"Тонкие" точки доступа - новый уровень безопасности корпоративных сетей Wi-Fi

"Тонкие" точки доступа - новый уровень безопасности корпоративных сетей Wi-Fi

Яков Совлук, главный специалист по ИБ филиала "ГПБ" (ОАО) в г. Красноярске

Недостатки традиционных "толстых" точек доступа

Традиционно точка доступа (AP, access point) Wi-Fi (IEEE 802.11) представляет собой приемопередающее радиоустройство, обеспечивающее связь между беспроводными клиентами и их подключение к проводной ЛВС, и выполняет роль беспроводного концентратора. Для развертывания простейших БЛВС (беспроводная ЛВС стандарта IEEE 802.11) класса SOHO или для "поднятия" небольших хот-спо-тов используются достаточно интеллектуальные точки доступа, в которых сконцентрированы все необходимые функции (предоставление беспроводного доступа, обработка трафика, сопряжение с проводной ЛВС, безопасность, QoS, роу-минг) вплоть до наличия встроенных DSL-модема, маршрутизатора, принт-сервера, функций МЭ и VPN. Именно такие точки доступа и называют "толстыми" ("fat" АР).

БЛВС корпоративного уровня в отличие от сетей класса SOHO, как правило, имеют сложную распределенную структуру и значительную зону покрытия, образуемые достаточно большим количеством точек доступа. Задачи, решаемые в сетях данного типа, требуют совершенно другого качества беспроводного доступа и уровня безопасности, предоставление которых на базе "толстых" точек доступа является достаточно сложным и неэффективным решением. Это обусловлено автономностью "толстых" точек доступа, которая заключается в концентрации множества функций в одном устройстве и отсутствии возможности централизованного управления. Подобное решение будет иметь следующие недостатки:

• реализация и сопровождение единой политики безопасности БЛВС потребует проведения сложной ручной настройки каждой точки доступа в отдельности;
• хищение "толстой" точки доступа, в которой может быть прописано множество параметров безопасности БЛВС (в частности, PSK-ключи шифрования), является достаточно серьезной угрозой;
• экспоненциальная зависимость затрат на сопровождение сети (в том числе и ее безопасности) от количества точек доступа.

Концепция "тонких" точек доступа и ее преимущества

Концепция "тонкой" точки доступа, предназначенная непосредственно для корпоративных решений, лишена перечисленных в предыдущей схеме недостатков и имеет целый ряд дополнительных преимуществ по сравнению с "толстыми" точками доступа.

Одной из последних на сегодняшний день разработок, в основу которой положена концепция "тонкой" точки доступа, является Интернет-проект IETF протокола CAPWAP (Control And Provisioning of Wireless Access Points Protocol, протокол управления и инициализации беспроводных точек доступа).

Согласно терминологии CAPWAP, данная беспроводная архитектура расщепляет традиционную точку доступа на систему, состоящую из следующих элементов:

• контроллер доступа (АС, access controller) или контроллер БЛВС;
• множество сопряженных с АС "беспроводных оконечных точек" (WTPs , Wireless Termination Points) или "тонких" точек доступа.

Соединение АС и WTPs осуществляется, как правило, по проводному каналу, а CAPWAP представляет собой не что иное, как протокол их взаимодействия. Основной целью данных изменений послужила необходимость создания централизованной беспроводной архитектуры, в которой функции управления доступом, включая аутентификацию, авторизацию, генерацию и хранение ключей шифрования, роуминг, контроль эфира, переходят от автономных точек доступа к контроллеру БЛВС.

Теперь, когда все интеллектуальные функции управления сконцентрированы в контроллере доступа (АС), основными задачами точек доступа являются: генерация некоторых служебных фреймов (beacon), сопряжение беспроводных клиентов с контроллером БЛВС и шифрование беспроводного трафика. Вычислительные ресурсы "тонкой" точки доступа, которые не только не уступают, а зачастую и превосходят мощности своих "толстых" коллег, направлены в основном на реализацию мощных алгоритмов шифрования (AES-CCMP) беспроводного трафика, критичных к задержкам корпоративных приложений в режиме реального времени.

Архитектура корпоративных БЛВС на базе "тонких" точек доступа обеспечивает следующие преимущества:

• централизованная настройка и управление всеми точками доступа за счет переноса функций управления на выделенный контроллер БЛВС; простота и удобство реализации и сопровождения единой политики безопасности БЛВС;
• автоматическое обновление конфигурации точек доступа после внесения изменений на контроллере БЛВС; автоматическое обновление программного обеспечения точек доступа;
• хранение конфигурационной информации на контроллере БЛВС, который должен располагаться в помещении строго ограниченного доступа (серверная, ЦОД);
• отсутствие каких-либо критичных для безопасности БЛВС настроек на точках доступа, которые могут располагаться в общедоступных местах, и как следствие - минимизация рисков ИБ, связанных с хищением точек доступа;
• значительное снижение затрат на сопровождение сети.

