Защита трафика беспроводных сетей (часть 3)

В своей предыдущей статье я рассказывал о спорах по поводу необходимости изменения стандартного пароля беспроводной точки доступа. В этой части мы продолжим обсуждение рассмотрением некоторых других параметров безопасности, которые обычно встроены в точки беспроводного доступа.

SSID

Одной из самых распространенных рекомендаций к безопасности в отношении беспроводных сетей является то, что нужно отключать вещание SSID. В случае если вы не знакомы с этим понятием, скажу, что SSID означает Service Set Identifier – идентификатор беспроводной сети. В видимой форме SSID отображается, как слово или короткая фраза, которую можно использовать для идентификации беспроводной сети. Например, SSID в моей беспроводной сети будет Posey.

Причина, по которой столько ИТ специалистов рекомендуют отключать вещание SSID, заключается в том, что SSID представляет собой нечто большее, чем простой ярлык, который можно использовать для идентификации беспроводной сети. SSID – это, по сути, общий секрет, используемый для ограничения доступа к беспроводной сети. Другими словами, если кто-то не знает этот общий секрет, он не сможет подключиться к беспроводной сети.

Следует учитывать, что несмотря на то, что SSID технически является общим секретом, он отличается от ключей WEP или WPA, которые также представляют собой общие секреты. Я расскажу подробней о WEP и WPA позже в этом цикле статей.

А сейчас я хочу вернуться и рассмотреть понятие SSID в качестве ключа общего секрета. Если SSID на самом деле представляет собой секретный ключ, используемый для защиты доступа к беспроводной сети, то зачем большинство точек доступа вещают SSID в сеть?

Я, лично, считаю, что причина, по которой SSID обычно вещается, связана с развитием беспроводной сети. Даже несмотря на то, что, возможно, SSID был изначально задуман как механизм безопасности, быстро стало понятно, что SSID больше полезен в качестве механизма дифференциации между беспроводными сетями. Даже ОС Windows воспринимает SSID так, словно он должен указывать на наличие беспроводной сети.

Итак, нужно ли вещать свой SSID, или лучше отключить его вещание? Отключение вещания SSID не многое дает для улучшения безопасности вашей беспроводной сети. Когда вы отключаете вещание SSID, точка беспроводного доступа перестает вещать в ответ на кадры предостережения (Beacon Frames) and кадры пробных ответов (Probe Request Frames). Другими словами, SSID не будет отображаться в списке доступных беспроводных сетей в Windows.

Хотя это и добавляет определенный уровень безопасности, SSID все же не является общим секретом. Даже при отключении вещания идентификатора беспроводной сети он все равно передается в кадрах ассоциации и повторной ассоциации, а также в кадрах пробных ответов. Это означает, что для любого пользователя с анализатором пакетов не составит никакого труда обнаружить идентификатор вашей беспроводной сети, поскольку всякий раз, когда законный пользователь подключается к вашей беспроводной сети, SSID передается чистым текстом. Хакеру лишь остается сидеть и ждать этого.

Лично я считаю, что отношение к SSID как к механизму безопасности является неверным подходом, поскольку это дает незначительное улучшение безопасности и может создавать ложное чувство защищенности. Более того, большинство старых драйверов для сетевых карт беспроводной сети для Windows (и даже некоторые новые драйверы) не будет работать корректно, когда пользователь пытается подключиться к беспроводной сети, которая не вещает свой SSID. По этой причине я рекомендую воспринимать SSID как идентификационный ярлык вашей беспроводной сети, а не пытаться использовать его в качестве механизма безопасности.

При всем при этом я сталкивался с ситуациями, в которых организации используют фильтры подмены SSID, чтобы сбить хакеров с толку. Например, однажды я видел, как финансовая компания использовала SSID, который определял их сеть, как принадлежащую ресторанному бизнесу.

Фильтрация MAC адресов

Одним из более эффективных способов защиты беспроводной сети на уровне точки доступа является использование фильтрации MAC адресов. Суть этой идеи в том, что, как и карты проводной сети, все адаптеры беспроводной сети имеют уникальный физический адрес (Media Access Control - MAC). Фильтрация MAC адресов представляет собой процесс, посредством которого можно создавать белый список, указывая то, каким MAC адресам разрешено подключаться к точке доступа.

