Защита точек доступа Wi-Fi

Защита точек доступа Wi-Fi

Екатерина Хмара, специалист по информационной безопасности компании "Ай-Теко"

СТАНДАРТЫ безопасности, которые применялись первоначально в беспроводных сетях (IEEE 802.11, WEP), имели определенные недостатки. Метод защиты заключался в использовании идентификаторов сети SSID (Service Set Identifier), аутентификации по MAC-адресу и открытой аутентификации с общим ключом по протоколу WEP (Wired Equivalent Privacy). Протокол WEP применяет статические ключи, алгоритм шифрования RC4, а также не требует обязательной аутентификации пользователя и легко вскрывается. Данные методы применяются и на сегодняшний день, но являются устаревшими и не отвечают требованиям по обеспечению должного уровня безопасности в организации.

Тем не менее существует надежное решение по защите точек доступа на канальном уровне на базе протоколов EAP (Extensible Authentication Protocol), TKIP (Temporal Key Integrity Protocol) и алгоритма шифрования AES. Протокол EAP поддерживает надежные схемы аутентификации с использованием Radius-сервера, динамические сессионные ключи и алгоритмы управления ключами. Перечисленные технологии являются компонентами новых стандартов по безопасности беспроводного доступа IEEE 802.11 i и WPA/WPA2 (Wi-Fi Protected Access) и обеспечивают надежный способ взаимной и централизованной (с помощью Radius-сервера) аутентификации и шифрования.

Требования и возможности

Таким образом, для защиты точек доступа выдвигаются следующие основные требования:

1. Передаваемые данные в беспроводной сети должны быть защищены с помощью надежных механизмов обеспечения конфиденциальности данных, использующих безопасные протоколы (например, EAP, TKIP, AES).
2. Оборудование беспроводной сети должно предоставлять возможность:
   • регулировки уровня мощности передаваемого радиосигнала;
   • поддержки подачи питания по Ethernet-кабелю;
   • формирования нескольких беспроводных сетей на одной точке доступа с различным уровнем безопасности;
   • поддержки механизмов безопасности: Wireless Protected Access (WPA), 802.11 i;
   • поддержки механизмов обнаружения "вражеских" точек доступа, одноранговых беспроводных сетей, источников помех;
   • быстрого роуминга (оборудование беспроводной сети должно обеспечивать переключение между точками доступа не более чем за 50 мс).

Данные протоколы и требования поддерживают точки доступа различных компаний, таких, как Cisco Aironet, Zyxel, D-Link и др.

Схема построения безопасного беспроводного доступа к сегменту сети представлена на рис. 1. Основными компонентами решения являются:

• точка радиодоступа;
• коммутатор доступа;
• DHCP-сервер (сервер Active Directory);
• сервер контроля доступа (RADIUS-сервер);
• беспроводный адаптер Wi-Fi на компьютере пользователя.

Технология VPN

Другим кардинальным способом обеспечения безопасности для беспроводных сетей является технология VPN, которая обеспечивает шифрование (конфиденциальность), электронную цифровую подпись (целостность, имитостойкость, аутентификацию) на сетевом уровне. VPN-шлюзы позволяют осуществить защищенный доступ удаленных абонентов к ресурсам корпоративной сети (рис. 2). Данная технология может использоваться для усиления мер защиты, описанных ранее.

Для построения безопасного беспроводного доступа с установлением защищенного VPN-соединения необходимо выделить беспроводных пользователей в отдельный сегмент внутренней сети, на выходе которого поместить VPN-шлюз. Для осуществления защищенного взаимодействия удаленных (мобильных) пользователей с ресурсами корпоративной сети посредством организации VPN на компьютер пользователя устанавливается специальное программное обеспечение (VPN-клиент). Программное обеспечение VPN-шлюза проводит идентификацию и аутентификацию пользователя и осуществляет его связь с ресурсами защищаемой сети.

В качестве решения по защите информации, передаваемой по беспроводным сетям, для удаленного доступа предлагается использовать как сертифицированные средства VPN (для госструктур), так и несертифицированные.

Протокол IPsec

Несертифицированное решение основано на использовании протокола IPsec, который является базовым для построения систем безопасности на сетевом уровне и представляет собой набор открытых международных стандартов. Данный протокол поддерживается всеми зарубежными производителями решений по защите сетевой инфраструктуры, но они не сертифицированы в России. Это связано с тем, что данные решения не поддерживают российские алгоритмы шифрования, хэширования и электронной цифровой подписи. Для негосударственных организаций применение сертифицированных средств не требуется, если они работают только со своей информацией, не относящейся к определенным категориям (государственная тайна, конфиденциальная информация, персональные данные). Таким образом, возможно использование несертифициро-ванных продуктов различных компаний, например: Cisco ASA (c модулем VPN); Check Point UTM, Check Point VPN-1; FortiNet FortiGate; Juniper Networks ISG, Juniper NetScre-en; Safenet Encryptor.

Криптошлюзы

В рамках сертифицированного решения по обеспечению информационной безопасности при передаче данных по беспроводным каналам связи подсистема криптографической защиты сетевых взаимодействий реализуется с использованием сертифицированных криптошлю-зов (VPN-шлюзов), таких как: "Континент" ("Информзащи-та"), "Застава" ("Элвис Плюс"), "VipNet" ("Инфотекс"), "VPN Gate" ("С-Терра СиЭс-Пи"), "ФПСУ-IP" ("Амикон"). Эти устройства обеспечивают шифрование передаваемых данных (IP-пакетов) в соответствии с ГОСТ 28147-89 и имеют сертификаты ФСТЭК и ФСБ. Большинство из сертифицированных VPN-шлюзов не поддерживает протокол IPsec, и поэтому они функционально несовместимы с аппаратно-программными продуктами других производителей.