Разработка политики в беспроводных сетях (первая часть)

Vollter, по материалам SecurityFocus

Необходимость в защите беспроводных сетей никогда ранее не была первоочередной, но беспроводные сети 802.11/a/b/g (WLAN) молниеносно покорили мир информационных технологий. Количество беспроводных пользователей в 2003 году превысило 35 миллионов человек, и специалисты предсказывают рост числа пользователей на 50-200% каждый год до 2006. Беспроводные сети обладают рядом неоспоримых преимуществ – они гибки, мобильны, удобны в использовании, обладают высокой производительностью при относительно малой цене. Те же аспекты, которые делают беспроводные сети привлекательными в использовании, могут стать и их ахиллесовой пятой в случае ненадлежащей защиты.

Это первая из двух статей, которые помогут создать стратегию защиты беспроводных сетей – так называемую беспроводную политику. С хорошей политикой сеть будет не только легка в управлении, но и, что самое главное, будет защищена.

802.11 – угрозы и потребность в защите

Существует множество потенциальных угроз WLAN. Отказ в обслуживании (DoS), захват сеанса и сниффинг. Это лишь небольшой список потенциальных атак. Пока многие из нападений на беспроводные сети похожи на нападения против обычных сетей, сети 802.11 находятся в большой опасности.

Одной из самых больших проблем является WEP (Wired Equivalent Privacy), стандарт шифрования данных для беспроводных сетей. В WEP обнаружено несколько уязвимостей, которые позволяют его взломать всего за пару часов.

Другая проблема связана с открытой природой WLAN. Из-за особенностей беспроводных сетей, в них сложно контролировать область доступности сигнала. В отличие от простых сетей, это введёт к тому, что хакер может управлять или подслушивать сеть из областей, которые не были предназначены для обслуживания, когда создавалась сеть.

WLAN также могут использоваться для создания backdoors к обычным сетям. Многие организации тратят тысячи и даже миллионы долларов для обеспечения защиты обычных сетей, обширно инвестируя в разработки VPN и других технологий. Но достаточно всего лишь одного недобросовестного или недоученного беспроводного пользователя, связанного с обычной сетью, и можно легко создать backdoor, обходящий все сложные и дорогостоящие системы защиты, тем самым, позволяя хакеру получить доступ к тщательно закрытой сети. Беспроводная политика может помочь снизить или даже уничтожить эти угрозы. К счастью никогда не поздно создавать политику, однако раннее ее принятие более эффективно.

Раннее принятие

Развитие политики должно начинаться на стадии создания беспроводной сети. Выгоды от понимания потребности в безопасности на ранних стадиях огромны: это позволяет понизить цену, приводит к более простому обслуживанию и повышает безопасность с самого начала. Увеличение же безопасности после запуска сети может потребовать нового оборудования, возможно, понадобится логическая или физическая перестройка сети или даже хуже – ведь сеть до того работала без надлежащей защиты. Если сеть работала без защиты, то политика будет всё ещё обеспечивать многочисленные выгоды, хотя эти выгоды и будут стоить больше, чем в случае внедрения политики с самого начала.

Выгоды от беспроводной политики

Конечно же, политика не залатает врожденные дыры 802.11 сетей, но она поможет создать среду, в которой программные средства, методы и процедуры смогут удержать нападающих и эффективно бороться с угрозами. Политика устанавливает модель защиты для существующей или разрабатываемой сети. Хорошая политика создаёт набор правил и стандартов для пользователей, администраторов и менеджеров.

Основные компоненты беспроводной политики

Рассматривая безопасность как неотъемлемую часть сети, менеджер должен с самого начала объединить безопасность с функциональными возможностями. Беспроводная политика может обеспечить руководство по широкому разнообразию проблем, присущих организациям, но существует несколько проблем, которые следует рассмотреть более пристально:

Обратите внимание: следующий список соображений про политику может использоваться как для открытых, так и для закрытых беспроводных сетей, хотя некоторые из этих соображений не будут применимы к открытым беспроводным сетям.

Полномочия и ответственность

Политика должна назначать человека, который будет администрировать, и нести ответственность за беспроводную сеть. Выделение ответственного человека обеспечивает руководство и ответственность за беспроводную сеть через разработку, внедрение и, в конечном счете, функционирование. Этот "руководитель службы безопасности" будет отвечать за все функции безопасности сети и будет иметь полномочия, достаточные для назначения других людей и/или создания команды, если это необходимо. Этот человек будет также нести окончательную ответственность за обеспечения надлежащих мер безопасности в сети.

