Благодаря стандарту 802.11i безопасность беспроводных сетей повысилась. Однако он оставляет без внимания целый
ряд угроз.

Незащищенные беспроводные сети сегодня, как и прежде, относятся к наиболее крупным инфраструктурным рискам. Беспроводные архитектуры на базе контроллеров с центральной панелью управления обеспечивают простую интеграцию систем обнаружения и предотвращения вторжений, а значит, и эксплуатацию надежно защищенных беспроводных сетей.

Беспроводные сети на предприятиях доставляют все больше хлопот, и администраторам приходится постоянно трудиться над адаптацией структур обеспечения безопасности. При этом в результате утверждения и широкого использования стандарта 802.11i, где излагаются требования по обеспечению безопасности в беспроводных сетях, появилась уверенность, что компании смогут добиться всеобъемлющей защиты своих беспроводных сетей.

Однако стандарт все же имеет пробелы в системе обеспечения безопасности. Он включает лишь указания в отношении сеансов беспроводной связи (аутентификация/авторизация пользователей для доступа к сети) и определяет безопасность на уровне кадров (обеспечение конфиденциальности данных путем шифрования).

Однако есть еще один важный, третий компонент, не учтенный в 802.11i, а именно системы обнаружения и предотвращения вторжений (Intrusion Detection System, IDS; Intrusion Prevention System, IPS), с помощью которых производится активный мониторинг радиодиапазона. Если IDS распознает и классифицирует риски, то в случае опасности IPS по собственной инициативе принимает меры против неправомерного использования уязвимых мест.

В соответствии с указанными базовыми требованиями обеспечение безопасности должно быть как можно более прозрачным для пользователя и максимально дешевым для оператора сети. Это, среди прочего, требует интеграции клиентов, максимального удобства работы, наличия интегрированных функций управления, причем не только для безопасности, и т. п.

На этом фоне встает вопрос о том, от каких рисков, связанных с безопасностью и не охватываемых стандартом 802.11i, должно защищать себя предприятие. В целом они делятся на две категории: «общие», которые обычно возникают неумышленным образом и сравнительно часты, а также более редкие, но опасные «злонамеренные» атаки, когда хакеры умышленно пытаются создать или использовать слабое место.

ОБЩИЕ РИСКИ В БЕСПРОВОДНЫХ СЕТЕВЫХ СРЕДАХ

К общим рискам, связанным с безопасностью и требующим подробного рассмотрения, относятся, в частности, следующие.

Неправильно сконфигурированные точки доступа. Неавторизо-ванная, но известная точка доступа, подключенная к кабельной сети и не сконфигурированная надлежащим образом, может представлять собой такую же опасность, как и злонамеренно установленная, «неправомерная» точка доступа. Если,
к примеру, параметры обеспечения безопасности не были заданы, то она открывает доступ к сети всем желающим.

Беспроводные одноранговые сети. Некоторые операционные системы, к примеру Windows, позволяют строить сети, состоящие из нескольких беспроводных клиентов, без посредничества точки доступа. Если один из этих компьютеров настроен таким образом, что является членом одноранговой (ad hoc) сети и одновременно снабжен соединением с локальной сетью предприятия, то через него доступ в сеть могут получить неавторизованные пользователи.

Неправильное назначение клиента. Когда несколько предприятий находятся в непосредственной близости друг от друга, есть вероятность, что две беспроводные сети будут иметь одинаковую сетевую информацию. В этом случае беспроводной клиент свяжется с первой же точкой доступа, с которой установит контакт. Если она относится к соседней беспроводной сети, возникает риск, заключающийся в том, что пользователь передаст конфиденциальную информацию в сеть компании, принятой им за собственную.

«Мошеннические» точки доступа. Речь идет о неавторизованных точках доступа, связанных с проводной сетью. Они могут предоставить злонамеренным или неавторизованным пользователям открытый доступ к локальной сети. Инсталляция таких точек доступа — один из любимых приемов профессиональных взломщиков, которые, расположившись поблизости от здания компании, следят за происходящим в сети из автомобиля или из кафе на соседней улице.

