разработка политики безопасности в беспроводных сетях
Эта статья поможет создать стратегию защиты беспроводных сетей — так называемую беспроводную политику. С хорошей политикой сеть будет не только легка в управлении, но и, что самое главное, будет защищена.
802.11 — угрозы и потребность в защите
Существует множество потенциальных угроз WLAN. Отказ в обслуживании (DoS), захват сеанса и сниффинг. Это лишь небольшой список потенциальных атак. Пока многие из нападений на беспроводные сети похожи на нападения против обычных сетей, сети 802.11 находятся в большой опасности.
Одной из самых больших проблем является WEP (Wired Equivalent Privacy), стандарт шифрования данных для беспроводных сетей. В WEP обнаружено несколько уязвимостей, которые позволяют его взломать всего за пару часов.
Другая проблема связана с открытой природой WLAN. Из-за особенностей беспроводных сетей, в них сложно контролировать область доступности сигнала. В отличие от простых сетей, это ведет к тому, что хакер может управлять или подслушивать сеть из областей, которые не были предназначены для обслуживания, когда создавалась сеть.
WLAN также могут использоваться для создания backdoors к обычным сетям. Многие организации тратят тысячи и даже миллионы долларов для обеспечения защиты обычных сетей, обширно инвестируя в разработки VPN и других технологий. Но достаточно всего лишь одного недобросовестного или недоученного беспроводного пользователя, связанного с обычной сетью, и можно легко создать backdoor, обходящий все сложные и дорогостоящие системы защиты, тем самым позволяя хакеру получить доступ к тщательно закрытой сети. Беспроводная политика может помочь снизить или даже уничтожить эти угрозы. К счастью никогда не поздно создавать политику, однако раннее ее принятие более эффективно.
раннее принятие
Развитие политики должно начинаться на стадии создания беспроводной сети. Выгоды от понимания потребности в безопасности на ранних стадиях огромны: это позволяет понизить цену, приводит к более простому обслуживанию и повышает безопасность с самого начала. Увеличение же безопасности после запуска сети может потребовать нового оборудования, возможно, понадобится логическая или физическая перестройка сети. Если сеть работала без защиты, то политика будет все еще обеспечивать многочисленные выгоды, хотя эти выгоды и будут стоить больше, чем в случае внедрения политики с самого начала.
выгоды от беспроводной политики
Конечно же, политика не залатает врожденные дыры 802.11-сетей, но она поможет создать среду, в которой программные средства, методы и процедуры смогут удержать нападающих и эффективно бороться с угрозами. Политика устанавливает модель защиты для существующей или разрабатываемой сети. Хорошая политика создает набор правил и стандартов для пользователей, администраторов и менеджеров.
основные компоненты беспроводной политики
Рассматривая безопасность как неотъемлемую часть сети, менеджер должен с самого начала объединить безопасность с функциональными возможностями. Беспроводная политика может обеспечить руководство по широкому разнообразию проблем, присущих организациям, но существует несколько проблем, которые следует рассмотреть более пристально.
Обратите внимание: следующий список соображений про политику может использоваться как для открытых, так и для закрытых беспроводных сетей, хотя некоторые из этих соображений не будут применимы к открытым беспроводным сетям.
полномочия и ответственность
Политика должна назначать человека, который будет администрировать, и нести ответственность за беспроводную сеть. Выделение ответственного человека обеспечивает руководство и ответственность за беспроводную сеть через разработку, внедрение и, в конечном счете, функционирование. Этот "руководитель службы безопасности" будет отвечать за все функции безопасности сети и будет иметь полномочия, достаточные для назначения других людей и/или создания команды, если это необходимо. Этот человек будет также нести окончательную ответственность за обеспечения надлежащих мер безопасности в сети.
Важно наделить полномочиями того, кто несет ответственность за сеть. Если человек не несет ответственность за действия (свои или чужие), он, вероятно, не предпримет надлежащих мер, необходимых для функционирования сети. Также было бы очень хорошо, если бы назначенный человек имел опыт разрешения проблем, свойственных беспроводным сетям.
