Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Обезопасьте свое воздушное пространство

Дэйв Молта

Вы не можете поднять истребители, чтобы перехватить нарушителя, вторгшегося в пространство вашей Wi-Fi-сети. И все же вы в состоянии ответить на вызов, который бросает вам проблема безопасности беспроводных сетей, и победить.

Спросите противников корпоративных беспроводных ЛВС (БЛВС) о причинах их недовольства технологией Wi-Fi, и в ответ вы услышите: безопасность, безопасность и еще раз безопасность. Если в роли среды передачи данных выступает зыбкий “эфир”, их опасения вполне оправданны.

И все же, за исключением инфраструктур с наивысшим уровнем секретности, лучше принять БЛВС как должное, нежели препятствовать их проникновению в корпоративную среду. Запрет на использование Wi-Fi в вашей организации потребует от вас внедрения “железной” политики безопасности и средств мониторинга, чтобы защититься от нелегального развертывания беспроводных устройств. Признайте, что рано или поздно и ваша сеть “поднимется в воздух”, т. е. станет беспроводной. Лишь 18% читателей, участвовавших в опросе для данной статьи, заявили об отсутствии планов развертывания производственной БЛВС, а компания Gartner прогнозирует, что расходы на корпоративные БЛВС достигнут 1,6 млрд долл. к 2009 г., основываясь на том, что с 2004 г. до нынешнего момента их суммарный ежегодный прирост составлял 12%.

Разрешите предложить вам альтернативу политике запрета: должным образом спроектированная система безопасности Wi-Fi не только обеспечит надежную защиту вашим пользователям БЛВС, но и может стать платформой для повышения безопасности тех сегментов проводной сети, безопасность которых до сих пор обеспечивалась лишь их физической защитой.

Как любая другая система безопасности корпоративного класса, эффективная система безопасности БЛВС должна быть многоуровневой. Прежде чем установить соединение, пользователю необходимо пройти аутентификацию и, в свою очередь, аутентифицировать сеть, при этом желательно, чтобы обе аутентификации происходили незаметно как для пользователя, так и для администратора сервера справочника. Сообщения, передающиеся по беспроводным каналам, нужно надежно зашифровать, равно как и управлять правилами политики безопасности, чтобы “привязывать” права доступа к пользователям и их группам. И наконец, системы мониторинга и аудита должны выявлять атаки, обеспечивать соблюдение политики безопасности и эффективно справляться с инцидентами, связанными с ее нарушениями.

Все эти вопросы обсуждаются в данной статье, но более углубленно требования мониторинга и аудита БЛВС анализируются в нашем обзоре средств защиты распределенных Wi-Fi-систем. В целом мы с оптимизмом смотрим как на прогресс в области безопасности БЛВС, так и на хотя и медленное, но неуклонное появление соответствующих стандартов. Словом, инструменты уже есть. Теперь ваш черед браться за дело, не забывая о классическом цикле “тестовая атака — настройка”, который является неотъемлемой частью развертывания любой системы безопасности.

Полную версию данной статьи смотрите в 12-ом номере журнала за 2005 год.

Угроза вполне реальна

Проблемы безопасности БЛВС часто намеренно раздуваются прессой — к нашему изданию это, разумеется, не относится. Многие журналисты, пытаясь разобраться в сложностях угроз и методов их устранения, апеллируют к статистике. Известно, что каждые восемь из десяти домашних беспроводных сетей полностью открыты для вторжения извне. Впрочем, как говорится, “кто не спрятался, тот сам виноват”.

Даже очень старательный ИТ-менеджер должен смириться с фактом, что от некоторых угроз безопасности БЛВС защиты нет. Атаки типа “отказ в обслуживании” (DoS) с использованием “глушения” радиочастот, например, практически невозможно отразить. Лучшее, на что вы можете рассчитывать, — это минимизация риска за счет развертывания многополосной РЧ-инфраструктуры и реализации технических средств и приемов, позволяющих быстро локализовать источник такой атаки.

С другими уязвимостями можно справляться гораздо эффективнее. Так, опасность атаки посредством пассивного подслушивания, когда направленные антенны монтируются в относительном физическом удалении, можно смягчить, задействовав шифрование в каналах передачи данных, на сетевом или прикладном уровне. И хотя некоторые из широко известных систем шифрования, включая WEP (Wired Equivalent Privacy) и Cisco LEAP (Lightweight Extensible Authentication Protocol), в свое время были с успехом взломаны, сейчас уже доступны более надежные альтернативы.

