Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Информационная безопасность корпоративной БЛВС

Дэйв Молта

Благодаря новым улучшенным стандартам информационной безопасности и системам мониторинга вы наконец-то можете построить беспроводную ЛВС (БЛВС), которая не оставит хакерам ни одного шанса на успешную атаку.

Пользователи любят работать в БЛВС. И это неудивительно при удобном и мобильном радиодоступе. Однако если вы, как ИТ-менеджер, не работаете в сфере розничной торговли, образования или здравоохранения, где БЛВС уже получили широкое распространение, то, вероятно, сотрудникам вашего предприятия будет трудно склонить вас к внедрению такой сети. Преж-де чем спорить с ними по поводу, так ли уж необходима и безопасна БЛВС, учтите следующее: построить хорошо защищенную БЛВС вполне реально. Это, конечно, непросто, но возможно.

Рассмотрев проблему построения защищенных БЛВС два года назад (см.: Сети и системы связи. 2002. № 9. С. 32), мы тогда пришли к выводу о том, что сетевая индустрия близка к ее решению и отчасти были правы. Хотя с тех пор на многих предприятиях появились БЛВС, оснащенные средствами обеспечения информационной безопасности, назвать их хорошо защищенными можно лишь с определенными оговорками. Разработка новых стандартов информационной безопасности IEEE еще не закончена, но, когда они появятся, реализовать их будет непросто. Если же вы планируете применять существующие стандарты информационной безопасности, например стандарты на сети VPN, то, возможно, столкнетесь с ограничениями на перемещение пользователей, при котором не происходят потери связи с сетью. Можно использовать наложенную на БЛВС защитную систему (в данном случае задействовать VPN не требуется и дела с мобильностью пользователей обстоят гораздо лучше), но при этом заметно усложняется администрирование всей сети.

Полную версию данной статьи смотрите в 7-ом номере журнала за 2004 год.

И хотя проблемы с обеспечением информационной безопасности по-прежнему остаются основным препятствием на пути распространения БЛВС, существуют и другие факторы, заставляющие ИТ-менеджеров откладывать (на неопределенное время) строительство таких сетей. Речь идет прежде всего о суще-ственно ограниченных ИТ-бюджетах предприятий и о быстром появлении новых беспроводных стандартов.

К счастью, все основные производители инфраструктурного оборудования для БЛВС наконец-то стали уделять должное внимание их информационной безопасности. Соответствующие функции или средства перестали быть факультативными (добавляемыми по желанию пользователей). Теперь инфраструктурные продукты проектируются с учетом архитектур систем защиты (БЛВС), допускающих разные варианты реализации в соответствии с приемлемыми для каждого конкретного предприятия степенями риска раскрытия данных и сложности системы защиты.

Стандарты

Стандарты информационной безопасности БЛВС весьма сложны для понимания. Вместе с тем стоит отметить, что реализованный во многих устройствах БЛВС защитный протокол WEP был изначально (с момента своего создания) обречен на то, что его когда-никогда могут взломать, и со временем этот факт стал достоянием гласности. И дело здесь не только в недостатках предусмотренного вышеуказанным протоколом алгоритма шифрования данных, основанного на методе шифрования RC4. Само понятие аутентификации пользователей трактуется разработчиками БЛВС несколько иначе, чем это делают другие сетевые специалисты. Поэтому, чтобы сегодня в БЛВС реализвать тривиальную схему контроля доступа пользователей по их идентификаторам, нужно обеспечить поддержку дополнительного протокола 802.1x, работающего с протоколом аутентификации EAP; последний использует разнообразные методы EAP-аутентификации. Разве тут голова не пойдет кругом?!

Но есть и хорошие новости. Долгожданная спецификация 802.11i, в которой предусмотрено использование улучшенного метода шифрования (пакетов 802.11) AES, эффективного алгоритма аутентификации пользователей и динамического распределения ключей, почти готова к принятию. Впрочем, эта спецификация не станет панацеей от всех бед. Она хотя и нацелена на решение фундаментальных проблем с обеспечением информационной безопасности, но некоторые вопросы построения системы защиты данных вам придется решать самому и самому же справляться с возникающими при этом проблемами. Ряд важнейших аспектов обеспечения информационной безопасности не нашли отражения в спецификации 802.11i. Речь идет о регистрации вторжений в сеть, определении “нелегальных” точек доступа и об обеспечении физической безопасности своих точек доступа. Кроме того, специалисты комитета 802.11i не включили в состав своей спецификации технологию быстрого переключения между зонами обслуживания БЛВС (fast handoff), а ведь оно необходимо для нормальной работы чувствительных к задержке трафика приложений, например VoIP-систем.

Если защищенная БЛВС вам нужна уже сегодня (и поэтому у вас нет времени на ожидание появления новых протоколов обеспечения информационной безопасности), то знайте, что существует ряд альтернативных методов реализации такой сети. В прошлом году ассоциация Wi-Fi Alliance включила в свою программу сертификации оборудования БЛВС тестирование его на совместимость при использовании защитных функций, определенных стандартом WPA (Wi-Fi Protected Access). Данный стандарт, являющийся подмножеством разрабатываемой спецификации 802.11i, предназначен для устранения известных недостатков WEP-шифрования. С этой целью в нем предусмотрено использование схемы аутентификации на базе протокола 802.1x и метода шифрования TKIP, поддержку которых можно реализовать в существующих устройствах БЛВС путем модернизации их микропрограммного обеспечения. WPA не решает всех проблем с обеспечением информационной безопасности, но основные риски уменьшает. В этом году планируется начать сертификацию устройств, поддерживающих стандарт WPA2, основанный на спецификации 802.11i.

Если же стандарт WPA по каким-либо причинам не устраивает вас, реализуйте другие защитные решения, в частности VPN (на базе стандартного шлюза или оптимизированного для беспроводной сети). Также имейте в виду, что существуют шлюзы, обеспечивающие информационную безопасность, которые реализуют прозрачный роуминг (с сохранением сеанса связи) между БЛВС и получающими все более широкое распространение сотовыми сетями 2,5G.

Основы

Подобно любой другой системе безопасности компьютерной сети, проектирование системы защиты БЛВС начинается с оценки рисков и выработки стратегии защиты. Некоторые организации разворачивают незащищенные БЛВС в своих “демилитаризованных” зонах и обрабатывают их трафик так же, как входящий трафик Интернет. Есть организации, в которых категорически запрещено использовать БЛВС. Однако для контроля за соблюдением данного запрета им приходится тратить значительные средства на развертывание систем мониторинга БЛВС. Дело в том, что у части пользователей неизбежно возникает сильное искушение купить недорогой беспроводной маршрутизатор и самостоятельно подключить его к корпоративной сети.

Для предприятий, предъявляющих повышенные требования к защите своих данных, политика строгого запрета использования БЛВС вполне оправданна, но для большинства других компаний имеет смысл развертывать защищенные БЛВС, поскольку пользователи, включая топ-менеджеров, часто хотят работать в этих сетях. Наш читательский опрос показал, что отсутствие запросов со стороны пользователей — наименее значимое препятствие на пути распространения БЛВС. Многие ИТ-менеджеры, с которыми мы беседовали, считают внедрение БЛВС делом не только полезным, но и практически неизбежным. Не сомневаясь в необходимости их внедрения, они лишь задаются вопросом: когда сделать это лучше всего? Некоторые из них ждут подходящего момента. На наш взгляд, более разумной тактикой является развертывание опытной зоны беспроводной связи, которая позволит удовлетворить самые насущные потребности сотрудников предприятия в радиодоступе и даст возможность техническому персоналу накопить опыт защиты БЛВС.

Не такие как Ethernet

Хотя у БЛВС имеется много общего с проводными сетями Ethernet (например, основанная на конкурентном доступе к среде передачи данных архитектура MAC-уровня), что побудило некоторых специалистов называть БЛВС сетями RadioEthernet, было бы неправильно применять одну и ту же стратегию защиты к этим двум видам сетей. В сети Ethernet вы можете обеспечить базовый уровень информационной безопасности, ограничив физический доступ к среде передачи и разделив сетевой трафик с помощью коммутаторов уровней 2 и 3, что невозможно сделать в БЛВС, поскольку все ее устройства работают с общей средой передачи — радиоволнами. В некоторых организациях для контроля доступа к своим сетям Ethernet используют средства стандарта 802.1x, но в большинстве фирм применяются менее гибкие средства обеспечения информационной безопасности, работающие на сетевом или более высоком уровне.

