Как показано на рис. 6.13, уровень безопасности WAP отличен от того, который имеет место в проводном мире. Не полагаясь на повсеместно распространенный SSL/TLS-протокол, WAP основывается на WTLS. Этот протокол был разработан для аутентификации, шифрования данных и сохранения частной информации WAP-пользователей. WTLS включили в спецификацию WAP 1.1.
Как уже было показано применительно к другим компонентам WAP, обычный SSL-протокол не подходит для беспроводных сетей прежде всего по причине функционирования. SSL хорошо работает в мире персональных компьютеров, где у ПК-пользователей есть вполне достаточная вычислительная мощность, обильный ресурс батарей и относительно быстрое соединение с Web-сервером. У WAP- устройств нет ни одного из этих ресурсов, что и послужило причиной разработки WLTS.
Спецификация WAP также создает функцию WML Script под названием Sign Техt, которая обеспечивает возможность предоставления цифровой подписи на WAP- устройствах. Хотя продукты SignТехt только что появились на рынке, они значительно повышают ценность WAP-технологий, поскольку позволяют обеспечить уникальность важных транзакций.
WAP-спецификация вводит три различных класса аутентификации:
• класс 1 — анонимная аутентификация. Ни клиент, ни шлюз не могут идентифицировать друг друга;
• класс 2 — серверная аутентификация. Эта ситуация эквивалентна установке SSL-соединения в проводном браузере. Протокол SSL аутентифицирует сервер, так что пользователь уверен в том, что он действительно попал на корпоративный сайт;
• класс 3 — идентифицируются и клиент, и сервер. Это требует использования PKI.
Хотя устройства с третьим классом аутентификации вводят реальную возможность создания инфраструктуры беспроводных публичных ключей (WPKI), их применение также порождает целый ряд неразрешенных бизнес проблем. В устройствах третьего класса специфическая проблема связана с тем, каким образом пользователь работает с ключами, устанавливает их на свой терминал и т.п. Хотя SIM-карта — самое вероятное место хранения ключей, операторы должны считаться с тем, что новые WAP-пользователи уже имеют свою SIM-карту, которую непросто обновить.
Это побудило WAP -форум создать WIM (Wireless Identity Module — модуль беспроводной идентификации). Так же как SIM-карта содержит необходимую информацию для аутентификации и обработки голосовых соединений, WIM-карта создавалась для того, чтобы возник аналогичный механизм хранения ключей и информации, относящейся к WAP-услугам. Хотя WAP-форум и не выбрал предпочтительную WIM-архитектуру, появились две возможности:
• интегрированная SIM/WIM-карта. В таком сценарии WIM-карта — виртуальная. Она использует свободные участки памяти SIM-карты пользователя, чтобы хранить там необходимую информацию;
• телефоны с двумя словами. В таких телефонах содержится специальный слот для%Ч1М-карты. Таким образом, открываются новые возможности, большинство из которых связано с WIM-персонализацией и выпуском поставщиками контента собственных WIM-карт для пользователей. Последнее особенно интересно для банков, которые обычно предпочитают создавать и поддерживать собственную инфраструктуру безопасности. Архитектура с двумя слотами порождает некоторые проблемы для пользователей, в частности тех, которые захотят иметь несколько WIM-карт по аналогии с имеющимися у них кредитными карточками.
Из-за глобального экономического спада в 2001 году производители терминалов отложили создание телефонов класса 3 или вовсе отказались от них, так что судьба WIM-архитектуры до сих пор неясна. Тем не менее это направление, скорее всего, останется ключевым в ближайшие годы, по мере того как банки и сетевые операторы будут соревноваться друг с другом в создании собственной системы отношений с клиентами.
К моменту написания этой книги WAP-устройства класса 1 были широко распространены. Каждый производитель терминалов имел одно или два устройства второго класса, а устройства класса 3 только-только начинали распространяться. Первые варианты внедрения WAP были сфокусированы исключительно на аутентификации класса 1 и 2.
Хотя аутентификация сервера очень важна, многие WAP-услуги продолжают полагаться на аутентификацию класса 1. Более того, WAP-спецификация была разработана так, чтобы Web-сервер не знал, зашифровано ли соединение с WAP- клиентом или WAP-шлюзом. Поэтому, хотя поставщик контента мог поставлять важную информацию через SSL к шлюзу, он не знал, передается она клиенту или нет.
WTLS определяет процесс, который позволит минимизировать количество коммуникаций, требуемых для связи между клиентом и сервером. Процесс аутентификации класса 2 происходит в четыре шага:
1. WAP-устройство посылает запрос к WAP-шлюзу.
2. Шлюз отвечает и посылает копию своего сертификата, содержащую публичный ключ шлюза, на WAP-устройство.
3. WAP-устройство получает сертификат и публичный ключ, генерирует уникальное случайное число и зашифровывает его при помощи публичного ключа шлюза.
4. WAP-шлюз получает зашифрованную величину и расшифровывает ее с помощью соответствующего частного ключа.
Процесс крайне прост, но он позволяет создать шифрованный канал с минимальным уровнем контактов между пользователем и шлюзом. К сожалению, протокол WTLS только шифрует данные от WAP-устройства к WAP-шлюзу. От WAP-шлюза к Internet-серверу с контентом информация передается по стандартному SSL-протоколу. Поскольку данные надо преобразовать из WTLS в SSL, в течение миллисекунды они присутствуют в шлюзе в незашифрованном виде (рис. 6.15).
Эта короткая миллисекунда очень скоро стала известна под названием WAP- щели. Несмотря на то, что практический риск проникновения в такую щель крайне мал, аналитики и пресса использовали этот факт для объявления WAP небезопасным. Производители решений в области безопасности воспользовались паникой и стали предлагать различные решения для обеспечения безопасности, которые якобы снижали риск, связанный со щелью, хотя на самом деле не имели к проблеме ни малейшего отношения.
Даже если WAP-щель и не представляла особенной угрозы, лавина негативных публикаций быстро свела на нет потребительский интерес к WAP-услугам. Особенно уязвимы были беспроводные приложения, чувствительные к проблемам безопасности, например беспроводной банкинг. Массовый интерес к проблеме вывел вопрос безопасности на первое место для членов WAP-форума, которые поставили его во главу угла при обсуждении будущих версий WAP-спецификаций.
WAP-щель и WTLS: ключевые аспекты
Воспользоваться WAP-щелью хакерам совсем не просто. Для этого им необходимо получить физический доступ к WАР-шлюзу и просматривать огромные объемы данных, причем точно знать момент времени, когда устанавливается соединение, чтобы восстановить необходимые данные. Почти всегда WAP-шлюзы располагаются в достаточно безопасном месте. Поскольку через WAP-шлюз проходит информация для биллинга, а также и биллинг для голосового трафика, шлюз обычно размещается в охраняемом здании с ограниченным доступом персонала и тщательной защитой при помощи межсетевого экрана (firewall).
Для тех, кто озабочен проблемой WAP-щели, есть возможность защитить WAP- шлюз с использованием firewall. Правда, для этого надо приобрести и установить в собственной компании WAP-шлюз. Именно так и поступало большинство банков и поставщиков финансовых услуг в 2000 году для того, чтобы предложить пользователям безопасный беспроводной банкинг.
WTLS никогда не был статическим стандартом. При существующих ограничениях для сетей с коммутацией каналов WTLS представлял наилучший выбор. WAP-форум склоняется к дизайну WAP v2.0 с TLS в центре. На сегодняшний день SSL/TLS-спецификация уже реализована в некоторых продуктах, и это полностью устраняет WAP-щель. Новая спецификация очень удачно сочетается с появлением более быстрых терминалов и сетей, которые позволяют реализовать шифрование на терминалах.
За последние 15 лет все мы наблюдали настоящий взрыв в развитии беспроводных сетей передачи данных, приложений и небывалое увеличение числа пользователей. Но даже этот стремительный рост не может сравниться с тем, что прогнозируют аналитики. Хотя повсеместный спад в мировой экономике снизил многие показатели, в будущем ожидается рост числа пользователей беспроводных сетей. По мнению экспертов компании Ovum Group, в 2005 году больше людей будет входить в Internet при помощи беспроводных устройств, чем при помощи традиционных проводных. Это особенно актуально для тех стран, где Internet-доступ с домашних ПК не слишком широко распространен.
Однако, хотя люди с оптимизмом оценивают будущее беспроводной передачи данных, остается немало проблем, связанных с перспективой развития различных беспроводных технологий. Проще говоря, технологии будут стремиться к тем стандартам, которые предлагают две возможности — хорошую скорость передачи и коммутацию пакетов. Перед другими стандартами встанет выбор: либо меняться, либо исчезнуть с рынка. Это приведет к появлению конкретных решений для вертикальных рынков и географических регионов.
Как и в случае с проводной Internet-связью, пользователи будут требовать большей полосы пропускания, что создает хорошие предпосылки развития стандарта GPRS. Кроме того, операторы будут использовать высокоскоростные сети для тестирования рынка и разработки планов внедрения будущих 3G-сетей. Несмотря на Прево начальные проблемы, будет продолжать развиваться и протокол WAP. Его поддержат участники рынка в надежде на развертывание более скоростных сетей.
Не забывает, что рынок беспроводной передачи данных очень молод. Хотя стандарты беспроводной передачи данных и соответствующие сети появились в начале 1990-х годов, нигде не наблюдался такой экспоненциальный взлет, о котором можно говорить применительно к сетям для беспроводной передачи голоса. Что же касается беспроводных сетей передачи данных, понадобится больше времени для того, чтобы они достигли критической массы и чтобы появились востребованные приложения и услуги в этой сфере. Так или иначе рынок беспроводной передачи данных в ближайшие годы предложит нашему вниманию очередные инновации.