Уязвимости, связанные с перехватом сеанса, лежат где-то посередине спектра возможных угроз. Современные системы безопасности БЛВС могут защитить от большинства атак типа “чужой среди своих”. Но и тогда остается угроза наличия нелегальных точек доступа, маскирующихся, например, с помощью идентификаторов 802.11 SSID, идентичных используемым в защищенных БЛВС, или ложных страниц Web-аутентификации. Ситуацию усугубляет стремление поставщиков ОС сделать технологию 802.11 доступной в массовом масштабе, из-за чего пользователи легко могут устанавливать соединение с нелегальной беспроводной инфраструктурой, сами того не ведая.

Но самая серьезная потенциальная угроза все же исходит от нелегальных точек доступа (Access Point — AP), причем это могут быть как недорогие шлюзы БЛВС, так и программные AP, работающие на клиентских компьютерах. В процессе обсуждения с Джошуа Райтом из SANS Institute технологий мониторинга беспроводных сетей различных поставщиков мы выяснили, что, хотя современные системы мониторинга БЛВС могут эффективно выявлять “нелегалов”, выловить их — задача значительно более трудная.

С некоторых пор предметом особого интереса журналистов стали угрозы безопасности мобильной связи — от вирусов и “червей” до взломов систем посредством ноутбуков и прочих портативных устройств, подсоединяющихся к корпоративным и домашним сетям, а также сетям общего пользования. Вот почему ключевым элементом всеобъемлющей стратегии безопасности беспроводной связи становится защита оконечных устройств.

Так что не сомневайтесь: опасность вполне реальна. Как и средства защиты.

Вам нужна политика безопасности БЛВС

Мы уже не первый год пропагандируем необходимость внедрения на предприятиях всеобъемлющей, неукоснительно соблюдаемой и регулярно обновляемой корпоративной политики безопасности, хотя и признаем, что задача эта непростая. Из-за дороговизны и сложности систем безопасно-сти некоторые организации, взвесив все риски, предпочитают отдаться на волю случая. Причем, кроме технологических, имеют место и культурные проблемы, и многие организации пытаются найти разумный баланс сильной защиты и простоты использования сети.

Но никакие препятствия не могут служить оправданием, ведь, если находящаяся в вашем ведении сеть, какой бы она ни была, не имеет политики безопасности, значит, по своей уязвимости она не отвечает никакому, даже самому базовому, стандарту управления рисками. И вам не “спрятаться” за запрет БЛВС: политика безопасности нужна в любом случае, невзирая на то, предоставляете вы беспроводные сервисы или нет. Собственно говоря, отсутствие централизованно управляемой беспроводной инфраструктуры даже может привести к росту угрозы для вашей сети — вы ведь не можете гарантировать, что какой-нибудь отдел не заведет у себя “левую” точку доступа. Без эффективного мониторинга корпоративного “эфира” такую угрозу исключить практически невозможно.

Признайте, что запрет беспроводной связи не работает, и принимайте действительность такой, какова она есть: самый эффективный способ предотвращения угрозы развертывания нелегальных беспроводных устройств — это обеспечение сети безопасными, централизованно управляемыми Wi-Fi-сервисами. Осознайте наконец истину, которую многие из нас усвоили на собственном горьком опыте в начале эпохи ПК: практически невозможно противостоять новой привлекательной технологии. А сейчас в этой роли выступает Wi-Fi.

Даже если вы можете похвалиться превосходной, централизованно управляемой БЛВС, вам необходима еще и система мониторинга. Единственное, что здесь неясно, — нужно ли последнюю интегрировать с инфраструктурой БЛВС или же обособить от нее. Большинство администраторов, конечно, за вариант интеграции, но, по нашему мнению, специализированная система обеспечивает более полную функциональность, да и вообще лучше разделять процессы обслуживания и мониторинга безопасности.

Инсталлируете ли вы специализированную систему мониторинга или воспользуетесь сервисами, предлагаемыми провайдером сетевой инфраструктуры, в любом случае в соответствии с вашей внутренней политикой для системы мониторинга придется сконфигурировать пороги срабатывания тревожной сигнализации и предупреждающие сообщения. Иначе вам придется иметь дело с установками по умолчанию, что часто приводит поистине к лавине ложных срабатываний и соответственно к высоким нагрузкам на администраторов.

Политика безопасности БЛВС должна затрагивать ряд вопросов, включая порядок и критерии приобретения W-Fi-продуктов, ограничения на использование ресурсов и мониторинг, а также определять как правила внутриофисного использования БЛВС, так и правила, контролирующие удаленное использование мобильных устройств дома и в сетях общего пользования. Словом, ваша цель — защита ваших корпоративных систем, сетевой инфраструктуры, а также мобильных устройств.

