Проблемы защиты информации в беспроводных сетях стандарта 802.11b
WEP-шифрование насколько это надежно?
Виртуальные частные сети решение проблемы
За последние несколько лет беспроводные сети Radio Ethernet получили широкое распространение для организации локальных сетей и подключения к Интернету.
IDC прогнозирует рост мирового объема продаж решений для беспроводных локальных сетей с 785 млн. долл. в 2000 году до 1,6 млрд. долл. в 2004-м. Ожидается, что выпуск беспроводных сетевых плат и устройств доступа возрастет за этот период до 11,9 млн. штук по сравнению с 2,8 млн. в 2000-м. Исследовательская фирма Strategy Analytics предвидит еще больший рост мирового рынка этих решений — до 2,5 млрд. долл. в 2005 году. В своем отчете она прогнозирует возрастание скоростей, повышение совместимости и снижение цен по мере сокращения разрыва в быстродействии беспроводных и кабельных сетей.
лавный исполнительный директор корпорации Intel Крейг Барретт заявил, что новые технологии обеспечат потребителям беспроводной стиль жизни, открывающий новые возможности для общения, связи и подключения к источникам информации и развлечений — в любое время, в любом месте, с помощью любого устройства.
«Создание беспроводного стиля жизни и устранение проводных соединений — это очередной логический этап развития бытовой электроники», — отметил Крейг Барретт на выставке International Consumer Electronics Show 2003 (CES), где 9 января с.г. он выступил с пленарным докладом.
По сравнению с традиционными кабельными решениями технология беспроводных сетей еще достаточно молода (стандарт был принят в 1999 году), однако опасаться того, что беспроводные решения со временем вытеснят кабельные сети, не стоит. Беспроводные решения вряд ли могут рассматриваться как альтернатива традиционным кабельным сетям Ethernet. Скорее, они займут в сетевой инфраструктуре собственную нишу, не конкурируя, а дополняя кабельные системы и мирно сосуществуя с ними.
Сегодня ниша беспроводных сетей представляется достаточно широкой. Это и небольшие по численности мобильные локальные сети, когда прокладка кабельной структуры является нерентабельной или просто невозможной (например, в условиях выставки или проведения выездных конференций), и развертывание стационарных сетей с выходом в Интернет (например, в залах ожидания аэропортов или вокзалов). Естественно, не стоит забывать и о создании домашних сетей (для объединения в сеть нескольких компьютеров с организацией разделяемого доступа в Интернет) или сетей в малом офисе.
Для России беспроводные технологии представляются особенно интересными, так как бизнес активно растет и в последнее время многие предприятия «стартуют с нуля». Для таких компаний беспроводные сети выгодны в связи с простотой монтажа, а также экономией времени и денег.
Кроме того, новая мобильная технология Intel Centrino, интегрирующая вычислительные и беспроводные функции в одном мобильном устройстве, а также развитие сети так называемых ХотСпотов (HotSpots) — беспроводных точек публичного доступа — позволяет говорить о наступлении эпохи «всеобщей мобилизации»...
Устройство беспроводной сети
тандартом 802.11 определяются два основных типа архитектуры сетей: Ad Нос и Infrastructure Mode.
В режиме Ad Hoc, который также называют IBSS (Independent Basic Service Set), или режим Peer to Peer (точка-точка), станции непосредственно взаимодействуют друг с другом. Для этого режима требуется минимум оборудования — каждая станция должна быть оснащена беспроводным адаптером. При такой конфигурации не требуется создания какой-либо сетевой инфраструктуры. Основным недостатком режима Ad Hoc является ограниченный диапазон действия, или радиус возможной сети, а также невозможность подключения к внешней сети (например, к Интернету).
В режиме Infrastructure Mode станции взаимодействуют друг с другом не напрямую, а через точку доступа (Access Point), которая выполняет в беспроводной сети роль своеобразного концентратора (аналогично тому, как это происходит в традиционных кабельных сетях). Рассматривают два режима взаимодействия с точками доступа: BSS (Basic Service Set) и ESS (Extended Service Set). В режиме BSS все станции связываются между собой только через точку доступа, которая может выполнять также функцию моста с внешней сетью. В расширенном режиме — ESS существует инфраструктура нескольких сетей BSS, причем сами точки доступа взаимодействуют друг с другом, что позволяет передавать трафик от одной BSS к другой. Точки доступа соединяются между собой с помощью либо сегментов кабельной сети, либо радиомостов. Типичная беспроводная сеть в режиме Infrastructure Mode, то есть с использованием точки доступа, показана на рис. 1.
Говоря о преимуществах беспроводных решений, не стоит забывать и об ограничениях и недостатках, свойственных этим сетям. Недостатки беспроводных сетей, как правило, связывают с их уязвимостью в смысле конфиденциальности передачи информации. Часто можно слышать, что «радиосети небезопасны», «информацию из радиосетей можно перехватить» и тому подобное. Что ж, действительно, в радиосетях передача информации происходит в открытом эфире, доступном для широкого круга лиц. Но так ли уж страшен черт, как его малюют? (рис. 1)
Средства защиты сети
режде всего давайте вспомним, что сами способы модуляции, определяемые в стандартах 802.11a и 802.11b, создают достаточно серьезную помеху для перехвата.
Технология DSSS (технология расширения спектра методом прямой последовательности), примененная в 802.11b, позволяет кодировать данные посредством добавления псевдослучайной битовой последовательности к исходным данным и передавать их по всей полосе пропускания, что приводит к уширению спектра передаваемого сигнала с одновременным уменьшением спектральной плотности сигнала. В результате данные почти полностью растворяются в фоновом шуме среды, становясь неуязвимыми для перехвата. Таким образом, передача как бы маскируется под естественный фон. Уловить информационный сигнал, выделив его из общего шума, способна только станция, которая использует те же самые псевдослучайные битовые последовательности, что и передающая станция.
Технология OFDM стандарта 802.11a работает по схожему принципу. В ней весь поток данных разделяется на несколько подпотоков, передаваемых по всей полосе пропускания, которые впоследствии вновь собираются в единый поток на принимающем устройстве. Это позволяет вести передачу данных на высокой скорости, одновременно защищая передаваемые данные от перехвата.
Естественно, что сам по себе способ модуляции не может обеспечить гарантированную безопасность беспроводной сети. Для обеспечения более надежного способа защиты от нежелательного перехвата в беспроводных сетях предусмотрены следующие меры:
• присваивание ключа SSID. При конфигурации беспроводной сети каждый пользователь получает от администратора сети собственный идентификационный SSID;
• ввод MAC-адресов. У каждого адаптера для беспроводного доступа имеется установленный производителем, уникальный в глобальном масштабе MAC-адрес. Эти адреса должны быть занесены в списки доступа на точках доступа. Все остальные сетевые адаптеры автоматически исключаются из беспроводной сети;
• аутентификация. Каждая станция должна подтвердить, что она авторизована для доступа к соответствующей беспроводной сети. Для этой цели в имеющейся продукции используется WEP-шифрование;
• WEP-шифрование. В качестве алгоритма шифрования для стандарта 802.11 используется технология WEP. С целью обеспечения большей безопасности допустимо использование версии с 128-разрядным ключом.
WEP-шифрование насколько это надежно?
ротокол WEP предполагает стандартный способ аутентификации пользователя и шифрования данных. Технология WEP подразумевает инкапсуляцию данных, при которой информация шифруется перед передачей по радиоканалу, а также применение для проверки подлинности соединения алгоритма аутентификации по ключу общего пользования. Теоретически расшифровать сигнал могут только те, кто владеет секретным ключом, выданным устройством доступа. Однако на деле оказывается, что завладеть этим секретным ключом может и тот, кому он вовсе не предназначен.
Дело в том, что при реализации протокола WEP возникает ряд проблем. Исследователи из Калифорнийского университета в г.Беркли (США) и из Zero Knowledge Systems, а также специалист по архитектуре безопасности корпорации Intel Джесси Уолкер обнаружили, что к беспроводным сетям стандарта 802.11b, защищенным с помощью WEP, могут получить доступ посторонние лица. Из информационного потока стандарта 802.11b можно выделить структуру, которая является основой для секретных ключей и используется для шифрования данных. Таким образом, злоумышленник может восстановить действующие ключи и, пользуясь ими, будет выдавать себя за зарегистрированного пользователя сети.
Причина проблемы кроется в методе создания ключей в устройствах доступа стандарта 802.11b. Прежде всего, все станции беспроводной локальной сети стандарта 802.11b совместно используют относительно слабый 40-разрядный ключ, восприимчивый к жестким силовым атакам мощных компьютеров. Для укрепления этого слабого звена применяется 24-битный вектор инициализации (Initialization Vector, IV), рандомизирующий часть ключа и не допускающий повторного использования шифра для нескольких пакетов. Спецификация предусматривает и более мощную защиту — посредством дополнительного 128-разрядного режима (24-разрядный вектор инициализации и 104-разрядные данные), но даже это не в состоянии решить всех проблем, связанных с WEP.
Наибольшее беспокойство вызывают комбинации 24-разрядного вектора инициализации. Как только устройство доступа использует все его комбинации (а всего таких комбинаций 224=16 777 216), оно начнет повторять последовательности векторов. Более того, WEP создает новый вектор инициализации для каждого обмена, вместо того чтобы задавать один вектор, неизменный в течение всего времени подключения зарегистрированного клиента к сети. Из официального документа института System Administration Networking and Security Institute (SANS) следует, что в сети с высоким трафиком все доступные комбинации ключей могут быть израсходованы менее чем за пять часов.
Атакующая сторона, прослушивающая передачу данных в стандарте 802.11b, может выделить этот повтор и с его помощью, используя статистические атаки, восстановить открытое текстовое сообщение. Сверяя открытый текст с его зашифрованным аналогом, злоумышленник сумеет выделить лежащий в основе шифра ключ независимо от его длины — 40 или 104 бит. Запасшись терпением и потратив немного времени, можно собрать полную библиотеку комбинаций ключа, используемых в сети, и обеспечить себе полный доступ ко всем зашифрованным сообщениям. (рис. 2)
Виртуальные частные сети решение проблемы
так, если встроенный в стандарт 802.11b протокол шифрования не удовлетворяет современным требованиям к уровню защиты сети, то неизбежно возникают следующие вопросы: как добиться необходимого уровня конфиденциальности и какая технология отвечает этим требованиям?
В корпорации Intel для надежной защиты корпоративных беспроводных сетей предлагают использовать технологию виртуальных частных сетей VPN (Virtual Private Network).
Технология виртуальных частных сетей была разработана для безопасного соединения пользовательских компьютеров с серверами по общедоступным открытым каналам Интернета. Для этого в технологии VPN используются мощные, хорошо зарекомендовавшие себя с точки зрения надежности механизмы аутентификации и шифрования. Фактически VPN-соединения представляют собой туннель между двумя конечными точками, защищающий от вторжения проходящие по каналам Интернета пакеты.
Основу системы безопасности VPN составляет протокол обмена Интернет-ключами (Internet Key Exchange, IKE), входящий в состав набора протоколов IPSec (сокращение от IP Security) и предусматривающий три метода аутентификации для защиты данных и каналов связи. Этот протокол позволяет кодировать заголовки и содержимое пакетов с помощью ключа, обеспечивая практически абсолютную безопасность линии связи. В соответствии с протоколом IKE пакеты шифруются при помощи секретного ключа, заранее известного обеим сторонам, или стандартного открытого ключа.
Технологии VPN уже получили широкое признание компаний, предоставляющих удаленный сетевой доступ по общедоступным каналам Интернета. VPN создает защищенный канал передачи данных между системами и позволяет организациям отказаться от дорогостоящих модемных пулов, традиционно используемых для обеспечения прямого доступа к сети. По мере распространения широкополосного доступа в Интернет технологии VPN позволят существенно повысить скорость и устойчивость доступа к удаленным сетям.
Технологии VPN очень привлекательны с практической точки зрения. Применяя в сетях стандарта 802.11b испытанные механизмы безопасности VPN, компании могут устанавливать безопасные соединения между беспроводными устройствами и корпоративной сетью. Решения на основе VPN не потеряли актуальности и после трех лет практического использования.
В процессе установки VPN-соединения создаются индивидуальные безопасные каналы между конечными устройствами и шлюзом VPN, которые в случае сетей стандарта 802.11b располагаются непосредственно за устройством беспроводного доступа (рис. 2).
По существу, каждый клиент сети связывается с устройством доступа по отдельному туннелю VPN. Пакеты, направляющиеся по беспроводной сети от одного конечного устройства к другому, проходят через туннель VPN передающей системы в устройство доступа и выходят за пределы шлюза VPN. Затем пакеты передаются по кабельной локальной сети к другому шлюзу VPN, где они шифруются перед передачей системе-получателю через другое устройство беспроводного доступа. Установив за устройствами доступа сети стандарта 802.11b шлюзы VPN, компании могут быть уверены в защищенности любых сообщений, проходящих по радиоканалу.
Главная проблема технологии VPN — это администрирование. Из-за способа, применяемого сетями VPN (в туннельном режиме) для шифрования заголовка и полезных данных, эта технология не полностью совместима с такими традиционными системами безопасности, как межсетевые экраны, анализирующие входящие пакеты перед их допуском в сеть. Поскольку VPN скрывает находящуюся в пакете информацию, межсетевые экраны отклоняют зашифрованные пакеты как потенциально опасные.
Аналогичным образом с VPN-соединениями может конфликтовать работающая во многих сетях система трансляции сетевых адресов NAT. Система NAT позволяет избежать дублирования уже существующих в Интернете IP-адресов. Для этого перед пересылкой пакетов по каналам Интернета она преобразовывает IP-адреса компьютеров локальной сети в глобальные IP-адреса. NAT скрывает IP-адреса конечных систем, защищая их от потенциальных атак, что обычно является дополнительным преимуществом. Но если преобразование происходит после шифрования пакета, станция-получатель VPN-пакета обнаружит изменение и не воспримет этот пакет. В результате произойдет разрыв сетевого соединения.
Сегодня необходимо тщательно следить, чтобы вся сеть была оснащена полностью совместимыми решениями. В частности, выбирая межсетевой экран и VPN-шлюз от одного производителя, можно надеяться на их более высокую совместимость.
С точки зрения безопасности VPN представляет собой действительно хорошее решение, и если бы удалось снять такие вопросы, как простота использования и управляемость, то проблему обеспечения безопасности стандарта 802.11 в масштабах предприятия можно было бы считать решенной.
При написании статьи использовались материалы корпорации Intel.