С БЛВС все обстоит сложнее, главным образом потому, что их среду передачи данных практически невозможно обезопасить от враждебного подключения извне. Любой хакер, приобретя направленную антенну, находясь с ней за пределами территории предприятия, сможет перехватывать радиосигналы БЛВС и вмешиваться в ее работу. Поэтому-то БЛВС и нужна многоуровневая система защиты. Вы должны обеспечить контроль доступа на канальном уровне и реализовать функции обеспечения информационной безопасности, которые работали бы на более высоких уровнях, подобно тому как это делается в проводных сетях.

С целью обеспечения информационной безопасности БЛВС необходимо обеспечить аутентификацию и авторизацию пользователей, а также шифрование передаваемых данных. Кроме того, следует гарантировать физическую защиту инфраструктурных устройств БЛВС и обнаружение вторжений в нее.

Как правило, для аутентификации пользователей применяют точки доступа БЛВС и наложенную на нее систему защиты. Организации, выбравшие такой подход, обычно инсталлируют свою БЛВС перед корпоративным межсетевым экраном (на стороне Интернет) и, естественно, считают ее незащищенной сетью. При этом, если беспроводная инфраструктура охватывает несколько зданий, как правило, используются виртуальные ЛВС. Злоумышленник, проникнув в БЛВС, получает те же самые права доступа, которые имеют пользователи Интернет. Чтобы обеспечить информационную безопасность таких БЛВС, широко используется технология IPsec VPN, с помощью которой осуществляют аутентификацию, авторизацию и шифрование. Однако организация VPN обходится довольно дорого (в том числе и потому, что на каждое пользовательское устройство надо установить клиентскую программу VPN). Кроме того, VPN плохо масштабируются в средах с интенсивным трафиком и не обеспечивают защиту сети на канальном уровне. Такая защита более важна для БЛВС, чем для других локальных сетей, поскольку по БЛВС передается множество управляющих кадров, содержащих информацию о ней.

Организации, не желающие связываться с дорогостоящими VPN, могут реализовать Web-аутентификацию, которая должна использоваться вместе с динамически конфигурируемым межсетевым экраном. В этом случае пользователи соединяются с точками доступа БЛВС без передачи аутентифицирующей информации, но после этого их HTTP-запросы переадресуются на Web-страницу аутентификации, для получения прав доступа они должны указать на ней свои идентификатор и пароль. Web-аутентификация широко применяется в университетских БЛВС и хот-спотах, операторы которых не могут быть уверены в том, что у каждого потенциального пользователя сети есть клиентское ПО аутентификации. Все, что нужно иметь пользователю для получения безопасного сетевого доступа, — это устройство с браузером (например, карманный ПК).

Посетителям организации можно предоставить права доступа (по БЛВС) к Интернет, но следует запретить доступ к компьютерам внутренней сети. Web-аутентификация обеспечивает аутентификацию и авторизацию пользователей, но не шифрование передаваемых данных.

Подход организации IEEE к осуществлению аутентификации пользователей БЛВС основан на применении протокола 802.1x, реализующего процедуру аутентификации на уровне портов. Этот подход вошел в спецификации WPA и 802.11i. При его использовании задействуются серверы RADIUS, обычно связанные с существующими базами данных о пользователях. Для входа в сеть мобильные пользовательские устройства нужно оснастить клиентскими программами 802.1x, поддерживающими определенные методы EAP-аутентификации. Однако выбор подходящего (для сети) метода EAP-аутентификации из их множества может оказаться сложной проблемой. Кроме того, не все клиентские устройства поддерживают протокол 802.1x (особенно это касается карманных ПК и VoIP-телефонов). К сожалению, из-за ряда политических и технических причин вероятность того, что сетевая индустрия когда-либо выберет один метод EAP-аутентификации в качестве общего стандарта, очень мала. Мы считаем, что со временем стандартом де-факто может стать метод PEAP (Protected EAP), но пока предприятиям приходится иметь дело с несовместимыми реализациями (методов аутентификации) компаний Cisco и Microsoft. В ближайшие несколько лет в самых популярных ОС должна появиться поддержка разнообразных методов EAP-аутентификации. Пока же приходится довольствоваться методами TLS и MS-PEAP, реализованными в Windows 2000 и Windows XP, или использовать более гибкие клиентские программы фирм Funk Software, Meetinghouse Data Communications и др.

