безопасность WLAN: большая проблема для маленьких сетей
Однажды Рэчел Мэтс открыла свой Apple iBook чтобы сделать несколько записок, во время визита в среднюю школу в Пало Альто, в самом сердце силиконовой долины.
Сразу же после загрузки, беспроводной LAN-адаптер поймал сильный сигнал WLAN, показав при этом на экране приглашение гостевого логина. Мэтс заметила, что у нее есть доступ к Интернету через беспроводную сеть школы.
Мэтс не была обычным посетителем. Она является репортером Palo Alto Weekly и написала статью о том, как легко она смогла получить доступ к школьной сети Пало Альто. Используя гостевой аккаунт, она смогла получить доступ к файл-серверам. В одном случае ей даже удалось получить доступ к хранящейся на одном из серверов информации об учениках, включая их оценки, адреса, номера телефонов, и некоторые медицинские данные.
WLAN, найденные Мэтс, являются типичными для небольших организаций и домашних офисов удаленных работников. Одним из основных недостатков таких сетей является недостаточное внимание, уделяемое вопросам безопасности в отличие от крупных корпоративных сетей, где обычно применяются RADIUS-серверы, VPN, детально разработанные политики безопасности и т.д.
В отличие от производителей корпоративных WLAN-продуктов, производители оборудования для SOHO-сегмента предлагают функции безопасности только в качестве опциональных возможностей: точки доступа и платы адаптеров продаются с отключенными возможностями обеспечения безопасности, такими как WEP (Wired Equivalent Privacy, безопасность, эквивалентная проводным сетям). Предполагается, что эти функции должны быть включены во время инсталляции оборудования. В результате можно найти множество корпоративных сетей, с доступными с помощью любого ноутбука важными данными, как, например, в вышеописанной школьной сети Пало Альто.
Чтобы решить эту проблему, производители должны насильно включать функции безопасности. Для того чтобы посторонние лица испытали как можно больше затруднений при попытке доступа к данным, необходимо применить многоуровневую защиту, например, включить WEP, заблокировать SSID и т.д.
Как известно, WEP не обеспечивает должного уровня защиты от подготовленного взломщика по двум причинам: WEP без лишних вопросов повторяет элементы данных, используемые в процессе скремблирования. Этим могут воспользоваться хакеры для расшифровки трафика. И WEP также автоматически не меняет общий ключ, или кодировщик, используемый группой пользователей или точкой доступа, давая тем самым хакерам еще больше шансов взломать код.
Тем не менее, WEP все же задерживает атакующих и не дает любому проходящему мимо просто так увидеть беспроводной трафик. «Такие действия, как включение WEP и блокировка SSID все же являются весьма важными» — заявляет исполнительный президент WPCS International, интегратора WLAN.
Производители WLAN-оборудования представляют продукты, поддерживающие код защищенного доступа WI-FI (WPA) с предварительным общим ключом, разработанным для SOHO-сегмента. WPA представляет собой начало работ над усовершенствованием WEP, которые курирует группа IEEE 802.11i. WPA улучшает шифрование данных с помощью протокола краткосрочной целостности ключей (Temporal Key Integrity Protocol), который заметно усложняет дескремблирование зашифрованной информации между клиентом и точкой доступа. WPA также реализует более сложную аутентификацию пользователей, используя стандарт аутентификации 802.1x и расширенный протокол аутентификации. Короче говоря, клиенты и точка доступа регистрируются на аутентификационном сервере, например, RADIUS.
Но для SOHO-сетей, где серверы RADIUS и сложные инфраструктуры аутентификации более чем редки, WPA использует предварительный общий ключ. Этот ключ является паролем как можно большей длины, который вводится пользователем для точки доступа, после чего включается улучшенное шифрование WPA.
Так как Microsoft использует WPA в WIN XP, пользователь может, немного повозившись с настройкой, включить WPA между адаптером и точкой доступа. Производители беспроводного оборудования, например, Linksys и Buffalo Technology уже продают новые точки доступа и адаптеры с поддержкой WPA, и все производители ждут, пока WI-FI Alliance произведет сертификационные испытания WPA.
Как правило, многие WLAN-продукты могут быть модернизированы для поддержи WPA. Для этого пользователям понадобиться скачать с веб-сайта новую прошивку для точки доступа и новый драйвер для платы адаптера.
Новые программные продукты, например, AirBlock и Odyssey Server, также предназначены для повышения безопасности небольших WLAN. Вам всего лишь нужно поставить AirBlock на каждый клиентский компьютер, ввести пароль, который будет являться предварительным общим ключом и AirBlock автоматически сконфигурирует адаптер и точку доступа, если они поддерживают код WPA. Если же это не удастся, то AirBlock улучшит безопасность WEP путем смены ключей шифрования каждые 10 минут. Это ПО также может управлять устройствами, совмещая WEP и WPA.
Funk software Odyssey Server 2.0 создает инфраструктуру безопасности, основанную на стандарте IEEE 802.1х. Odissey является клиентским и серверным ПО, использующим точку доступа для установления аутентифицированного соединения.
Funk software выпускает также ПО 802.1x, работающее под различными версиями Windows. Odyssey поддерживает также несколько аутентификационных протоколов.
