Как правильно защищать сети Wi-Fi

Автор: Эрик Гайер

Как правильно защищать сети Wi-Fi

На беспроводные сети вполне можно полагаться, если применить необходимые меры безопасности

Эрик Гайер

 

Мно­гие кор­по­ра­тив­ные за­каз­чи­ки все еще опа­са­ют­ся ис­поль­зо­вать эле­мен­ты бес­про­вод­ной ин­фра­струк­ту­ры в ло­каль­ных сетях. От­ча­сти эти опа­се­ния обос­но­ван­ны, но, если сле­до­вать про­стей­шим ре­ко­мен­да­ци­ям, можно по­стро­ить такую сеть WLAN, за­щи­щен­ность ко­то­рой не оста­вит зло­умыш­лен­ни­кам ни­ка­ких шан­сов для до­сту­па к кри­ти­че­ски важ­ной ин­фор­ма­ции ком­па­нии. 

 

Как правильно защищать сети Wi-Fi

Сети Wi-Fi по своей при­ро­де уяз­ви­мы для взло­ма и «про­слуш­ки», од­на­ко на бес­про­вод­ные сети вполне можно по­ла­гать­ся, если при­ме­нить необ­хо­ди­мые меры без­опас­но­сти. К со­жа­ле­нию, Ин­тер­нет полон уста­рев­ших со­ве­тов и мифов по этому по­во­ду. Ниже пред­ла­га­ют­ся пра­ви­ла по обес­пе­че­нию без­опас­но­сти Wi-Fi, раз­ве­и­ва­ю­щие неко­то­рые из этих мифов.

Не поль­зуй­тесь WEP

Ал­го­ритм WEP (Wired Equivalent Privacy) без­на­деж­но уста­рел. Ре­а­ли­зу­е­мый им шифр могут легко и быст­ро взло­мать боль­шин­ство даже неопыт­ных ха­ке­ров, по­это­му WEP лучше не поль­зо­вать­ся во­об­ще. Тем, кто все еще это де­ла­ет, ре­ко­мен­ду­ет­ся немед­лен­но пе­ре­хо­дить на WPA2 (Wi-Fi Protected Access) с аутен­ти­фи­ка­ци­ей 802.1X — стан­дарт 801.11i. Поль­зо­ва­те­ли уста­рев­ших кли­ент­ских устройств или точек до­сту­па, не под­дер­жи­ва­ю­щих WPA2, могут об­но­вить их про­шив­ку или про­сто ку­пить новое оборудование.

Не поль­зуй­тесь WPA/WPA2-PSK

Режим с общим клю­чом (pre-shared key, PSK) про­то­ко­лов WPA и WPA2 недо­ста­точ­но на­де­жен для кор­по­ра­тив­ных или любых ор­га­ни­за­ци­он­ных сред. При ис­поль­зо­ва­нии дан­но­го ре­жи­ма на каж­дом кли­ент­ском устрой­стве нужно вво­дить один и тот же за­ра­нее услов­лен­ный ключ. Этот ключ необ­хо­ди­мо ме­нять каж­дый раз, когда ор­га­ни­за­цию по­ки­да­ет оче­ред­ной со­труд­ник или когда кли­ент­ское устрой­ство по­те­ря­но или по­хи­ще­но. Для боль­шин­ства сред это непрактично.

При­ме­няй­те 802.11i

Режим Extensible Authentication Protocol (EAP) про­то­ко­лов WPA и WPA2 опи­ра­ет­ся на аутен­ти­фи­ка­цию по стан­дар­ту 802.1X, а не на общие ключи, бла­го­да­ря чему для каж­до­го поль­зо­ва­те­ля или кли­ент­ско­го устрой­ства можно за­ве­сти соб­ствен­ный набор ве­ри­тель­ных дан­ных — имя и па­роль и/или циф­ро­вой сертификат.

Сами ключи шиф­ро­ва­ния ре­гу­ляр­но ме­ня­ют­ся ав­то­ма­ти­че­ски в фо­но­вом ре­жи­ме. Так что для из­ме­не­ния па­ра­мет­ров до­сту­па поль­зо­ва­те­ля или ли­ше­ния его прав до­ста­точ­но из­ме­нить ве­ри­тель­ные дан­ные на цен­траль­ном сер­ве­ре, а ме­нять общий ключ на каж­дом кли­ен­те не нужно. Уни­каль­ные од­но­ра­зо­вые ключи, дей­ству­ю­щие толь­ко в те­че­ние се­ан­са, также не дают поль­зо­ва­те­лям воз­мож­но­сти пе­ре­хва­ты­вать тра­фик друг друга, что сей­час легко де­ла­ет­ся с по­мо­щью Firesheep, до­пол­не­ния для Firefox или DroidSheep, при­ло­же­ния для Android.