Важно наделить полномочиями того, кто несет ответственность за сеть. Если человек не несёт ответственность за действия (свои или чужие), он, вероятно, не предпримет надлежащих мер, необходимых для функционирования сети. Также было бы очень хорошо, если бы назначенный человек имел опыт разрешения проблем, свойственных беспроводным сетям.

Оценка риска

Политика должна требовать оценки риска. Оценка риска определяет угрозы и уязвимости в организациях. Оценка риска поможет защититься от непредвиденных угроз, издержек и затрат, так же позволит адекватно обеспечивать безопасность. Руководитель службы безопасности должен использовать меры защиты в сочетании с оценкой риска в 802.11 сетях. Например, если сеть используется только для случайного серфинга сети, риск потери в случае нападения может быть минимален. Если же сеть используется для передачи деловых материалов или поддерживает критические услуги, риск потери в случае нападения или в случаи потери обслуживания может быть очень велик. Оценка риска должна проводиться для того, чтобы гарантировать, что возможности мер безопасности будут адекватны угрозам, связанным с сетью. В некоторых случаях, угрозы беспроводной сети могут перевесить выгоды от технологии, тогда от создания сети лучше отказаться.

При запуске WLAN, политика должна разрабатываться совместно с полной оценкой риска сети.

Оценка риска должна проводиться объективно, чтобы обеспечить точную картину потенциальных угроз. Поэтому политика должна определить частоту проведения оценок риска.

Сегрегация сети

Политика должна разделять беспроводную и простую сети так, чтобы нарушение безопасности в беспроводной сети не затронуло обычную сеть. Сегрегация сети обеспечивает отделение "ненадёжных" WLAN(s) от более "надёжных" (обычно проводных) сетей. WLAN обычно соединяются с простой сетью лишь в некоторых случаях, например, чтобы облегчить доступ в Интернет. Эти сети должны быть отделены шлюзами так, чтобы без особой необходимости беспроводные коммуникации не пересекались с обычной сетью. Кроме того, между простыми и беспроводными сетями может быть помещено фильтрующее устройство (подобно брандмауэру) для контроля и мониторинга трафика между обычными и беспроводными сетями.

Рис. 1: Пример выделенной беспроводной сети

Установление подлинности (аутентификация)

Установление подлинности играет важную роль в 802.11 сетях и должно быть включено в беспроводную политику. Все пользователи WLANs обязаны подтверждать подлинность прежде, чем получат доступ к сети. Установление подлинности поможет ограничить доступ к закрытым ресурсам. Существует множество проблем, которые беспроводная политика должна учитывать при установлении подлинности.

Политика должна учитывать стандарт аутентификации, метод, реализацию и требования по обслуживанию. Прежде всего, политика для беспроводного установления подлинности должна соответствовать последним стандартам безопасности. Очень желательно следовать стандартам при выборе способа аутентификации (подробнее читайте ниже).

Далее, в политике должна быть определена форма взаимной аутентификации. При взаимном установлении подлинности и клиент и сервер авторизуют друг друга. Взаимное установление подлинности, прежде всего, повышает безопасность, устанавливая подлинность сервера, а также уменьшает возможности мошенничества в сети. Другим фактором при выборе метода аутентификации должна быть легкость реализации и администрирования. Некоторые формы установления подлинности, типа Public Key Infrastructure (PKI), хоть и безопасны, но требуют тщательной разработки и администрирования.

Политика может указать строгость установления подлинности и указать - для кого, когда и для каких ресурсов требуется установлении подлинности. Политика может определить пользователей и уровни доступа по группам, как доступ будет управляться, а также любые необходимые особенности.

Конфиденциальность

Средство для обеспечения конфиденциальности в беспроводных сетях должно быть определено в политике. Шифрование может обеспечить безопасный канал связи, в котором беспроводная передача данных может происходить без угрозы подслушивания. Передача данных без шифрования - это лёгкая добыча для хакера. Он легко может собрать чувствительную информацию, передающуюся в/из беспроводной сети. Беспроводной сигнал помогает хакерам незаметно собрать важные данные. Существует множество проблем, которые следует рассмотреть при включении конфиденциальности в политику.

Политика должна определить разумный метод шифрования так, чтобы данные могли передаваться безопасно. Основной метод шифрования, используемый в 802.11 сетях - Wired Equivalent Privacy (WEP). К сожалению, как оказалось, WEP-алгоритм может быть легко расшифрован и, поэтому, не является надёжным. Однако WEP обеспечивает некоторую защиту и должен использоваться, если другое шифрование не возможно. Для борьбы с ненадежностью WEP, в настоящее время существуют другие методы шифрования, и, если это возможно, они должны использоваться вместо WEP.