оценка риска
Политика должна требовать оценки риска. Оценка риска определяет угрозы и уязвимости в организациях. Оценка риска поможет защититься от непредвиденных угроз, издержек и затрат, так же позволит адекватно обеспечивать безопасность. Руководитель службы безопасности должен использовать меры защиты в сочетании с оценкой риска в 802.11-сетях. Например, если сеть используется только для случайного серфинга сети, риск потери в случае нападения может быть минимален. Если же сеть используется для передачи деловых материалов или поддерживает критические услуги, риск потери в случае нападения или в случае потери обслуживания может быть очень велик. Оценка риска должна проводиться для того, чтобы гарантировать, что возможности мер безопасности будут адекватны угрозам, связанным с сетью. В некоторых случаях, угрозы беспроводной сети могут перевесить выгоды от технологии, тогда от создания сети лучше отказаться.
При запуске WLAN, политика должна разрабатываться совместно с полной оценкой риска сети.
Оценка риска должна проводиться объективно, чтобы обеспечить точную картину потенциальных угроз. Поэтому политика должна определить частоту проведения оценок риска.
сегрегация сети
Политика должна разделять беспроводную и простую сети так, чтобы нарушение безопасности в беспроводной сети не затронуло обычную сеть. Сегрегация сети обеспечивает отделение "ненадежных" WLAN от более "надежных" (обычно проводных) сетей. WLAN обычно соединяются с простой сетью лишь в некоторых случаях, например, чтобы облегчить доступ в Интернет. Эти сети должны быть отделены шлюзами так, чтобы без особой необходимости беспроводные коммуникации не пересекались с обычной сетью. Кроме того, между простыми и беспроводными сетями может быть помещено фильтрующее устройство (подобно файрволлу) для контроля и мониторинга трафика между обычными и беспроводными сетями.
Рис. 1: Пример выделенной беспроводной сети.
установление подлинности (аутентификация)
Установление подлинности играет важную роль в сетях 802.11 и должно быть включено в беспроводную политику. Все пользователи WLAN обязаны подтверждать подлинность прежде, чем получат доступ к сети. Установление подлинности поможет ограничить доступ к закрытым ресурсам. Существует множество проблем, которые беспроводная политика должна учитывать при установлении подлинности.
Политика должна учитывать стандарт аутентификации, метод, реализацию и требования по обслуживанию. Прежде всего, политика для беспроводного установления подлинности должна соответствовать последним стандартам безопасности. Очень желательно следовать стандартам при выборе способа аутентификации (подробнее читайте ниже).
Далее, в политике должна быть определена форма взаимной аутентификации. При взаимном установлении подлинности и клиент и сервер авторизуют друг друга. Взаимное установление подлинности, прежде всего, повышает безопасность, устанавливая подлинность сервера, а также уменьшает возможности мошенничества в сети. Другим фактором при выборе метода аутентификации должна быть легкость реализации и администрирования. Некоторые формы установления подлинности, типа Public Key Infrastructure (PKI), хоть и безопасны, но требуют тщательной разработки и администрирования.
Политика может указать строгость установления подлинности и указать, для кого, когда и для каких ресурсов требуется установлении подлинности. Политика может определить пользователей и уровни доступа по группам, как доступ будет управляться, а также любые необходимые особенности.
конфиденциальность
Средство для обеспечения конфиденциальности в беспроводных сетях должно быть определено в политике. Шифрование может обеспечить безопасный канал связи, в котором беспроводная передача данных может происходить без угрозы подслушивания. Данные, переданные без шифрования — это легкая добыча для хакера. Он легко может собрать чувствительную информацию, передающуюся в/из беспроводной сети. Беспроводной сигнал помогает хакерам незаметно собрать важные данные. Существует множество проблем, которые следует рассмотреть при включении конфиденциальности в политику.