Сле­ду­ет иметь в виду, что для мак­си­маль­ной без­опас­но­сти нужно поль­зо­вать­ся WPA2 с 802.1X — со­че­та­ни­ем, из­вест­ным еще и как 802.11i.

Для под­держ­ки аутен­ти­фи­ка­ции 802.1X тре­бу­ет­ся сер­вер RADIUS/AAA. В слу­чае ис­поль­зо­ва­ния Windows Server 2008 или более новой вер­сии можно по­про­бо­вать вос­поль­зо­вать­ся Network Policy Server или Internet Authenticate Server из преды­ду­щих вер­сий этой опе­ра­ци­он­ной си­сте­мы. Те же, у кого не Windows Server, могут по­про­бо­вать сер­вер FreeRADIUS с от­кры­тым кодом.

При ис­поль­зо­ва­нии Windows Server 2008 R2 или новее можно разо­слать на­строй­ки 802.1X на при­со­еди­нен­ные к до­ме­ну кли­ент­ские устрой­ства по­сред­ством мо­ди­фи­ка­ции груп­по­вой по­ли­ти­ки. В дру­гих слу­ча­ях для на­строй­ки кли­ент­ских устройств можно вос­поль­зо­вать­ся сто­рон­ни­ми решениями.

За­щи­щай­те па­ра­мет­ры аутен­ти­фи­ка­ции 802.1X для кли­ент­ских устройств

Режим EAP в WPA/WPA2 уяз­вим для по­сред­ни­че­ских атак. Од­на­ко их можно предот­вра­тить путем за­щи­ты на­стро­ек EAP кли­ент­ско­го устрой­ства. На­при­мер, в уста­нов­ках EAP в Windows можно вклю­чить про­вер­ку дей­стви­тель­но­сти сер­ти­фи­ка­та сер­ве­ра. Это де­ла­ет­ся путем вы­бо­ра сер­ти­фи­ка­та удо­сто­ве­ря­ю­ще­го цен­тра, ука­за­ния ад­ре­са сер­ве­ра и от­клю­че­ния вы­да­чи за­про­са для поль­зо­ва­те­лей, раз­ре­ша­ю­ще­го до­ве­рять новым сер­ве­рам или сер­ти­фи­ка­там удо­сто­ве­ря­ю­ще­го центра.

На­строй­ки 802.1X тоже можно разо­слать на при­со­еди­нен­ные к до­ме­ну кли­ент­ские устрой­ства по­сред­ством груп­по­вой по­ли­ти­ки либо вос­поль­зо­вать­ся сто­рон­ним ре­ше­ни­ем, на­при­мер Quick1X ком­па­нии Avenda.

Обя­за­тель­но поль­зуй­тесь си­сте­мой предот­вра­ще­ния втор­же­ний для бес­про­вод­ных сетей

Обес­пе­че­ние без­опас­но­сти Wi-Fi не огра­ни­чи­ва­ет­ся непо­сред­ствен­ной борь­бой с по­пыт­ка­ми по­лу­чить несанк­ци­о­ни­ро­ван­ный до­ступ к сети. Ха­ке­ры могут со­зда­вать фик­тив­ные точки до­сту­па в сети или про­во­дить атаки на отказ в об­слу­жи­ва­нии. Чтобы рас­по­зна­вать такие втор­же­ния и бо­роть­ся с ними, сле­ду­ет внед­рить бес­про­вод­ную си­сте­му предот­вра­ще­ния втор­же­ний. Кон­струк­тив­но такие си­сте­мы раз­ных по­став­щи­ков могут раз­ли­чать­ся, но, как пра­ви­ло, все они про­слу­ши­ва­ют эфир в по­ис­ках фик­тив­ных точек до­сту­па и вре­до­нос­ной ак­тив­но­сти, по воз­мож­но­сти бло­ки­ру­ют ее и пре­ду­пре­жда­ют сисадмина.

Су­ще­ству­ет нема­ло ком­па­ний, пред­ла­га­ю­щих ре­ше­ния та­ко­го типа, на­при­мер AirMagnet и AirTight Networks. Есть и ва­ри­ан­ты с от­кры­тым кодом, в част­но­сти Snort.

При­ме­няй­те NAP или NAC

В до­пол­не­ние к 802.11i и бес­про­вод­ной си­сте­ме предот­вра­ще­ния втор­же­ний сле­ду­ет поль­зо­вать­ся тех­но­ло­ги­ей Microsoft Network Access Protection (NAP) или си­сте­мой кон­тро­ля до­сту­па к сети (Network Access Control, NAC). Они могут обес­пе­чить до­пол­ни­тель­ный кон­троль над до­сту­пом к сети по прин­ци­пу иден­ти­фи­ка­ции кли­ент­ско­го устрой­ства и опре­де­ле­ния его со­от­вет­ствия за­дан­ным по­ли­ти­кам. Они также могут изо­ли­ро­вать про­бле­ма­тич­ные кли­ен­ты и при­ну­ди­тель­но обес­пе­чи­вать их со­от­вет­ствие политикам.

В со­став неко­то­рых NAC-ре­ше­ний могут вхо­дить ме­ха­низ­мы рас­по­зна­ва­ния и предот­вра­ще­ния втор­же­ний, од­на­ко сле­ду­ет убе­дить­ся, что они пред­на­зна­че­ны имен­но для бес­про­вод­ных сетей. Си­сад­ми­ны сред на ос­но­ве Windows Server 2008 или более новых вер­сий с кли­ент­ски­ми устрой­ства­ми на базе WIndows Vista или новее могут вос­поль­зо­вать­ся тех­но­ло­ги­ей Microsoft NAP. В иных слу­ча­ях можно при­ме­нять сто­рон­ние ре­ше­ния, на­при­мер си­сте­му PacketFence с от­кры­тым кодом.

Не по­ла­гай­тесь на скры­тые SSID

Один из мифов бес­про­вод­ной без­опас­но­сти со­сто­ит в том, что от­клю­че­ние ши­ро­ко­ве­ща­тель­ной рас­сыл­ки иден­ти­фи­ка­то­ров бес­про­вод­ной сети «скро­ет» вашу сеть или по край­ней мере сами SSID от ха­ке­ров. Од­на­ко такая опция лишь уда­ля­ет SSID из сиг­наль­ных кад­ров точки до­сту­па. Иден­ти­фи­ка­то­ры сети по-преж­не­му со­дер­жат­ся в за­про­сах на ас­со­ци­а­цию 802.11, а также ино­гда в па­ке­тах про­вер­ки и от­ве­тах на них. По­это­му пе­ре­хват­чик может об­на­ру­жить «скры­тый» SSID до­воль­но быст­ро, осо­бен­но в сети с вы­со­кой ак­тив­но­стью, с по­мо­щью ле­ги­тим­но­го ана­ли­за­то­ра бес­про­вод­ных сетей.

Бы­ту­ет мне­ние, что от­клю­че­ние пуб­ли­ка­ции SSID тем не менее со­зда­ет до­пол­ни­тель­ный уро­вень без­опас­но­сти, но не сле­ду­ет за­бы­вать, что это может от­ри­ца­тель­но ска­зать­ся на быст­ро­дей­ствии сети и по­вы­сить слож­ность кон­фи­гу­ри­ро­ва­ния. При­дет­ся вруч­ную вво­дить SSID на кли­ен­тах, что до­пол­ни­тель­но услож­ня­ет их на­строй­ку. Кроме того, уве­ли­чит­ся число зон­ди­ру­ю­щих и от­вет­ных па­ке­тов, из-за чего сни­жа­ет­ся до­ступ­ная про­пуск­ная способность.

Не по­ла­гай­тесь на филь­тра­цию по MAC-адресам

Еще один миф о за­щи­те бес­про­вод­ных сетей: вклю­че­ние филь­тра­ции по MAC-ад­ре­сам поз­во­ля­ет со­здать до­пол­ни­тель­ный уро­вень без­опас­но­сти, предот­вра­ща­ю­щий до­пуск по­сто­рон­них кли­ен­тов в сеть. Это до неко­то­рой сте­пе­ни верно, но сле­ду­ет пом­нить, что при про­слуш­ке тра­фи­ка ата­ку­ю­щие очень легко могут вы­яс­нить раз­ре­шен­ные MAC-ад­ре­са и под­де­лать их на своих устройствах.

По­это­му не стоит слиш­ком по­ла­гать­ся на на­деж­ность MAC-филь­тра­ции, хотя этой функ­ци­ей можно поль­зо­вать­ся для огра­ни­че­ния воз­мож­но­сти поль­зо­ва­те­лей под­клю­чать к сети несанк­ци­о­ни­ро­ван­ные устрой­ства и ком­пью­те­ры. Также сле­ду­ет иметь в виду вы­со­кую слож­ность ве­де­ния и свое­вре­мен­но­го об­нов­ле­ния спис­ка MAC-адресов.