Замечательным в этом способе является то, что если кто-то знает SSID и WEP или WPA секретную фразу вашей беспроводной сети, они не смогут подключиться к вашей сети, если не используют карту с физическим адресом, который включен в белый список.

Но если фильтрация MAC адресов является настолько эффективным инструментом безопасности, вам, возможно, интересно, почему о ней так мало известно. Одной из причин такого нераспространенного использования фильтрации MAC является то, что реализация и обслуживание фильтрации MAC адресов требует значительных административных усилий.

Фильтрация MAC адресов отлично подходит для мелких организаций, но является непрактичной для больших корпораций, поскольку при вводе каждой новой сетевой карты в эксплуатацию необходимо включать MAC адрес этой карты в белый список фильтра MAC адресов. А также при списании каждого ноутбука или карты беспроводной сети администратору нужно выяснить, какой MAC адрес был у этого устройства, и удалить его из списка разрешенных адресов.

Более того, в больших компаниях часто приглашают независимых сторонних экспертов, консультантов и аудиторов, которым нужен доступ к беспроводной сети. Если вы используете фильтрацию MAC адреса, она может затруднить обеспечение доступа гостю к беспроводной сети.

Процесс управления списком фильтра MAC адресов может быть очень сложным, но описанные мною выше сложности администрирования могут и не стать препятствием на пути больших организаций в использовании фильтрации физических адресов. Однако здесь есть еще два аспекта, которые могут стать гораздо более серьезным препятствием к использованию MAC фильтрации.

Одним из этих аспектов является то, что фильтрация MAC адресов реализуется на уровне точки доступа. Хотя это может не вызывать проблем в малых и средних предприятиях, в больших организациях могут существовать десятки физических и виртуальных точек беспроводного доступа, и управление списками фильтров для каждого устройства может представлять собой монументальный труд.

Другим препятствием на пути к использованию фильтрации MAC адресов является то, что некоторые точки доступа требуют перезагрузки после внесения любых изменений в список фильтра. Такие перезагрузки могут быть крайне нежелательными для организаций, в которых требуются частые изменения в настройках списка фильтра MAC адресов.

Я понимаю, что некоторые могут поспорить на этот счет, аргументируя тем, что все эти усилия стоят того, если использование фильтрации MAC адресов обеспечивает очень надежную безопасность. Однако фильтрация MAC адресов не дает стопроцентной гарантии.

Говоря в общем, хакер обычно не имеет возможности изменения своей сетевой карты так, чтобы назначить ей другой MAC адрес. Также хакер не сможет изменить ваш список фильтра, если фильтрация MAC адресов не позволяет ему попасть в вашу сеть. Причина, по которой фильтрация MAC адресов не может считаться стопроцентно надежным механизмом защиты, заключается в том, что существуют программы для подмены MAC адреса. Например, я видел Windows драйвера для карт беспроводной сети, которые имеют встроенную возможность указания другого MAC адреса. Если хакер прослушивает вашу сеть, он с легкостью сможет получить MAC адрес авторизированной сетевой карты. После получения адреса он сможет настроить свой компьютер для подмены этого адреса и получить доступ к вашей сети.

Означает ли это, что вам не следует использовать фильтрацию MAC адресов? Конечно же нет! Ни один компонент безопасности не идеален. Хорошая безопасность заключается в глубинной защите. Другими словами, необходимо использовать столько механизмов безопасности, чтобы взлом вашей сети стал непрактичным. Я действительно считаю, что фильтрация MAC адресов не подходит для больших организаций (по крайней мере, если реализована на уровне точек доступа), однако она является довольно полезной опцией для малых и средних предприятий, которые хотят улучшить безопасность своих беспроводных сетей.

Заключение

В этой статье мы рассмотрели роли, которые вещание SSID и фильтрация MAC адресов играют в безопасности беспроводных сетей. В следующей части мы рассмотрим другие опции безопасности.