Безопасность сетей Wi-Fi

Сергей Козлов,
менеджер по маркетингу компании «Рексофт»
skozlov@reksoft.ru

Скажем прямо, вопрос безопасности для российских владельцев хот-спотов пока не самый главный — очевидно, потому, что у нас традиционно наиболее острые проблемы связаны с выделением частот и получением лицензий и сертификатов. Кроме того, технология Wi-Fi в нашей стране только начинает внедряться, и коммерческие хот-споты — пока еще экзотика. Однако, как только организационные вопросы будут решены и коммерческая эксплуатация сетей Wi-Fi станет обыденной, вопрос обеспечения секретности встанет со всей остротой.

В беспроводных сетях вопросы безопасности традиционно наиболее важны. Приведем всего одну цитату. Дэвид Коуэн (David Cohen), председатель комитета по безопасности Wi-Fi Alliance, однажды сказал: “Чтобы технология Wi-Fi по-настоящему широко использовалась, нужно, чтобы ее признали действительно безопасной”.

Сейчас уровень безопасности, который обеспечивает имеющееся на рынке оборудование Wi-Fi, недостаточен для профессионального и коммерческого использования. Однако ситуацию можно исправить уже сегодня, если внести определенные изменения в программное обеспечение, которое используется для данного сервиса. А после появления оборудования, соответствующего спецификациям 802.11i, проблема безопасности в сетях Wi-Fi будет решена на уровне стандарта.

Что же понимается под безопасностью в сетях Wi-Fi? Согласно мнению большинства пользователей, безопасная сеть Wi-Fi должна обеспечивать всего два основных требования: секретность передаваемой информации и защиту от несанкционированного доступа в сеть.

Определено стандартом

Изначально в спецификациях IEEE 802.11 (название Wi-Fi исходно использовалось в контексте применений стандарта 802.11b) для обеспечения безопасности был определен протокол безопасности WEP (Wired Equivalent Privacy — секретность на уровне проводной связи). WEP устанавливает, как должна быть реализована процедура поточного шифрования методом RC4 со статичным ключом. Такое шифрование обеспечивает приемлемую безопасность для небольших хот-спотов, где трафик невелик и, следовательно, злоумышленнику сложно набрать необходимую для расшифровки ключа статистику. Но в сетях с большим объемом трафика не составляет труда взломать такую защиту — достаточно иметь соответствующее оборудование и ПО.

Безусловно, эта ситуация совершенно не устраивала Wi-Fi Alliance, и в апреле 2003 г. данная организация и IEEE выпустили новый стандарт безопасности WPA (Wi-Fi Protected Access), существенно отличающийся от WEP. В первую очередь в нем определена усовершенствованная схема шифрования с динамической сменой ключей на основе TKIP (Temporal Key Integrity Protocol). Таким образом, если раньше в течение всей клиентской сессии использовался один и тот же ключ, то согласно WPA каждый пакет в сети наделяется своим собственным ключом. Была также введена обязательная аутентификация пользователей по стандарту 802.1х и протоколу EAP (Extensible Authentication Protocol).

Более того, WPA предусматривает два режима аутентификации. Первый, Enterprise Mode («корпоративный»), рассчитан на корпоративные и коммерческие сети, где для централизованного управления доступом в корпоративную сеть применяется RADIUS-сервер. Второй, называемый Pre-Shared Key Mode («общий пароль до использования»), предназначен для небольших офисов и домашних сетей и не требует сервера аутентификации. В этом режиме разделяемый пароль устанавливается предварительно, при конфигурировании точки доступа и сетевой карты (подробную информацию об использовании разделяемых паролей можно найти по адресу http://www.cisco.com/en/US/tech/tk722/tk809/-technologies_white_paper09186a008009256b.shtml).

Взлом протокола WPA — задача совершенно другого класса, нежели взлом WEP, и реальные случаи нарушения защиты сети, в которой он реализован, пока неизвестны.

Состояние дел

Сегодня реализации протокола WPA доступны в виде программных обновлений, которые предлагают производители для большинства устройств стандарта 802.11х. Владельцам хот-спотов, построенных на таком оборудовании, достаточно лишь установить обновление, чтобы кардинально повысить уровень безопасности своих сетей. Например, для наиболее распространенных в России точек доступа Cisco такие обновления доступны на сайте производителя (http://www.cisco.com/en/US/products/hw/wireless/ps4570). Для ноутбуков с поддержкой Wi-Fi, например, на базе технологии Intel Centrino, обновление входит в состав операционных систем. А для Windows XP возможность использовать WPA обеспечивается при установке модуля Service Pack SP1.

Более того, вскоре протокол WPA станет частью стандарта безопасности 802.11i (известного как WPA2) и будет использоваться как базовый протокол безопасности в новом оборудовании, которое должно появиться на рынке в 2004 г.

Однако не нужно забывать, что Wi-Fi — всего лишь надстройка над Ethernet, и все способы защиты, используемые в Ethernet, применимы и в Wi-Fi. Например, Boingo Wireless, крупнейший американский провайдер Интернет-услуг по беспроводной связи (Wireless Internet Service Provider, WISP), для защиты своих хот-спотов применяет такие широко известные технологии, как VPN (Virtual Private Network).