Дополнительные возможности централизованной архитектуры

Решения корпоративного уровня, в основу которых положена централизованная архитектура БЛВС на базе "тонких" точек доступа, предлагают такие вендоры, как Cisco, Aruba, Meru, Nortel, 3com и HP. На их основе возможно создание корпоративных БЛВС любого масштаба, которые могут насчитывать сотни WTPs. Такие решения не позволяют ограничиваться одним АС и требуют установки значительного количества контроллеров БЛВС. Централизованное управление множеством АC и другими типами оборудования, как правило, осуществляется посредством единой консоли (системы беспроводного управления), охватывающей всю беспроводную инфраструктуру.

Уровень безопасности данных решений поднимается на порядок благодаря реализации следующих дополнительных возможностей:

• реализация различных уровней безопасности в рамках отдельных АС; поддержка VLAN; примером может послужить выделение одного или нескольких АС и организация отдельного VLAN для реализации гостевого доступа;
• локальная ЕАР-аутентификация на АС при условии отсутствия или недоступности выделенного ААА-сервера;
• наличие функций МЭ (ACLs, access control lists) на АС;
• WIDS (wireless IDS, беспроводная система обнаружения вторжений), встроенная в АС, использующая потенциал WTP для обнаружения вторжений и не требующая дополнительной установки сенсоров;
• распознавание, блокировка и определение места положения потенциально опасных беспроводных клиентов и злонамеренных точек доступа (Rogue AP);
• защита служебных фреймов.

Очевидно, что дополнительные возможности по защите БЛВС, предлагаемые различными производителями, могут отличаться.

Вывод

Построение корпоративных БЛВС с соответствующим уровнем защищенности на базе традиционных "толстых" точек доступа неприемлемо в силу отсутствия централизованного управления беспроводной инфраструктурой и сложности поддержки единой политики безопасности. Даже в случае "поднятия" подобного решения на базе бесплатного ПО, которое позволит создать БЛВС, отвечающую всем требованиям концепции RSN, TCO (совокупная стоимость владения) такого проекта будет неоправданно высокой по причине огромной стоимости сопровождения БЛВС (систематические расходы).

Законченное решение от одного вендора с использованием централизованной беспроводной инфраструктуры на базе "тонких" точек доступа, несмотря на более высокие единовременные затраты, в итоге обойдется дешевле в силу низкой стоимости сопровождения проекта. В любом случае уровень безопасности подобной сети будет на порядок выше соответствующего уровня предыдущего решения. Именно такой подход должен использоваться при построении корпоративных БЛВС.

Комментарий эксперта

Алексей Лукацкий, бизнес-консультант по безопасности, Cisco Systems

АВТОР правильно разделяет существующую концепцию построения беспроводной сети на точки доступа с интеллектом и облегченные точки доступа, работающие с беспроводным контроллером. Однако для корпоративного применения не совсем корректно считать единственно верным только второй вариант построения БЛВС. Дело в том, что концепция "толстых" беспроводных точек доступа (AP) появилась гораздо раньше и до недавнего времени была единственной. И она не могла бы получить столь широкого распространения, если бы точки доступа не имели централизованного управления.

Также рассказывая о "тонких" клиентах доступа, автор забыл упомянуть, что в этой концепции на первое место выходит надежность и доступность контроллера БЛВС, так как выход его из строя сразу приведет к полной неработоспособности всех "тонких" точек доступа - "толстые" точки лишены этого недостатка в силу своей независимости. Именно поэтому при построении БЛВС на базе контроллера и неинтеллектуальных AP очень важно наличие резервного контроллера, который возьмет на себя управление БЛВС в случае выхода основного контроллера из строя.

И, наконец, третья упущенная деталь - регулирование вопросов, связанных с ввозом и продажей средств беспроводного доступа, которые по умолчанию содержат в себе механизмы шифрования данных, а значит подлежат регламентации со стороны наших регуляторов, в частности ФСБ. Согласно всем ранее принятым документам ввоз шифровальных средств (а под них подпадали и беспроводные устройства) относился к лицензируемым видам деятельности. Но последнее Постановление Правительства изменило ситуацию к лучшему - беспроводные устройства, действующие в диапазоне до 400 м, даже при условии использования криптографических механизмов могут ввозиться на территорию Российской Федерации без лицензии, что облегчает их распространение в нашей стране. Однако остается открытым вопрос их продажи и технического обслуживания, которые по-прежнему требуют отдельного лицензирования.