АРСЕНАЛ ЗЛОНАМЕРЕННЫХ АТАК

К более редким, но потенциально еще более опасным рискам, связанным с безопасностью, относятся все преднамеренные атаки, производимые как извне, так и изнутри предприятия.

Точки доступа в качестве «приманки» (honeypot access point). При определенных обстоятельствах некоторые хакеры могут выявить конфигурацию беспроводной сети и установить в сетевой среде собственную точку доступа с такими же настройками. Из-за неправильного назначения клиенты станут связываться с подобными «приманками», поскольку исходят из того, что имеют дело с обычной точкой доступа. Ловкие хакеры используют это слабое место, связывая с указанной точкой доступа имитируемые сетевые ресурсы, к которым потом обращаются пользователи. Таким образом злоумышленнику удается перехватывать пароли и даже конфиденциальные документы.

Подделка (spoofing) МАС-адресов точек доступа. Клиентский компьютер с беспроводным соединением можно сконфигурировать таким образом, будто он является точкой доступа. Тогда лица, работающие во внутренней сети, а также внешние непрошеные гости смогут использовать собственный ПК в качестве «приманки».

Неавторизованный клиентский доступ. Открытые беспроводные сети представляют собой лакомый кусок для любого злоумышленника. Если в обнаруженной им сети установлена слабая система аутентификации пользователей или таковая вообще отсутствует, он легко может получить доступ к сети предприятия и похитить информацию или осуществить атаки на ресурсы с тем, чтобы вызвать отказы в сети.

Отказ в обслуживании (Denial of Service, DoS). Сетевые устройства в соответствии с принципом их работы должны отвечать на все запросы клиентов. Хакеры часто пользуются этим и направляют на сетевой ресурс такое количество запросов, что он не справляется с их обработкой. Распределенные атаки DoS усугубляют проблему, поскольку при помощи скрытого кода целый ряд компьютеров вносится в определенный список, после чего те без ведома хозяев начинают одновременно в большом количестве производить атаки с целью вызвать «отказ в обслуживании».

Атака «незаконный посредник». Если данные не защищены, хакер может перехватывать сообщения и изменять их содержание с тем, чтобы ввести в заблуждение участников коммуникации и создать у них впечатление, что он является одним из них.

РАЗНЫЕ ПОДХОДЫ К РЕШЕНИЯМ IDS/IPS

В настоящее время рынок предлагает два варианта решений для обнаружения и предотвращения вторжений. Первый — это реализация «перекрывающегося» решения. Речь идет о специальной сенсорной сети, полностью отделенной от беспроводной. Поскольку подобные решения предназначены лишь для одной цели и фокусируются на продуктах для обнаружения и предотвращения вторжений в беспроводные сети, в большинстве случаев они обладают очень высокой производительностью. Однако сложность и стоимость системы существенно возрастают, поскольку в результате приходится строить две беспроводные сети без интеграции системы управления и без экономии на аппаратных средствах.

Второй вариант — использование интегрированных решений, предлагаемых поставщиками беспроводного оборудования вместе со своими системами и предназначенных для обнаружения и предотвращения вторжений. В данном случае проблема заключается в том, что предлагаемое решение IDS/IPS в целом уступает перекрывающимся продуктам — если не в отношении функциональных характеристик, то уж точно в плане производительности.

Новые подходы объединяют в себе лучшие качества обоих вариантов и бесшовным образом интегрируют имеющиеся перекрывающиеся решения
в архитектуру беспроводной сети на базе контроллеров. Причем производительность и рабочие характеристики сравнимы с теми, что демонстрируют ведущие перекрывающиеся решения для обнаружения и предотвращения вторжений. Управление обеими составными частями остается интегрированным, чем улучшаются эксплуатационные характеристики сети, а ее работа оказывается более эффективной. Это особенно важно, когда беспроводная сеть растет и ее сложность повышается.

ПРОСТАЯ ИНТЕГРАЦИЯ В ИМЕЮЩИЕСЯ СРЕДЫ

В таком интегрированном решении беспроводные контроллеры должны автоматически передавать всю важную информацию в систему управления. Та поддерживает автоматическое конфигурирование и реализацию функции Plug-and-Play для всех компонентов в пределах беспроводной сети. При добавлении в сеть точек доступа их не нужно авторизовать вручную — они автоматически получают разрешение на работу в сети и после этого готовы к эксплуатации.

В такой среде требуется, чтобы все точки доступа в дополнение к стандартному режиму могли работать и в сенсорном режиме, для чего их необходимо сконфигурировать как сенсоры IDS/IPS, чтобы через оснащенные соответствующим образом беспроводные контроллеры предоставлять в распоряжение модуля обеспечения безопасности IDS/IPS всю информацию о сети.

В результате становится ненужной реализация отдельной перекрывающейся сенсорной сети. В идеальном случае должно обеспечиваться переключение точек доступа посредством централизованного изменения конфигурации с консоли управления из стандартного режима в сенсорный и обратно. И хотя планирование сети, проведение анализа филиалов и другие задачи рассматриваются как независимые от эксплуатации сети, интеграция выходных данных инструмента для планирования в платформу управления предлагает дополнительные преимущества, позволяя импортировать планы, информацию о структуре материалов и т. п. В противном случае эти инструменты пришлось бы создавать на платформе управления заново. Система управления пользуется данными, которые она собирает в режиме реального времени, для обновления рабочих моделей, создаваемых на основе исходных данных. Подобным образом можно получать постоянно обновляемый обзор радиочастотной среды.

ЭЛЕКТРОННАЯ ПАНЕЛЬ УПРАВЛЕНИЯ ОБЕСПЕЧИВАЕТ ПОЛНЫЙ ОБЗОР

Рисунок 1. На верхнем уровне желательно наличие системы управления для правил.
В целом управление защищенной беспроводной сетью заметно упрощается, поскольку для всех функ-ций используется интегрирован-ный уровень управления, включая обеспечение безопасности, определение местоположения, работу с директивами, мониторинг сети, ее конфигурирование и т. д. (см. Рисунок 1).
Рисунок 2. Общая электронная панель управления отображает все точки доступа и их свойства, связанные с безопасностью.
Всеобъемлющая платформа управления наряду с функциями IDS/IPS включает также планирование радиосреды, инструменты для оптимизации производительности, а также функции мониторинга и составления отчетов. К ним относится, в частности, централизованная приборная панель, или электронная панель управления, которая при регистрации дает администратору полный обзор состояния сети (см. Рисунки 2 и 3) с детальным представлением каждой области управления — неважно, идет ли речь о решении проблем, повышении производительности или составлении отчетов (см. Рисунок 4).
Рисунок 3. Вполне логично на плане отображается и радиопокрытие.
Возможность создания отчетов с заранее определенным форматом приобретает особую ценность при выполнении официальных предписаний: скажем, Закона Сарбейнса-Оксли от 2002 г. или различных специфических законов, таких, как Акт по обеспечению переносимости и возможности учета для страхования в области здравоохранения от 1996 г. (Health Insurance Portability and Accountability Act, HIPAA).

Рисунок 4. Рациональное управление беспроводной сетью требует наличия средств для быстрого получения подробной информации о каждой точке доступа в сети.
ЗАКЛЮЧЕНИЕ

До сих пор обеспечение безопасности представляло собой важное требование и одно из главных препятствий для реализации беспроводных сетей. Принятие стандарта безопасности позволило выработать решения для некоторых аспектов этой проблемной области (к примеру, шифрования и защиты сеансов). Перекрывающиеся беспроводные решения обнаружения и предотвращения вторжений ликвидировали пробелы, не учтенные в стандарте (безопасность радиодиапазона), однако довольно сложно интегрировались в имеющиеся сети. Новые подходы облегчают подобную интеграцию как в инфраструктуру, так и в существующие системы управления и позволяют создавать беспроводные сети, которые просто, эффективно и, главное, надежно поддерживают все мобильные приложения на предприятии.

Маркус Биркль — директор по продажам решений HiPath Wireless компании Siemens Communications.


© AWi Verlag