Защита доступа в сетях 3G и Wi-Fi

Защита доступа в сетях 3G и Wi-Fi

Ольга Челнокова, эксперт

ДО самого недавнего времени услуги высокоскоростного беспроводного доступа трудно было назвать мобильными. Сети стандарта 802.11 позволяют экономично создавать беспроводной доступ в широком диапазоне скоростей передачи данных. Однако точки доступа могут обеспечивать покрытие очень ограниченных площадей, таких как офисы предприятий, отели или аэропорты. Для связи на большие расстояния требовались специализированные антенны и выезд бригады квалифицированных специалистов, сначала определяющих возможность организации самого доступа, затем устанавливающих внешнюю антенну.

С распространением сетей стандарта 3G ситуация начинает меняться. Пользователь может получить услуги высокоскоростного доступа практически в любом месте, где развернута сеть оператора 3G, без какой-либо дополнительной помощи. При этом скорость и тарифы такого беспроводного доступа в отдельных случаях могут составлять реальную альтернативу услугам операторов фиксированного широкополосного доступа.

Толчком к дальнейшему развитию сетей 3G в России послужил конкурс на право оказания услуг связи 3G, завершившийся в апреле прошлого года. К "СкайЛинку", достаточно давно предоставляющему в России связь стандарта 3G, присоединяются традиционные GSM-опера-торы. Реальные скорости беспроводного доступа измеряются сотнями кбит/с, а в отдельных случаях речь идет уже о Мбит/с. Такие скорости позволяют использовать беспроводной канал не только для индивидуального, но уже и для коллективного широкополосного доступа, организовав с его помощью резервный или даже основной канал связи с Интернетом для небольшого офиса или компании. Такая возможность оказалась востребованной и породила целый класс устройств - межсетевых экранов для подключения к сетям 3G, об отдельных представителях которого и пойдет речь в предлагаемой статье. Как обычно, в случае беспроводного доступа особо остро встает вопрос о безопасности данных, передаваемых абонентами, и речь заходит о защите входа в магистральную сеть оператора межсетевым экраном.

ZyWALL 2WG

ZyWALL 2WG представляет собой высокоэффективную многоуровневую комплексную систему защиты сети с поддержкой Wi-Fi и 3G. Обладая тремя видами сетевых интерфейсов, ZyWALL 2WG позволяет сотрудникам предприятия получить доступ к ресурсам вычислительной сети не только с рабочего места, но и из любой точки офиса. Устройство обладает Wi-Fi-точкой доступа для создания беспроводной сети, четырьмя портами Ethernet для проводных сетей, а в сетях широкополосного доступа можно использовать встраиваемые адаптеры Sierra Wireless AirCard 595/850/860/875, Huawei E612/E620/EC500 и Option Glo-beThrotter HSDPA 7.2 Ready. Такое обилие сетевых интерфейсов дает возможность не только подключаться к глобальной сети без проводов, но и в комбинации с проводным подключением, а также расширять общий канал, разделять нагрузку в приложениях между провайдерами, использовать 3G-канал в качестве резервного. При этом заявленная пропускная способность основного Ethernet-канала доступа в Интернет составляет 24 Мбит/с.

При помощи функций маршрутизации и встроенного МСЭ можно не только управлять потоком данных всех трех интерфейсов, но и проводить их инспекцию и анализ с целью выявления вредоносной активности. Маршрутизация в ZyWALL 2WG может осуществляться в четырех режимах: маршрутизатор, "прозрачный" мост, трансляция сетевых адресов (NAT), резервирование канала провайдера по коммутируемой линии. При этом анализ трафика доступен во всех режимах работы UTM-устройства, кроме последнего. Работая на нескольких уровнях модели ЭМ-ВОС, МСЭ может блокировать DoS и DDoS-атаки, проводить разнообразную контентную фильтрацию, инспектировать пакеты с учетом состояния (SPI). Обнаружение запрещенного трафика сопровождается немедленным уведомлением администратора и журналированием данного события.

Управление устройством осуществляется через графический Web-интерфейс (HTTP, HTTPS) либо командную строку (консоль, Telnet, SSH). Также возможно централизованное управление по сети с помощью ПО Vantage CNM.