Политика должна определить разумный метод шифрования так, чтобы данные могли передаваться безопасно. Основной метод шифрования, используемый в 802.11 сетях — Wired Equivalent Privacy (WEP). К сожалению, как оказалось, WEP-алгоритм может быть легко расшифрован и поэтому не является надежным. Однако WEP обеспечивает некоторую защиту и должен использоваться, если другое шифрование невозможно. Для борьбы с ненадежностью WEP, в настоящее время существуют другие методы шифрования, и, если это возможно, они должны использоваться вместо WEP.
Группа стандартов IEEE 802.11i в настоящее время развивает стандарт для 802.11-безопасности. Стандарт, как ожидается, унифицирует использование Temporal Key Integrity Protocol (TKIP) как альтернативу WEP. Кроме того, стандарт 802.11i предложит Advanced Encryption Standard (AES) как алгоритм шифрования. Однако на время написания этой статьи 802.11i еще не издан. WPA (Wireless Protected Access) — составная часть 802.11i, уже одобрена промышленной группой WiFi Alliance. Начиная с августа этого года, WPA будет включен во все сертифицированные WiFi-продукты. Если WPA или 802.11i не подходят, то есть также много других решений, включая Virtual Private Network (VPN). Даже использование слабого WEP-шифрования поможет, хоть и не на много, улучшить безопасность беспроводной сети. В любом случае, шифрование должно быть обязательно включено в политику.
Политика должна учитывать силу шифрования, метод, реализацию, обслуживание и частоту использования. Сила шифрования должна быть выбрана максимальной для чувствительной информации, которая будет передаваться через сеть, чем выше значимость информации, тем выше сила шифрования. Метод определяет используемое шифрование, а реализация должна описывать, как будет развернуто шифрование. Частота использования определяет, когда шифрование должно использоваться. Например, если пользователь имеет доступ к чувствительной информации, то шифрование должно использоваться принудительно; другие ситуации должны оцениваться соответственно.
готовность
Чтобы гарантировать максимальную работоспособность сети, в политике должны быть определены испытания работоспособности беспроводной сети в терминах эффективности и частоте запуска. Работоспособность WLAN существенна, т.к. производительность — функция времени простоя. Беспроводные испытания работоспособности должны проводиться перед развертыванием 802.11-сети, чтобы гарантировать охват сигналом нужной территории и выявить возможные радиочастотные конфликты.
Если испытания работоспособности не определены в политике и не выполнены своевременно, то сеть может страдать от плохого сигнала очень долго. Одной из проблем является то, что множество естественных и физических объектов ухудшают радиосигнал. Имеются в виду объекты типа деревьев, дождя, земли, зданий, и т.д. Другие проблемы передачи — это обычные устройства типа переносных телефонов, Bluetooth, микроволновых печей, они работают на той же самой частоте, что и 802.11b/g-сети. Хотя 802.11a-сети в настоящее время работают на менее загруженной частоте, но все же они восприимчивы к вмешательству от современных мобильных телефонов и т.д. Конфликты могут привести беспроводные сети к отказу в обслуживании.
Существует множество инструментов оценки работоспособности беспроводных сетей. Используя топологическое программное обеспечение, можно идентифицировать естественные преграды, типа холмов, долин, и т.д. которые потенциально ухудшают сигнал.
Беспроводные инструменты работоспособности идентифицируют местоположения со слабым 802.11 сигналом. Клиентское программное обеспечение 802.11 (типа Cisco Aironet Client Adapter software) может использоваться, чтобы адекватно оценить силу сигнала во всей беспроводной области охвата. Относительно простой метод проведения испытаний работоспособности состоит в том, чтобы двигаться по беспроводной области охвата с программным обеспечением клиента, пока не будет замечено областей со слабой силой сигнала. Перечисленные инструменты — топологии и испытания работоспособности — должны быть определены в политике.
Политика должна обязывать выполнение испытаний работоспособности, указывать определенные инструменты испытаний, обеспечивать разумную частоту и время проведения. Постоянное проведение испытаний работоспособности поможет уменьшить потерю сигнала и улучшить готовность.
ведение лог файлов и учет деятельности
Ведение лог-файлов и учет деятельности непременно должны быть упомянуты в политике. Ведение лог-файлов и учет деятельности помогут вам отслеживать деятельность пользователей и, в случае нарушений, применять соответствующие санкции.
Политика должна включать в себя такой учет деятельности, чтобы ни одна мелочь не ускользнула из вашего внимания.
Ведение лог-файлов, как один из наиболее важных компонентов, должно упоминаться в политике по нескольким причинам:
1. улучшение контроля за пользователями;
2. упрощение процесса отладки в случае неисправностей;
3. упрощение вынесения ответственности в случае нарушения правил.
Лог-файлы могут помочь идентифицировать и проследить путь взломщика в случае проникновения в сеть, помочь в устранении проблемы, и предоставить множество другой информации. Лог-файлы должны вестись на WAP (Wireless Access Point, Беспроводная Точка Доступа), файрволле, который отделяет простые и беспроводные сети, серверах аутентификации и даже беспроводных клиентах.
В политике также должна быть определена частота, с которой будут просматриваться лог-файлы. Чтобы обеспечить максимальную эффективность, следует постоянно просматривать и обрабатывать лог-файлы.
защита беспроводной точки доступа (WAP)
В беспроводной политике должна быть регламентирована как логическая, так и физическая защита WAP. Точки доступа должны быть расположены в физически защищенных областях. Эти устройства необходимо настроить так, чтобы только администраторы смогли изменять конфигурацию. Большинство WAP после сброса возвращаются к заданному по умолчанию (небезопасному) режиму. Если же WAP находится в незащищенной области, то злоумышленник сможет легко управлять точкой доступа, выключить WAP для вызова отказа в обслуживании, или перезагрузить, чтобы вернуть ее к заданной по умолчанию конфигурации. Беспроводные точки доступа следует настроить так, чтобы неавторизованные пользователи не смогли бы подключиться к WAP и управлять настройками безопасности. Большинство WAP позволяют создавать учетные записи пользователей. Такие учетные записи необходимо создавать, чтобы уменьшить риск несанкционированного доступа к WAP.
В политике следует описать то, каким пользователям разрешается подключаться и управлять доступом, следует указать, из каких систем администратор может соединиться с WAP. Политика должна также требовать, чтобы WAP были расположены в физически защищенных местах.
защита на стороне клиента
Беспроводная политика должна диктовать меры защиты, которыми обязаны пользоваться беспроводные клиенты. Иногда беспроводные клиенты не используют каких-либо мер защиты и, в конечном итоге, это приводит к тому, что из-за них страдает вся сеть.
Беспроводные клиенты должны быть оборудованы (как минимум) персональным файрволлом и антивирусным программным обеспечением. Часто из-за слабой защиты беспроводные клиенты становятся объектом для нападения и затем, однажды скомпрометированные, они используются как «базы» для последующих нападений. Хакеры могут использовать различные типы нападений, направленные на беспроводных клиентов, поэтому беспроводная политика может и должна определять использование персональных файрволлов и антивирусного программного обеспечения на клиентских устройствах. Политика должна также запрещать прямые (ad-hoc) беспроводные соединения.
Файрволлы.Политика должна требовать использования файрволлов. Персональный файрволл уменьшит риск взлома для беспроводного клиента, поскольку будет отклонять любой сетевой трафик, который не будет соответствовать установленным правилам. Регистрацию беспроводной деятельности следует проводить с помощью фйрволлов.
Антивирус.Политика должна требовать использования антивирусного программного обеспечения и обязательного обновления антивирусных баз. Антивирусное программное обеспечение поможет защитить беспроводного клиента от разнообразных угроз. Известно, что вирусы могут не только уничтожить критические данные, но есть и такие вирусы, которые после выполнения создают backdoor. Если система клиента скомпрометирована вирусом, то нападающий может получить привилегии законного беспроводного пользователя, затем напасть на других беспроводных клиентов или даже использовать свои привилегии для нападения на обычную сеть. Антивирусное программное обеспечение найдет вирусную угрозу и сможет устранить ее. Хотя антивирусное программное обеспечение улучшает защиту беспроводного клиента, без постоянных обновлений антивирусной базы оно просто окажется бесполезным. Поэтому, политика должна определить частоту, с которой антивирусная база должна обновляться.
Ad-Hoc соединения.Политика должна запрещать беспроводным клиентам осуществлять ad-hoc соединения. Такие сети позволяют двум или более станциям подключаться непосредственно друг к другу, минуя точки доступа, маршрутизирующие их трафик.
Хакеры могут использовать несколько типов атак на системы, использующие ad-hoc-соединения. Первичная проблема с ad-hoc сетями — недостаток идентификации. Эти сети могут позволить хакеру провести атаки man in the middle, отказ в обслуживании (DoS), и/или скомпрометировать системы.
Если хакер смог скомпрометировать одного беспроводного клиента, то он может использовать скомпрометированную систему, для атак на других пользователей в сети. Если беспроводные клиенты не могут связаться друг с другом напрямую (с использованием ad-hoc связи), то нападение или сбор информации о сети становится для хакера трудной задачей.
беспроводное сканирование
Политика должна определить инструменты для выполнения беспроводного сканирования, а также указать частоту выполнения. Беспроводное сканирование поможет определить местонахождение неправомочных точек доступа.
Незаконные точки доступа могут быть установлены как сотрудниками самой организации, так и кем-то еще и представляют собой значительную угрозу безопасности. Такие точки доступа могут создать backdoor, приглашая хакеров эксплуатировать сеть. Даже если незаконные точки доступа установлены с хорошими намерениями (продвинутый пользователь хочет улучшить доступ, например чтобы увеличить производительность), то они также могут быть обнаружены хакерам и это приведет к потере безопасности. Наличие этих точек доступа представляют огромную потенциальную угрозу сети. Политика должна предпринять меры для того, чтобы избавиться от таких точек доступа.
Сканирования должны проводиться не менее чем один раз в неделю или, в крайнем случае, раз в месяц. В политике должны содержаться руководство для сканирования и устранения незаконных точек доступа.
образование и понимание
Политика должна включать процедуру повышения у всех пользователей понимания того, что защита очень важна для сети, знакомить пользователей, администраторов и менеджеров с основными положениями о безопасности в сети. Если сетевые пользователи, администраторы и менеджеры знают о проблемах защиты, они будут более склонными предпринять шаги, направленные на ограничения действий, которые ставят сеть под угрозу (например, они не будут использовать важные логины/ пароли во время незашифрованных беспроводных сеансов). Лучший пример этого — пословица: "Дайте человеку рыбу, и он будет сыт в течение дня. Научите человека ловить рыбу, и он будет сыт в течение целой жизни".
Политика должна учитывать образование пользователей и определять специальные меры для увеличения понимания в сетевой защите.
другие нюансы
Теперь давайте обратимся к некоторым другим нюансам, которые будут дополнять основные компоненты, описанные выше.
статическая ARP-адресация
Если политика будет требовать статической ARP-адресации, то это усилит защиту, но при этом и увеличит затраты времени на администрирование. Статическая ARP-адресация поможет защитить сеть против ARP-спуфинга (можно манипулировать ARP, перенаправляя весь трафик на злонамеренный хост). Даная задача может быть очень трудоемкой для администраторов в больших сетях.
проверка MAC-адреса
Беспроводная политика может требовать использовать проверку MAC-адреса только тогда, когда время, затраченное на администрирование, не очень важно. Проверка Media Access Control (MAC) адреса на точке доступа обеспечит улучшенный уровень идентификации для беспроводных пользователей. Проверка MAC-адреса позволит только зарегистрированному MAC-адресу входить в сеть. Естественно, данная технология является весьма трудоемкой для администрирования в больших сетях. Но у этой технологии есть и другой недостаток. Хакер может подделать MAC-адрес и обойти эти ограничения.
статическая IP-адресация
Подобно проверке MAC-адреса, добавление этой меры защиты в политику должно производиться только тогда, когда время, затраченное на администрирование, не очень важно. Прежде чем войти в сеть у каждого пользователя проверяется легитимность его IP-адреса. Эта методика не позволяет использовать DHCP (Dynamic Host Configuration Protocol, Протокол Динамической Конфигурации Узла) для выдачи IP-адресов подключающимся клиентам. Статическая адресация вынуждает хакера знать схему адресации в сети, что узнать не так уж сложно, так что данная мера защиты слабо влияет на защищенность беспроводной сети.
именование SSID
Политика должна определить схему SSID-именования и требовать, чтобы все беспроводные сети идентифицировались соответственно. Service Set Identifier (SSID) — это беспроводный сетевой идентификатор, который может использоваться как пароль, когда мобильное устройство пробует соединяться с WLAN и выключено SSID-широковещание. SSID позволяют хакерам легко сфокусировать усилия по нападению на определенную сеть. Например, если хакер хочет атаковать бухгалтерскую программу организации и SSID офиса называется 'Accounting_Dept', то для хакера будет очень легкой задачей найти нужную сеть.
трансляция SSID
Беспроводная политика может запретить трансляцию SSID, с целью усложнить идентификацию точек доступа. Традиционно, точки доступа транслируют о себе информацию всем беспроводным клиентам. Во многих случаях, эта функция может быть выключена, так как она раскрывает наличие беспроводной сети, помогая хакеру.
Существует множество инструментов, которые могут идентифицировать точки доступа даже при выключенной трансляции, но все же лучше трансляцию отключить.
беспроводная IDS
Обязательно рассмотрите возможность включения в политику систем обнаружения вторжения (IDS, Intrusion Detection System). Беспроводная IDS может повысить защиту несколькими способами, включая обнаружение незаконной беспроводной деятельности/нападения и помогая в реализации политики. Существуют некоторые уникальные проблемы при реализации беспроводной IDS, связанные с характеристикой распространения беспроводного сигнала и потенциально большой географической площади, которую может занимать WLAN. В настоящее время распространяются как коммерческие IDS, так и IDS с открытым исходным кодом, которые смогут контролировать 802.11-передачу.
Политика должна описывать как разработку и внедрение, так и собственно IDS-устройство (или программное обеспечение). Политика должна также требовать просмотра журналов регистрации на регулярной основе.
исполнение политики
Как только политика составлена, она должна исполняться! Если политику не исполнять, то от нее будет очень мало толка. Каждый сотрудник в организации должен знать о существовании политики и следовать ей. Все сетевые операции и разработки должны соотетствовать установленным в политике правилам. Исполнение политики является чрезвычайно важным для использования сети и безопасности в ней.
заключение
Беспроводные сети обеспечивают пользователей огромным количеством свободы. Но к сожалению, мало кто осведомлен об огромном количестве недостатков безопасности, которые имеет эта технология. Хуже того, чтобы облегчить установку, почти все беспроводные продавцы аппаратного/программного обеспечения распространяют продукты с небезопасными параметрами настройки по умолчанию. Вот почему радиосети просты в установке, но относительно трудны в обеспечении защиты.
К счастью, если предпринять некоторые шаги, то можно добиться защиты 802.11-технологий. Сеть будет в безопасности, если создана крепкая политика, которая будет выполняться всеми пользователями сети.
Vollter, по материалам SecurityFocus. Впервые опубликовано на SecurityLab.
Сетевые решения. Статья была опубликована в номере 12 за 2003 год в рубрике save ass…
