопасным альтернативным вариантом развертывания надежной беспроводной сети. Протокол PEAP представляет собой схему односторонней проверки подлинности, в которой технология TLS используется для создания зашифрованного канала связи с сервером, по которому клиент подтверждает свою подлинность, используя другой протокол. Разработанный изначально для коммутируемого доступа и доступа через VPN протокол MS-CHAP v2 поддерживает проверку подлинности беспроводных клиентов с применением надежных паролей, но только в том случае, если в сети действуют политики, заставляющие использовать такие пароли.

Использование стандарта WPA с протоколом PEAP-MS-CHAP v2 и службами сертификации

Службы сертификации можно использовать вместе с решением PEAP-MS-CHAP v2, основанным на применении паролей, если компании нужны элементы обоих подходов. Однако на момент написания этого документа дополнение и без того достаточно хорошо защищенного решения EAP-TLS протоколом PEAP-MS-CHAP v2 не дает с точки зрения безопасности никаких общепризнанных преимуществ. На самом деле совместное использование протоколов PEAP-MS-CHAP v2 и EAP-TLS замедляет процесс проверки подлинности, потому что при этом создаются два канала TLS, один внутри другого. Такое двойное шифрование не обеспечивает никакой выгоды.

Использование технологии VPN

Когда были обнаружены первые бреши в защите протокола WEP, многие эксперты по безопасности и отраслевые лидеры первоначально предложили использовать для защиты беспроводных сетей технологию VPN. Технологии VPN — это надежный и проверенный временем способ защиты каналов связи, проходящих поверх небезопасных сетей (таких как Интернет), и этот метод решения проблем, связанных с протоколом WEP, все еще широко используется.

Несмотря на то, что с точки зрения обеспечения безопасности это решение кажется удачным, оно имеет очевидные недостатки, делающие его непривлекательным в сравнении с гибкими решениями, основанными на протоколе WPA, который был специально разработан для защиты беспроводных сетей. Реализация решений WPA в сочетании с технологией VPN вполне возможна, однако такое решение не имеет никаких преимуществ перед решениями, основанными только на WPA, особенно если учесть усложнение беспроводной среды, связанное с интеграцией в нее VPN-решения.

При анализе целесообразности интеграции технологии VPN в решение для защиты беспроводной сети нужно также учесть удобство использования итогового решения. Если со связанными с использованием VPN дополнительными требованиями к проверке подлинности и ограничениями времени при подключении к корпоративной сети через Интернет еще можно смириться, то при обращении к ресурсам из локальной сети эти сложности могут раздражать не привыкших к ним пользователей.

Некоторые компании выбирают этот вариант, поскольку уже реализовали VPN-решение для удаленных пользователей и стремятся интенсивнее использовать его ресурсы для оправдания расходов. В этом случае перед окончательным выбором данного решения рекомендуется принять во внимание перечисленные ниже факторы.

Использование протокола IPsec

Использовать протокол IPsec для защиты беспроводных сетей стали по той же причине, что и технологию VPN: для обхода недостатков стандарта WEP. Протокол IPsec обеспечивает надежную защиту многих специфических видов сетевого трафика и имеет ряд достоинств, оправдывающих его использование в беспроводной сети. В их число входят прозрачность, независимость от аппаратных ограничений беспроводных сетей и небольшие накладные расходы, связанные с отсутствием потребности в дополнительных серверах и программном обеспечении.

К сожалению, с использованием протокола IPsec для защиты беспроводных сетей связаны некоторые проблемы.

Использование протокола WEP

Самым простым методом обеспечения безопасности на основе стандарта 802.11 является применение статического протокола WEP, при котором управление доступом осуществляется с помощью общего ключа; этот же ключ используется еще и в качестве основы при шифровании трафика беспроводной сети. Главное преимущество этого метода — его простота. Если в сети не реализованы никакие другие средства обеспечения безопасности, он в какой-то степени защищает сеть, но при этом возникают серьезные проблемы управления и безопасности. При наличии ноутбука и простых средств, которые можно загрузить из Интернета, на определение открытого ключа и идентификатора SSID (если он распространяется не в широковещательных сообщениях) в беспроводной сети WEP требуется от нескольких минут до нескольких часов, после чего доступ к сети открыт.

Один из способов усовершенствования статического алгоритма WEP предполагает, что точки доступа нужно сконфигурировать так, чтобы они путем фильтрации MAC-адресов предоставляли доступ к сети только предварительно определенной группе клиентов. Однако этот защитный барьер также легко устраняется с помощью средств, позволяющих определять и подделывать MAC-адреса компьютеров, подключенных к беспроводной сети.

Дополнив протокол WEP другими технологиями обеспечения безопасности, можно в некоторой степени защитить сети, не поддерживающие WPA или WPA2, но даже эти методы рекомендуется использовать лишь на этапе перехода от незащищенной беспроводной сети к защищенной, основанной на стандарте WPA. Ниже перечислены эти методы в порядке убывания их защищенности.

Отказ от защиты беспроводной сети

Развертывать незащищенные беспроводные сети в компаниях средних размеров настоятельно не рекомендуется. Лишь в некоторых редких ситуациях такое решение может быть оправданным. Например, мэрии многих городов рассматривают возможность организации свободных зон беспроводного доступа или уже организовали их. Возможно, в таких ситуациях иногда лучше использовать сеть незащищенных точек доступа, просто позволяющих непосредственно подключаться к Интернету. Как бы то ни было, следует помнить, что незащищенные беспроводные сети чрезвычайно уязвимы перед самыми разными атаками.