Защищенная конфигурация точки доступа

WPA или WPA2?

Протоколы Wi-Fi Protected Access (WPA) и Wi-Fi Protected Access 2 (WPA2) специально разработаны для блокирования угроз, которым подвергаются беспроводные сети, основанные на стандарте IEEE 802.11. Однако между ними есть некоторые различия. Протокол WPA был разработан в 2003 году для устранения недостатков стандарта WEP. Разработчики WPA хорошо справились с задачей, реализовав в этом протоколе поддержку взаимной проверки подлинности, шифрование данных с использованием протокола TKIP и проверку целостности подписанных сообщений, которая обеспечивает защиту от атак, основанных на подмене или повторении пакетов. Протокол WPA2 обеспечивает еще более высокий уровень безопасности, потому что в нем для защиты сетевого трафика используется стандарт AES, а не протокол TKIP. Поэтому ему всегда следует отдавать предпочтение перед WPA.

Протоколы WPA и WPA2 значительно превосходят WEP по степени защиты, и при правильной настройке системы безопасности ни в первом, ни во втором нет никаких известных уязвимостей. Тем не менее, протокол WPA2 считается более защищенным, чем WPA, и, если инфраструктура его поддерживает, а дополнительные накладные расходы, связанные с администрированием решения WPA2, приемлемы, выбор следует делать в его пользу.

Большинство производимых сегодня точек доступа и новейшие версии ОС Windows, а именно Windows XP с пакетом обновления 2 и Windows Server 2003 с пакетом обновления 1, сертифицированы в соответствии с требованиями протокола WPA2. Если в имеющейся среде какие-то точки доступа или клиентские компьютеры не поддерживают WPA2, беспроводные устройства и клиентские системы, поддерживающие WPA2, могут использовать более старый стандарт WPA.

Примечание.   Для обеспечения поддержки сертификации WPA2 на клиентских компьютерах, работающих под управлением ОС Windows XP с пакетом обновления 2 (SP2), необходимо установить дополнительный пакет обновления — обновление протокола WPA2 и информационного элемента службы обеспечения беспроводной связи (WPS IE) для Windows XP с пакетом обновления 2. Информацию об этом пакете обновления можно найти по адресу http://support.microsoft.com/default.aspx?scid=kb;en-us;893357 (эта ссылка может указывать на содержимое полностью или частично на английском языке).
Кроме того, нынешние версии ОС Windows не поддерживают WPA2 на уровне объектов групповой политики, что с точки зрения управления является существенным недостатком, который делает реализацию WPA2 гораздо более сложной в сравнении с WPA. При выборе между WPA и WPA2 это может оказаться решающим фактором, так как оба стандарта обеспечивают сравнительно надежную защиту.

Разработка защищенного беспроводного сетевого решения

В предыдущем разделе были описаны некоторые исторические предпосылки возникновения разных подходов к защите беспроводных сетей, распространенные угрозы, которым подвергаются беспроводные сети, и способы борьбы с этими угрозами, возможные при использовании каждого подхода. Имея в распоряжении эту информацию, можно принимать обоснованные решения по поводу применения тех или иных подходов в конкретных корпоративных системах.

Новейшие стандарты защиты беспроводных сетей, а именно WPA и WPA2, устранили серьезные недостатки стандарта WEP и сделали, таким образом, ненужными способы обхода этих недостатков, такие как использование протокола IPsec или технологии VPN. Использовать статический или динамический алгоритм WEP теперь не рекомендуется ни в какой форме, а отказ от обеспечения безопасности выгоден лишь в немногих ситуациях. Таким образом, при разработке комплексного эффективного решения для защиты беспроводной сети достаточно рассмотреть всего лишь два подхода.