Джон Кокс, перевод Дмитрия Герусса.
Сразу же после загрузки, беспроводной LAN-адаптер поймал сильный сигнал WLAN, показав при этом на экране приглашение гостевого логина. Мэтс заметила, что у нее есть доступ к Интернету через беспроводную сеть школы.
Мэтс не была обычным посетителем. Она является репортером Palo Alto Weekly и написала статью о том, как легко она смогла получить доступ к школьной сети Пало Альто. Используя гостевой аккаунт, она смогла получить доступ к файл-серверам. В одном случае ей даже удалось получить доступ к хранящейся на одном из серверов информации об учениках, включая их оценки, адреса, номера телефонов, и некоторые медицинские данные.
WLAN, найденные Мэтс, являются типичными для небольших организаций и домашних офисов удаленных работников. Одним из основных недостатков таких сетей является недостаточное внимание, уделяемое вопросам безопасности в отличие от крупных корпоративных сетей, где обычно применяются RADIUS-серверы, VPN, детально разработанные политики безопасности и т.д.
В отличие от производителей корпоративных WLAN-продуктов, производители оборудования для SOHO-сегмента предлагают функции безопасности только в качестве опциональных возможностей: точки доступа и платы адаптеров продаются с отключенными возможностями обеспечения безопасности, такими как WEP (Wired Equivalent Privacy, безопасность, эквивалентная проводным сетям). Предполагается, что эти функции должны быть включены во время инсталляции оборудования. В результате можно найти множество корпоративных сетей, с доступными с помощью любого ноутбука важными данными, как, например, в вышеописанной школьной сети Пало Альто.
Чтобы решить эту проблему, производители должны насильно включать функции безопасности. Для того чтобы посторонние лица испытали как можно больше затруднений при попытке доступа к данным, необходимо применить многоуровневую защиту, например, включить WEP, заблокировать SSID и т.д.
Как известно, WEP не обеспечивает должного уровня защиты от подготовленного взломщика по двум причинам: WEP без лишних вопросов повторяет элементы данных, используемые в процессе скремблирования. Этим могут воспользоваться хакеры для расшифровки трафика. И WEP также автоматически не меняет общий ключ, или кодировщик, используемый группой пользователей или точкой доступа, давая тем самым хакерам еще больше шансов взломать код.
Тем не менее, WEP все же задерживает атакующих и не дает любому проходящему мимо просто так увидеть беспроводной трафик. «Такие действия, как включение WEP и блокировка SSID все же являются весьма важными» — заявляет исполнительный президент WPCS International, интегратора WLAN.
Производители WLAN-оборудования представляют продукты, поддерживающие код защищенного доступа WI-FI (WPA) с предварительным общим ключом, разработанным для SOHO-сегмента. WPA представляет собой начало работ над усовершенствованием WEP, которые курирует группа IEEE 802.11i. WPA улучшает шифрование данных с помощью протокола краткосрочной целостности ключей (Temporal Key Integrity Protocol), который заметно усложняет дескремблирование зашифрованной информации между клиентом и точкой доступа. WPA также реализует более сложную аутентификацию пользователей, используя стандарт аутентификации 802.1x и расширенный протокол аутентификации. Короче говоря, клиенты и точка доступа регистрируются на аутентификационном сервере, например, RADIUS.
Но для SOHO-сетей, где серверы RADIUS и сложные инфраструктуры аутентификации более чем редки, WPA использует предварительный общий ключ. Этот ключ является паролем как можно большей длины, который вводится пользователем для точки доступа, после чего включается улучшенное шифрование WPA.
Так как Microsoft использует WPA в WIN XP, пользователь может, немного повозившись с настройкой, включить WPA между адаптером и точкой доступа. Производители беспроводного оборудования, например, Linksys и Buffalo Technology уже продают новые точки доступа и адаптеры с поддержкой WPA, и все производители ждут, пока WI-FI Alliance произведет сертификационные испытания WPA.
Как правило, многие WLAN-продукты могут быть модернизированы для поддержи WPA. Для этого пользователям понадобиться скачать с веб-сайта новую прошивку для точки доступа и новый драйвер для платы адаптера.
Новые программные продукты, например, AirBlock и Odyssey Server, также предназначены для повышения безопасности небольших WLAN. Вам всего лишь нужно поставить AirBlock на каждый клиентский компьютер, ввести пароль, который будет являться предварительным общим ключом и AirBlock автоматически сконфигурирует адаптер и точку доступа, если они поддерживают код WPA. Если же это не удастся, то AirBlock улучшит безопасность WEP путем смены ключей шифрования каждые 10 минут. Это ПО также может управлять устройствами, совмещая WEP и WPA.
Funk software Odyssey Server 2.0 создает инфраструктуру безопасности, основанную на стандарте IEEE 802.1х. Odissey является клиентским и серверным ПО, использующим точку доступа для установления аутентифицированного соединения.
Funk software выпускает также ПО 802.1x, работающее под различными версиями Windows. Odyssey поддерживает также несколько аутентификационных протоколов.
Джон Кокс, перевод Дмитрия Герусса.
Сетевые решения. Статья была опубликована в номере 09 за 2003 год в рубрике save ass…
