|
|
Обзор Рынок беспроводных технологий 2006 подготовлен Безопасность беспроводных коммуникаций не уменьшается, но и не растетКонцепция безопасности беспроводных коммуникаций, описанная в предыдущих обзорах CNews, за год не претерпела существенных изменений. Вместе с тем, прогресс не стоит на месте: поставщики предлагают все новые и новые решения, а хакеры отвечают им взаимностью. Современные беспроводные сети при грамотной настройке оборудования ведущих поставщиков по уровню безопасности, как утверждают эксперты, не уступают проводным коммуникациям. При правильной настройке системы защиты беспроводной сети дешевле получается не «ломать», а снять защиту изнутри - то есть подкупить кого-то из персонала. С другой стороны, далеко не у всех производителей есть полный набор механизмов защиты и централизованного управления беспроводной сети. Поэтому у хакеров остается и эта «лазейка». Защита WLAN: как было и как есть Напомним, что первой реализацией системы защиты с шифрованием данных стала спецификация WEP (Wireless Equivalent Privacy), принятая IEEE в 1999 году и основанная на шифровании данных с помощью 24-битного ключа RC4. Однако уже в следующем году этот протокол, основным недостатком которого является использование статических общих ключей, был взломан. Затем появились многочисленные программы, позволяющие взламывать 128-битный ключ за считанные часы… Летом 2004 года институт IEEE утвердил в качестве стандарта спецификацию 802.11i, до принятия которого безопасность передачи данных по сетям Wi-Fi обеспечивалась за счет протокола защищенного доступа (Wi-Fi Protected Access, WPA), использующего некоторые компоненты 802.11i. В частности, протоколы целостности временного ключа/код целостности сообщения (Temporal Key Integrity Protocol/Message Integrity Code, TKIP/MIC). Вместо статичного, централизованно задаваемого ключа шифрования WEP, для каждого клиента WLAN вводятся индивидуальные сеансовые ключи - каждый пакет в сети наделяется своим собственным ключом. Их передача защищается либо путем индивидуальной аутентификации клиента при помощи 802.11x на сервере RADIUS в корпоративных и коммерческих средах (WPA Enterprise), либо посредством раздачи всем участникам заранее известного ключа-пароля в небольших сетевых средах без инфраструктуры RADIUS (WPA Personal). Во втором случае пароль устанавливается предварительно, при конфигурировании точки доступа и сетевой карты. Опционально спецификация WPA поддерживает улучшенный метод шифрования (Advanced Encryption Standard, AES). Запущенный в сентябре 2004 года Wi-Fi Protected Access 2 (WPA2), обратно совместим со своим предшественником WPA и поддерживает AES уже на аппаратном уровне, то есть полностью соответствует стандарту 802.11i. В мае 2005 года модуль WPA2 был добавлен в патч Windows XP Service Pack 2 (SP2). К марту 2006 года устройств с сертификатом WPA2 насчитывалось около 600 (примерно 20%). WPA2 обеспечивает самый высокий на сегодня уровень безопасности, серьезную защиту данных и контроль доступа в сеть для корпоративных (WPA2-Enterprise) и индивидуальных пользователей (WPA2-Personal). Как и в случае WPA, устройства с поддержкой WPA2 используют технологию 802.1X/EAP1 как часть инфраструктуры, которая обеспечивает централизованную взаимную аутентификацию и управление динамическими ключами и предлагает использование заранее выбранного ключа в домашних сетях или малых офисах. Взлом протокола WPA2 — задача совершенно другого класса, нежели взлом WEP, и реальные случаи нарушения защиты сети, в которой он реализован, пока неизвестны. Основные стандарты обеспечения безопасности в сетях Wi-Fi
