Ethernet (из-за менее эффективного протокола доступа клиентских станций к среде передачи данных). Поскольку сети стандарта IEEE 802.11b (изначально предназначенные для предприятий) применяются теперь и в домах, судьба ориентированной на домашние сети спецификации HomeRF стала весьма неопределённой (особенно если учесть, что корпорация Intel, в прошлом один из крупнейших сторонников этой спецификации, сегодня поддерживает стандарт IEEE 802.11b).
Специалисты должны тщательно отслеживать процесс создания новых стандартов. Стандарт IEEE 802.11b сыграл роль катализатора развития индустрии беспроводных ЛВС. Но широкое применение последних выявило серьёзные недостатки в их системе информационной безопасности, которые сегодня устраняются только с помощью фирменных решений. Следите за появлением стандартных решений в этой области и старайтесь спроектировать свою сеть таким образом, чтобы со временем можно было легко перейти на новые и улучшенные технологии.
Производители и органы стандартизации совершенствуют беспроводные ЛВС по трём основным направлениям: увеличение скорости передачи данных, повышение степени информационной безопасности и реализация эффективно работающих механизмов обеспечения QoS. В идеале хотелось бы видеть один новый стандарт, охватывающий все эти улучшения. Причём желательно было бы иметь возможность обновлять ПО сетевого оборудования для поддержания нового стандарта. Но наш мир далеко не идеален, поэтому прогресс в деле развития беспроводных ЛВС по основным направлениям осуществляется с разной скоростью, приводя к появлению отдельных стандартов.
Что касается увеличения скорости передачи данных, то здесь имеются значительные успехи. Стандартом IEEE 802.11a (который начали разрабатывать раньше, чем уже ставший популярным стандарт IEEE 802.11b) определён новый физический уровень, обеспечивающий скорость передачи данных до 54 Мбит/с. Хотя реальная пропускная способность сетей этого стандарта вряд ли будет превышать 25-30 Мбит/с, но такая скорость в пять раз больше реальной скорости передачи данных в нынешних беспроводных ЛВС стандарта IEEE 802.11b. Таким образом, будущий процесс внедрения на предприятиях оборудования стандарта IEEE 802.11a можно сравнить с процессом перехода от технологии Ethernet к технологии Fast Ethernet в проводных ЛВС.
Стандартом IEEE 802.11a предусмотрено использование передовой радиотехнологии, получившей название «ортогональное частотное мультиплексирование» (Orthogonal Frequency Division Multiplexing — OFDM). Согласно этой технологии вместо последовательной передачи информации по одному высокоскоростному каналу осуществляется параллельная передача потоков данных по многочисленным отдельным поднесущим. В результате получается один широкополосный и помехоустойчивый канал с высокой пропускной способностью. Многие новейшие радиосистемы, включая широкомасштабные сети фиксированной и мобильной связи, основаны на этой технологии.
Кроме того, в зависимости от качества и уровня принимаемого радиосигнала, OFDM-устройства могут динамически задействовать разные методы модуляции, обеспечивая тем самым либо высокую скорость передачи данных на небольшие расстояния, либо низкоскоростную, но надёжную связь на большие дистанции. Стоит также отметить, что оборудование стандарта IEEE 802.11b работает в перегруженном диапазоне частот 2,4 ГГц, а стандартом IEEE 802.11a предусмотрено использование более свободного диапазона 5 ГГц, в котором в США для нелицензируемой работы оборудования выделена более широкая полоса частот, примерно в три раза шире, чем та, которую используют в диапазоне 2,4 ГГц (300 МГц по сравнению с 83 МГц). Однако со временем и частотный диапазон 5 ГГц может стать сильно загруженным и несвободным от взаимных помех, создаваемых оборудованием.
Переход на эту технологию связан с решением ряда сложных проблем. Прежде всего остаётся неизвестной дальность связи (между радиоадаптером и точкой доступа) в помещении, на которую можно рассчитывать при развёртывании беспроводных ЛВС стандарта IEEE 802.11a. Согласно законам физики, дальность связи в открытом пространстве уменьшается с ростом рабочей частоты, но в помещении помимо этого на неё влияют поглощение и отражение радиоволн. Кроме того, дальность связи зависит от мощности излучаемого радиосигнала и вида его модуляции. Поэтому очень трудно заранее определить этот параметр для любой радиотехнологии.
По данным компании Mobilian, производящей компоненты оборудования стандартов IEEE 802.11a и IEEE 802.11b, для радиопокрытия одной и той же территории потребуется примерно в четыре раза больше точек доступа стандарта IEEE 802.11a, чем точек доступа стандарта IEEE 802.11b. Однако проведённые компанией Atheros испытания обоих типов оборудования в офисной среде показали другие результаты. Специалисты компании Atheros утверждают, что, если точки доступа размещены очень близко друг к другу (на расстоянии 18-24 м), то наложить сеть стандарта IEEE 802.11a на сеть стандарта IEEE 802.11b совсем несложно. Оборудование стандарта IEEE 802.11a обеспечивает передачу данных с максимальной скоростью 54 Мбит/с на расстояние около 15 м. При дальности связи 30 или 60 м скорость передачи падает до 36 или 6 Мбит/с соответственно. Помните, что реальная скорость передачи данных составляет примерно половину указанных здесь максимальных значений.
Хотя с увеличением дальности (при использовании любого оборудования) скорость передачи данных снижается, согласно информации, полученной от компании Atheros и других фирм-производителей, в сетях стандарта IEEE 802.11a она всегда остаётся на более высоком уровне, чем в сетях стандарта IEEE 802.11b. Однако до тех пор пока оборудование стандарта IEEE 802.11a не поступит в продажу, и не будут проведены его дополнительные испытания, наложение сети стандарта IEEE 802.11a на сеть стандарта IEEE 802.11b останется сложной задачей, которую вряд ли можно решить только заменой радиоадаптера в двухслотовой точке доступа.
Кроме того, существует проблема с обратной совместимостью нового оборудования. Сети стандартов IEEE 802.11a и IEEE 802.11b работают в разных частотных диапазонах, и большинство радиоадаптеров стандарта IEEE 802.11a, которые первыми появятся на рынке, будут поддерживать только этот стандарт. Двухрежимные радиоадаптеры (IEEE 802.11a/b) тоже поступят в продажу, но первое время они будут стоить дороже однорежимных, поскольку для поддержания каждого из рабочих режимов в них будут использоваться отдельные микросхемы. Первые инсталляции оборудования стандарта IEEE 802.11a будут иметь небольшое радиопокрытие по сравнению с зонами действия сетей стандарта IEEE 802.11b, что сделает невыгодной модернизацию ПК для большинства пользователей.
Стоит отметить, что ведущие производители оборудования стандарта IEEE 802.11b не торопятся с выпуском устройств стандарта IEEE 802.11a. Первыми производителями этих устройств станут в основном небольшие компании, стремящиеся упрочить своё положение на рынке. И все же переход индустрии беспроводных ЛВС на новые высокопроизводительные технологии неизбежен, поскольку они обеспечивают не только более высокие скорости передачи данных, но и поддержку большего числа пользователей. Последнее особенно важно, поскольку беспроводные ЛВС становятся все более популярными и число их пользователей быстро растёт.
