Защищенная конфигурация точки доступа

Защищенная конфигурация точки доступа
Посетителей: 14905 \| Просмотров: 32170 (сегодня 0)	Шрифт:

Введение

Ознакомьтесь с этим руководством по безопасности для компаний среднего размера. Корпорация Майкрософт надеется, что приведенные в документе сведения помогут создать более безопасную и производительную вычислительную среду.

Аннотация

Использование беспроводных локальных сетей (WLAN) в корпоративных средах вызывает в мире бизнеса много споров, однако в большинстве компаний уже развернуты те или иные беспроводные сети или, по крайней мере, рассмотрены их достоинства и недостатки. Как бы то ни было, у специалистов компаний, развернувших беспроводные сети, обычно возникает много вопросов по поводу безопасности выбранных решений, а руководители компаний, избегающие внедрения беспроводных технологий, беспокоятся об упущенных возможностях повышения производительности труда и сокращения инфраструктурных расходов.

Раньше сомнения в безопасности беспроводных технологий были вполне обоснованными, но даже сегодня беспроводные сети по традиции считаются недостаточно защищенными, потому что в протоколах IEEE 802.11 первого поколения, разработанных для защиты беспроводных сетей, были обнаружены широко обсуждавшиеся изъяны. И хотя за прошедшие годы было разработано много способов компенсации этих изъянов, большинство предлагаемых решений были слишком дорогими или имели собственные недостатки.

Однако с тех пор многое изменилось, и по мере повышения пропускной способности и надежности беспроводных сетей совершенствовались и стандарты обеспечения их безопасности. WPA и WPA2 — новейшие протоколы обеспечения безопасности беспроводных сетей, разработанные на основе стандарта IEEE 802.11i, — помогают надежно защитить трафик в беспроводных сетях даже в ситуациях, предъявляющих повышенные требования к безопасности. При правильной настройке системы с поддержкой этих стандартов защищены гораздо надежнее, чем прежние решения, и их можно смело использовать в корпоративных системах среднего размера.

Обзор

Данный документ содержит четыре основных раздела, в которых подробно рассматривается разработка и реализация эффективного решения для защиты беспроводной сети в компании среднего размера. Ниже приводится краткое описание этих разделов.

•

Введение. Этот раздел содержит аннотацию документа, обзор его структуры и информацию о том, на кого он ориентирован.

•

Определения. В этом разделе определяются и поясняются некоторые термины, которые нужно знать для понимания документа.

•

Проблемы. В этом разделе описываются проблемы, с которыми часто сталкиваются компании среднего размера при подготовке к развертыванию беспроводных сетей, и формируется основа для обсуждения предлагаемого в данном документе решения.

•

Решения. В этом разделе приводится подробное пошаговое руководство по планированию, разработке, развертыванию и поддержке защищенной беспроводной инфраструктуры. Этот раздел содержит три основных подраздела.

•	Оценка защищенности беспроводной сети. В данном разделе рассматриваются необходимые условия и описываются возможные варианты, которые можно взять за основу при разработке плана решения.
•	Разработка защищенного беспроводного сетевого решения. В этом разделе описано, как на основе информации, полученной на этапе оценки, выбрать решение, создать план его внедрения и разработать его базовые компоненты.
•	Развертывание и управление. Этот раздел содержит подробное пошаговое руководство по созданию описанного в данном документе защищенного беспроводного сетевого решения, а также информацию, помогающую организовать управление этим решением и проверить его соответствие требованиям.

Для кого предназначен этот документ

Этот документ ориентирован на сотрудников компаний среднего размера: технических специалистов и руководителей технических отделений, которые оценивают целесообразность использования протокола Wi-Fi Protected Access (WPA) или Wi-Fi Protected Access 2 (WPA2) для защиты беспроводной инфраструктуры. Предполагается, что читатель имеет общие технические знания о беспроводных устройствах и сетевых технологиях, имеет опыт работы с ОС Microsoft® Windows Server™ 2003, службой проверки подлинности в Интернете (Internet Authentication Service, IAS), службами сертификации и службой каталогов Active Directory® и знает, как настраивать и применять групповую политику.

Определение

Для понимания изложенных в документе сведений необходимо знать следующие термины.

AES. В стандарте AES (Advanced Encryption Standard), входящем в состав спецификации WPA2, используется симметричное блочное шифрование данных.

EAP. Extensible Authentication Protocol (EAP) — это стандарт 802.1X, позволяющий разработчикам передавать используемые при проверке подлинности данные между серверами RADIUS и точками беспроводного доступа. Протокол EAP имеет ряд вариантов, в число которых входят EAP MD5, EAP-TLS, EAP-TTLS, LEAP и PEAP.

