В IEEE весьма обеспокоены возможным расколом рынка оборудования для беспроводных локальных сетей
Брюс Шнайер: «Поскольку американские разработки в области безопасности WLAN все как одна оказались провальными, я готов рекомендовать Западу взять на вооружение китайскую технологию, если та хорошо себя зарекомендует»

Внедрение китайского стандарта защиты для беспроводных локальных сетей (WLAN) может помешать попыткам разработать аналогичный международный стандарт и привести к увеличению стоимости сетевого оборудования для конечных пользователей. Об этом предупреждают руководители IEEE в недавнем письме, адресованном правительству Китая.

Китайский совет по стандартизации еще в мае прошлого года объявил о внедрении в стране стандарта беспроводных локальных сетей, получившего название GB15629.11-2003. Несмотря на то что WLAN-оборудование, продаваемое в КНР, с 1 декабря 2003 года должно удовлетворять этому стандарту, был объявлен переходный период, который для некоторых продуктов может продолжаться до 1 июня 2004 года.

Китайский стандарт во многом схож с утвержденными IEEE стандартами семейства 802.11, но между ними есть одно существенное различие. В стандарте, принятом в КНР, предусмотрено использование протокола защиты, получившего название WLAN Authentication and Privacy Infrastructure (WAPI). В семействе стандартов IEEE 802.11 оговорено применение технологии Wired Equivalent Privacy (WEP).

Существование двух различных стандартов для защиты беспроводных локальных сетей (один в Китае, а другой — в остальной части мира), как считает Пол Николич, председатель комитета IEEE 802 Local and Metropolitan Area Network Standards Committee, может привести к расколу рынка сетевого оборудования.

«Мы считаем, что принудительное внедрение протокола WAPI приведет к ненужной сегментации мирового рынка продуктов для беспроводных локальных сетей, — написал Николич в своем недавнем письме, адресованном председателю Китайского совета по стандартизации Ли Жонгхаю и министру ИТ-отрасли Китая Ванг Сюдонгу. — Мы обеспокоены тем, что это будет препятствовать применению продуктов, соответствующих спецификации 802.11, тем самым ограничивая выбор конечных пользователей и увеличивая их расходы».

Внедрение в Китае стандарта WAPI призвано укрепить защиту беспроводных сетей, чего добивается и IEEE. Защиту WEP можно взломать без особого труда, это и стимулировало разработку нового стандарта IEEE 802.11i, позволяющего компенсировать остававшиеся изъяны в защите.

Работа над 802.11i в настоящее время еще продолжается. Тем временем Wi-Fi Alliance, отраслевая группа, созданная для проведения сертификации продуктов на основе 802.11 на предмет интероперабельности, убеждает производителей оборудования внедрять усовершенствованную технологию защиты — Wi-Fi Protected Access (WPA) — в качестве некой промежуточной меры. WPA таким образом выступает в роли решения, позволяющего улучшить защиту сетей 802.11 до тех пор, пока не будет утвержден стандарт 802.11i.

В своем письме Николич подчеркнул, что защиту, базирующуюся на стандарте 802.11, необходимо усовершенствовать и предложил привлечь к этому процессу госструктуры Китая.

Если IEEE и Китайский совет по стандартизации не придут к компромиссу в вопросе о стандартах на беспроводные локальные сети, производители оборудования будут вынуждены выпускать продукты, которые поддерживают оба стандарта, или предлагать различные их модификации — для Китая и остального мира.

«Мы пытаемся как можно более плотн?о сотрудничать с китайцами, — отметил Стюарт Керри, председатель рабочей группы IEEE 802.11 Wireless LAN Working Group, добавив, что IEEE остается приверженцем 802.11i. — Мы считаем, что 802.11 — это международный стандарт, и уверены в том, что миру нужен именно 802.11i».

Однако, как заметил Керри, в IEEE не отвергают и возможности интегрировать WAPI в 802.11 для того, чтобы избежать раскола рынка продуктов для беспроводных локальных сетей. «Эти технологии дополняют друг друга, и мы сейчас изучаем вопрос о том, можно ли использовать WAPI как расширение 802.11», — сообщил он.

Неожиданное предложение

Итак, китайское правительство издало указ, в соответствии с которым оборудование беспроводных локальных сетей, изготовленное в стране для внутреннего использования, начиная с июня 2004 года обязано поддерживать стандарт шифрования и аутентификации местной разработки — Wired Authentication and Privacy Infrastructure.

Крупные американские производители сетевого оборудования во главе с Cisco Systems сетуют, что не могут получить об этом стандарте никаких сведений — китайские власти разрешают обмениваться спецификациями технологии только избранным локальным компаниям, одной из которых является Huawei Technologies. Комментируя известие, видный специалист по защите информации и шифрованию Брюс Шнайер заявил, что тоже не знаком с китайским стандартом, но поскольку американские разработки в области безопасности WLAN «все как одна оказались провальными», он готов рекомендовать Западу взять на вооружение китайскую технологию, если та хорошо себя зарекомендует. До сих пор стандарты шифрования и управления ключами, как правило, публиковались открыто.

Сделай сам

Эксперты полагают, что универсального метода организации защиты беспроводных локальных сетей на сегодняшний день не существует. Базовые потребности в защите могут быть удовлетворены при помощи продуктов, основанных на разных технологиях. Оптимальный для каждого конкретного предприятия метод может зависеть от множества факторов
Базовые требования
  • Аутентификация клиентских устройств и точек доступа
  • Шифрование данных, передаваемых в ходе беспроводных сессий
  • Администрирование централизованных политик защиты
Базовые стратегии
  • Защита беспроводных локальных сетей должна стать элементом общекорпоративной стратегии
  • Структура защиты беспроводных локальных сетей должна быть многоуровневой
  • Ничего нельзя принимать на веру
  • Необходимо гибко подходить к меняющимся рискам и угрозам
Базовые технологии
  • WPA (Wi-Fi Protected Access) позволяет закрыть многие из известных прорех беспроводных локальных сетей
  • Реализовать аутентификацию пользователей и ключевые функции управления сетями IEEE 802.1x можно с помощью протокола EAP (Extensible Authentification Protocol)
  • Защищенные каналы беспроводной связи могут быть реализованы с помощью виртуальных частных сетей (VPN) или других аналогичных технологий
  • Будущий стандарт IEEE 802.11i включает в себя средства аутентификации IEEE 802.1x, а также криптографический алгоритм AES (Advanced Encryption Standard)