Безопасность беспроводных сетей

Беспроводные компьютерные сети все шире распространяются в России и мире. Сдерживают распространение радиосетей большая (по сравнению с оборудованием проводных сетей) стоимость, необходимость регистрации радиооборудования, а также устойчивая репутация технологии с низким уровнем защиты.

Однако цена оборудования постоянно снижается, процедуры регистрации хотя и медленно, но упрощаются, а вопрос безопасности остается открытым. В данной статье делается попытка ответить на этот вопрос.

Сразу необходимо заметить, что беспроводные сети отличаются от кабельных только на первых двух - физическом (Phy) и отчасти канальном (MAC) - уровнях семиуровневой модели взаимодействия открытых систем. Более высокие уровни реализуются как в проводных сетях, а реальная безопасность сетей обеспечивается именно на этих уровнях. Поэтому разница в безопасности тех и других сетей сводится к разнице в безопасности физического и MAC-уровней.

Принято считать, что безопасности беспроводных сетей угрожают:

нарушение физической целостности сети;
подслушивание трафика;
вторжение в сеть.

Угрозу сетевой безопасности могут представлять природные явления и технические устройства, однако только люди (недовольные уволенные служащие, хакеры, конкуренты) внедряются в сеть для намеренного получения или уничтожения информации и именно они представляют наибольшую угрозу.

Нарушение физической целостности сети

Целостность же проводной сети может быть нарушена в результате случайного или преднамеренного повреждения кабельной проводки и сетевого оборудования. Нарушение может быть предотвращено ограничением доступа к сети потенциальных злоумышленников и поэтому маловероятно.

Целостность же беспроводной сети может быть нарушена в результате действия случайных или преднамеренных помех в радиоканале. Источники случайных помех - природные явления, приводящие к увеличению уровня шумов, и технические средства: действующие СВЧ-печи, медицинское и промышленное СВЧ-оборудование и другие устройства, работающие в том же диапазоне. В качестве источников преднамеренных помех могут быть использованы все эти средства, а также специальные генераторы помех. Результатом вмешательства может быть полное или частичное нарушение целостности сети в течение всего времени работы источников помех.

Таким образом, угроза нарушения физической целостности радиосети, в отличие от проводной сети, вполне реальна. Она меньше при работе беспроводной сети внутри зданий, где имеется возможность контроля источников излучений. Для наружных радиосетей такую функцию выполняет служба радиоконтроля, которая обязана принимать меры по пресечению излучений, создающих помехи зарегистрированным радиосредствам. Таким образом, задача восстановления физической целостности радиосети решаема (теоретически) административными методами.

В беспроводном оборудовании стандарта IEEE 802.11 предусмотрены специальные меры защиты от нарушения целостности сети: расширение спектра сигнала в варианте DSSS или FHSS (см. PC Magazine/RE, 10/99, с. 184). Наиболее распространенное в России и странах СНГ оборудование компаний Aironet и Lucent Technologies реализует технологию DSSS, а BreezeCOM - FHSS. В случае DSSS обеспечивается выигрыш при обработке около 10 дБ, т. е. действие помехи ослабляется в среднем в 10 раз, а при использовании FHSS искаженный помехой пакет данных повторно передается на другой частоте. Разумеется, эти меры не обеспечивают полной защиты от всех возможных помех.

Прослушивание трафика сети

Реализация прослушивания трафика сети - суть промышленного шпионажа.

Применительно к проводным сетям опасность прослушивания реальна в случае сетей на неэкранированной витой паре, излучение которой может быть довольно просто перехвачено и дешифровано при помощи современных технических средств. (Такие шпионские средства обычно размещаются за пределами зданий, в которых развернута сеть.) В сетях на экранированной витой паре или коаксиальном кабеле излучение существенно ниже и вероятность перехвата и прослушивания информационных потоков мала.

Радиосеть, функционирование которой предполагает излучение, может быть прослушана практически из любой точки зоны радиовидимости сети. Однако в отличие от проводной сети более сложная структура сигнала, используемая в радиосетях, обеспечивает некоторую дополнительную защиту благодаря усложнению синхронизации подслушивающих устройств. Кроме того, поскольку структура сигнала зафиксирована в стандарте, это нельзя считать серьезной защитой. Защита возможна только при технологии FHSS, когда используется не стандартная, а заданная пользователем последовательность скачков частоты.

Для снижения угрозы прослушивания стандарт IEEE 802.11 предусматривает шифрование информации по алгоритму WEP с 40-разрядным ключом и 24-разрядным вектором инициализации. Существуют также разновидности беспроводного оборудования, использующие 104-разрядный ключ с 24-бит вектором инициализации (например, беспроводные сетевые адаптеры WaveLAN Gold фирмы Lucent Technologies), однако экспорт подобных продуктов за пределы стран-изготовителей запрещен.

Несанкционированное вторжение в сеть

Для вторжения в сеть необходимо к ней подключиться. В случае проводной сети требуется электрическое соединение, беспроводной - достаточно оказаться в зоне радиовидимости сети с оборудованием того же типа, на котором построена сеть.

В проводных сетях основное средство защиты на физическом и MAC-уровнях - административный контроль доступа к оборудованию, недопущение злоумышленника к кабельной сети. В сетях, построенных на управляемых коммутаторах, доступ может дополнительно ограничиваться по MAC-адресам сетевых устройств.

В беспроводных сетях для снижения вероятности несанкционированного доступа предусмотрен контроль доступа по MAC-адресам устройств и тот же самый WEP. Поскольку контроль доступа реализуется с помощью точки доступа, он возможен только при инфраструктурной топологии сети [1]. Механизм контроля подразумевает заблаговременное составление таблицы MAC-адресов разрешенных пользователей в точке доступа и обеспечивает передачу только между зарегистрированными беспроводными адаптерами. При топологии "ad-hoc" (каждый с каждым) контроль доступа на уровне радиосети не предусмотрен.

Для проникновения в беспроводную сеть злоумышленник должен:

иметь беспроводное оборудование, совместимое с используемым в сети (применительно к стандартному оборудованию - соответствующей технологии - DSSS или FHSS);
при использовании в оборудовании FHSS нестандартных последовательностей скачков частоты узнать их;
знать идентификатор сети, закрывающий инфраструктуру и единый для всей логической сети (SSID);
знать (в случае с DSSS), на какой из 14 возможных частот работает сеть, или включить режим автосканирования;
быть занесенным в таблицу разрешенных MAC-адресов в точке доступа при инфраструктурной топологии сети;
знать 40-разрядный ключ шифра WEP в случае, если в беспроводной сети ведется шифрованная передача.

Решить все это практически невозможно, поэтому вероятность несанкционированного вхождения в беспроводную сеть, в которой приняты предусмотренные стандартом меры безопасности, можно считать очень низкой.

Заключение

Таким образом, не все так плохо с безопасностью беспроводных сетей. При правильном построении радиосети наиболее вероятную угрозу безопасности представляет нарушение физической целостности, нехарактерное для проводных сетей. Что делать. За преимущества радиосетей, связанные с отсутствием кабельной инфраструктуры, приходится платить.

Результаты качественного сравнения вероятностей опасностей, которые угрожают работе сети, сведены в таблицу и могут быть учтены при принятии решения о развертывании радиосетей. При этом следует иметь в виду, что в радиосетях без каких-либо ограничений могут применяться средства обеспечения безопасности, предоставляемые операционными системами и программно-аппаратными средствами мониторинга сетей.