EAP-TLS. Протокол EAP Transport Layer Security (EAP-TLS) был разработан корпорацией Майкрософт на основе стандарта 802.1X для использования цифровых сертификатов при проверке подлинности. В настоящее время он является отраслевым стандартом проверки подлинности для спецификации 802.11i.

IEEE 802.1X. Стандарт IEEE 802.1X определяет процесс инкапсуляции данных EAP, передаваемых между запрашивающими устройствами (клиентами), системами, проверяющими подлинность (точками беспроводного доступа), и серверами проверки подлинности (RADIUS).

IEEE 802.11. Стандарт IEEE 802.11 регламентирует передачу данных в беспроводных сетях и включает несколько спецификаций: от 802.11g, которая позволяет передавать данные со скоростью более 20 Мбит/с в частотном диапазоне 2,4 ГГц, до 802.11i, которая определяет механизмы шифрования и проверки подлинности по протоколу WPA2.

IEEE 802.11i. Поправка IEEE 802.11i к стандарту 802.11 определяет методы обеспечения безопасности (WPA2), предусматривающие применение блочного шифра AES для защиты процессов проверки подлинности (EAP). Это устраняет некоторые существовавшие ранее недостатки стандартов и спецификаций обеспечения безопасности беспроводных сетей.

MS-CHAP v2. Microsoft Challenge Handshake Authentication Protocol, версия 2 (MS-CHAP v2) — это основанный на использовании паролей протокол взаимной проверки подлинности по схеме «запрос-ответ» с шифрованием данных по алгоритмам MD4 и DES. Он используется вместе с протоколом PEAP (PEAP-MS-CHAP v2) для защиты сеансов беспроводной связи.

PEAP. Защищенный протокол расширенной проверки подлинности (Protected Extensible Authentication Protocol, PEAP) — это вариант протокола расширенной проверки подлинности (EAP), устраняющий проблемы безопасности, связанные с передачей незашифрованного текста по протоколу EAP. Для этого создается безопасный канал связи, который шифруется и защищается с использованием протокола TLS.

SSID. Идентификатор беспроводной сети (SSID) — это имя, назначаемое беспроводной сети и используемое клиентом для определения корректных параметров и учетных данных, необходимых для доступа к ней.

TKIP. Протокол TKIP (Temporal Key Integrity Protocol) входит в стандарт шифрования WPA для беспроводных сетей. Этот протокол представляет собой модернизированную версию стандарта WEP, которая устраняет обнаруженные в WEP недостатки за счет поддержки смешения ключей для каждого пакета.

WEP. Спецификация Wired Equivalent Privacy (WEP) входит в стандарт IEEE 802.11 и предусматривает 64-битное или 128-битное шифрование по алгоритму RC4. В 2001 году в стандарте WEP были обнаружены серьезные недостатки, связанные преимущественно с длиной вектора инициализации поточного шифра RC4 и делающие возможным пассивное декодирование ключа RC4.

WLAN. Беспроводная локальная сеть.

WPA. Для устранения найденных в стандарте WEP изъянов в 2003 году был представлен стандарт Wi-Fi Protected Access (WPA) — совместимая с другими версиями спецификация обеспечения безопасности в беспроводных сетях, являющаяся подмножеством стандарта IEEE 802.11. Данный стандарт включает механизмы проверки подлинности и использует для шифрования данных протокол TKIP.

WPA2. Стандарт WPA2 был принят в сентябре 2004 года организацией Wi-Fi Alliance и представляет собой сертифицированную совместимую версию полной спецификации IEEE 802.11i, принятой в июне 2004 года. Как и предшествующий ему стандарт, WPA2 поддерживает проверку подлинности по протоколу IEEE 802.1X/EAP или технологию предварительных ключей, но, в отличие от своего предшественника, содержит новый усовершенствованный механизм шифрования AES (Advanced Encryption Standard), основанный на использовании протокола Counter-Mode/CBC-MAC Protocol (CCMP).

Трудности

Руководители многих организаций понимают, что беспроводные технологии позволяют повысить продуктивность работы и сотрудничества, но не решаются приступить к их внедрению, опасаясь уязвимостей, которые могут появиться в корпоративной сети вследствие использования беспроводных сетей. Разнообразие предлагаемых методов защиты беспроводных коммуникаций и разногласия по поводу их эффективности только усиливают эти сомнения.

С внедрением беспроводных технологий в компании среднего размера связано множество проблем, которые заставляют задуматься не только о защите беспроводной сети, но и о том, нужна ли она вообще. Ниже указаны некоторые из самых распространенных проблем, с которыми поможет справиться данное руководство.

•	Принятие решения по поводу того, следует ли развертывать беспроводную сеть.
•	Осознание и уменьшение риска, связанного с внедрением беспроводных технологий.
•	Определение подхода к защите беспроводной сети.
•	Выбор оптимальных технологий защиты беспроводной сети.
•	Проверка уровня защищенности развернутой беспроводной сети.
•	Интеграция имеющихся активов в решение для обеспечения безопасности беспроводной сети.
•	Обнаружение и предотвращение несанкционированных подключений к беспроводной сети.

Решения

В этом разделе приводится описание проектирования, разработки, реализации и поддержки защищенных беспроводных решений, которые могут быть развернуты в корпоративных системах среднего размера. Как уже было сказано, использование беспроводных технологий сопряжено со многими проблемами. Все они будут рассмотрены, чтобы преимущества беспроводных сетевых технологий можно было использовать как можно эффективнее и безопаснее.

Оценка защищенности беспроводной сети

Развитие беспроводных технологий достигло того этапа, когда они стали достаточно производительными и безопасными для использования в корпоративных системах среднего размера, но перед развертыванием беспроводной сети все еще нужно проанализировать множество разных факторов, в том числе различные методы ее защиты. В этом разделе рассматриваются популярные методы защиты беспроводных сетей, приводятся рекомендации по выбору решения, оптимального для конкретной среды, и описываются достоинства и недостатки каждого подхода.

Преимущества беспроводных сетевых технологий

Преимущества, обеспечиваемые беспроводными сетевыми технологиями, можно разделить на две категории: функциональные и экономические. Функциональные преимущества включают сокращение расходов на управление и уменьшение объема капитальных затрат, а экономические — увеличение производительности труда, повышение эффективности бизнес-процессов и появление дополнительных возможностей для создания новых бизнес-функций.

Экономические преимущества

Большинство серьезных экономических преимуществ, связанных с использованием беспроводных сетей, являются результатом повышения гибкости и мобильности сотрудников. Беспроводные технологии устраняют ограничения, вынуждающие сотрудников находиться за своими рабочими столами, позволяя сравнительно свободно перемещаться по офису или офисному зданию. Преимущества этого перечислены ниже.

•	Мобильные сотрудники компании, например менеджеры по продажам, могут перемещаться между офисами или работать на выезде, прозрачно подключаясь к корпоративной сети. Связь устанавливается почти мгновенно, при этом никогда не приходится искать сетевой порт или распутывать провода, что экономит много времени и усилий в сравнении с кабельными сетями.
•	Сотрудники технического отдела могут постоянно сохранять связь с администрируемыми системами, вне зависимости от того, в каком месте здания находятся (даже на собраниях или вдалеке от своего рабочего места). Использование портативных систем, таких как ноутбуки, планшетные и карманные ПК, позволяет сотрудникам ИТ-службы компании незамедлительно реагировать на любые возникающие потребности.
•	Пользователи всегда могут получить нужную информацию за считанные секунды. Собрания не приходится прерывать из-за того, что кому-то нужно сделать копии документов или вернуться на рабочее место за отчетом. Во время презентаций вместо показа расплывчатых изображений на большом экране можно загружать слайды на компьютеры участников. При проведении собраний можно использовать интерактивные технологии для связи с сотрудниками удаленных офисов и дистанционными пользователями.
•	Благодаря возможности быстро и легко вносить изменения в структуру организации значительно повышается ее гибкость. Отказ от сетевых кабелей позволяет иногда реструктурировать целые подразделения.
•	Беспроводные технологии позволяют реализовать в бизнес-среде приложения и решения новых типов и интегрировать в нее такие устройства, как карманные и планшетные ПК. Компании или их подразделения, которые раньше мало пользовались ИТ-системами из-за их ограничений, теперь тоже могут извлекать выгоду из использования сетевых технологий. Легкий доступ к информации позволяет повысить производительность труда сотрудников, работающих в столовых, ресторанах, больницах, розничных магазинах и даже в заводских цехах.

Функциональные преимущества

Функциональные преимущества беспроводных технологий также весьма разнообразны и зависят от типа компании и используемых ресурсов. Некоторые из них описаны ниже.

•	Благодаря ослаблению зависимости от кабельной сетевой инфраструктуры сокращаются расходы на развертывание и обслуживание сети. Развертывание беспроводной сети позволяет без больших затрат организовать доступ к сети в тех областях, в которых раньше внедрять сетевые технологии было невыгодно, в том числе вне помещений и в распределенных офисах.
•	Сеть можно эффективнее и быстрее адаптировать к изменениям потребностей, потому что установить или переместить точки беспроводного доступа гораздо проще, чем увеличить число сетевых портов.
•	Сокращается объем средств, «замороженных» в инфраструктуре, поскольку оборудование для беспроводных сетей превосходят по гибкости кабельную сетевую инфраструктуру. Это обеспечивает больше возможностей при расширении офиса или его переносе в другое место. Беспроводные сети с высокой пропускной способностью (802.11a/g/n) являются также экономически привлекательной альтернативой старым низкоскоростным сетям Ethernet и Token Ring.