Группа стандартов IEEE 802.11i в настоящее время развивает стандарт для 802.11 безопасности. Стандарт, как ожидается, унифицирует использование Temporal Key Integrity Protocol (TKIP) как альтернативу WEP. Кроме того, 802.11i стандарт предложит Advanced Encryption Standard (AES) как алгоритм шифрования. Однако на время написания этой статьи 802.11i еще не издан. WPA (Wireless Protected Access) – составная часть 802.11i, уже одобрена промышленной группой WiFi Alliance. Начиная с августа этого года, WPA будет включен во все сертифицированные WiFi-продукты.. Если WPA или 802.11i не подходят, то есть также много других решений, включая Virtual Private Network (VPN). Даже использование слабого WEP-шифрования поможет, хоть и не на много, улучшить безопасность беспроводной сети. В любом случае, шифрование должно быть обязательно включено в политику.

Политика должна учитывать силу шифрования, метод, реализацию, обслуживание и частоту использования. Сила шифрования должна быть выбрана максимальной для чувствительной информации, которая будет передаваться через сеть, чем выше значимость информации, тем выше сила шифрования. Метод определяет используемое шифрование, а реализация должна описывать, как будет развернуто шифрование. Частота использования определяет, когда шифрование должно использоваться. Например, если пользователь имеет доступ к чувствительной информации, то шифрование должно использоваться принудительно; другие ситуации должны оцениваться соответственно.

Готовность

Чтобы гарантировать максимальную работоспособность сети, в политике должны быть определены испытания работоспособности беспроводной сети в терминах эффективности и частоте запуска. Работоспособность WLANs существенна, т.к. производительность - функция времени простоя. Беспроводные испытания работоспособности должны проводиться перед развертыванием 802.11 сети, чтобы гарантировать охват сигналом нужной территории, которая является свободной от конфликтных RF (Radio Frequency - радиочастотных) сигналов.

Сети 802.11 действительно подвержены некоторым RF конфликтам и препятствиям. Если испытания работоспособности не определены в политике и не выполнены своевременно, то сеть может страдать от плохого сигнала очень долго. Одной из проблем является то, что множество естественных и физических объектов ухудшают RF сигнал. Имеются в виду объекты типа деревьев, дождя, земли, зданий, и т.д. Другие проблемы передачи - это обычные устройства типа переносных телефонов, Bluetooth, микроволновых печей, они работают на той же самой частоте, что и 802.11b/g сети. Хотя 802.11a сети в настоящее время работают на менее загруженной частоте, но все же они восприимчивы к вмешательству от современных мобильных телефонов и т.д. Конфликты с RF могут привести беспроводные сети к отказу в обслуживании.

Существует множество инструментов оценки работоспособности беспроводных сетей. Используя программное обеспечение топологии , можно идентифицировать естественные преграды, типа холмов, долин, и т.д. которые потенциально ухудшают сигнал. Инструменты топологии могут идентифицировать потенциальные проблемы перед беспроводным развертыванием. Если инструменты топологии используются, на них нужно обязательно сослаться в политике.

Рис. 2: Пример результатов испытания работоспособности беспроводной сети. Этот рисунок показывает беспроводной сигнал, распространяющийся из здания, который должен использоваться в нем и на прилегающих улицах.

Беспроводные инструменты работоспособности идентифицируют местоположения со слабым 802.11 сигналом. Клиентское программное обеспечение 802.11 (типа Cisco Aironet Client Adapter software) может использоваться, чтобы адекватно оценить силу сигнала во всей беспроводной области охвата. Относительно простой метод проводить испытания работоспособности состоит в том, чтобы двигаться по беспроводной области охвата с программным обеспечением клиента, пока не будет замечено областей со слабой силой сигнала. Подобно инструментам топологии, инструменты испытания работоспособности должны быть определены в политике.

Политика должна обязывать выполнение испытаний работоспособности, указывать определенные инструменты испытаний, обеспечивать разумную частоту и время проведения. Постоянное проведение испытаний работоспособности поможет уменьшить потерю сигнала и улучшить готовность.

Заключение к первой части 

Вторая и заключительная статья в этом цикле продолжит обсуждение важных компонентов в беспроводной политике. Будут рассмотрены такие вопросы, как физическая безопасность WAP, безопасность клиента, беспроводное сканирование и некоторые другие. Вместе, эти две статьи помогут создавать WLAN структуру, которая будет не только пригодна к развёртыванию, но и будет работать с ограниченным риском в самом безопасном режиме.