Стандарты безопасности БЛВС

С ранней моделью безопасности IEEE 802.11 было немало проблем, включая получившие широкое освещение в прессе атаки на ее базовую систему шифрования WEP. “Взломы” WEP как нельзя лучше годились для кричащих заголовков, но мы убеждены, что предложенный стандартом 802.11 метод аутентификации оказался несостоятельным еще задолго до первой успешной атаки на WEP. Архитектура разделяемых ключей попросту не масштабируется для корпоративного использования, причем аутентификация в форме традиционной пары “идентификатор—пароль” вообще не предлагалась.

В прошлом году наблюдался значительный прогресс в совершенствовании безопасности Wi-Fi за счет применения технологии 802.11i и сертификатов WPA (Wi-Fi Protected Access) и WPA2, предложенных организацией Wi-Fi Alliance. Теоретически уже возможно построить надежную модель безопасности БЛВС, которую одобрит профессиональное сообщество. Но реализация системы, отвечающей нуждам пользователей и администраторов безопасности, — дело по-прежнему трудное. Вам придется принимать множество решений о выборе в пользу чего-либо и соответственно от чего-то отказываться, особенно если ваша сетевая среда имеет какие-то, только ей присущие особенности. Например, в Wi-Fi-телефонах поддержка WPA идет медленными темпами, из-за чего для этих устройств администраторам приходится, как правило, реализовывать дополнительные меры защиты.

Если вы выбрали альтернативный способ обеспечения безопасности своей Wi-Fi-сети — например, за счет использования VPN-концентратора или перехватывающей Web-аутентификации, то подумайте о переходе на WPA2. Прошло время одноуровневых беспроводных виртуальных ЛВС (ВЛВС), VPN-концентраторов или фирменных беспроводных шлюзов безопасности. Все они хорошо зарекомендовали себя во многих организациях и, возможно, прослужат в них еще несколько лет. Но для новых инсталляций и предприятий, стремящихся реализовать у себя передовые решения, следует выбирать WPA2.

802.11i и WPA2

В процессе разработки стандарта безопасности 802.11i институту IEEE пришлось, что называется, “ступить на тонкий лед”, решая весьма деликатные вопросы. Во-первых, требовалось разработать “каркас” системы безопасности для беспроводных систем, имеющих надежное встроенное аппаратное шифрование AES, и для устройств, произведенных до 2003 г. и спроектированных для WEP-шифрования. Во-вторых, IEEE должен был позаботиться не только о соответствии стандартам корпоративных ИТ-инфраструктур, но и об удовлетворении требований пользователей сетей домашних и малых офисов, причем без излишней усложненности. И наконец, в-третьих, следовало учесть нарастающую потребность пользователей в безопасной мобильной связи — например, в приложениях беспроводной IP-телефонии.

Стремление не потерпеть фиаско подобно тому, как это случилось с WEP, привлекло огромное внимание сообщества профессионалов безопасности к рабочей группе 11i. В свою очередь, на людей, участвующих в разработке семейства стандартов 802.11, существенное влияние оказала деятельность сообщества. Из-за неоднократного переноса сроков выхода стандарта инициативу перехватил влиятельный Wi-Fi Alliance; в октябре 2002 г. он предложил свою спецификацию WPA, созданную согласно базовым элементам проекта стандарта 802.11i. Эта спецификация обеспечивает надежный “каркас” для системы безопасности корпоративных БЛВС, и многие поставщики корпоративного оборудования, встретившие сначала WPA без особого энтузиазма, постепенно начали направлять свои продукты на соответствующую сертификацию.

Комитету IEEE 802.11i удалось ратифицировать стандарт 802.11i в июле 2004 г., но только после того, как он перепоручил заботу о критических элементах, касающихся быстрого защищенного роуминга, свежеиспеченной рабочей группе 802.11r. До тех пор пока комитет не завершит данную работу, для обеспечения быстрого защищенного роуминга требуются фирменные компоненты, а это ограничивает интероперабельность, чего корпоративные пользователи едва ли будут терпеть.

Но если закрыть глаза на проблему защищенного роуминга, то стандарт 802.11i можно рассматривать как хорошо проработанный подход к обеспечению безопасности БЛВС, который, вероятно, будет принят большинством предприятий в ближайшие два-три года. Хотя в нем не предусматривается полностью многоуровневая система безопасности, но самые фундаментальные проблемы защиты БЛВС он решает. это обеспечение надежной обоюдной аутентификации между клиентами и точками доступа, конфиденциальность обмена сообщениями и защита источника данных и их целостности для предотвращения атак типа “чужой среди своих”.

Поскольку практически все оборудование БЛВС корпоративного класса уже поддерживает или вот-вот станет поддерживать 802.11i и WPA2 к концу этого года, то перед менеджерами беспроводной сети встают две основные проблемы. Прежде всего вам необходима инфраструктура серверов RADIUS для обеспечения сервисов AAA (аутентификации, авторизации и аудита). Сервисы RADIUS могут быть интегрированы с инфраструктурой БЛВС, но обычно они реализуются на выделенном сервере RADIUS, работающем под управлением ОС Windows или Unix/Linux. Вполне возможно поддерживать справочник пользователей БЛВС на сервере RADIUS, но большинство организаций предпочитают “привязать” свои серверы к существующим корпоративным справочникам — Microsoft ADS или какому-то из LDAP-серверов, например.

С выбором сервера RADIUS тесно связан и выбор клиентов 802.11i. Они должны использовать один и тот же способ аутентификации по общему типу протокола 802.1x EAP. По целому ряду причин, и в большинстве своем весомых, комитет 802.11i решил не специфицировать стандартный тип протокола EAP. Позитивным здесь являет-ся предоставление большой административной свободы. Но, с другой стороны, все это делает интероперабельность еще более проблематичной, если только все основные “игроки” не договорятся о поддержке какого-то одного типа EAP. Сейчас на рынке конкурируют множество типов EAP, включая TLS (Transport Layer Security), TTLS (Tunneled TLS), EAP-SIM (EAP — Subscriber Identity Module), LEAP и PEAP (Protected EAP). Все они имеют своих сторонников и противников, хотя вполне реально поддерживать в одной БЛВС одновременно несколько типов EAP, но это может породить проблемы интеграции с сервисами справочника. Благодаря своей функциональности и относительной простоте PEAP, по всей видимости, станет самым распространенным типом EAP. PEAP изначально поддерживается последними версиями Windows, MacOS, а также большинством серверов RADIUS, и, хотя пока остаются пробле-мы с интероперабельностью версий PEAP от Microsoft и Cisco, вскоре они будут, по-видимому, решены.

Итак, если у вас есть клиенты 802.11i, совместимые с сервером RADIUS, то вы уже имеете фундамент для развертывания надежных служб аутентификации и обеспечения конфиденциальности. После проверки сервер RADIUS и точки доступа передают ключи шифрования прошедшим аутентификацию клиентам, не требуя явной процедуры аутентификации в БЛВС.

Не забывайте приглядывать за сетью

Технология 802.11i обеспечивает безопасность БЛВС корпоративного класса, тем не менее она не ликвидирует всех угроз. Следовательно, как и для проводной сети, вам, чтобы быть уверенным в отсутствии в ней “слабых мест” и для отслеживания аномального ее поведения, понадобится некая комбинация из систем мониторинга использования, обнаружения вторжений и аудита. Основные поставщики корпоративного инфраструктурного оборудования предлагают базовые средства для выявления нелегальных устройств, но самые последние достижения в мониторинге БЛВС вы найдете в распределенных системах мониторинга. (Возможности и ограничения этих систем рассматриваются в обзоре, который будет опубликован в следующем номере журнала “Сети и системы связи”. — прим. ред.)

Решите ли вы инсталлировать специализированную систему мониторинга или обойдетесь сервисами, встроенными в вашу инфраструктуру, зависит как от вашей толерантности к риску, так и от вашего бюджета. Реализация специализированной системы может быть делом дорогостоящим, особенно в крупной распределенной корпоративной среде, причем в отношении не только первоначальных вложений, но и текущих эксплуатационных расходов. В конце концов, важнее, наверное, сначала сосредоточить усилия на безопасности базовых сервисов беспроводной связи, прежде чем браться за ее полномасштабный мониторинг..





  
12 '2005
СОДЕРЖАНИЕ

бизнес

• Стратегия профессионального развития

• Огибая неровные углы

• От Москвы до Екатеринбурга

инфраструктура

• Центры обработки данных сегодня и в будущем

• Контроль над конфигурациями сетевых устройств

информационные системы

• Контакт-центры: что дает IP?

• Анализ систем контакт-центров на базе IP

сети связи

• Реализация технологии BPL

защита данных

• Обезопасьте свое воздушное пространство

кабельные системы

• Прокладка кабелей в модульной мебели

• Универсальные и администрируемые коммуникационные розетки


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх