Несоответствие протокола Wired Equivalent Privacy требованиям к обеспечению безопасности продолжает удерживать многие компании от развертывания беспроводных локальных сетей. Большая часть сетевых администраторов и конечных пользователей хорошо понимают, какие преимущества сулит отказ от кабельной разводки, но их беспокоит риск, связанный с переходом к беспроводной архитектуре.
Беспроводные технологии фактически открывают корпоративную сеть внешним пользователям, поэтому должны рассматриваться скорее как механизм построения инфраструктуры доступа, а не базовой транспортной среды передачи. Подключение пользователей к коммутатору или концентратору локальной сети предполагает, что клиенты изначально обладают всеми необходимыми для выполнения этой операции правами. Для дополнительной аутентификации информационная служба корпорации может применять протоколы типа 802.1X или RADIUS.
Чтобы устранить бреши в системе безопасности беспроводных локальных сетей в рамках рабочей группы IEEE 802.11, была сформирована команда Task Group i. В ее задачи входит внесение в стандарт 802.11 коррективов, которые обеспечат его соответствие требуемому уровню защищенности. Спецификации 802.11i предусматривают аутентификацию пользователей и устройств, подключаемых к порту 802.1X. Стандарт 802.11i, проектирование которого планируется завершить во второй половине текущего года, включает в себя два основных компонента — Wi-Fi Protected Access (WPA) и Robust Security Network (RSN).
Wi-Fi Protected Access
Первоочередная задача заключается в том, чтобы путем обновления встроенного ПО или драйверов ликвидировать бреши, которые создают унаследованные устройства в системе защиты. Ассоциация Wi-Fi Alliance решила использовать для этих целей специальную технологию, состоящую из части механизмов, которые указаны в предварительной версии стандарта 802.11i. Сегодня Ассоциация сертифицирует устройства, которые соответствуют требованиям WPA.
В качестве протокола и алгоритма повышения уровня безопасности при распространении ключей WEP в технологии WPA применяется механизм Temporal Key Integrity Protocol (TKIP). Он изменяет порядок получения ключей и увеличивает частоту их смены. Кроме того, для предотвращения подделки пакетов активируется функция проверки целостности сообщения.
Хотя разработчики Ассоциации приложили немало усилий для устранения недостатков WEP, многие клиенты не сумеют воспользоваться преимуществами этой технологии. Дело в том, что в рамках WPA не всегда обеспечивается обратная совместимость с унаследованными устройствами и операционными системами. Более того, далеко не все потребители смогут задействовать общую инфраструктуру корпоративной защиты. Тем клиентам, которые работают лишь с устройствами PDA, недоступны вычислительные ресурсы ПК.
Кроме того, если в беспроводной сети не будет установлено оборудование, ускоряющее обработку запросов WPA, применение технологии TKIP/WPA приведет к заметному снижению производительности. При этом авторы проектов большинства беспроводных сетей ищут компромисс между безопасностью и производительностью без установки в точке доступа аппаратных ускорителей.
Robust Security Network
Технология RSN предусматривает динамический обмен информацией между точками доступа и мобильными устройствами при выполнении процедуры аутентификации и алгоритмов шифрования. Схемы аутентификации, предложенные в черновом варианте стандарта, базируются на механизмах 802.1X и Extensible Authentication Protocol (EAP). В качестве алгоритма шифрования используется протокол AES.
Динамический обмен информацией при аутентификации пользователей и выполнении шифрования позволяет совершенствовать базирующиеся на RSN системы обеспечения безопасности, задействовать дополнительные средства для устранения новых угроз и повышать уровень защиты данных, передаваемых по беспроводным сетям. За счет динамического обмена информацией и интеграции с серверами 802.1X, EAP и AES технология RSN обеспечивает гораздо более высокий уровень защиты, чем WEP и WPA. Однако совместимость RSN с унаследованными устройствами также оставляет желать лучшего. А аппаратные средства, благодаря которым ускоряется выполнение соответствующих операций клиентскими устройствами и точками доступа, есть лишь в самых новых продуктах.
Таким образом технология WPA обеспечивает минимально приемлемый уровень безопасности при использовании унаследованных устройств, но будущее систем защиты беспроводных сетей стандарта 802.11, несомненно, связано с RSN.
Алан Коэн (alan@airespace.com) — вице-президент компании Airespace по маркетингу.
Боб О?Хара (bob@airespace.com) — директор по проектированию систем, председатель комитета 802.11m и редактор группы 802.11f