СТАНДАРТЫ БЕСПРОВОДНЫХ СЕТЕЙ
Спектр современных беспроводных технологий крайне широк: от близкодействующей инфракрасной связи до дальнодействующей спутниковой. Как овладеть ими всеми? Какие окажутся наиболее успешными, а какие потерпят неудачу? В этой главе мы попытаемся обсудить все имеющиеся и назревающие возможности. Поскольку беспроводные технологии находятся в начальной стадии развития (по отношению к проводным сетям), они будут продолжать стремительно развиваться независимо того, что будет опубликовано на эту тему. Мы попытаемся обсудить положение дел, по крайней мере, на момент написания этой книги. Начнем этот нелегкий труд с анализа технологий, которые лежат в основе процессов беспроводной связи, а затем обсудим существующие и готовящиеся стандарты.
На сегодняшний день беспроводные технологии используют либо радиоволны, либо световые волны для передачи информации из одной точки в другую. Большинство из нас не задумываясь пользуется беспроводной передачей сигналов, разговаривая по радиотелефону или переключая телепрограммы при помощи пульта дистанционного управления. При этом беспроводные технологии продолжают постоянно все увереннее совершенствоваться. Например, мобильные телефоны — ветераны беспроводного мира проникают в сферу передачи данных. Давайте познакомимся с тем, как работают эти технологии.
Инфракрасное излучение (ИИ) содержит электромагнитные волны чуть более короткой длины, чем у видимого света, поэтому у них похожие свойства. Так же как и световые волны, инфракрасные распространяются по прямой линии и отражаются от встреченных объектов, но не могут пройти их насквозь. Информация при помощи инфракрасных лучей передается практически так же, как несут ее световые волны по оптическим волокнам, — импульсами. Именно по такому принципу работает большинство пультов дистанционного управления для телевизоров, видеомагнитофонов и т.п.
Радиоволны — это электромагнитные волны, которые излучаются при прохождении электромагнитного тока через антенну. Это явление можно использовать для того, чтобы передавать «по воздуху» сигналы на такие приемные устройства, как радио, телевизоры, мобильные телефоны. Радиосвязь — наиболее широко используемая технология беспроводных коммуникаций: в современном мире способам ее применения нет числа. Однако, как это часто бывает со всем хорошим и полезным, в наличии обычных пользователей имеется лишь ограниченное количество радиочастот, поскольку большая часть радио спектра уже зарезервирована для различных нужд регулирующими органами разных стран — Федеральной комиссией по телекоммуникациям (FCC) в США, Институтом контроля и сертификации радио оснащения (Radio Equipment Inspection and Certification Institute) в Японии и Европейской ассоциацией администраций почтовых служб и телекоммуникаций (Conference of European Postal and Telecommunications, СЕРТ) в Европе.
Использование большинства частот радио спектра требует специальной лицензии, а некоторые могут использоваться свободно. Одна из таких групп не лицензируемых частот называется полосой ISM (по названиям областей, которые она затрагивает: Industrial — промышленная, Scientific — научная, Medical — медицинская). Если выполнять определенный набор требований, в частности соблюдать ограничение на излучаемую мощность и использовать технологии передачи сигнала, которые не будут интерферировать с существующими радиоустройствами в конкретной полосе, то данную полосу спектра можно занять и для других целей без получения лицензии и регистрации в упомянутых выше регулирующих органах. В США полоса ISM расположена в регионе 900 МГц, а регион 2,4 ГГц- наиболее активно лицензируемый участок. В табл. 7.1 представлены важные сведения о международном лицензировании.
Таблица 7.1.
Выделенный спектр в разных странах
Регион Выделенный спектр, ГГц
США 2,4-2,4835
Европа 2,4-2,4835
Япония 2,471-2,497
Франция 2,4465-2,4835
Испания 2,445-2,475
Из-за ограниченного объема полосы пропускания и специального назначения ISM-полосы в большинстве стран для беспроводных локальных сетей (WLAN) необходимо выделять дополнительные частоты. В США в качестве такой нелицензируемой национальной информационной инфраструктуры (UNII — Unlicensed National Information Infractructure) выделены полосы от 5,15 до 5,35 ГГц и от 5,725 до 5,825 ГГц. Однако перед тем, как эти участки начнут широко использоваться для LAN, должно пройти определенное время, чтобы была обеспечена совместимость с уже существующими беспроводными технологиями для LAN, работающими в полосе 2,4 ГГц.
Даже при том, что процесс лицензирования частот для использования в беспроводных локальных сетях достаточно сложен, имеющегося спектра все равно не хватает. Приходится придумывать все новые способы передачи больших объемов данных по существующим частотам. В ряде случаев задействуются технологии распределенного спектра и OFDM (Orthogonal Frequency Division Multiplexing — ортогональное мультиплексирование деления частоты).
Распределенный спектр связан с методом деления данных на части и отправки их по частям в различных полосах частот. Сигналы распределенного спектра используют много частот (широкую полосу) и могут восприниматься узкополосными устройствами как радиошум. Шум такого рода достаточно легко отфильтровывается, поэтому узкополосные устройства могут сосуществовать друг с другом. Наиболее широко используемые методы распределенного спектра — FHSS (Frequency Hopping Spread Spectrum — распределенный спектр со скачками по частотам) и DSSS (Direct Sequence Spread Spectrum — распределенный спектр с прямой последовательностью).
В системах FHSS передатчик и приемник «перескакивают» с одной частоты на другую по заранее обговоренной системе. Скачки происходят часто, причем на каждой определенной частоте — за кратчайший промежуток времени. Это уменьшает вероятность интерференции с другими устройствами и позволяет нескольким перекрывающимся FHSS-системам работать одновременно.
DSSS пересылает данные посредством процесса бинарной кодировки, который распределяет их, комбинируя с мульти битовой структурой псевдошумового кода. В результате получаются зашифрованные и сильно увеличенные в объеме данные. Например, если длина этого кода 11 бит (что типично для большинства беспроводных приложений DSSS), то 1 бит информации превращается в 11 бит. Эти данные модулируются, а затем одновременно пересылаются по многим частотам (которые обычно входят в полосу 22 МГц). Поскольку объем данных увеличивается в 11 раз, возрастает и вероятность их потери при передаче по воздух!
OFDM — это метод модуляции, который основан на делении канала связи на ряд частотных полос равной величины. Каждая из этих полос используется для передачи определенной порции пользовательской информации; все полосы независимы друг от друга. Такой многопользовательский подход устраняет проблему появления большого числа сигналов, возникающих при отражении от различных поверхностей. В то же время улучшается качество работы и увеличивается объем передаваемых данных.
Существующие и готовящиеся стандарты
Очень важную роль в современных условиях играют регулирующие органы. Прежде всего, они обеспечивают совместимость устройств различных производителей, а к тому же проводят обсуждение всех важных проблем, связанных с конкретными технологиями.
Естественно, если никто не заинтересован в стандарте, то он нигде не найдет применения. По этой причине многие стандарты вырабатываются в результате определенных соглашений. В мире есть немало организаций, занимающихся выработкой стандартов, но две из них — IEEE (Institute of Electrical and Electronics Engineers — Институт инженеров-электриков и электроников) и ETSI (European Telecommunications Standards Institute — Европейский институт телекоммуникационных стандартов) — оказывают наибольшее влияние на мир беспроводных технологий.
IEEE (www.ieee.org) разрабатывает стандарты в очень широком спектре электрических/электронных приложений. Комитет 802 по стандартам для городских и локальных сетей (802 Local and Metropolitan Area Networks Standards Committee, LMSC) компьютерного сообщества IEEE определяет спецификации, относящиеся к LAN (www.ieee802.org).
В 1990 году LMSC организовал рабочую группу 802.11 для разработки беспроводного LAN-стандарта (grouper.iеее.оrg/groups/802/11). Через семь лет после этого был разработан первый беспроводной IEEE-стандарт, обеспечивающий передачу данных с гарантированной скоростью 1 Мб/с (в некоторых случаях до 2 Мб/с) в полосе ISM-частот 2,4 ГГц. Выбор именно этой полосы не случаен: ведь она доступна для нелицензионного использования в большинстве стран мира. Отчасти поэтому стандарт был внедрен и распространялся очень успешно.
Стандарт 802.11 определяет интерфейс между беспроводными клиентами и точками их доступа в сеть. Конкретно это относится к физическому слою PHY и слою управления доступом к физическим средам (МАС — Media Access Control). Кроме того, 802.11 определяет механизм безопасности WEP, описанный в главе 3, и показывает, как должен работать роуминг между этими точками доступа.
Слой PHY определяет беспроводную передачу. В стандарте 802.11 определены три различных типа передачи: диффузный инфракрасный, DSSS-радио и FHSS- радио. Сегодня чаще всего используется DSSS-радио. DSSS-радио — это технология, специфицированная в более современном стандарте 802.11. Все слои PHY поддерживают гарантированную скорость передачи данных 1 Мб/с с возможностью передачи до 2 Мб/с в некоторых случаях.
Как видно из названия MAC-слоя, в нем происходит управление доступом к физическим средам (в случае использования 802.11 это либо радиопередача, либо инфракрасное излучение). Из-за структуры PHY-слоя и устройств, использующих беспроводную передачу информации, слой МАС в 802.11 выполняет ряд дополнительных функций (таких, как исправление ошибок, обеспечение роуминга, сохранение энергии), которые в проводных сетях не относятся к сфере МАС. Это предусмотрено для того, чтобы скрыть физические характеристики беспроводной среды от более высоких сетевых слоев. МАС имеет два основных стандарта функционирования: распределенная мода (множественный доступ с точки зрения оператора с исключением столкновений — Carrier Sense Multiple Access with Collision Avoidance, CSMA/СА) и координированная мода. Распределенная мода использует те же методы, что и проводные сети Ethernet (множественный доступ с точки зрения оператора с регистрацией столкновений — Carrier Sense Multiple Access with Collision Detection, CSMA/CD), для совместного владения одним и тем же проводным каналом. Координированная мода использует управляемый из центра механизм выбора приложений, обеспечивающих трафик в реальном времени.
