Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Информационная безопасность Защищенная конфигурация точки доступа RSS

Защищенная конфигурация точки доступа

Текущий рейтинг: 4.1 (проголосовало 21)
 Посетителей: 14920 | Просмотров: 32188 (сегодня 0)  Шрифт: - +

Выбор оптимального решения для обеспечения безопасности беспроводной сети

Как только были обнаружены технологические недостатки беспроводных сетей первого поколения, началась активная работа по их устранению. Пока одни компании, в том числе корпорация Майкрософт, работали над совершенствованием стандартов беспроводной связи, многие аналитические фирмы, производители средств обеспечения сетевой безопасности и т. д. пытались обойти недостатки, присущие прежним стандартам. В результате было разработано несколько подходов к обеспечению безопасности беспроводных сетей.

Сравнительная информация об основных вариантах (кроме наиболее популярного подхода — отказа от беспроводных сетевых технологий) приведена в следующей таблице.

Таблица 2. Сравнение подходов к обеспечению безопасности беспроводных сетей

Характеристики WPA и WPA2 Статический алгоритм WEP VPN IPsec

Строгая проверка подлинности

(см. примечание)

Да

Нет

Да, только если не используется
проверка подлинности с помощью общих ключей

Да, если используется проверка подлинности с помощью сертификатов или по протоколу Kerberos

Надежное шифрование данных

Да

Нет

Да

Да

Прозрачное подключение и восстановление подключения

Да

Да

Нет

Да

Проверка подлинности пользователей

(см. примечание)

Да

Нет

Да

Нет

Проверка подлинности компьютеров

(см. примечание)

Да

Да

Нет

Да

Защита трафика при широковещательной и многоадресной передаче

Да

Да

Да

Нет

Потребность в дополнительных сетевых устройствах

Да, требуются серверы RADIUS

Нет

Да, требуются системы VPN и серверы RADIUS

Нет

Защита доступа к беспроводной сети помимо доступа к пакетам

Да

Да

Нет

Нет

Примечание.   По поводу строгой проверки подлинности следует отметить, что во многих реализациях VPN, в которых используется туннельный режим IPsec, применяется слабая схема проверки подлинности с помощью общих ключей, называемая XAuth.
Нынешние версии ОС Windows не поддерживают проверку подлинности пользователей с сопоставлениями IPsec, но эта функциональность будет реализована в ОС Windows Vista и Longhorn.
При проверке подлинности компьютера он остается подключенным к беспроводной и кабельной сетям, даже если в систему не вошел ни один пользователь. Это необходимо для нормальной работы некоторых функций, основанных на доменах, например перемещаемых профилей.

Как ясно из приведенной таблицы, есть много факторов, которые нужно проанализировать при оценке возможных способов защиты беспроводной сети. При выполнении этой оценки нужно учесть самые разные показатели: от расходов на реализацию и администрирование решения до его общей защищенности. Все указанные выше подходы имеют свои преимущества и недостатки, поэтому, чтобы можно было принять обоснованное решение, нужно лучше ознакомиться с каждым из них.

Ниже рассматриваются следующие варианты (список упорядочен по убыванию степени обеспечиваемой ими защиты):

Отказ от развертывания беспроводной сети

Использование стандарта WPA с протоколом EAP-TLS

Использование стандарта WPA с протоколом PEAP-MS-CHAP v2

Использование стандарта WPA с протоколом PEAP-MS-CHAP v2 и службами сертификации

Использование технологии VPN

Использование протокола IPsec

Использование протокола WEP

Отказ от защиты беспроводной сети

Отказ от развертывания беспроводной сети

В среде специалистов по обеспечению безопасности бытует высказывание, которое гласит: «Лучше всего защищена та система, которую никто никогда не включает». Таким образом, самым надежным способом защиты от уязвимостей, присущих беспроводным сетям или любым другим технологиям, является отказ от их внедрения. Недостаток этого подхода очевиден: компания, отказывающаяся от внедрения любой технологий, может оказаться неконкурентоспособной в современных экономических условиях, когда любое преимущество, в том числе технологическое, может оказаться решающим фактором успеха.

Как уже говорилось, перед внедрением любой новой технологии в конкретной компании нужно оценить потребности компании, ее устойчивость к риску и фактический риск. Беспроводные технологии — не исключение. Беспроводные сети имеют целый ряд преимуществ, но для конкретной организации эти преимущества могут быть не так важны или вообще не иметь значения.

При выборе защищенного беспроводного решения для бизнеса примите во внимание все возможные варианты, в том числе отказ от беспроводных технологий. Если будет сделан вывод, что организация не готова к развертыванию беспроводной сети, это решение следует отразить в действующей корпоративной политике, чтобы предотвратить ослабление защиты корпоративной сетевой среды из-за самовольного создания беспроводных сетей конечными пользователями.

Использование стандарта WPA с протоколом EAP-TLS

Использование стандарта WPA или WPA2 с протоколом EAP-TLS (Extensible Authentication Protocol Transport Layer Security, EAP-TLS) и сертификатами пользователей и компьютеров является наиболее надежным методом проверки подлинности стандарта 802.1X из тех, что поддерживаются беспроводными клиентами, работающими под управлением нынешних версий ОС Windows. Цифровые сертификаты используются в протоколе EAP-TLS для взаимной проверки подлинности, при которой беспроводная клиентская система подтверждает свою подлинность серверу проверки подлинности и наоборот. Для проверки подлинности по протоколу EAP-TLS необходимо, чтобы инфраструктура открытого ключа (PKI) выдавала сертификаты и поддерживала их актуальность. Для достижения наивысшего уровня защиты инфраструктуру открытого ключа нужно сконфигурировать так, чтобы она выдавала сертификаты беспроводного доступа и пользователям, и компьютерам.

Из-за высоких затрат на реализацию и накладных расходов, связанных с администрированием инфраструктуры открытого ключа, это очень хорошо защищенное решение обычно применяется только в компаниях среднего и крупного размера. Однако благодаря выпуску сервера Microsoft Small Business Server, который предоставляет базовые службы сертификатов, требуемые протоколом EAP-TLS, открываются широкие возможности для применения этого решения в небольших компаниях.

Примечание.   В настоящее время не существует объектов групповой политики (GPO), поддерживающих стандарт WPA2, что может затруднить реализацию этого стандарта в сравнительно крупных системах. Однако сейчас разрабатываются обновления для ОС Windows Server 2003 и Windows XP, необходимые для обеспечения поддержки WPA2 на уровне GPO. ОС нового поколения Windows Vista и Longhorn будут снабжены интегрированной поддержкой стандарта WPA2.

Использование стандарта WPA с протоколом PEAP-MS-CHAP v2

Использование стандарта WPA или WPA2 с протоколами PEAP (защищенный протокол расширенной проверки подлинности) и MS-CHAPv2 (протокол проверки пароля Microsoft, версия 2) и строгими требованиями к паролям — второй по степени защиты метод обеспечения безопасности беспроводной сети из поддерживаемых нынешними версиями клиентских ОС Windows. Если создание инфраструктуры открытых ключей представляется невозможным, использование PEAP-MS-CHAPv2 является реальным и безопасным альтернативным вариантом развертывания надежной беспроводной сети. Протокол PEAP представляет собой схему односторонней проверки подлинности, в которой технология TLS используется для создания зашифрованного канала связи с сервером, по которому клиент подтверждает свою подлинность, используя другой протокол. Разработанный изначально для коммутируемого доступа и доступа через VPN протокол MS-CHAP v2 поддерживает проверку подлинности беспроводных клиентов с применением надежных паролей, но только в том случае, если в сети действуют политики, заставляющие использовать такие пароли.

Использование стандарта WPA с протоколом PEAP-MS-CHAP v2 и службами сертификации

Службы сертификации можно использовать вместе с решением PEAP-MS-CHAP v2, основанным на применении паролей, если компании нужны элементы обоих подходов. Однако на момент написания этого документа дополнение и без того достаточно хорошо защищенного решения EAP-TLS протоколом PEAP-MS-CHAP v2 не дает с точки зрения безопасности никаких общепризнанных преимуществ. На самом деле совместное использование протоколов PEAP-MS-CHAP v2 и EAP-TLS замедляет процесс проверки подлинности, потому что при этом создаются два канала TLS, один внутри другого. Такое двойное шифрование не обеспечивает никакой выгоды.

Использование технологии VPN

Когда были обнаружены первые бреши в защите протокола WEP, многие эксперты по безопасности и отраслевые лидеры первоначально предложили использовать для защиты беспроводных сетей технологию VPN. Технологии VPN — это надежный и проверенный временем способ защиты каналов связи, проходящих поверх небезопасных сетей (таких как Интернет), и этот метод решения проблем, связанных с протоколом WEP, все еще широко используется.

Несмотря на то, что с точки зрения обеспечения безопасности это решение кажется удачным, оно имеет очевидные недостатки, делающие его непривлекательным в сравнении с гибкими решениями, основанными на протоколе WPA, который был специально разработан для защиты беспроводных сетей. Реализация решений WPA в сочетании с технологией VPN вполне возможна, однако такое решение не имеет никаких преимуществ перед решениями, основанными только на WPA, особенно если учесть усложнение беспроводной среды, связанное с интеграцией в нее VPN-решения.

При анализе целесообразности интеграции технологии VPN в решение для защиты беспроводной сети нужно также учесть удобство использования итогового решения. Если со связанными с использованием VPN дополнительными требованиями к проверке подлинности и ограничениями времени при подключении к корпоративной сети через Интернет еще можно смириться, то при обращении к ресурсам из локальной сети эти сложности могут раздражать не привыкших к ним пользователей.

Некоторые компании выбирают этот вариант, поскольку уже реализовали VPN-решение для удаленных пользователей и стремятся интенсивнее использовать его ресурсы для оправдания расходов. В этом случае перед окончательным выбором данного решения рекомендуется принять во внимание перечисленные ниже факторы.

VPN-соединение должно быть установлено до разрешения передачи данных через туннель, поэтому, если пользователь подключается к виртуальной частной сети после входа в локальную систему, групповая политика компьютера не применяется. (Если при входе в систему пользователь выбирает вариант «Вход в систему с использованием коммутируемого соединения» (Logon with dialup networking), сначала устанавливается соединение VPN, и групповая политика применяется).

Большинство VPN-серверов рассчитаны на защиту низкоскоростных соединений (например коммутируемых и широкополосных), что может привести к появлению «узких мест» при установлении большого числа высокоскоростных соединений.

При некоторых конфигурациях VPN пользователи могут столкнуться с проблемами при перемещении между точками доступа, потому что соединения VPN часто аннулируются даже после малейших перерывов связи. Это вынуждает пользователей вручную инициировать проверку подлинности при каждом переключении на новую точку доступа. То же самое происходит при переключении компьютера в режим ожидания.

Использование протокола IPsec

Использовать протокол IPsec для защиты беспроводных сетей стали по той же причине, что и технологию VPN: для обхода недостатков стандарта WEP. Протокол IPsec обеспечивает надежную защиту многих специфических видов сетевого трафика и имеет ряд достоинств, оправдывающих его использование в беспроводной сети. В их число входят прозрачность, независимость от аппаратных ограничений беспроводных сетей и небольшие накладные расходы, связанные с отсутствием потребности в дополнительных серверах и программном обеспечении.

К сожалению, с использованием протокола IPsec для защиты беспроводных сетей связаны некоторые проблемы.

Протокол IPsec не позволяет защищать трафик при широковещательной или многоадресной передаче, потому что его действие может распространяться только на взаимодействие двух сторон, обменявшихся ключами и выполнивших взаимную проверку их подлинности.

Протокол IPsec защищает только сетевые пакеты, но не саму беспроводную сеть.

Несмотря на прозрачность протокола IPsec для пользователей, для сетевых устройств он прозрачен не полностью, потому что работает на сетевом уровне, а не на MAC-уровне. Это предъявляет дополнительные требования к правилам для брандмауэров.

Все устройства, не поддерживающие IPsec, уязвимы перед зондированием или атаками со стороны любых пользователей, способных осуществлять мониторинг трафика в беспроводной сети.

Если протокол IPsec используется в крупной системе не только для защиты трафика беспроводной сети, но и для комплексной защиты трафика других приложений, управлять политиками IPSec будет сложно.

Использование протокола WEP

Самым простым методом обеспечения безопасности на основе стандарта 802.11 является применение статического протокола WEP, при котором управление доступом осуществляется с помощью общего ключа; этот же ключ используется еще и в качестве основы при шифровании трафика беспроводной сети. Главное преимущество этого метода — его простота. Если в сети не реализованы никакие другие средства обеспечения безопасности, он в какой-то степени защищает сеть, но при этом возникают серьезные проблемы управления и безопасности. При наличии ноутбука и простых средств, которые можно загрузить из Интернета, на определение открытого ключа и идентификатора SSID (если он распространяется не в широковещательных сообщениях) в беспроводной сети WEP требуется от нескольких минут до нескольких часов, после чего доступ к сети открыт.

Один из способов усовершенствования статического алгоритма WEP предполагает, что точки доступа нужно сконфигурировать так, чтобы они путем фильтрации MAC-адресов предоставляли доступ к сети только предварительно определенной группе клиентов. Однако этот защитный барьер также легко устраняется с помощью средств, позволяющих определять и подделывать MAC-адреса компьютеров, подключенных к беспроводной сети.

Дополнив протокол WEP другими технологиями обеспечения безопасности, можно в некоторой степени защитить сети, не поддерживающие WPA или WPA2, но даже эти методы рекомендуется использовать лишь на этапе перехода от незащищенной беспроводной сети к защищенной, основанной на стандарте WPA. Ниже перечислены эти методы в порядке убывания их защищенности.

Использование протокола WEP с проверкой подлинности 802.1X по протоколу EAP-TLS с сертификатами пользователей и компьютеров и принудительным периодическим выполнением проверки подлинности заново.

Использование протокола WEP с проверкой подлинности 802.1X по протоколу PEAP-MS-CHAP v2 с политиками, требующими применения надежных паролей пользователей, и принудительным периодическим выполнением проверки подлинности заново.

Отказ от защиты беспроводной сети

Развертывать незащищенные беспроводные сети в компаниях средних размеров настоятельно не рекомендуется. Лишь в некоторых редких ситуациях такое решение может быть оправданным. Например, мэрии многих городов рассматривают возможность организации свободных зон беспроводного доступа или уже организовали их. Возможно, в таких ситуациях иногда лучше использовать сеть незащищенных точек доступа, просто позволяющих непосредственно подключаться к Интернету. Как бы то ни было, следует помнить, что незащищенные беспроводные сети чрезвычайно уязвимы перед самыми разными атаками.

Иcточник: Microsoft TechNet  •  Опубликована: 20.03.2007
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.