О борье с грызунами

В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций

О борьбе с грызунами

Безопасность беспроводных коммуникаций

Сергей Рябко,
генеральный директор ЗАО "С-Терра СиЭсПи", кандидат физико-математических наук

Беспроводные сети - это комфорт и рост продуктивности каждого пользователя. С другой стороны, и не без оснований, многим они представляются небезопасными. Великий гуру в вопросах безопасности беспроводных сетей, Андрей Владимиров завершает блестящую и широко цитируемую в Рунете статью* весьма пессимистическим заключением: "Таким образом, во многих случаях... все равно остается лазейка для беспроводной крысы, предпочитающей клиентские устройства на завтрак"

Среда обитания грызуна

Радиосреда специфична в трех отношениях.

Во-первых, радиоэфир открыт всем. Любой сигнал может быть перехвачен, и я бы не советовал питать иллюзии относительно возможности спрятать ваш эфир от радиоразведки...

Во-вторых, в эфире растворяется понятие "топология сети". Пользователь часто не может сказать наверняка, к скольким сетям и через какие устройства он подсоединен.

И наконец, если для вашего бизнеса важно применение сертифицированных средств защиты, то на канальном уровне у вас большие проблемы. Радиочипсеты, firmware и оборудование поступают на рынок от тысяч производителей. Локализовать этот "зоопарк" с целями применения национальных стандартов просто невозможно. О сертифицированных средствах защиты в этих условиях можно забыть.

Как же защититься от "беспроводной крысы"?

Защититься все-таки можно. Правда, не следует уповать только на средства защиты беспроводных протоколов. Придется применять комплексные меры защиты.

Прежде всего, нужно контролировать физическую среду распространения данных - радиоэфир. Основной задачей здесь является выявление несанкционированных устройств. Эту задачу достаточно эффективно решают при помощи инфраструктуры управления точками радиодоступа.

Кроме того, нам нужно защитить инфраструктуру канального уровня. Здесь важнейшей является задача защиты от несанкционированных подключений к точкам доступа. В этой области нет практической альтернативы протоколам канального уровня для защиты трафика (таким, как WPA 2, 802.11 i) и аутентификации (EAP и его расширения).

Однако, если ограничиться этими средствами защиты, при их применении на отечественных предприятиях возникает два вопроса:

о доверии к общим стандартам и алгоритмам защиты и сертификации средств защиты;

о доверии к конкретным производителям (ряд взломов связан с недоработками частных решений).

Чтобы решить эти вопросы и обеспечить высокую степень защиты радиосреды в комплексе, описанные выше средства защиты физического и канального уровня целесообразно дополнить защитой сетевого уровня - IPsec VPN. Что обеспечит этот "слой" защиты?

Конфиденциальность и целостность каждого пакета данных, причем на базе сертифицированных продуктов.

Целостность потока данных: сеть не примет не только "чужой" пакет, но даже "свой", записанный из радиоэфира и повторно переданный.

Защиту логической топологии сети. Поверх динамичной и трудно контролируемой системы связности радиосреды будет лежать система туннелей VPN, которые приведут каждого пользователя к предназначенным ему ресурсам и никуда более.

Наконец, следует пояснить еще одно свойство VPN, чрезвычайно важное для беспроводных систем. При правильной политике безопасности VPN обладает высокой изолирующей способностью. Рассмотрим, к примеру, традиционное периметрическое устройство - межсетевой экран. Политику безопасности межсетевого экрана довольно легко разведать, пассивно наблюдая за проходящим сквозь него трафиком или активно сканируя открытые порты. Выяснив политику безопасности межсетевого экрана, я без особого труда смогу пробросить внутрь корпоративной сети нелегитимный пакет. IPsec VPN напрочь исключает такую возможность. Сквозь шлюз безопасности VPN пройдет только пакет, изданный владельцем секретного ключа, "отгадать" который при правильной политике управления ключами невозможно.

Выстроив таким образом контролируемую радиосреду, защитив доступ к точкам беспроводного доступа и обеспечив конфиденциальность, целостность и непроницаемость радиосети на сетевом уровне, я оставлю "беспроводной крысе" возможность использовать DoS и эксплойты против конкретных типов оборудования на канальном уровне, но никогда не отдам ей критичных данных. На такой диете грызун вскоре подохнет с голоду.

* "Отважные герои всегда идут в обход: атакуем клиентские устройства на Wi-Fi-сетях". См. http://www.securitylab.ru/analyt-ics/262596.php; http://www.securitylab.ru/analytics/263092.php; http://www.securitylab.ru/analytics/265788.php.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2007

О борье с грызунами