Спецификация 802.11 определяет возможность использования шифрования для обеспечения безопасности при помощи WEP. В проводных сетях (в отличие от беспроводных) есть возможность обеспечить физическую безопасность, а при беспроводной связи шифрование становится некой попыткой создания искусственных «стен» от внешнего вторжения. В число существенных недостатков WEP входят отсутствие управления ключом, использование общего статического ключа и сложности использования алгоритма RC4. Эти проблемы давно изучены, и предложено немало путей их решения. Тем не менее IEEE стремится решить задачи, связанные с безопасностью, с привлечением специальной группы 802.11i (см. ниже раздел «Интерфейс 802.11i).
Если вы уже сталкивались со стандартами 802.11, то наверняка обратили внимание на буквы «b», «а», «i», которые следуют за цифрами 802.11. Что же они означают?
Прежде всего, это различные подгруппы группы 802.11, образованные для исследования и стандартизации специфических проблем беспроводных сетей. Кто то особое внимание обращает на скорость передачи информации, а кто-то концентрируется на проблемах безопасности. Некоторые уже достигли своих целей, а у других работа еще в самом разгаре, и всех нас ожидает появление немалого количества беспроводных стандартов. Для более подробного знакомства с задачами, стоящими перед рабочими группами, можно обратиться к сайту www.ieee802.org/11/.
Буквы после номера означают тот порядок, в котором разрабатывались стандарты: например, 802.11а начал создаваться раньше, чем 802.11b, и т.д. Это может показаться странным, поскольку стандарт 802.11а представляется более новым, чем 802.11b. Дело в том, что 802.11а содержит более сложную технологию модуляции OFDM, чем та, что используется в 802.11b, — ССК (Complementary Code Keying) DSSS; поэтому 802.11b был закончен раньше, чем 802.11а. В следующих разделах мы более подробно рассмотрим работу различных групп.
Интерфейс 802.11b
Сегодня из всех стандартов 802.11 наиболее широко применяется разновидность «b», поэтому мы с нее и начнем. В сентябре 1999 года высокоскоростной стандарт 802.11 или 802.11b был одoбрен в качестве стандарта для высокоскоростного развития 802.11; скорость передачи в нем достигала 11 Мб/с, использовалась полоса частот 2,4 ГГц.
Скорость передачи данных, о которой мы ведем речь в этой главе, означает теоретически возможную скорость. Реальная обычно существенно меньше из-за накладок в МАС, ошибок и столкновений. В табл. 7.2 приведены реальные значения скорости передачи. Вариант 802.11b использует ССК и DSSS и, поскольку он работает в полосе частот 2,4 ГГц, полностью совместим со всеми предшествующими вариантами 802.11.
Для простоты запоминания WECA (Wireless Ethernet Compatibility Aliance— Ассоциация беспроводной совместимости с Ethernet) дала новому стандарту имя WiFi. Если устройство помечено этим знаком, оно протестировано на совместимость с другими устройствами 802.11. Стандарт получил очень широкое распространение, и благодаря ему беспроводные LAN стали очень привлекательным решением с технической и финансовой точки зрения.
Сложный выбор: 802.11а, 802.11b или 802.11g?
Что же вам выбрать? Как мы уже говорили, трудно предсказать, какой из этих стандартов через некоторое время окажется доминирующим. Однако, если вам срочно нужно организовать передачу данных с высокой скоростью, то 802.11a является единственным высокоскоростным решением 802.11, у которого уже есть продукты на рынке. На вопросы, связанные со стандартом 802.11g, отвечать трудно, поскольку в наличии имеется только проект стандарта, который должен быть одобрен в 2003 году, тогда же ожидается и появление первых устройств, работающих в нем. Только время поможет сделать правильный выбор. Нельзя забывать и о нём, что отсутствие совместимости с предшествующими стандартами существенно замедляет внедрение новой технологии. Еще один аргумент в пользу 802.11a заключается в том, что при работе с ним не надо опасаться интерференции с микроволновыми печками, Bluetooth-устройствами и безшнуровыми телефонами, поскольку этот стандарт работает в ином частотном диапазоне.
802.11a — название
еще одного высокоскоростного интерфейса. Он использует совершенно другой
частотный диапазон — 5 ГГц. Скорость передачи данных достигает 
54 Мб/с; кроме того, здесь используется новая схема модуляции OFDM. Более подробные сведения вы найдете на сайте www.ofdm-forem.com. Ассоциация WE-CA называет этот интерфейс WiFi5.
Определенный недостаток 802.11а заключается в том, что только в США часть диапазона 5 ГГц свободна для нелицензионного использования. В результате возникает проблема совместимости устройств, работающих в разных странах. Перед группой 802.11 стоит задача устранить эту проблему.
802.11а несовместим с 802.11b и другими стандартами 802.11 из-за использования совершенно другого частотного диапазона: у 802.11b это 2,4 ГГц, а у 802.11а— 5 ГГц. Таким образом, переход на 802.11а убыточен для организаций, которые вложили средства в беспроводные структуры 802.11/802.11b, что может помешать распространению этого стандарта. Некоторые производители пытаются решить проблему, изготавливая устройства, работающие как в стандарте 802.11а, так и в 802.11b (например, точки доступа Proxim Harmony Fast Wireless). Чип сеты 802.11а/b производит, в частности, компания Synad.
Однако использование полосы 5 ГГц обеспечивает более качественную передачу информации без интерференции с устройствами, работающими в полосе 2,4 ГГц: бес проводными телефонами, микроволновыми печами и устройствами для слежения за детьми. Кстати, стандарт Bluetooth также использует полосу 2,4 ГГц.
Спектр, доступный в диапазоне 5 ГГц, гораздо шире того, что имеется в полосе ISM. Это позволяет работать с 11 отдельными каналами вместо трех (с использованием некоторого перекрытия в 802.11 и 802.11b) для полосы 2,4 ГГц. Такие компания, как Atheros (www.atheros.com), учитывают эти преимущества и комбинируют каналы 802.11а для увеличения скорости передачи данных.
Обозначение следующей рабочей группы — 802.11g. 802.11g — это еще один высокоскоростной стандарт (пока только проект стандарта), по своей сути аналогичный 802.11b. 802.11g использует технологию компании Texas Instruments для достижения скорости передачи данных до 22 Мб/с или же OFDM c DSSS (как и в 802.11а) для достижения скорости до 54 Мб/с. Главное преимущество стандарта 802.11g заключается в том, что он обеспечивает более высокую скорость передачи данных и в то же время совместимость с продуктами 802.11b на базе DSSS.
У 802. 11g есть несколько недостатков. Самый крупный из них — вероятность интерференции с другими устройствами, работающими в полосе частот 2,4 ГГц: беспроводными телефонами, микроволновыми печами, устройствами Bluetooth. Вот почему 802.11g — лишь промежуточное решение на пути к будущему стандарту, работающему в полосе частот 5 ГГц.
Группа, разрабатывающая этот стандарт, вынуждена слегка задержаться из-за некоторых проблем с компаниями Texas Instruments (TI) и Intersil. Сегодня Intersil — крупнейший производитель чип сетов для 802.11b. Фирма предложила использовать технологию OFDM для 802.11g. В то же время TI, планирующая выпускать чип сеты, представила в качестве альтернативы свою технологию. В современном проекте стандарта предлагается использование обеих технологий. Intersil выпустила первый набор чипов для поддержки стандарта IEEE 802.11g в январе 2002 года.
Эта группа была создана совместными усилиями IEEE, ETSI и ММАС (Multimedia Mobile Access Communications — мобильный доступ к мультимедиа-коммуникациям) 5GSG (5 GHz Globalization and Harmonization Study Group — группа изучения глобализации и гармонизации в полосе 5 ГГц) с целью обеспечения совместимости 802.11а и высокопроизводительных стандартов LAN (HiperLAN). HiperLAN— это европейский стандарт для беспроводных LAN, который мы будем обсуждать ниже, в разделе «Стандарт НiреrLAN/2». Главная цель этой рабочей группы как в прошлом, так и в настоящем, — создать единый глобальный стандарт для беспроводных LAN в полосе частот 5 ГГц. После определенной работы, проделанной в направлении унификации использования этой полосы частот в США, Европе и Японии, группа была распущена.
Интерфейсы 802.11h и 5GPP
802.11h — это расширение PHY (802.11а) в полосе частот 5 ГГц с добавлением ТРС (Transmit Power Control — управление мощностью передатчика), который предотвращает излучение картой беспроводной связи радиосигналов большей мощности, чем требуется, и DFS (Dynamic Frequency Selection — динамический выбор частоты) — механизма, который позволяет устройству «прислушиваться» к тому, что происходит в пространстве, прежде чем выбрать канал. ТРС и DFS — общеевропейские требования. По сути дела, 802.11h представляет собой адаптацию 802.11а, призванную удовлетворить европейские требования для полосы частот 5 ГГц. Когда 802.11h разовьется, он заменит 802.11а в качестве WiFi5 в соответствии с рекомендациями WECA.
Эта рабочая группа была создана для добавления возможностей мультимедиа и QoS (Quality of Service — качества обслуживания) на уровень МАС 802.11. Поскольку это модификация МАС-слоя, преимущества получат устройства 802.11а, 802.11Ь и 802.11g. Понятие QoS отражает возможность гарантировать передачу данных на определенной скорости и с определенным процентом ошибок. Работа группы 802.11е окажет влияние и на стандарты 802.15 и 802.16. Разработка стандартов QoS для беспроводных устройств может открыть путь для применения протоколов 802.11 в устройствах мультимедиа и передачи голоса по IP-протоколу (VoIP).
Перед стандартом 802.11 стоит целый ряд серьезных задач в области безопасности.
Специально для поиска уязвимых мест в современных системах безопасности была создана группа 802.11i. К моменту написания книги эта группа создала три существенных улучшения, известных под общим названием TKIP (Temporary Кеу Integrity Protocol — протокол временной целостности ключей). Главное усовершенствование, рекомендованное группой, — обязательное использование временных 128-битных ключей, быстрого закрытия пакетов и управления ключом. Скорее всего, стандарт 802.11 будет использоваться для решения проблем аутентификации и распределения ключей.
Интерфейс 802.11 f
Мы уже отмечали, что стандарт 802.11 определяет дополнительную функциональность МАС, в том числе роуминг. Потребность в роуминге возникает, когда пользователь перемещается между точками доступа или системами распределения. Хотя стандарт 802.11 определяет формат основных посланий для коммуникации между этими точками, более подробных рекомендаций он не дает. По этой причине в 1996 году компании Aironet, Lucent Technologies и Digital Ocean объединили свои усилия и начали разрабатывать IAPP (Interaccess Point Protocol— протокол между точками доступа). IAPP в дальнейшем разрабатывался группой 802.11f и в настоящее время ожидает одобрения. Он определяет информацию, которой должны обмениваться точки доступа для того, чтобы поддерживать систему распределения и роуминга (в основном беспроводных каналов) для беспроводных клиентов. В табл. 7.3 перечислены все вышеописанные группы 802.11.
802.15 — это рабочая группа 802, перед которой поставлена задача создания стандартов WPAN (Wireless Personal Area Network — беспроводной персональной сети). WPAN позволяет организовать беспроводную связь между стационарными, портативными и движущимися устройствами в пределах POS (Personal Operating Space — личное операционное пространство). POS — это пространство в радиусе 10 м от самого пользователя. Сети 802.15 отличаются от сетей 802.11, поскольку им требуется меньше пространства и в число их задач входит снижение энергопотребления, стоимости и размеров сети. В составе группы 802.15 насчитываются четыре подгруппы (см. httр://iеее.802.оrg/15), обозначенные не буквами, а номерами.
Подгруппа TG1
Эта подгруппа разрабатывает стандарт WPAN на основе Bluetooth 1.х со скоростью передачи данных 1 Мб/с (реальная скорость — 700 Кб/с). Как и в случае со спецификациями 802.11, 802.15 определяет и PHY и МАС-слои. К устройствам, которые могут быть объединены в сеть с использованием данного стандарта, относятся компьютеры (в том числе карманные), принтеры, наушники, пейджеры и сотовые телефоны.
Подгруппа TG2
Цель группы TG2 — обеспечение совместимости стандартов 802.15 и 802.11. Для решения этой проблемы группа разработала специальное руководство для действия WPAN в стандарте IEEE 802.15 и предложила модификации для стандартов 802.15 и 802.11. Эти новшества дали возможность устройствам 802.15 и 802.11 использовать одну и ту же полосу частот 2,4 ГГц, чтобы сосуществовать друг с другом.
Подгруппа TG3
Перед этой группой стояла задача повысить скорость передачи данных до 20 Мб/с или выше в сетях WPAN. В число задач входило снижение стоимости эксплуатации и энергопотребления. Проект стандарта был завершен в ноябре 2001 года.
Подгруппа TG4
Эта группа работает над снижением энергопотребления в устройствах, работающих по стандарту 802.15, чтобы источники питания могли служить месяцы или годы. В центре внимания этой группы — устройства с низкой скоростью передачи данных (меньше 200 Кб/с), такие как сенсоры, интерактивные игрушки, бейджик с «искусственным интеллектом», пульты управления и устройства домашней автоматики.
Это еще одна группа IEEE 802 (WirelessMan.org), цель которой — создать стандарт для большой беспроводной городской сети (Wireless MAN), то есть организовать
так называемый широкополосный беспроводной доступ. В составе группы IEEE 802.16 три подгруппы, которые будут описаны ниже.
Подгруппа TG1
TG1 определяет беспроводной интерфейс (PHY), действующий в диапазоне 10— 66 ГГц со скоростями передачи данных 2 — 155 Мб/с. Этот стандарт использует РАМА — TDMA (Demand Assignment Multiple Access with Tune Division Multiple Access — множественный доступ с выделением каналов по требованию — множественный доступ с разделением по времени). РАМА обеспечивает динамическое выделение емкости. Проект уже завершен, стандарт 802.16 был принят в декабре 2001 года.
Подгруппа TG2
Эта группа должна была выработать рекомендации по совместимости систем широкополосного беспроводного доступа. Работа завершена, и доклад «IEEE Recommended Practice for Local and Metropolitan Area Networks — Coexistence of Fixed Broadband Wireless Access Systems» (Рекомендованная IEEE-практика для местных и городских сетей — сосуществование широкополосных сетей фиксированного беспроводного доступа) был опубликован в сентябре 2001 года.
Подгруппа TG3
Группа работает над расширением стандарта 802.16 с тем, чтобы в область его действия был включен диапазон 2 — 11 ГГц. Работа была закончена летом 2003 года. Новый стандарт 802.16а расширяет используемый диапазон частот до 2 — 66 ГГц.
Стандарт 802.1х, одобренный в июне 2001 года, обеспечивает аутентификацию порта сети. Определяет схему аутентификации, используя целый ряд существующих протоколов, таких как ЕАР (Extensible Authentification Protocol — протокол расширенной аутентификации) или RADIUS (Remote Access Dial-In-User Service — услуга удаленного доступа по подключению dial-in) для всех локальных сетей на базе стандарта 802 — проводных и беспроводных. Эта технология уже встроена в Windows ХР и Cisco LEAP и помогает устранить многие проблемы безопасности в нынешних беспроводных технологиях.
Некоторые ключевые аспекты стандарта 802.1х предусматривают обязательное использование 128-битных ключей для RC4-шифрования, ротацию ключей шифрования и блокирование любой активности в сети до успешной аутентификации. Кроме того, при применении 802.1х отпадает необходимость в статическом распределении WEP-ключей на станциях.
ETSI (www.etsi.org) — это европейский аналог IEEE.
Стандарт HiperLAN/1
В 1991 году при институте ETSI был создан технический подкомитет RES10 для разработки Hiper LAN. В результате появился стандарт Hiper LAN/1 (одобрен в 1996 году), который определяет спецификации PHY и MAC для высоко скоростных беспроводных коммуникаций. Hiper LAN/1 использует ключи GMSK (Gaussian Minimum Shift Keying — с минимумом смещения по Гауссу) и определяет скорость передачи данных между портативными устройствами, равную 20 Мб/с.
Одно из преимуществ НiреrLAN/1 — работа в выделенной полосе частот от 5,1 до 5,3 ГГц, которая доступна только в Европе. Поэтому нет нужды использовать технологии распределенного спектра для пересечения с другими пользователями, как в случае с полосой 2,4 ГГц ISM. Этот протокол также использует вариант CSMA/СА и включает (по желанию) шифрование и экономию энергии.
Еще одна привлекательная особенность Hiper LAN — маршрутизация ad hoc (по обстоятельствам). Например, если ваш абонент находится слишком далеко, чтобы вы могли ему позвонить, то промежуточные узлы автоматически направят его по оптимальному маршруту в сети Hiper LAN (маршруты регулярно вычисляются автоматически). Hiper LAN/1 всегда действует ad hoc, не требуя никакой конфигурации и центрального контроллера. К сожалению, очень мало продуктов Hiper LAN/1 вышло на коммерческий рынок.
Стандарт HiperLAN/2
В 1997 году институт ETSI образовал группу BRAN (Broadband Radio Area Network — широкополосная радиосеть) для разработки Hiper LAN/2, который был одобрен в феврале 2000 года. Hiper LAN/2 — модернизированная версия Hiper LAN/1— был первым стандартом, использующим OFDM.
Н1реrLAN/2 и IEEE 802.11а аналогичным образом используют полосу 5 ГГц и OFDM для достижения высокой скорости передачи — 54 Мб/с. Однако основное различие двух стандартов заключается в доле МАС в системе. Hiper LAN/2 использует TDM (Time Division Multiplexing — мультиплексирование разделения времени), тогда как 802.11а/я задействует CSMA/CD. Благодаря этому HiperLAN/2 может обеспечить QoS, тогда как IEEE 802.11а пока не предоставляет такой возможности. Иногда Hiper LAN называют беспроводной версией АТМ (Asynchronous Transfer Mode — асинхронная передача данных).
Главный недостаток Hiper LAN/2 — отсутствие продаваемых продуктов, которые должны появиться в 2003 году. Вполне возможно, что между ETSI и IEEE может существовать совместный стандарт, поскольку совместный проект 5-UP (Unified Protocol — единый протокол в полосе частот 5 ГГц) сейчас находится в стадии активной разработки. Его цель — создать один универсальный стандарт в полосе частот 5 ГГц для беспроводных LAN.
Bluetooth, названная в честь датского короля викингов, который был известен своим умением организовать общение людей друг с другом, — это дешевая коротко действующая беспроводная технология для соединения устройств. Изначально она была разработана компанией Ericsson для того, чтобы заменить кабели, соединяющие сотовые телефоны и ноутбуки компактным и дешевым беспроводным решениям с низким энергопотреблением.
SIG (Special Interest Group — специальная группа развития Bluetooth) была образована для того, чтобы сделать технологию открытой и совместимой с другими стандартами. Первый релиз спецификации Bluetooth был выпущен в июле 1999 года. Сегодня SIG занимается развитием стандарта (см. www.bluetooth.com).
Стандарт Bluetooth использует низко мощную радиосвязь в диапазоне 2,4 ГГц и избегает интерференции с другими радиосигналами благодаря очень быстрым скачкам по частоте (1600 раз в секунду) между 79 частотными полосами, по 1 МГц каждая. Стандарт гарантирует связь на расстоянии 10 м, иногда до 100 м. Сейчас IEEE находится в процессе разработки стандарта, который будет включать в себя технологию Bluetooth (см. раздел «Интерфейс IEEE 802.15»).
Поскольку Bluetooth использует ту же полосу частот (2,4 ГГц), что и стандарты 802.11, 802.11b и 802.11, возникали опасения по поводу работы устройств, поддерживающих эти стандарты, в одном радиусе действия. Однако ряд проверок показал, что такое сосуществование вполне допустимо. Перед рабочей группой 802.15 TG2 поставлена задача улучшить совместимость устройств, которые поддерживают Bluetooth и другие стандарты 802.11, работающие в полосе 2,4 ГГц.
Стандарт HomeRF
Home RF (www.homerf.org) — это группа производителей, которые собрались вместе в 1998 году для разработки стандарта беспроводной связи между персональными компьютерами и электронными устройствами. Сегодня этот стандарт называется SWAP (Shared Wireless Access Protocol — беспроводной протокол совместного доступа); он позволяет передавать голос и данные со скоростью до 1,6 Мб/с.
Для рынка конечных потребителей устройства 802.11 были слишком дороги и сложны, поэтому для «домашнего» рынка и создали стандарт Home RF. Однако популярность устройств 802.11 росла так стремительно, что они вытеснили Home RF с рынка. Чтобы восстановить его позиции, рабочая группа разрабатывает стандарт SWAP 2.0, который будет использовать WBFH (Wideband Frequency Hopping— скачки по частоте в широкой полосе) для повышения скорости передачи данных. Делаются попытки позиционировать Home RF по-другому, нежели прочие стандарты беспроводных коммуникаций: его продвигают как стандарт не только для передачи данных и голоса, но и для контактов с мультимедийными устройствами.
В феврале 2002 года FCC одобрила использование UWB (Ultrawideband Radio ультра широко полосное радио) в полосе частот от 3,1 до 10,6 ГГц, что открыло дорогу для использования импульсной радио технологии в беспроводных LAN.
Вместо традиционных синусоидальных волн радио UWB передает цифровые импульсы по широкому спектру в один и тот же момент времени. Передатчик и приемник должны быть откалиброваны очень точно, до триллионной доли секунды. В соответствии с нынешними ограничениями FCC уровень сигналов UWB не превышает уровня шума других радиосигналов. По этой причине UWB и разрешено к использованию в таком широком частотном диапазоне — от 3,1 до 10,6 ГГц. Да и мощности UWB потребляет меньше, что делает эту технологию очень привлекательной для многих портативных беспроводных приложений.
Заключение
Стандарты для совместимости и снижения стоимости устройств — замечательная вещь. Беспроводные стандарты очень быстро развиваются даже для компьютерного рынка. В конкуренции новых технологий и стандартов всегда будут победители и проигравшие. Никто не может предсказать, какие методы победят, но стоит предположить, что победу одержат те из них, которые придают первостепенное значение вопросам ценообразования и обратной совместимости.
ЧАСТЬ III.
СТРАТЕГИИ ПОСТОРОЕНИЯ БЕСПРОВОДНЫХ СЕТЕЙ
СООБРАЖЕНИЯ БЕЗОПАСНОСТИ
В предыдущих главах мы обсуждали возможные угрозы для систем и технологии, которые могут быть использованы для того, чтобы противостоять этим угрозам. Чтобы правильно оценить все возможные риски и противостоять им, необходимо полностью осознать все функциональные цели беспроводной сети. Мы будем изучать проблемы безопасности, которые касаются различных слоев беспроводной сети, а именно физического, сетевого и слоя приложений. К физическому слою относятся радиочастотное (Radio Frequency, RF) покрытие, размещение оборудования и постройка необходимых конструкций; к сетевому слою — общая архитектура сети, разграничение доступа в беспроводных и локальных сетях LAN, вопросы мобильности и VPN (Virtual Private Networks — виртуальные частные сети). Слой приложений отвечает за шифрование коммуникаций.
Общие приложения беспроводной сети
Чтобы снизить риск при пользовании беспроводной сетью, надо осознать все разнообразие возможных атак. В главе 2 мы обсудили основные угрозы. В этой главе мы рассмотрим различные конфигурации сетей, обеспечивающих беспроводной Ethernet-доступ. Многие компании используют беспроводную Ethernet связь для быстрой замены обычных Ethernet-сетей, когда необходима мобильность либо прокладка кабелей невозможна или затруднена. Например, некоторые исторические здания исключают прокладку кабелей, так что беспроводной Ethernet-доступ — единственный вариант организации сети. Еще одна возможность использования беспроводных соединений или направленных антенн — соединения между сетями на небольших расстояниях, например между двумя зданиями через улицу.
Поставщики доступа в Internet (Internet Service Providers, ISP) обычно обеспечивают беспроводной доступ на последней миле к определенным точкам, домам или офисам. Такая конфигурация сети называется «точка — много точка»; пользователи в ней связываются с точкой доступа основного канала ISP через клиентский адаптер в помещениях. Поскольку сети создавались безо всякой мысли о мобильности, они действуют по принципу «точка — точка», отличаясь только тем, что большое число клиентов может присоединяться к одной точке доступа.
Два последних сценария включают роуминг между точками доступа. Роуминг необходим, поскольку беспроводной пользователь может выходить из сферы действия точки доступа, которая предоставляет сетевые услуги. Когда клиент выходит за пределы действия сети, связь нарушается и может потеряться, поскольку вблизи нет других точек доступа. Когда связь начинает нарушаться, клиент может искать другую точку. Процесс роуминга прерывает существующее ТСР-соединение и пытается установить новое сетевое соединение с другой точкой доступа в это ставит перед создателями сотовых сетей серьезную проблему сохранения параметров ТСР-соединения в процессе отключения и подключения к сети.
Сети, обеспечивающие роуминг, часто покрывают значительные площади. Если они плохо спланированы, то могут стать настоящим кошмаром для сетевого администратора. Однако, если их сконструировали с учетом проблем безопасности и эффективной работы, то администратор будет вознагражден высокопроизводительной, динамической беспроводной структурой, удовлетворяющей всем его требованиям.
Хороший специалист по вопросам безопасности всегда рассматривает проблему со всех сторон, поэтому, создавая беспроводную сеть, стоит начать с физического уровня. Тогда управление беспроводной системой в процессе эксплуатации доставит сетевому администратору меньше головной боли. Если вы знаете пределы возможностей вашей сети, вам придется с ней не слишком трудно: она будет более качественно функционировать. Правильно разработанная инфраструктура поможет конструктору и строителю более успешно разворачивать сеть, избежать не охваченных связью областей и сфокусировать радиосигнал там, где это необходимо.
Обзор места
Обзор места используется для определения той среды, в которой будет развернута беспроводная LAN. Обзор места содержит два компонента: непосредственный осмотр места и расчет силы сигнала и расположения точек доступа. При осмотре мест развертывания сети инженеры тщательно изучают и документируют все препятствия, которые надо будет преодолевать. Плотная растительность, высокие здания, большие металлические конструкции, большие открытые пространства и строительные объекты — все должно быть отмечено. Каждое здание должно
|
Обзоры сайтов |
|
Программное обеспечение для обзора сайтов обычно поставляется в комплекте с приложениями для сетевой карты. В отношении простых сайтов этого достаточно, а чтобы контролировать «продвинутые», желательно иметь коммерческое ПО |
быть тщательно оценено с точки зрения размещения там точек доступа или антенн: принимается во внимание, какие окна в доме, из чего сделаны стекла, внешние и внутренние стены и т.д.
Вторая часть обзора места проводится для тестирования точек доступа и роуминга абонентов беспроводной сети. Точки доступа устанавливаются в местах их потенциального расположения, а абонент перемещается вокруг них, фиксируя силу сигнала. Таким образом оценивается покрытие сети и производится ее настройка в целях оптимального функционирования и безопасности. На этой стадии подключаются направленные антенны. После того как определена общая структура покрытия, общая сила сигнала для точки доступа может быть настроена так, чтобы беспроводной сетью можно было эффективно управлять.
Размещение оборудования
Размещая оборудование, надо следовать нескольким основным правилам:
• убедитесь, что точки доступа установлены в местах, которые недоступны для любопытствующих, лучше всего — скрыты от глаз;
• если точки доступа установлены на открытом пространстве, убедитесь, что оборудование надежно защищено от внешних воздействий;
• при необходимости снабдите сектор направленной антенной. Это позволит направлять радиосигнал туда, куда необходимо, а кроме того, подсчитывать число соединений пользователей. Это также бывает полезно при возникновении проблем в сети или при восстановлении сети после отказа;
• маркируйте точки доступа таким образом, чтобы их можно было легко найти в случае возникновения проблем.
После того как найдено самое лучшее место для расположения точки доступа, нужно провести проверку границы зоны, чтобы убедиться, что избыточное излучение не попадает в непредусмотренные области. Большинство точек доступа, разработанных для корпоративного использования, должны обеспечивать регулировку уровня мощности и сигнала, чтобы в случае надобности можно было его снизить.
Ограничение
Ограничение испускаемого радиосигнала накладывают для того, чтобы установить сферу действия сети в известных пределах. Это очень важно для больших сетей, предполагающих использование роуминга, поскольку потенциальные злоумышленники лишаются возможности регистрации местонахождения сети или её частей, и угроза для сети снижается. В сочетании с использованием направленных антенн это приносит значительную выгоду.
Для ограничения количества радиочастотной мощности, выходящей за пределы комнат и зданий, надо предпринять следующие меры. При разработке новой сети предусмотрите специальные комнаты для задержки избыточного радиоизлучения, проложив под обоями металлические пленки или фольгу. С той же целью можно нанести на стены специальную металлизированную краску. Металлические жалюзи на окнах обеспечивают лучшее поглощение, чем ткань или пластик. Эти достаточно простые меры приведут к уменьшению границы беспроводной сети до нескольких метров.
Корпоративные нужды — главный стимул для построения архитектуры сети; ее безопасность и функциональные возможности должны рассматриваться с самого начала разработки проекта. В следующих разделах мы обсудим основные сценарии развертывания беспроводной сети и приведем некоторые практические советы по поводу того, как сделать ее безопасной.
Основная идея заключается в том, чтобы рассматривать все беспроводные сети как анонимные порты — таким же образом, как при организации трафика в Internet. Доступ в сеть предоставляется после того, как порт предоставит все необходимые параметры аутентификационному серверу и все коммуникации между двумя системами пойдут по специальному шифрованному каналу. По возможности надо сегментировать сеть, чтобы минимизировать угрозы DoS-атак и защитить наиболее важные участки сети от внешних угроз. Сегментирование может сильно помочь и в случае восстановления сети после ее отказа.
Сегментирование административных коммуникационных каналов организовать непросто, поскольку административные интерфейсы чаще всего ограничены Ethernet-портом. Некоторые точки доступа имеют возможность управления по частоте, находящейся вне полосы, через последовательный порт, но ими достаточно трудно управлять в больших распределенных сетях. Однако это единственный безопасный способ. Большинство точек доступа не позволяет конфигурировать сеть через значительное число точек доступа по последовательному интерфейсу; обычно это делается через Enternet или беспроводной интерфейс. Возможности конфигурации сети через беспроводной интерфейс надо по возможности отключить, чтобы помешать атакующим воспользоваться этим. При выборе типа точек доступа надлежит обратить особое внимание на возможность управления ими. Протоколов telnet, HTTP (Hypertext Transfer Protocol — протокол передачи гипертекста) и нешифрованного SNMP (Simple Network Management Protocol — простой протокол управления сетью) следует избегать. Вместо них используйте протоколы SSH (Secure Shell) или SSL (Secure Sockets Layer) для управления сетевыми устройствами. Некоторые серверы с возможностями SSH могут быть сконфигурированы так, чтобы обеспечить доступ к точке доступа через последовательный порт.
Управление безопасностью на физическом уровне и уровне передачи данных
Продолжая следовать модель IOS (International Organization for Standartization — Международная организация по стандартизации), которая была описана в предыдущих главах, перейдем к физическому уровню и уровню передачи данных. Стандарт беспроводной Ethernet-связи 802.11 содержит минимальные, явно недостаточные возможности аутентификации и шифрования пакетов. Однако, как мы уже отмечали, если его использовать в сочетании с WEP (Wired Equivalent Privacy — секретность на уровне проводной связи), 802.fx исправляет некоторые недочеты. На рис. 8.1 ситуация представлена наглядно.
Использование 802.1х с динамическими ключами WEP устраняет большинство атак на WEP, что определено стандартами 802.11-1999 и 802.11b, если ключи часто меняются. Никогда не стоит использовать аутентификацию с общим владением ключами: всегда используйте открытую систему, поскольку схема с общим владением допускает утечку информации к атакующим о ключах WEP. Один из недостатков 802.11х состоит в том, что требуется больше терминального оборудования для пользователей и должен иметься в наличии сервер RADIUS (Remote Access Dial-In User Service) с возможностями 802.11х. С самого начала необходимо предусмотреть управление дополнительными устройствами.
Не так давно многие поставщики начали применять перемешивание ключей WEP. Суть этого процесса заключается в перемешивании вектора инициализации (IV) и общих ключей перед генерацией потока RC4. Этот путь очень эффективен для предотвращения пассивных атак с возможностью восстановления WEP- ключей. На момент написания книги опция «смешивания ключей» в беспроводных устройствах разрабатывалась каждым из производителей самостоятельно, и о совместимости речи не шло.
Еще один распространенный механизм обеспечения безопасности для стандарта 802.11 — использование списка управления доступом МАС (Media Access
Control). Этот список физических адресов позволяет организовать доступ к беспроводной сети. Механизм обеспечения безопасности обнаруживается почти во всех точках доступа. Он предоставляет возможность сетевому администратору ввести список всех актуальных МАС-адресов в лист управления доступом, ограничивая пользование сетью. Через несколько точек доступа такой список может быть распространен по всем остальным. Недостаток описываемой системы в том, что МАС-адреса всех беспроводных клиентов и точек доступа пересылаются в открытом виде, даже когда WEP не работает.
Изменение МАС-адреса сетевой карты — достаточно простая задача. В большинстве случаев она включена в набор возможностей драйвера. Подслушивающий может легко скопировать весь список MAC, определить, когда он меняется, и при соединиться к сети с правильным МАС-адресом. Даже с учетом этих недостатков управление доступом к МАС по сей день остается полезным в некоторых обстоятельствах. Оно может стать мощным средством предотвращения случайного при соединения роуминговых клиентов к открытой беспроводной сети. Однако для этого необходим административный контроль, поскольку отслеживание МАС и обновление его во всех точках доступа могут занимать значительное время.
VPN-туннелирование
Как отмечалось в предыдущих главах, VPN-туннелирование во многих случаях оказывается особенно полезным (рис. 8.2). Это проверенная технология, и многие компании уже используют VPN-шлюзы. Иногда добавить доступ к VPN из беспроводной сети столь же просто, как добавить сетевую карту к VPN-шлюзу или изменить некоторые правила работы межсетевого экрана (firewall). Когда нужен роуминг, создатели сетей должны принимать во внимание деление сетей на части. IP-адреса должны оставаться теми же самыми, чтобы работа шла незаметно.
Во многих случаях VPN-туннель исчезает при использовании роуминга. В такой ситуации пользователь должен обновить информацию о своей аутентификации.
Для роуминга целесообразно использовать протокол Mobile IP. Он может помешать отключению VPN при переходе пользователей от одной дочки доступа к другой. Также Mobile IP удобно использовать для перехода между беспроводными сетями различного типа. Пользователи могут прибегать к Mobile IP при передаче данных с сотовых телефонов: таким образом удается обойти корпоративные требования создания отдельной инфраструктуры для поддержки приложений мобильной телефонии.
Системы обнаружения вторжения (IDS)
Ваша сеть никогда не будет безопасной на 100%. Не все атаки могут быть остановлены, а излишние меры безопасности иногда противопоказаны бизнесу. Честно говоря, попытки противостоять всем возможным атакам тщетны, да и результат не стоит затраченных усилий. Многие люди, стремясь обезопасить свои дома, устанавливают на своих окнах системы охраны (вместо простых решеток), чтобы при вторжении подавался сигнал в отделение милиции. Аналог такой домашней системы охраны в цифровом мире — IDS (Intrusion Detection Systems — системы обнаружения вторжения). Они существуют в различных формах, но их можно подразделить на две большие категории — хостовые и сетевые.
Мостовые IDS (Host-based IDS, HIDS) — это обычно часть ПО, которая исследует систему на наличие подозрительной активности. В состав HIDS входит система мониторинга файлов для отслеживания изменений или установки нового ПО, драйверов либо модификаций баз данных. Иногда HIDS следит и за сетевыми
соединениями, отслеживая подозрительные соединения и новые программы, контролируя входящие подключения и инициируя новые исходящие. В некоторые firewall-программы встроены H IDS.
Сетевая IDS (Network-based IDS, NIDS) построена на основе модифицированной программы типа sniffer, предназначенной для проверки текущего состояния. NIDS устанавливается в сети и может проверять сетевой трафик, как показано на рис. 8.3. Трафик сравнивается с тем, который возникает при проведении известных атак, или отслеживаются какие либо аномалии, — иными словами, выявляется подозрительная активность в сети. У IDS есть специальный режим обучения, в процессе которого набирается информация о нормальных условиях функционирования сети. Именно с ними сравниваются наблюдаемые условия, после чего делается вывод о наличии «подозрительных» моментов. Некоторые системы используют гибрид двух описанных технологий. На сегодняшний день существует много разнообразных систем IDS, некоторые из них — с открытым кодом.
Одно из преимуществ использования NIDS перед HIDS заключается в том, что один сенсор NIDS может контролировать сеть с большим количеством узлов, упрощая таким образом установку и конфигурирование IDS. Некоторые HIDS могут заметно снизить работоспособность операционной системы узла. Удостоверьтесь в том, что вы полностью протестировали воздействие различных IDS на работу ваших приложений, прежде чем размещать такие системы в сети. В проекты, обсуждаемые в следующих разделах, включены IDS различных типов.
Из-за большой трудоемкости постоянного мониторинга IDS-сенсоров и необходимости их модернизации многие компании отдают этот процесс на аутсорсинг. Тогда компания, взявшая на себя заботу об IDS, устанавливает сенсоры в сети и контролирует ее из Internet или по специальному каналу. Услуга мониторинга предполагает отслеживание всех изменений в сети и уведомление администрации в случае выявления подозрительной активности. Этот сервис недешев, и не все компании могут себе его позволить. Вам следует тщательно оценить безопасность внутренних систем и хорошо разобраться в процессе мониторинга, перед тем как вы решитесь отдать IDS на аутсорсинг.
Некоторые люди считают, что IDS может использоваться для анализа информации, записанной в момент фиксирования подозрительных событий. Регулярный просмотр и архивирование log-файлов должны войти в привычку администраторов любой сети. При этом надо осознавать, что многие события, связанные с проникновением в сеть, не оставляют следов, которые способны отслеживать IDS, поэтому эффективность подобных систем очень ограничена.
Дополнительную информацию об IDS можно найти на следующих сайтах:
www.snort.org
www.sourcefire.com
www.nfr.com
Рекомендации по обеспечению безопасности приложений
Беспроводные сети часто обеспечивают возможность использования специфических приложений. Среди них — роуминг в аэропортах, инвентаризация на складах, электронная почта или другие приложения для конечных пользователей. Подобные приложения многократно подтвердили свою надежность при использовании в Internet. Такие меры безопасности, как WEP и IP Security (IPSec), в данном случае не понадобятся. Для обеспечения безопасности существующих приложений вполне подойдут SSL/TLS (SSL/Тransport Layer Security) и SSH.
Проекты на территории предприятий
В следующих разделах мы обсудим решения для обеспечения безопасности на территории предприятий. Для беспроводных сетей создано много приложений. В некоторых случаях они могут быть объединены в комплексы по решению различных бизнес проблем. В следующих разделах будут даваться конкретные рекомендации относительно определенных проектов, рассматриваемых для примера. Используйте эти рекомендации, когда будете оценивать существующую архитектуру вашей сети, или при построении комплексных решений.
Одна из самых сложных проблем, с которой сталкиваются разработчики беспроводных сетей, — это необходимость поддержки различных платформ, операционных систем и оборудования от разных производителей в единой инфраструктуре. Описываемое в этом разделе решение использовалось на территории компании, в которой трудилось множество инженеров и менеджеров по продажам. Инженеры использовали в своей работе весь набор операционных систем: Windows, Linux, Berkeley Software Distribution (BSD), входящую в семейство UNIX, и Solaris. Дело осложнялось еще и тем, что многие инженеры использовали персональные ноутбуки, в которые встроены самые разные сетевые карты. Вся передаваемая информация имела большую ценность, поэтому вопросы безопасности вышли на первый план. Важную роль играла и простота работы с сетью, поскольку пользователи не являлись знатоками высоких технологий.
Решение проблемы оказалось проще, чем можно было ожидать. У компании уже имелась инфраструктура для обеспечения доступа в Internet через корпоративную VPN. Проектировщики сети прекрасно помнили, какую головную боль им довелось испытать, выполняя все требования инженеров корпорации при организации VPN, и совсем не хотели повторить этот печальный опыт при создании беспроводной сети. Было принято решение построить совершенно отдельную беспроводную сеть, которая не имела бы выхода в Internet: доступ во внутреннюю сеть должен был осуществляться только через корпоративную VPN.
Корпоративная VPN состоит из приложения IP Sec и SSH-шлюза, который сконфигурирован для перенаправления порта. В IP Sec и SSH-шлюзе используются
одноразовые пароли (One-Time Passwords, OTP) на базе специальных «токенов». Корпоративная политика безопасности уже включает требования создания VPN и использования межсетевых экранов.
Установка оказалась достаточно простой. В IP Sec и SSH-шлюз были добавлены дополнительные сетевые карты для соединения с беспроводной сетью (рис. 8.4). Всего несколько устройств требуется для того, чтобы обеспечить полную функциональность сети. Добавляется сервер для обеспечения услуг DHCP (Dynamic Host Configuration Protocol — протокол динамической конфигурации узлов) и DNS.(Domain Name Server — сервер доменных имен) пользователям беспроводной связи, поскольку клиенты VPN и SSH сконфигурированы так, чтобы соединяться с узлом, а не с IP-адресом. Еще один сервер добавляется в беспроводной сегмент в качестве NIDS и log-сервера, чтобы собирать записи от точек доступа
и DHCP-сервера. Наконец, устанавливается терминальный сервер для управления точками доступа и переключателями Enternet, поскольку единственные средства управления сетью, предлагаемые производителями, — telnet и НТТР. Основные рекомендации для этого корпоративного проекта таковы:
• отделить беспроводную сеть от остальных внутренних сетей;
• устранить возможность управления точками доступа через беспроводной интерфейс;
• укрепить DHCP/DNS-сервер.
Еще одна возможность внедрения безопасной беспроводной сети — использование 802.1х. На момент написания книги этот стандарт все еще находился в стадии разработки, и совместимость между продуктами различных поставщиков была ограничена. Однако 802.1х — очень удачное средство обеспечения безопасности в беспроводной сети. Это новая технология, просто у широких масс еще не было возможности оценить ее, чтобы понять, что она сулит и что еще недоработано. Выглядит будущий стандарт 802.1х очень перспективно и обязательно должен рассматриваться в качестве инструментария для создателей беспроводных сетей.
Рассматриваемый в этом разделе проект не скован ограничениями, которые перечислялись в предыдущем случае. Здесь пользователи используют только Windows, а все оборудование поставляется одной компанией, поэтому не возникает проблема аппаратной совместимости. Производитель выбран наиболее известный — Cisco Systems.
При внедрении 802.1х используются уже существующие корпоративные сервисы. Однако необходим новый сервер RADIUS для внедрения ЕАР, а также некоторые дополнительные возможности. 802.1х не только обеспечивает аутентификацию, но и применяется в целях динамического создания WEP-ключей. В RADIUS-сессии ключи меняются каждые три часа. Данная схема использует вариант перемешивания ключей, упомянутый чуть раньше в этой главе. Архитектура проекта показана на рис. 8.5.
Этот корпоративный проект характеризуется следующими особенностями:
• для аутентификации и шифрования применяется интерфейс 802.1х;
• происходит частая смена ключей. Используется трехчасовой период;
• имеются возможности перемешивания ключей;
• имеются возможности проверки четности;
• беспроводная сеть отделена от остальной сети, чтобы в будущем можно было ее изменять независимо;
• в беспроводной сети используется NIDS.
Еще одно приложение для беспроводной сети на территории предприятия — это сеть для гостей. Аналогичная конфигурация может с успехом использоваться в университетах или центрах подготовки. В одной компании как хозяевам, так и посетителям постоянно требовался доступ в Internet. Сотрудники службы информационной безопасности были совсем не рады тому, что доступ к Internet в помещении компании получали посетители, которые не брали на себя обязательств по обеспечению политики безопасности. Поэтому было принято решение о создании специальной гостевой сети в целях защиты корпоративной интеллектуальной собственности.
Работа началась с того, что в переговорных комнатах и на местах для работы посетителей выделили особый канал для передачи данных. Однако после того как один из посетителей заразил компьютер (а вместе с ним и всю корпоративную сеть) вирусом, стало ясно, что надо искать другие пути. Было решено организовать беспроводную сеть, которую гости будут использовать для доступа в Internet.
Перед проектировщиками сети была поставлена задача обеспечить выполнение определенных операций. Гостям нужны приложения для путешествия по Internet и организации доступа через VPN. Группа безопасности справедливо считала, что открытая сеть может стать приманкой для атакующих. Проект был рассмотрен и одобрен только после тщательного анализа всех пожеланий пользователей и требований группы безопасности.
В сети для доступа всегда требовалось вводить имя пользователя и пароль; был предусмотрен пакетный фильтр, обеспечивающий VPN-соединение, как показано на рис. 8.6. Используемые точки доступа предлагали услуги DHCP, поэтому DHCP-сервер не требовался. Для сбора записей о работе точек доступа и предоставления DNS-услуг использовался прокси-сервер. Также в сети имелась система NIDS. Все посетители компании по желанию могли получить карточки беспроводного доступа для работы в гостевой беспроводной сети. После проверки карточки на работоспособность имя пользователя и его пароль создавались на прокси-сервере; кроме того, посетителю выдавали список инструкций по пользованию сетью. Каждое имя и пароль через неделю утрачивали силу.
В этом проекте важны следующие моменты:
• гостевая сеть сегментирована и отгорожена межсетевым экраном (firewall) от всей остальной сети;
• в гостевой сети установлена NIDS;
• для того чтобы пользоваться сетью, гости должны принять определенные правила ее эксплуатации;
• сеть использует стандарт 802.11 для обеспечения максимальной поддержки оборудования;
• корпоративные ноутбуки защищаются перед использованием беспроводной сети.
Корпоративная конфигурация «точка — точка»
Экономия средств в связи с заменой традиционных телекоммуникационных соединений «точка — точка» беспроводными соединениями может быть очень ощутимой; кроме прочего, беспроводные соединения организуются гораздо быстрее, чем проводные. Существующие беспроводные сетевые технологии могут быть использованы для организации соединений «точка — точка». Во многих случаях сферу действия беспроводных сетей удается значительно расширить путем использования направленных антенн и усилителей. Направленные антенны приносят немало выгод с точки зрения безопасности, поскольку сильно затрудняют прослушивание или глушение соединения. Такой канал связи достаточно просто защитить, поскольку оба конца соединения известны и статичны.
В таком сценарии легко использовать ПО или приложения для организации VPN-канала на основе IP Sec, чтобы обезопасить весь поток данных от одной точки к другой (рис. 8.7). Эти VPN могут быть организованы с использованием VPN- приложений, маршрутизаторов или VPN на основе ПО.
Главные особенности проекта таковы:
• направленные антенны используются с целью устранения потерь сигнала и повышения его мощности;
• точки доступа сконфигурированы так, что соединяются с одним-единственным узлом. Часто эта структура усложняется ввиду использования МАС-адресов;
• используется механизм WEP;
• используется IPSec-туннель;
• применяется сложное шифрование, такое как AES (Advanced Encryption Standard — расширенный стандарт шифрования) или TDES (Triple Data Encryption Standard — тройной стандарт шифрования данных);
• происходит частая смена ключей в VPN.
Многие региональные провайдеры (Internet Service Providers, ISP) начинают предлагать беспроводной доступ в Internet. Internet-доступ может предоставляться на относительно небольших пространствах, например в кафе, отеле, аэропорте. Чтобы качество обслуживания клиентов оставалось на высоком уровне, такие сети должны быть открытыми. Однако в этом случае вы не знаете, кто собирается присоединиться к сети. Поэтому все сетевые ресурсы должны быть защищены.
Обычно сетевые администраторы применяют для управления отдельную сеть. В процессе ее развертывания надо тщательно продумать обеспечение безопасности точек доступа и маршрутизаторов. К сожалению, ни один из поставщиков не предлагает таких приложений вместе со своими продуктами, поэтому необходимо организовывать отдельную управляющую сеть. Сеть управления, помимо всего прочего, обеспечивает проектировщикам сети большую гибкость для запуска новых приложений (рис. 8.8).
Сеть снабжается динамическим межсетевым экраном, который откроет доступ в Internet после аутентификации пользователей биллинг-сервером. Это коробочный продукт, который в полной мере не исключает проблем с безопасностью, но построение абсолютно защищенной системы стоило бы безумно дорого. Для доступа к сети и осуществления функций управления применяется VPN.
Решения для торговли и производства
Для многих компаний, занимающихся торговлей и производством, беспроводные сети оказались невероятно выигрышным вариантом. Возврат инвестиций (Return On Investment, ROI) для беспроводных приложений оказывается очень значительным. В отличие от корпоративных сетей, наиболее распространенные терминалы для торговых или производственных учреждений — это PDA, сканеры штрих кодов и другие «тонкие» клиенты. В таких условиях применяются проекты сетей, описание ниже.
Решение для торговых агентов
Беспроводные приложения могут существенно повысить удовлетворенность пользователей. Чаще всего пользовательские приложения в проводных сетях оказываются привязаны к точкам, не слишком удобным для доступа клиентов. Когда
требуется быстро развернуть новые приложения в существующем складе или магазине, отсутствие проводных соединений может этому помешать.
Проект, который мы будем обсуждать, предназначен для приложений, которыми будет пользоваться множество людей, не имеющих специальных технических знаний, так что оборудование и правила работы с ним должны быть предельно просты. В качестве устройств беспроводного доступа для этого приложения были выбраны РВА со сканерами штрих кодов. У PDA есть все необходимые функции, за исключением печати, поэтому надо предусмотреть возможность подсоединения небольшого принтера. Достаточно просто создать приложение на основе широко доступной беспроводной сети и модифицированного Internet-браузера. В него можно включить все необходимые функции, но об обеспечении безопасности надо побеспокоиться особо.
Разработчики приложений часто стараются использовать коробочное ПО, слегка модифицированное для конкретной ситуации, но после тестирования обычно решают разрабатывать специальное приложение с самого начала. Разработчики способны приспособить приложение микро браузера к IP Sec, используя набор средств шифрования. Этот набор был создан для работы со всеми функциями шифрования I любой сложности без необходимости подробного знания ПО IP Sec. Учитывая, что приложения общедоступны, разработчики решили укрепить их, обеспечив контроль доступа через WEP и МАС. Пара VPN-шлюзов и серверов, обеспечивающих DHCP, DNS и сохранение отчетов, работает для всей сети, обслуживая сотни складов, как показано на рис. 8.9. Система IDS также используется для контроля сети и выявления подозрительной активности. Рекомендации по данному проекту таковы:
• весь трафик должен шифроваться и аутентифицироваться;
• для контроля сети применяется система IDS;
• используются стандартные режимы безопасности на основе 802.11, но полностью полагаться на них нельзя;
• усиленный сервер предоставляет сетевые услуги DHCP и DNS.
Раньше всех использовать беспроводные технологии начали в складской индустрии и на производстве. Преимущества беспроводной связи обеспечивали
сотрудникам возможность коммуникации при передвижении, а также позволяли избежать большого количества работ по прокладке кабеля, которые часто требуются на складе при изменении его внутренней структуры. Доступ в Internet и электронная почта в этом секторе индустрии не слишком распространены. В наибольшей степени востребованы приложения для инвентаризации и контроля перемещения грузов. При самых первых внедрениях используются telnet или простой браузер для ввода информации пользователем и сканер штрих-кодов либо считыватель карт с магнитной полосой. Для обеспечения безопасности соответствующих приложений используется механизм WEP, поскольку работа идет по протоколам с простым текстом. Как только были вскрыты проблемы, связанные с WEP, потребовался пересмотр решения.
После установки беспроводной сети пути назад уже нет — надо думать об обеспечении безопасности. При перестройке сети для включения приложений, обеспечивающих безопасность, необходимо сохранить ее функциональность и простоту использования. Если злоумышленник будет успешно атаковать сеть, ее простой может обойтись очень дорого. Поиск места повреждения сети также недешев, поскольку ремонтная бригада не всегда находится на объекте и должна еще доехать до места происшествия. Многие склады и производственные компании теряют деньги, если товары не доставляются вовремя. Можно использовать связь по лицензируемым частотам в процессе перестройки сети, но она зачастую дорога и не везде возможна.
Существующая сеть используется в нескольких модификациях. Аутентификация с общедоступными ключами заменяется открытой системой. WEP-ключи меняются ежемесячно. Используется МАС, если раньше эта опция не применялась. К сети добавляется IDS. Используются SSH для замены telnet-приложений и перенаправление порта на сервер электронной почты, который добавляется к программе. Сеть перестраивают так, чтобы добавить возможность использования протокола шифрования «тонкими» клиентами. Структура сети показана на рис. 8.10. Основные рекомендации таковы:
• применять протокол шифрования;
• использовать межсетевой экран или пакетный фильтр для ограничения прозрачности сети;
• обеспечивать постоянное слежение за возможными атаками;
• регулярно менять WEP-ключи;
• использовать управление МАС-доступом.
Решение для малого предприятия или домашнего офиса (SOHO)
Одна из главных задач при обеспечении безопасности беспроводных сетей SOHO (Small Office/Home, Office) — определить, каким должен быть уровень безопасности. Нет смысла прятать бриллиант в 1000 долларов в сейф стоимостью миллион долларов. Задача осложняется еще и тем, что SOHO-конфигурации обычно реализованы на дешевом оборудовании, которое не предусматривает многочисленных функций безопасности. Тем не менее защитить вашу SOHO-систему можно. Просто надо думать об обеспечении безопасности перед покупкой оборудования, чтобы убедиться в том, что оно выполняет все необходимые функции.
Первый вопрос, на который надо дать ответ, — как повлияет на безопасность добавление беспроводного доступа в вашу SOHO-систему? Некоторые сети SOHO непосредственно подключаются к Internet по широкополосному соединению. В таком случае добавление беспроводного соединения к сети не слишком рискованно для компьютера, присоединенного к Internet. Возникают новые угрозы для сети, поскольку хакер может по беспроводному соединению получить бесплатный доступ в Internet.
Мало того, пробравшись в Internet при использовании вашего соединения, злоумышленник может атаковать с него какие-либо Web-сайты или запустить в сеть вирусы. Именно поэтому следует принять специальные меры для того, чтобы обезопасить беспроводное соединение. Самые разрушительные вирусы, такие как «Мелисса», были запущены в Internet с использованием несанкционированного входа. Хотя эксперты иногда могут вычислить того, кто написал вирус, владелец украденного канала доступа, конечно, тоже не обходится без неприятностей. А уж человека, подсоединившегося к беспроводной сети через незащищенную точку доступа, вычислить невероятно сложно, если не невозможно; в результате крайним оказывается ни в чем не виновный владелец сети. Кстати, убедитесь, что на вашем компьютере установлена последняя версия антивирусного ПО. Для получения актуальной информации по защите от вирусов стоит посетить сайт «Лаборатории Касперского» (www.avp.ru).
А теперь вернемся на шаг назад и рассмотрим угрозы SOHO-машинам. Как уже отмечалось, эти компьютеры обычно непосредственно соединены с Internet. В некоторый случаях их можно защитить при помощи межсетевого экрана (firewall) или маршрутизатора, который обеспечивает определенный уровень защиты. В обоих случаях, если вы добавляете в SOHO-сеть беспроводное соединение, компьютеры в сети надо обезопасить дополнительно. Это можно сделать различными способами, но чаще всего прибегают к отключению ненужных услуг, к более сложной системе паролей, удалению ненужных имен пользователей или добавлению ПО для внутреннего экрана безопасности.
Следует предпринять все разумные шаги для обеспечения безопасности беспроводной сети SOHO. Используйте меры безопасности для точки доступа; они могут включать управление доступом с помощью WEP или МАС. Приобретайте современные точки доступа со встроенными функциями безопасности. Компания Cisco Systems производит точки доступа с самыми современными возможностями для обеспечения безопасности (например, LEAP, работающие по стандарту 802.fx). Они стоят чуть дороже, чем большинство точек доступа, но обеспечивают пользователям гораздо более качественную работу. Как
говорится, овчинка стоит выделки! Типичная конфигурация SОНО-сети показана на рис. 8.11.
В этом случае рекомендации таковы:
• используйте управление доступом МАС и WEP для точек доступа. Это заметно затруднит проведение атак на сеть;
• добавляйте персональные сетевые экраны в узлы сети и назначайте сложные пароли для принтеров и маршрутизаторов;
• выключайте оборудование, когда оно не используется.
Необходимый уровень безопасности для беспроводной сети зависит от приложений. Только после тщательного анализа всех ее ресурсов и передаваемой по ней информации можно определить адекватный уровень безопасности, а затем и реализовать систему защиты. Чаще всего внедрение механизмов обеспечения безопасности приводит к дополнительным тратам и необходимости обслуживания. Надо тщательно соизмерить траты на обеспечение безопасности с достигаемым уровнем защиты и выбрать то, что вам действительно необходимо. Используя рекомендации, приведенные в этой главе, вы всегда сможете обезопасить свою беспроводную сеть.