Огра­ничь­те набор SSID, к ко­то­рым могут под­клю­чать­ся пользователи

Мно­гие си­сад­ми­ны упус­ка­ют из виду про­стой, но по­тен­ци­аль­но се­рьез­ный риск: поль­зо­ва­те­ли, спе­ци­аль­но или непред­на­ме­рен­но под­клю­ча­ю­щи­е­ся к со­сед­ней или несанк­ци­о­ни­ро­ван­ной бес­про­вод­ной сети, от­кры­ва­ют свои ком­пью­те­ры для воз­мож­но­го втор­же­ния. Одним из спо­со­бов предот­вра­тить эту опас­ность яв­ля­ет­ся филь­тра­ция SSID. В Windows Vista и более позд­них вер­си­ях, на­при­мер, можно со­зда­вать филь­тры на до­пу­сти­мые SSID с по­мо­щью ко­манд nethsh wlan. Для на­столь­ных ПК можно за­пре­тить все SSID, кроме вашей соб­ствен­ной бес­про­вод­ной сети, а для но­ут­бу­ков можно про­сто за­пре­тить SSID со­сед­них сетей, но со­хра­нить воз­мож­ность под­клю­че­ния к об­ще­ствен­ным зонам до­сту­па или до­маш­ним сетям.

Не за­бы­вай­те о за­щи­те мо­биль­ных клиентов

За­бо­та о без­опас­но­сти Wi-Fi не долж­на огра­ни­чи­вать­ся соб­ствен­ной сетью ор­га­ни­за­ции. Поль­зо­ва­те­ли со смарт­фо­на­ми и план­ше­та­ми, воз­мож­но, за­щи­ще­ны, когда на­хо­дят­ся в офисе, но что про­ис­хо­дит, когда они под­клю­ча­ют­ся к пуб­лич­ным зонам до­сту­па или своим до­маш­ним сетям? Стоит по­за­бо­тить­ся о том, чтобы эти со­еди­не­ния тоже были за­щи­ще­ны от втор­же­ний и прослушки.

К со­жа­ле­нию, внеш­ние со­еди­не­ния по Wi-Fi за­щи­тить не так-то про­сто. Для этого нужно предо­ста­вить и по­ре­ко­мен­до­вать поль­зо­ва­те­лям опре­де­лен­ные ре­ше­ния, а также про­све­тить их по по­во­ду рис­ков без­опас­но­сти и мер их предотвращения.

Во-пер­вых, на всех но­ут­бу­ках долж­ны ра­бо­тать пер­со­наль­ные меж­се­те­вые экра­ны (на­при­мер, WIndows Firewall) для предот­вра­ще­ния втор­же­ний. При ис­поль­зо­ва­нии Windows Server этого можно до­бить­ся за счет со­от­вет­ству­ю­щей груп­по­вой по­ли­ти­ки либо с по­мо­щью ре­ше­ния для управ­ле­ния не вхо­дя­щи­ми в домен ком­пью­те­ра­ми, на­при­мер WIndows Intune.

Во-вто­рых, нужно обес­пе­чить шиф­ро­ва­ние всего ин­тер­нет-тра­фи­ка поль­зо­ва­те­ля для за­щи­ты от пе­ре­хва­та в сто­рон­них сетях. Для этого до­ступ поль­зо­ва­те­ля к сети его ор­га­ни­за­ции дол­жен про­ис­хо­дить через вир­ту­аль­ную част­ную сеть. Если си­сад­мин не же­ла­ет предо­став­лять для таких целей соб­ствен­ную VPN ор­га­ни­за­ции, можно вос­поль­зо­вать­ся внеш­ни­ми сер­ви­са­ми вроде Hotsopt Shield или Witopia. В iOS (на iPhone, iPad и iPod Touch) и Android-устрой­ствах можно при­ме­нять встро­ен­ные VPN-кли­ен­ты. Од­на­ко для поль­зо­ва­ния VPN-кли­ен­та­ми устройств на ос­но­ве плат­форм BlackBerry и Windows Phone 7 по­на­до­бит­ся на­стро­ить сер­вер об­ме­на сообщениями.

Также нужно про­сле­дить, чтобы все сер­ви­сы ор­га­ни­за­ции, «смот­ря­щие» в Ин­тер­нет, были за­щи­ще­ны — про­сто на слу­чай, если поль­зо­ва­тель не будет при­ме­нять VPN, на­хо­дясь в пуб­лич­ной или не до­ве­рен­ной сети. На­при­мер, если ор­га­ни­за­ция предо­став­ля­ет внеш­ний до­ступ к элек­трон­ной почте (через поч­то­вый кли­ент или Web), необ­хо­ди­мо поль­зо­вать­ся SSL-шиф­ро­ва­ни­ем, чтобы не поз­во­лить ло­каль­ным пе­ре­хват­чи­кам в не до­ве­рен­ной сети про­сле­дить ве­ри­тель­ные дан­ные или со­об­ще­ния пользователя.

 источник: http://www.osp.ru/nets/2011/05/13011547/