Среди интересных новинок, использующих стандарт аутентификации IEEE 802.1X - программное средство - Cisco Secure Services Client 4.0. Оно создает на предприятии единую систему аутентификации множества устройств и обеспечивает их безопасное подключение к проводным и беспроводным сетям. Пользователи получают единый клиентский интерфейс, независимо от того, где они находятся (дома, в офисе или в дороге). Это решает одну из наиболее сложных задач, с которой сталкиваются сетевые администраторы, - управление аутентификацией и взаимодействием множества разнородных клиентских устройств, работающих в проводных и беспроводных сетях. Secure Services Client 4.0 позволяет принимать решения о доступе, прежде чем присвоить клиентскому устройству IP-адрес. Хот-споты: безопасность нам только снится Как правило, беспроводные локальные сети (WLAN), предназначенные для решения внутрикорпоративных задач (организация зон беспроводного доступа в кабинетах руководства, конференц-залах, переговорных комнатах, объединение компьютеров в сеть и пр.) защищены гораздо лучше, чем точки коллективного доступа, предназначенные для выхода в интернет случайных пользователей. Это связано как с применением в первом случае более дорогого оборудования, имеющего развитые механизмы обеспечения информационной безопасности, так и наличием в штате (или готовностью привлекать внешних профессионалов) компаний квалифицированных инженеров, способных грамотно настроить оборудование. Однако, как отмечают эксперты, зарождающаяся конкуренция между хот-спотами, расположенными в общественных местах (сначала коммерческими, а затем и бесплатными), приведет к усилению внимания их владельцев к вопросам информационной безопасности. Пока же сети публичного доступа остаются с точки зрения безопасности наиболее проблематичными. В них нельзя применить ни WPA, ни WPA2, ни шифрование посредством IPsec, так как клиенты работают под разными ОС с разными патчами (SP) и «заплатками», и поэтому поддерживают различные механизмы аутентификации. В результате остается только WEP, взломать который не составляет труда. Домашние сети защищаются от соседей В ноябре 2006 года Консорциум Wi-Fi совместно с Kelton Research обнародовал основные результаты исследования, посвященного вопросам безопасности Wi-Fi в США. Как показали опросы американцев – пользователей домашних Wi-Fi сетей, потребители относятся к этой проблеме достаточно серьезно. В частности, для многих из них безопасность домашних хот-спотов стоит на третьем месте после закрытия окон и дверей перед уходом из дома и установке жилища на сигнализацию. Более 40% американцев верят, что защищенная сеть Wi-Fi – это важный элемент создания безопасного дома. 38% соглашаются с тем, что использование их сети без ведома хозяев равносильно краже. Респонденты не одобряют действия соседей, которые «одалживают» у них связь, и хотят оградить от себя от тех 17% американцев, которые не видят ничего плохого в том, чтобы попользоваться чужой сетью. 7 из 10 американцев применяют на своих сетях меры по обеспечению информационной безопасности. Между тем, известно, что большинство устройств Wi-Fi поступает в продажу с установками «по умолчанию», отменяющими функции безопасности в целях обеспечения совместимости оборудования разных производителей. А поскольку многие пользователи пренебрегают настройками из-за банальной лени (либо не могут это сделать по причине недостаточной квалификации), то большая часть беспроводных сетей оказывается незащищенной. Консорциум Wi-Fi недавно попытался восполнить этот пробел. В начале 2007 года он сертифицировал первую десятку продуктов, в которых используется новый упрощенный метод для конфигурирования домашних Wi-Fi сетей. Новый опциональный сертификат - Wi-Fi Protected Setup – свидетельствует о том, что получившее его устройство можно легко настроить для работы в беспроводных сетях Wi-Fi и при этом сеть, состоящая из таких устройств, будет безопасной. В первых релизах ПО подключение оборудования будет производиться нажатием одной кнопки или путем ввода PIN-кода. В первой половине 2007 года планируется внедрить и другие виды авторизации устройств, такие как Near-Field Communication (пользователю достаточно подключить к оборудованию токен, вставить карточку или USB-флэшку). При этом поддержка новой технологии может быть применена не только в компьютерах или сетевом оборудовании, но и в других устройствах, например в телевизорах, стереосистемах, игровых приставках, мобильных телефонах и пр. Безопасность WiMax под угрозой? Мнения экспертов по поводу защищенности WiMax сетей разделяются. В ABI Research, например, считают, что WiMax обладает рядом брешей, которые могут стать источником существенных проблем в области информационной безопасности. В качестве примера аналитики приводят технологию Wi-Fi, которая была взломана по прошествии короткого времени после распространения. Аналогично, уверены в ABI Research, первые бреши в технологии будут зафиксированы сразу после того, как WiMax получит достаточно широкое распространение. Аналитики уже составили классификацию грядущих уязвимостей: уязвимости в пользовательских терминалах, уязвимости, связанные с проблемами обнаружения внешних вторжений и уязвимости в операторских сетях. Чтобы привести пользовательские терминалы в соответствие требованиям усовершенствованного стандарта криптографической защиты (AES), необходимо ускорить в них процесс шифрования данных. В свою очередь, сетям услуг связи понадобятся системы выявления внешних вторжений и специальное программное и аппаратное обеспечение для защиты от этих вторжений. За исключением нескольких крупных компаний, типа Motorola, Nortel и Alcatel, очень немногие поставщики WiMax-решений имеют внутренние экспертные ресурсы, способные ликвидировать все перечисленные бреши, считают в ABI. Некоторые из них - такие, например, как Terabeam, видят и здесь простор для деятельности, заявляя о возможных проблемах и дырах в безопасности WiMax. А некоторые, в частности Cavium, рассматривают разработку специализированных криптопроцессоров для WiMax как одно из основных направлений своей деятельности. Оборудование WiMax предназначено в первую очередь для операторов связи, и безопасность заложена в него еще на этапе разработки стандарта 802.16, которым определено, что весь трафик должен быть зашифрован с использованием алгоритма AES, а для аутентификации используется протокол на основе TLS с шифрованием открытым ключом. В противовес мнению аналитиков ABI Research некоторые эксперты считают, что сети WiMax, поддержание безопасности которых будет одной из задач оператора, будут защищены значительно лучше, чем Wi-Fi. Другие эксперты считают, что наиболее распространенный 256-битный ключ шифрования, которым защищается передаваемая информация, с помощью особых программ взламывается мгновенно, поэтому коммерческое использование Wi-Fi- и WiMax-технологий нецелесообразно. Надежным решением по безопасности, по их мнению, сейчас является создание беспроводных сетей на базе виртуальных частных сетей (Virtual Privatе Networks, VPN). Эту технологию можно рассматривать как дополнительное средство обеспечения безопасности к уже существующим средствам защиты, которые реализованы разработчиками. При использовании VPN для аутентификации пользователей советуют использовать сертификаты открытого ключа стандарта Х.509 и соответствующие им закрытые ключи, хранящиеся в памяти смарт-карт или USB-ключей. Если это невозможно (например, при работе с PDA), то лучше использовать одноразовые пароли. Хакер не дремлет Но и хакеры не сидят, сложа руки. Набирает силу такое движение, как вардрайвинг (англ. WarDriving - боевое вождение) - сканирование эфира с целью найти как можно больше беспроводных точек доступа Wi-Fi. И хотя вардрайвинг не предполагает обязательного взлома сети, у его любителей, как следует из анализа многочисленных форумов на эту тему, часто появляется искушение это сделать. Этому способствует ненадежная защита многих беспроводных сетей, владельцы которых пренебрегают данной проблемой. Так, по данным исследования компании "Информзащита", в Москве летом прошлого года устройства без какой-либо защиты составили около 60% от общего числа обнаруженных устройств (по данным "Лаборатории Касперского" - около 70%). Вместе с тем наметилась тенденция к увеличению доли устройств, поддерживающих WPA – ранее этот показатель не превышал 8%, а на момент исследования - более 10%. Хотя количество устройств, использующих протокол шифрования WEP с низкой стойкостью к взлому, все еще достаточно велико. Виталий Солонин / CNews Analytics
1 С апреля 2005 года поддерживаются 5 типов расширяемых протоколов аутентификации (Extensible Authentication Protocol, EAP): EAP-TLS, EAP-TTLS/MSCHAPv2, PEAPv0/EAP-MSCHAPv2, PEAPv1/EAP-GTC и EAP-SIM.
|