Данный раздел поможет специалистам, принимающим решения, поближе познакомиться с рекомендуемыми способами защиты беспроводной сети. Многие отраслевые аналитики, эксперты по безопасности и ведущие производители считают эти решения, рекомендуемые корпорацией Майкрософт, наиболее надежными методами развертывания защищенных и эффективных беспроводных сетей. Несмотря на то, что этот документ посвящен методу, лучше всего подходящему для защиты корпоративных сетей среднего размера, рекомендуется рассмотреть все возможные варианты и полностью пройти через процесс принятия решения, так как любые правила имеют исключения.

Алгоритм Microsoft для выбора подхода к защите беспроводной сети

Существует два рекомендуемых подхода к защите беспроводной сети. Кроме того, возможен еще и третий, смешанный подход. Ниже перечислены (в порядке убывания обеспечиваемой ими безопасности) два основных решения.

Если не считать уровень безопасности, выбор одного из этих двух подходов сводится большей частью к ресурсам, необходимым для реализации и поддержки каждого решения.

Использование стандарта WPA или WPA2 с протоколом PEAP-MS-CHAPv2 предъявляет меньшие требования к оборудованию и техническим навыкам сотрудников, потому что при этом не нужна базовая инфраструктура сертификатов. Все доступные в настоящее время на рынке устройства сертифицированы в соответствии с требованиями WPA2 и не слишком дороги, поэтому лучше выбирать системы с поддержкой WPA2, даже если решено использовать стандарт WPA из-за его нынешнего превосходства над WPA2 в плане администрирования. Поддерживаемый в WPA2 метод шифрования AES считается более защищенным, чем используемый в WPA протокол TKIP, а если учесть еще и то, что в будущих версиях планируется реализовать поддержку WPA2 на уровне объектов групповой политики, имеет смысл создать основу для реализации WPA2 в будущем.

Использование стандарта WPA или WPA2 с протоколом EAP-TLS является в настоящее время самым надежным способом защиты беспроводной сети, но при этом приходится тратить дополнительные средства на реализацию и управление, потом что при таком подходе необходима инфраструктура сертификатов. Однако во многих компаниях среднего размера уже есть системы, необходимые для использования стандарта WPA2 с протоколом EAP-TLS, поэтому данный вариант может быть для них более привлекательным. Даже если необходимые системы отсутствуют, многие компании в силу других причин испытывают потребность в тех же технологиях, на которых основано данное решение (сертификаты и RADIUS-серверы), поэтому даже в таких ситуациях есть экономические и технические доводы в пользу реализации именно этого решения.

Рис. 1. Алгоритм корпорации Майкрософт для выбора подхода к защите беспроводной сети

Схема на рис. 1 уже использовалась в других руководствах корпорации Майкрософт по выбору подхода к защите беспроводных сетей и основана на некоторых предположениях относительно того, какую компанию можно считать крупной. Здесь предполагается, что крупная компания насчитывает не менее 500 сотрудников и имеет ИТ-службу, в которой работает не менее пяти специалистов.

Как было сказано выше, в данном случае этот алгоритм немного дезориентирует, потому что многие компании среднего размера, для которых и написан этот документ, наверняка владеют ресурсами, нужными для реализации стандарта WPA2 с протоколом EAP-TLS и службами сертификации, если предположить, что большинство таких компаний включают как минимум пять ИТ-специалистов и могут выполнить дополнительные требования базового подхода EAP-TLS к инфраструктуре (четыре дополнительных сервера, один из которых не будет подключен к сети).