Помимо аутентификации, в протоколе 802.1x предусмотрен механизм управления ключами шифрования, распределяющий уникальные ключи по клиентским устройствам во время аутентификации. Если этот механизм использовать совместно с методом шифрования AES (поддержка которого уже встроена во многие новые микросхемы для устройств БЛВС), он обеспечит надежную защиту данных.

Стоит отметить, что протокол 802.1x предназначен не только для БЛВС — его поддерживают и коммутаторы Ethernet. И хотя сегодня не многие администраторы сетей Ethernet реализуют 802.1x-аутентификацию в них, когда дело дойдет до организации системы защиты БЛВС на базе протокола 802.1x, они наверняка захотят распространить ее действие и на свои сети Ethernet.

Заприте двери!

Помимо аутентификации, авторизации и шифрования, разработчики БЛВС уделяют внимание обеспечению физической безопасности оборудования этих сетей и методам обнаружения хакерских вторжений. В отличие от коммутаторов Ethernet, которые обычно размещают в запирающихся телекоммуникационных комнатах или шкафах, точки доступа, как правило, устанавливают в коридорах и поверх плит подвесного потолка, в результате возможны кражи данных устройств, а ведь их конфигурационные файлы могут содержать секретную информацию. Последнее характерно главным образом для “интеллектуальных” точек доступа, выпускаемых Cisco и другими компаниями. Что же касается точек доступа в составе новых сетевых решений на базе коммутаторов БЛВС, то информация о конфигурации этих точек доступа обычно хранится в названных коммутаторах. Кроме того, эти точки доступа стоят относительно недорого. Компания Cisco и ряд других производителей предусмотрели физическую защиту своих продуктов, снабдив их запирающимися на ключ монтажными приспособлениями.

Судя по результатам нашего опроса, лишь небольшая часть ИТ-профессионалов озабочена обеспечением физической безопасности своих точек доступа, но зато многие из них уделяют особое внимание обнаружению хакерских вторжений. Так называемая “атака с автостоянки” (parking-lot attack) может нанести значительный вред работе сети.

Для защиты БЛВС от вторжений компании AirDefense, AirMagnet, Network Chemistry и другие производители поставляют системы мониторинга БЛВС, встроенные в инфраструктурное оборудование или наложенные на БЛВС и оснащенные радиочастотными сенсорами. Эти системы помогают реализовывать избранную стратегию защиты, находить нелегальные точки доступа и определять вторжения. Будучи использованными вместе технологиями, в которых учитывается расположение оборудования БЛВС, системы мониторинга не только идентифицируют атаку, но и определяют место, откуда она ведется. И поскольку они постоянно сканируют радиоканалы на предмет выявления угроз информационной безопасности сети, они заодно могут контролировать ее работу и помогать локализовывать неисправности. И хотя большинство производителей инфраструктурного оборудования для БЛВС усовершенствовали встроенные в свои продукты средства мониторинга, отдельные системы мониторинга обладают более широким набором функциональных возможностей.

Защитные решения

Ведущие производители “интеллектуальных” точек доступа, в том числе компании Cisco, Enterasys Networks, Proxim и 3Com, являются сторонниками использования протокола 802.1x. В рамках своей инициативы SWAN (Structured Wireless-Aware Network) компания Cisco планирует реализовать ряд служб обеспечения информационной безопасности, но пока для защиты БЛВС на базе ее оборудования придется использовать решения третьих фирм. Новая платформа управления CiscoWorks WLSE (Wireless LAN Solution Engine) имеет некоторые возможности в плане обнаружения помех и нелегальных устройств. Кроме того, она облегчает реализацию стратегии защиты с помощью системы управления конфигурацией сетевых устройств. Что же касается компании Enterasys, то она реализовала систему UPN (User Personalized Network) на базе своих точек доступа RoamAbout.

В этой системе информация о политике управления доступом транслируется точкам доступа.

Новые архитектуры на базе коммутаторов БЛВС фирмами Airespace, Aruba Wireless Networks, Symbol Technologies, Trapeze Networks и другими производителями разработаны с учетом требований по обеспечению информационной безопасности. Фактически эти архитектуры упрощают защиту данных посредством централизации управления правилами системной политики. При этом системы фирм Airespace и Aruba являются самыми гибкими и многофункциональными.

Определенное влияние на развитие рынка БЛВС оказывают производители шлюзов БЛВС, в том числе компании Bluesocket, ReefEdge Networks и Vernier Networks. Их продукты, работающие с любыми точками доступа стандарта 802.11, обеспечивают аутентификацию пользователей, шифрование данных и даже необходимое качество обслуживания трафика. Вышеназванные шлюзы устанавливаются между открытой БЛВС и защищаемой корпоративной сетью. Они также реализуют безопасный роуминг между подсетями.

Использование дополнительной (по отношению к беспроводной инфраструктуре) системы безопасности особенно привлекательно для компаний, которые уже вложили значительные средства в точки доступа или хотят иметь точки доступа разных производителей. Однако применение такой системы безопасности существенно усложняет администрирование сети. Новые функции, первоначально реализованные вышеназванными компаниями в своих шлюзах, позднее были реализованы и в новых архитектурах (на базе коммутаторов БЛВС), представляющих собой интегрированные решения со средствами централизованного конфигурирования устройств сети и динамического управления их радиоинтерфейсами. Производители шлюзов стремятся налаживать партнерские связи с производителями точек доступа с целью выпуска полнофункциональных систем.

Некоторые производители дополнительных систем безопасности предлагают продукты, ориентированные на выполнение определенного набора функций. Так, фирма Perfigo поставляет на рынок защитный шлюз со средствами управления конфигурацией точек доступа разных производителей. Другие производители выпускают системы безопасности, в которых для повышения надежности защиты данных и обеспечения безопасного роуминга между беспроводными сетями разных типов (например, БЛВС и GPRS) предусмотрено использование фирменных клиентских программ.

К этим производителям относятся фирмы Columbitech, Cranite Systems, Ecutel Systems, Fortress Technologies, IpUnplugged и NetMotion Wireless. Часть из них предлагают соответствующие стандарту FIPS (федеральный стандарт США по обработке информации) продукты, их можно использовать в сетях правительственных и военных организаций.

Защитные шлюзы работают эффективно, но они довольно дорого стоят и требуют значительных эксплуатационных затрат. Кроме того, не исключено, что при взаимодействии с большой и высокопроизводительной БЛВС (основанной на стандарте 802.11a или 802.11g) такой шлюз окажется узким местом для передачи трафика.

Взгляд в будущее

Сегодня большая часть производителей БЛВС ориентируется на использование стандарта 802.11i по обеспечению информационной безопасности БЛВС. Организация IEEE проделала большую работу по устранению недостатков ранее разработанных ею систем защиты и реализации новых служб. Учитывая большое число негативных публикаций о “дырявом, как швейцарский сыр” стандарте WEP, неудивительно, что в настоящее время комитет IEEE 802.11i с особой тщательностью работает над новым стандартом, который должен существенно уменьшить опасения ИТ-профессионалов относительно плохой защищенности БЛВС и открыть дорогу для их широкого использования. Однако в ближайшее время не стоит ожидать широкого распространения, поддерживающих этот стандарт продуктов, ведь нужно еще наладить их производство и протестировать на взаимную совместимость. Стоит отметить, что появление поддержки стандарта 802.11i в сетевых продуктах не избавит

ИТ-профессионалов от необходимости самим выбирать подходя-щие (для их предприятия) реализацию сервера RADIUS и методы EAP-аутентификации. Но самым главным является то, что примерно через два года благодаря улучшению функциональности средств защиты в устройствах для корпоративных БЛВС степень информационной безопасности этих сетей станет настолько высокой, что перестанет быть препятствием на пути их распространения..





  
7 '2004
СОДЕРЖАНИЕ

бизнес

• Эффективность работы региональных операторов

• Определены российские ИТ-лидеры

• Novell и Red Hat идут в наступление

• Широкополосные услуги: стратегия и тактика внедрения

• Allied Telesyn ставит на "тройной выигрыш"

инфраструктура

• Linux-практикум

• Red Hat побеждает благодаря RHEL 3.0

• Антенны для устройств беспроводных ЛВС

• Информационная безопасность корпоративной БЛВС

информационные системы

• Держите ваши данные синхронизированными

• Комфорт телефонного общения

сети связи

• IP-телефония и безопасность

• Ethernet на просторе

• Семь "смертных грехов" VoIP

кабельные системы

• Технологии оконцевания оптоволокна

• Проектирование систем громкоговорящего оповещения

защита данных

• Естественный отбор

• Защита от выбросов напряжения


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх