Глава 3.
Беспроводные сети. Взлом и защита
Многие пользователи и специалисты в первую очередь обращают внимание на скоростные возможности новых стандартов и технологий, но не менее важны и новые методы обеспечения информационной безопасности, призванные сделать нашу жизнь спокойнее. Используемый сегодня в сетях стандарта IEEE 802.11 метод обеспечения информационной безопасности, получивший название WEP (Wired Equivalent Privacy), основан на алгоритме шифрования RC4 с 40-битовым или 128-битовым ключом. К сожалению, этот метод имеет серьёзные недостатки, которые позволяют раскрыть передаваемую информацию, и предполагает распределение ключей шифрования вручную.
Решить эти проблемы призвана новая система сетевой безопасности, разработанная институтом IEEE и описанная в стандарте IEEE 802.11x. Она ориентирована на все виды сетей доступа (проводные и беспроводные), соответствующие стандартам IEEE. В ней предусмотрены подсистемы аутентификации, шифрования и распределения ключей шифрования. Система, о которой идёт речь, предназначена для совместной работы с существующими средствами защиты данных, поддерживающими стандарты EAP (Extensible Authentication Protocol) и RADIUS (Remote Access Dial-in User Service).
Ещё один новый стандарт, IEEE 802.11i, определяет специфические для беспроводных сетей, включая инфраструктуры стандартов IEEE 802.11b и IEEE 802.11a, защитные функции. Учитывая сильную поддержку новых стандартов обеспечения информационной безопасности со стороны таких крупных компаний, как Cisco Systems и Microsoft, можно предположить, что соответствующие этим стандартам сетевые продукты появятся в начале следующего года.
Стоит отметить, что ОС Microsoft Windows XP поддерживает стандарты IEEE 802.11x и EAP. Благодаря этому, пройдя единую процедуру аутентификации, пользователь получает возможность работать как в беспроводной, так и в инфраструктурной сети. Чтобы воспользоваться преимуществами новых методов защиты данных, необходимо проделать определённую работу по интеграции проводной сети с беспроводной. Должно пройти ещё некое время, прежде чем большинство производителей начнут поддерживать новые стандарты сетевой безопасности. Кроме того, могут возникнуть проблемы с совместимостью решений от разных производителей.
Обеспечить необходимые уровни качества обслуживания трафика в беспроводных сетях призван другой новый стандарт — IEEE 802.11e.
В нем определены асинхронная и контролируемая по времени передачи данных. Последняя нужна для пересылки аудио— и видеоинформации. Кроме того, для разных видов потоков данных предусмотрена возможность использования разных методов передачи. Например, для пересылки чувствительного к задержкам видеопотока вместо механизма повторной передачи пакетов можно задействовать метод упреждающей коррекции ошибок. Одновременная поддержка в оборудовании стандартов IEEE 802.11e и IEEE 802.11a позволит получить примерно такой же набор рабочих характеристик и функциональных возможностей, какой предусмотрен стандартом HiperLAN/2.
Необходимые для качественной передачи аудио— и видеоинформации механизмы обеспечения QoS беспроводной ЛВС должны быть интегрированы с соответствующими механизмами инфраструктурной сети, а на это потребуется некоторое время. Возможно, до появления корпоративных приложений, использующих механизмы QoS для беспроводных ЛВС, пройдут годы. Гораздо быстрее интегрированные (предназначенные для передачи речи, видео и данных) беспроводные ЛВС появятся в жилых домах. Однако не стоит откладывать развёртывание беспроводной ЛВС, ожидая появление продуктов с новыми функциями. Возможностей сегодняшних устройств вполне хватает для нормальной работы большинства приложений. Предварительно обсудив с представителями фирмы-производителя её планы по модернизации выпускаемого оборудования, смело разворачивайте у себя беспроводную ЛВС, функциональность которой вы со временем сможете улучшить.
Предлагаемые методы защиты
Если отключить широковещательную передачу узлом доступа «маячковых» сигналов с идентификатором сети, то теоретически такая сеть становится «скрытой». Пользователь, находясь в зоне доступа «скрытой» сети, не получает «маячковых» сигналов от узла доступа. Следовательно, не может определить идентификатор сети. А если у него нет идентификатора, то и подключиться к сети он тоже не может. О надёжности такого способа маскировки позднее, а пока для подключения к «скрытой» сети пользователю необходимо ввести значение сетевого идентификатора вручную.
Реализованный в протоколе 801.11 метод — WEP. Это симметричный способ шифрования, когда для кодирования и декодирования данных используется один и тот же кодирующий ключ, состоящий из двух частей. Одна часть — секретный ключ, хранится у получателя и отправителя. Вторая — вектор инициализации — генерируется случайным образом в системе отправителя. На основании этих двух значений вычисляется псевдоуникальный кодирующий ключ.
Данные между сетевыми системами передаются в виде пакетов. Структурно, каждый пакет состоит из двух частей — заголовка и тела. В заголовке хранится служебная информация, в частности, идентификатор сети, аппаратные адреса получателя и отправителя. В теле передаются данные и значение контрольной суммы передаваемых данных (ICV), используемое получателем для проверки целостности данных.
Для каждого нового сетевого пакета применяется новый кодирующий ключ. Причём, кодируется только тело пакета. В заголовок добавляется значение вектора инициализации соответствующего данному пакету кодирующего ключа. Содержание заголовка не кодируется и передаётся в открытом виде.
Если используемый системой генератор случайных чисел достаточно качественен в статистическом отношении, то проведённая операция шифрования обеспечивает шумоподобный характер передаваемых данных, что в теории, без знания секретного ключа, делает возможность декодирования перехваченного сообщения очень длительным процессом даже при современной вычислительной технике.
При расшифровке пакета получателем программа кодирования инициализируется секретным ключом и извлечённым из полученного пакета значением вектора инициализации. После расшифровки тела сетевого пакета, система вычисляет контрольную сумму полученных данных и сравнивает со значением контрольной суммы, переданной отправителем в этом же пакете. При положительном результате данные начинают обрабатываться, и отправителю передаётся подтверждение удачного приёма. В противном случае, отправитель повторно осуществляет передачу.
Сетевой доступ к какому-либо беспроводному устройству можно избирательно контролировать, используя список контроля доступа. Там указываются аппаратные адреса сетевых устройств, связь с которыми разрешена. Соответственно, любая сетевая активность устройств с аппаратными адресами, не внесёнными в список, будет проигнорирована. Данный вид защиты основан на том, что аппаратный адрес — это уникальный идентификатор устройства, присваиваемый производителем. Теоретически, двух сетевых устройств с одинаковым аппаратным адресом быть не может. Следовательно, на основании этой характеристики сетевого устройства можно однозначно идентифицировать его владельца.
В стандартах рассматриваемых беспроводных сетей были изначально заложены механизмы идентификации клиентов (по аппаратным адресам), защиты (WEP) и контроля целостности передаваемых данных. Исходя из предоставленных разработчиками технологии средств, в теории, беспроводная сеть должна быть наиболее защищена при работе в режиме инфраструктуры (когда весь трафик клиентов проходит через узел доступа) с включённым WEP-кодированием и фильтрацией аппаратных адресов беспроводных клиентов.