Таким образом, наилучшим решением для большинства компаний среднего размера является использование стандарта WPA2 с протоколом EAP-TLS и службами сертификации. Ему и будут посвящены остальные разделы этого документа. Однако из любых правил есть исключения, и, если организация нуждается в другом подходе, ее специалистам следует обратиться к другим руководствам, недостатка в которых нет. Если принято решение использовать WPA с протоколом PEAP-MS-CHAP v2, дополнительные сведения можно найти в документе «Защита беспроводных сетей с использованием протокола PEAP и паролей», который находится по адресу http://go.microsoft.com/fwlink/?linkid=23459 (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Требования протокола EAP-TLS к серверам

Как уже было сказано, для реализации протокола EAP-TLS нужны как минимум четыре сервера (в распределенной или более крупной среде больше), два из которых будут выполнять функции резервных серверов службы проверки подлинности в Интернете (IAS — предлагаемая корпорацией Майкрософт реализация службы удаленной проверки пользователей RADIUS), а два других будут использоваться как компоненты базовой инфраструктуры сертификатов (PKI). Один из двух серверов сертификатов, а именно сервер корневого центра сертификации, будет отключен от сети для защиты корневого сертификата.

Таблица 3. Рекомендуемые требования к оборудованию сервера корневого центра сертификации

Как ясно из таблицы, требования к серверу корневого центра сертификации, основанные на требованиях, предъявляемых ОС Windows Server 2003 Standard Edition, совсем невелики, и при необходимости его можно создать даже на базе старой платформы, которую планируется списать, или виртуальной машины. Во многих компаниях для этого используют ноутбук, потому что вопрос с его физической защитой можно решить, просто заперев его в сейфе. Какой бы подход к созданию корневого центра сертификации не был выбран, важно гарантировать, что в случае надобности можно будет загрузить соответствующий компьютер или восстановить хранящиеся на нем данные.

Требования к аппаратным средствам выдающего центра сертификации похожи, только этот сервер должен включать дисковую подсистему большего объема и должен быть подключен к сети. Этот сервер должен хранить все выданные сертификаты, поэтому желательно, чтобы объем его дисковой подсистемы составлял как минимум 2 ГБ на каждую тысячу пользователей.

Требования к RADIUS-серверам выше, потому что эти серверы критически важны для поддержания функциональности беспроводной сети и должны быть способны обрабатывать большое число попыток проверки подлинности за короткие периоды времени. Таким образом, для систем, содержащих тысячи беспроводных клиентов, может потребоваться более производительная аппаратная платформа. Требованиям центров сертификации полностью соответствует ОС Windows Server 2003 Standard Edition, в то время как на серверах службы проверки подлинности в Интернете иногда необходимо использовать выпуск Enterprise Edition, потому что Standard Edition поддерживает только 50 клиентов RADIUS.

В силу этих причин рекомендуется устанавливать службу проверки подлинности в Интернете на контроллеры доменов, потому что это уменьшает потребность в дополнительных серверах, позволяя использовать имеющиеся надежные серверные платформы контроллеров доменов. Кроме того, развертывание службы IAS на контроллерах доменов на самом деле повышает эффективность ее работы, сокращая объем трафика, передаваемого при проверке подлинности пользователей между контроллерами доменов и службой проверки подлинности в Интернете.

При определении требований к RADIUS-серверам следует также принять во внимание перемещение при сбоях, избыточность и наличие в компании удаленных филиалов. Рекомендуется использовать как минимум два сервера службы проверки подлинности в Интернете, но если удаленных филиалов много, возможно, в некоторых из них нужно будет установить дополнительные серверы службы проверки подлинности в Интернете. Кроме того, некоторые компании могут предъявлять более высокие требования к избыточности серверов или балансировке нагрузки.

Ничто не мешает использовать в качестве RADIUS-серверов многофункциональные серверы, но при этом важно учесть дополнительную нагрузку на такой сервер и ее характер. RADIUS-сервер должен быть способен обработать запросы всех беспроводных клиентов, если они попытаются подключиться к нему за короткий период времени.

Сертификаты

Какой бы основанный на WPA подход ни использовался для защиты беспроводной сети, в решении обязательно будут использоваться сертификаты в той или иной форме. При использовании протокола PEAP сертификаты нужны только на сервере проверки подлинности, поэтому в данном случае для выдачи необходимых сертификатов можно использовать службу сторонней компании, а это означает, что развертывать инфраструктуру открытого ключа не требуется. Это главная причина того, что в небольших организациях, не всегда располагающих специалистами или ресурсами, нужными для реализации и поддержки инфраструктуры сертификатов, рекомендуется использовать подход, основанный на протоколе PEAP.

Поддерживаемая в ОС Windows реализация протокола EAP-TLS с использованием служб сертификации позволяет выдавать сертификаты и без инфраструктуры открытого ключа, но поскольку для проверки подлинности с помощью RADIUS-сервера каждый клиент должен иметь сертификат, применение сертификатов сторонних фирм может оказаться приемлемым по цене только для самых небольших компаний. Это справедливо и для подхода, основанного на использовании протокола PEAP со службами сертификации.

Если в организации уже развернута инфраструктура открытого ключа, принять решение проще, потому что для защиты беспроводной сети можно будет воспользоваться имеющимися компонентами. Но даже если инфраструктура открытого ключа в компании среднего размера отсутствует, не стоит сразу отказываться от вложения средств в инфраструктуру сертификатов, потому что ее можно использовать для решения многих других задач, ряд из которых перечислен ниже.

В целом оказывается, что подход, основанный на использовании служб сертификации с протоколом EAP-TLS или PEAP, лучше всего соответствует требованиям компаний среднего размера, и именно ему уделяется основное внимание в этом документе.

Создание заявления об использовании сертификатов

При первоначальном планировании развертывания инфраструктуры открытого ключа (PKI) следует подготовить документацию с описанием того, как сертификаты будут использоваться в бизнес-среде. Хотя эти решения можно корректировать по мере изменения требований, важно сформулировать их предварительный вариант в формальном заявлении о политике сертификатов.

Выражаясь строгим языком, политика сертификатов — это совокупность правил, определяющих работу инфраструктуры открытого ключа. Она содержит информацию о применимости сертификатов к имеющимся в организации конкретным группам или приложениям с общими требованиями к безопасности. В заявлении об использовании сертификатов в общих чертах излагаются методики, которые применяются в компании для управления выдаваемыми ею сертификатами. В нем описывается, как политика сертификатов интерпретируется в контексте политик инфраструктуры бизнес-систем и операционных процедур. Несмотря на то, что политика сертификатов действует во всей организации, заявление об использовании сертификатов специфично для центра сертификации, хотя, если центры сертификации выполняют одни и те же функции, они могут иметь общее заявление об использовании сертификатов.

В некоторых компаниях эти заявления представляют собой юридические документы, составлять которые необходимо из-за действующих в конкретной отрасли законодательных норм. При создании таких документов может потребоваться помощь юристов. Вообще говоря, составлять эти документы рекомендуется, даже если работа компании не регламентируется такими законодательными нормами.

Иерархия центров сертификации

В подходе, который описывается в данном руководстве, используется иерархическая модель доверия с единственным внутренним корневым центром сертификации. Такой подход имеет и достоинства, и недостатки, поэтому для определения того, насколько он выгоден в конкретной ситуации, иногда требуется провести более тщательный анализ. Чтобы получить дополнительные сведения об этом, обратитесь к главе Designing a Public Key Infrastructure («Проектирование инфраструктуры открытых ключей») руководства Windows Server 2003 Deployment Kit (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Рис. 2. Иерархия центров сертификации

Защита корневого центра сертификации

Реализация протокола EAP-TLS от корпорации Майкрософт не будет работать, если корневой центр сертификации подключен к сети. В силу ряда веских причин, связанных с безопасностью, использовать автономный корневой центр сертификации предпочтительнее, чем корневой центр сертификации предприятия. Именно этот подход рекомендуется выбирать при реализации любой инфраструктуры открытого ключа.

Данный подход может показаться пустой тратой ресурсов, но есть методы, позволяющие при этом повторно использовать по крайней мере часть аппаратных средств корневого центра сертификации, который никогда не будет подключен к сети. Некоторые рекомендации приведены ниже.