В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Екатерина Хмара, специалист по информационной безопасности компании "Ай-Теко"
СТАНДАРТЫ безопасности, которые применялись первоначально в беспроводных сетях (IEEE 802.11, WEP), имели определенные недостатки. Метод защиты заключался в использовании идентификаторов сети SSID (Service Set Identifier), аутентификации по MAC-адресу и открытой аутентификации с общим ключом по протоколу WEP (Wired Equivalent Privacy). Протокол WEP применяет статические ключи, алгоритм шифрования RC4, а также не требует обязательной аутентификации пользователя и легко вскрывается. Данные методы применяются и на сегодняшний день, но являются устаревшими и не отвечают требованиям по обеспечению должного уровня безопасности в организации.
Тем не менее существует надежное решение по защите точек доступа на канальном уровне на базе протоколов EAP (Extensible Authentication Protocol), TKIP (Temporal Key Integrity Protocol) и алгоритма шифрования AES. Протокол EAP поддерживает надежные схемы аутентификации с использованием Radius-сервера, динамические сессионные ключи и алгоритмы управления ключами. Перечисленные технологии являются компонентами новых стандартов по безопасности беспроводного доступа IEEE 802.11 i и WPA/WPA2 (Wi-Fi Protected Access) и обеспечивают надежный способ взаимной и централизованной (с помощью Radius-сервера) аутентификации и шифрования.
Требования и возможности
Таким образом, для защиты точек доступа выдвигаются следующие основные требования:
Данные протоколы и требования поддерживают точки доступа различных компаний, таких, как Cisco Aironet, Zyxel, D-Link и др.
Схема построения безопасного беспроводного доступа к сегменту сети представлена на рис. 1. Основными компонентами решения являются:
Технология VPN
Другим кардинальным способом обеспечения безопасности для беспроводных сетей является технология VPN, которая обеспечивает шифрование (конфиденциальность), электронную цифровую подпись (целостность, имитостойкость, аутентификацию) на сетевом уровне. VPN-шлюзы позволяют осуществить защищенный доступ удаленных абонентов к ресурсам корпоративной сети (рис. 2). Данная технология может использоваться для усиления мер защиты, описанных ранее.
Для построения безопасного беспроводного доступа с установлением защищенного VPN-соединения необходимо выделить беспроводных пользователей в отдельный сегмент внутренней сети, на выходе которого поместить VPN-шлюз. Для осуществления защищенного взаимодействия удаленных (мобильных) пользователей с ресурсами корпоративной сети посредством организации VPN на компьютер пользователя устанавливается специальное программное обеспечение (VPN-клиент). Программное обеспечение VPN-шлюза проводит идентификацию и аутентификацию пользователя и осуществляет его связь с ресурсами защищаемой сети.
В качестве решения по защите информации, передаваемой по беспроводным сетям, для удаленного доступа предлагается использовать как сертифицированные средства VPN (для госструктур), так и несертифицированные.
Протокол IPsec
Несертифицированное решение основано на использовании протокола IPsec, который является базовым для построения систем безопасности на сетевом уровне и представляет собой набор открытых международных стандартов. Данный протокол поддерживается всеми зарубежными производителями решений по защите сетевой инфраструктуры, но они не сертифицированы в России. Это связано с тем, что данные решения не поддерживают российские алгоритмы шифрования, хэширования и электронной цифровой подписи. Для негосударственных организаций применение сертифицированных средств не требуется, если они работают только со своей информацией, не относящейся к определенным категориям (государственная тайна, конфиденциальная информация, персональные данные). Таким образом, возможно использование несертифициро-ванных продуктов различных компаний, например: Cisco ASA (c модулем VPN); Check Point UTM, Check Point VPN-1; FortiNet FortiGate; Juniper Networks ISG, Juniper NetScre-en; Safenet Encryptor.
Криптошлюзы
В рамках сертифицированного решения по обеспечению информационной безопасности при передаче данных по беспроводным каналам связи подсистема криптографической защиты сетевых взаимодействий реализуется с использованием сертифицированных криптошлю-зов (VPN-шлюзов), таких как: "Континент" ("Информзащи-та"), "Застава" ("Элвис Плюс"), "VipNet" ("Инфотекс"), "VPN Gate" ("С-Терра СиЭс-Пи"), "ФПСУ-IP" ("Амикон"). Эти устройства обеспечивают шифрование передаваемых данных (IP-пакетов) в соответствии с ГОСТ 28147-89 и имеют сертификаты ФСТЭК и ФСБ. Большинство из сертифицированных VPN-шлюзов не поддерживает протокол IPsec, и поэтому они функционально несовместимы с аппаратно-программными продуктами других производителей.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2008