Уязвимости беспроводных сетей

Чтобы понять, какой уровень безопасности обеспечивают разные решения, важно разобраться с наиболее распространенными угрозами, с которыми сталкиваются пользователи беспроводных сетей. Уязвимости традиционных сетей и типы атак, которым они могут подвергнуться, широко известны, но в случае беспроводных сетей привычными факторами риска дело не ограничивается.

Таблица 1. Типичные угрозы, которым подвергаются беспроводные сети

Угроза	Описание
Раскрытие информации вследствие прослушивания каналов связи	Атаки, основанные на прослушивании незащищенных каналов беспроводной связи, иногда позволяют злоумышленникам получить конфиденциальные сведения, узнать учетные данные пользователей и даже присвоить их. Высококвалифицированные хакеры могут использовать полученные таким образом сведения для проведения атак на системы, проникнуть в которые при иных условиях было бы очень сложно.
Перехват и изменение передаваемых данных	Хакер, получивший доступ к сетевым ресурсам, может также подключить к сети свои компьютеры для перехвата и изменения данных, которыми обмениваются два законных пользователя.
Подделка пакетов	Доступ к внутренней сети позволяет хакеру подделывать данные и выдавать их за нормальный трафик. Примером такой атаки может служить подделка корпоративных электронных писем, которым пользователи доверяют больше, чем информации, полученной из внешних источников. Это облегчает проведение атак, основанных на использовании социотехники и троянских программ.
Отказ в обслуживании	Какое бы решение не использовалось для обеспечения безопасности беспроводных сетей, они очень уязвимы перед умышленными или случайными атаками типа «отказ в обслуживании» (Denial of Service, DoS). Причиной нарушения работы беспроводных сетей могут стать всего лишь помехи со стороны микроволновой печи или устройства, переполняющего сеть беспорядочным трафиком.
Паразитирование (кража ресурсов)	Некоторые хакеры вторгаются в беспроводные сети просто ради бесплатного доступа в Интернет. Сами по себе такие действия не представляют угрозы, однако они отнимают сетевые ресурсы у законных пользователей и делают сеть менее защищенной от вредоносного ПО.
Случайные угрозы и неуправляемые соединения	В незащищенных беспроводных сетях любой посетитель может получить доступ к внутренней сети, просто включив устройство, позволяющее подключаться к беспроводным сетям. Эти неуправляемые устройства могут быть уже взломаны или хакер может использовать их как точку проникновения при атаке на сеть.
Нелегальные точки беспроводного доступа	Даже если в компании нет беспроводной сети, она может быть уязвима перед угрозами, которые связаны с неуправляемыми беспроводными сетями. Оборудование для беспроводных сетей стоит сравнительно недорого, поэтому любой сотрудник компании может развернуть в корпоративной среде неуправляемую и незащищенную сеть.

Сейчас, когда такое большое внимание уделяется безопасности, многие из этих факторов риска, связанных с беспроводной передачей данных, очевидны, но при разработке первых технологий защиты беспроводных сетей это было далеко не так. Когда для обеспечения безопасности при широковещательной передаче данных по беспроводным сетям была разработана спецификация WEP, казалось, что компенсировать изначальную незащищенность беспроводных сетей в сравнении с проводными не требуется, потому что технология была настолько новой, что мало кто задумывался о возможных угрозах, в которыми могут столкнуться такие сети. Однако по мере появления все более изощренных методов проведения атак стало ясно, что данные, передаваемые через беспроводные соединения, необходимо защищать не менее надежно, чем трафик традиционных сетей.

Широкое распространение информации о недостатках WEP привело к быстрым изменениям в системах безопасности сетей. В популярных изданиях часто публиковались истории об «охотниках за сетями», а государственные органы работали над законами, регламентирующими защиту идентификационных и рабочих данных в различных отраслях. В ответ на эти тенденции многие компании или признали использование беспроводных технологий в корпоративной среде бесперспективным и небезопасным, или разработали сложные решения, компенсирующие недостатки стандарта WEP.

Некоторые из этих сложных решений все еще используются и даже продаются. Однако, как будет показано в следующих разделах, вследствие развития беспроводных технологий и их адаптации к изменившимся требованиям к безопасности потребность в использовании подобных решений для защиты беспроводных сете пропала, и целесообразность их применения рекомендуется оценить заново.

Страницы: 1 2 3 4 5 6 7 8 >

Иcточник: Microsoft TechNet • Опубликована: 20.03.2007

Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER

Теги:

Оценить статью: