| |
Какие же меры следует предпринять, чтобы достичь приемлемого уровня защищенности беспроводной сети? Ответ на поставленный вопрос зависит от конкретной ситуации.
Если сеть строится «с нуля» и унаследованные сетевые устройства отсутствуют, воспользуйтесь средствами WPA и методами аутентификации 802.1X, запланировав переход на оборудование 802.11i после его появления на рынке. Применение методов 802.1X не введет вас в лишние расходы. Соответствующие программные средства распространяются бесплатно и встроены, в частности, в операционные системы Windows XP и Mac OS X. Чтобы определить, соответствует ли оборудование спецификации WPA, достаточно найти на нем маркировку WPA Enterprise, которая свидетельствует о прохождении процедуры сертификации в Wi-Fi Alliance. Естественно, вам потребуется сервер RADIUS, поддерживающий стандарт 802.1X.
В качестве альтернативной схемы шифрования трафика WLAN можно прибегнуть к IPSec, особенно если предстоит организовать удаленный доступ к сети по этому протоколу. С точки зрения безопасности IPSec предлагает более совершенную модель шифрования, нежели WPA, но этим различием, скорее всего, смогут воспользоваться только оборонные ведомства. Применение IPSec порождает и негативные следствия — обусловленное туннелированием возрастание объемов служебного трафика может вызвать падение общей пропускной способности, и этот эффект особенно заметен в высокоскоростной сети.
Конечно, существует вариант применения простого протокола виртуальных частных сетей, например Point-to-Point Tunneling Protocol (PPTP), в беспроводных соединениях, в которых поддерживается только WEP. Преимущества использования PPTP поверх WEP, как и любого иного VPN-протокола, — наличие механизма аутентификации и второго уровня шифрования трафика. Хотя реализованная в PPTP модель безопасности гораздо слабее, чем в IPSec, этот протокол уже более пяти лет поддерживается всеми операционными системами, устанавливаемыми на портативных компьютерах. Вероятность купить устройство, на котором не сможет функционировать тандем WEP+PPTP, крайне низка. Другие решения, например «чистый» протокол IPSec или его использование поверх Layer 2 Tunneling Protocol (L2TP), более привлекательны с точки зрения безопасности, но никак не в отношении простоты в работе и совместимости продуктов разных фирм.
| |
| SMC 2555W-AG — одна из двух точек доступа, успешно прошедшая все тесты на безопасность WLAN |
Еще одна проблема, непосредственно связанная с шифрованием беспроводного трафика как на уровне локальной сети, так и при передаче по VPN-туннелям, относится к поддержке устаревшего оборудования. В мире установлены миллионы беспроводных адаптеров, которые «воспринимают» протокол WEP, но практически не способны работать с более изощренной схемой аутентификации, предусмотренной стандартом 802.1X. Ситуацию еще больше усугубляют технические различия между WEP и WPA.
Когда речь идет о небольшой сети, состоящей из пяти-шести точек доступа, в качестве последних стоит использовать устройства, которые поддерживают несколько профилей безопасности на уровне одного радиоинтерфейса, либо изделия с двумя разными радиоинтерфейсами (такие, как протестированная нами модель ProCurve 520wl фирмы Hewlett-Packard). Самый худший сценарий предполагает, что каждый раз вместо одной вам придется устанавливать две точки доступа. Некоторые продукты верхнего ценового класса, включая WLAN-коммутаторы производства Airespace, Aruba и Trapeze, способны обрабатывать пакеты WEP, 802.11i и даже незашифрованный трафик, поэтому дублировать точки доступа не придется.
| |
| КОММУТАТОР Aruba 800 поставляется с интегрированным полнофункциональным брандмауэром |
Если же к WLAN необходимо подключить одно-два унаследованных устройства, воспринимающих только протокол WEP (старую модель принтера или устройство хранения данных), стоит подумать о формировании для него отдельной беспроводной сети. В ней аутентификация будет осуществляться на MAC-уровне.
Наконец, еще одна проблема связана с работой в сети гостевых пользователей. В офисе всегда присутствуют лица, которым требуется услуга беспроводного доступа, но из-за которых вы не намерены жертвовать безопасностью WLAN. В ряде беспроводных устройств специально предусмотрена поддержка гостевого доступа путем переадресации незашифрованного трафика от пользователей, не прошедших процедуру аутентификации, в отдельную виртуальную WLAN. Такую сеть имеет смысл сформировать вне основной корпоративной сети. Помимо изделий уже упомянутых компаний Airespace, Aruba и Trapeze, подобный сценарий поддерживают точки доступа производства 3Com, Cisco, Compex, HP
| |
| БЕСПРОВОДНОЙ коммутатор Mobility Exchange 20 фирмы Trapeze |
Не исключено, что вы решите пропустить гостевых пользователей через простейшую процедуру аутентификации средствами Web-интерфейса, прежде чем они покинут беспроводную сеть и, возможно, начнут работать в проводной. Эта мера поможет отличить «легитимных» гостевых пользователей от злоумышленников, околачивающихся на парковке возле вашего офиса. В зависимости от сложности выбранной модели защиты вам может потребоваться простейший брандмауэр, который будет поддерживать Web-аутентификацию либо одну или несколько более совершенных систем сетевой регистрации, предлагаемых, скажем, фирмами ReefEdge Networks и Vernier Software. |