SonicWall TZ 190

Данное устройство работает через сетевые интерфейсы 3G/2.5G/2G, 802.11 b/g и 10/100 Ethernet, а также включает в себя процедуры автоматического восстановления после сбоев и систему глубокого пакетного анализа.

В связи с тем что шифрованный канал передачи данных организуется самим TZ 190, становится возможным анализировать и инспектировать проходящий трафик, для чего используется МСЭ. Последний поддерживает функции анализа содержимого пакетов таких типов, как Web, SMTP, POP3, FTP, DNS и т.д.

Помимо МСЭ в SonicWall TZ 190 присутствуют антивирус, антишпион, система IPS. Также существует возможность настраивать политики МСЭ для проводных и беспроводных интерфейсов. На основе заданных правил формируются схемы взаимодействия интерфейсов LAN, 3G и Wi-Fi.

Особое внимание разработчики данного сетевого решения уделили безопасности корпоративной сети, внедрив технологию PortShield, что сделало возможным настраивать защиту не только WAN-, но LAN-портов МСЭ.

Управление TZ 190 осуществляется через встроенный Web-интерфейс и систему GMS (Global Management System), предоставляющую администраторам централизованную упрощенную работу с глобальными политиками безопасности и VPN-соединениями данного сетевого устройства.

WatchGuard Firebox X15w

Серия Firebox X Edge представлена тремя моделями - как для проводных, так и для беспроводных сетей - X5/X5w, X15/X15w и X50/X50w, разработанных для обеспечения надежной защиты вычислительных сетей предприятий малого и среднего бизнеса.

Для любой организации является немаловажным скрыть структуру своей вычислительной сети от внешних сетей. Благодаря обеспечению фильтрации трафика (с запоминанием состояния) и поддержке VPN Firebox X15w (именно он в серии поддерживает Wi-Fi) осуществляет более надежную защиту сетей, чем устройства, использующие NAT.

В Firebox X15w защита беспроводного 802.11b/g канала связи 802.11 b/g базируется на системах шифрования WEP и WPA. Иногда применение логического разбиения в совокупности с методами шифрования каналов дает значительный прирост общего уровня защищенности вычислительной сети. Так, наличие настроек VLAN позволяет разделить внутреннюю сеть на сегменты, обеспечивая дополнительный уровень защиты между проводными и беспроводными сетями.

МСЭ осуществляет динамическую фильтрацию пакетов, эффективно распознает и отражает DoS-атаки.

Применение вышеописанных средств защиты, безусловно, повышает общий уровень защищенности сети предприятия, но одно из наиболее уязвимых звеньев информационной системы так и останется неконтролируемым - канал передачи данных удаленных клиентов. Безопасная среда передачи данных для удаленных клиентов обеспечивается VPN-туннелями, а для доступа клиентов к внешней сети в Firebox X15w применяется динамическая трансляция адресов (Dynamic NAT).

CheckPoint Firewall-1 GX

FireWall-1 GX является решением по защите с поддержкой таких беспроводных инфраструктур, как GPRS (2.5G) и UMTS (3G), от угроз, исходящих из недоверенных сетей. При помощи FireWall-1 GX операторы беспроводных сетей могут предлагать услуги роуминга и передачи данных без риска подвергнуть передаваемую информацию потенциальным угрозам безопасности.

Firewall-1 GX производит детальную инспекцию и фильтрацию всех пакетов GTP. Устройство обладает возможностями настроек разрешенных и запрещенных типов пакетов GTP PDU, отслеживает все события, связанные с туннелем (создание, удаление или обновление). При поступлении все информационные элементы (IE) сканируются на корректность с учетом версии протокола и состояния флагов заголовка GTP-пакета.

Предотвратить вмешательство злоумышленника в туннель возможно описанием роуминго-вых областей и политик, установив ограничения на разрешенные передачи и перенаправления туннелей.

В зависимости от политики безопасности оператора использование туннелей со статическими IP-адресами пользователей может быть разрешено или блокировано, также контролируется количество открываемых соединений - механизм Anti-Flood ограничивает поток сигнализационных сообщений для каждого GGSN во избежание его перегрузки, а также блокирует атаки типа Signaling Flood, одновременно уведомляя администратора безопасности.

Все действия, связанные с обновлением или удалением туннельной инспекции GTP-трафи-ка, вызывают различные виды предупреждений и сигналов тревоги по всем случаям нарушения политики безопасности или корректной работы протокола.