Стандарт IEEE 802.11a — это не единственная высокоскоростная альтернатива стандарту IEEE 802.11b. Европейский институт стандартов электросвязи (European Telecommunications Standards Institute — ETSI) разработал высокоскоростной беспроводной стандарт HiperLAN/2, являющийся прямым конкурентом стандарту IEEE 802.11a. Эти стандарты имеют очень похожие спецификации на протоколы физического уровня, предусматривающие работу оборудования в частотном диапазоне 5 ГГц и использование технологии OFDM, но отличаются протоколами более высоких уровней. Если стандарт IEEE 802.11a базируется на протоколе CSMA (Carrier Sense Multiple Access), то в стандарте HiperLAN/2 предусмотрено централизованное управление доступом мобильных станций к радиоканалу с динамическим выделением им тайм-слотов. Этот детерминистический подход (аналогичный используемому в технологии Token Ring) более сложен в реализации, но зато обеспечивает необходимые уровни QoS (сегодня в стандарте IEEE 802.11a соответствующие механизмы отсутствуют) и облегчает интеграцию сетей HiperLAN/2 с сетями ATM. Однако в плане поддержания IP-приложений возможности обеих стандартов сопоставимы.
Придётся ли нам стать свидетелями жёсткой конкуренции между ними? Возможно, но стандарт IEEE 802.11a имеет определённую «фору»: его поддерживают больше компаний — производителей компонентов для беспроводных устройств и первые основанные на нем продукты для конечных пользователей должны появиться на рынке раньше, чем появится оборудование стандарта HiperLAN/2. Кроме того, недалёк тот день, когда сети стандартов IEEE 802.11 начнут поддерживать механизмы QoS. Однако европейские регулирующие органы, отвечающие за электромагнитную совместимость систем связи, отдают предпочтение стандарту HiperLAN/2. В настоящее время, чтобы усилить позиции стандарта IEEE 802.11a, институт IEEE разрабатывает спецификацию IEEE 802.11h, в которой будут определены механизмы использования частот для оборудования этого стандарта.
Ситуация со стандартами очень непроста для понимания, поскольку институт IEEE разрабатывает ещё один высокоскоростной стандарт — IEEE 802.11g — на беспроводные ЛВС, передающие данные на скоростях 20 Мбит/с и выше. Скорее всего он тоже будет основан на технологии OFDM. Хотя стандартом IEEE 802.11g не предусмотрена обратная совместимость с оборудованием стандарта IEEE 802.11b, в нем определено использование того же самого диапазона частот, в котором работает названное оборудование. Можно предположить, что производители выпустят радиоадаптеры, поддерживающие сразу оба стандарта — и IEEE 802.11b, и IEEE 802.11g, что должно упростить модернизацию сетей. Однако если вскоре начнутся широкомасштабные поставки оборудования стандарта IEEE 802.11a, то не исключено, что более медленный стандарт IEEE 802.11g окажется запоздалым и никому не нужным.
Пока непонятно, что будут делать производители для обеспечения пользователям возможности модернизации своих точек доступа с целью поддержания более высоких скоростей передачи данных. Очевидно, что точки доступа, оснащённые съёмными радиоадаптерами (например, формата PC Card), будет модернизировать легче, чем точки доступа с интегрированными радиоадаптерами. Точки доступа с двумя слотами для радиоадаптеров смогут поддерживать стандарты IEEE 802.11a и IEEE 802.11b одновременно, но при этом не исключены проблемы с радиопокрытием (из-за разной дальности действия соответствующих радиотехнологий). Альтернативным подходом является наложение сети стандарта IEEE 802.11a (или IEEE 802.11g) на сеть стандарта IEEE 802.11b и независимое использование обеих сетей. Вероятно, данный подход несложно реализовать, но он неэффективен с точки зрения использования сетевой инфраструктуры. Если вы все же планируете сделать это, то заранее позаботьтесь о том, чтобы в сетевой инфраструктуре для каждой точки доступа имелось по два порта Ethernet (второй потребуется для подключения новой, высокоскоростной точки доступа).
Глава 3.
Предлагаемые методы защиты
Данные между сетевыми системами передаются в виде пакетов. Структурно, каждый пакет состоит из двух частей — заголовка и тела. В заголовке хранится служебная информация, в частности, идентификатор сети, аппаратные адреса получателя и отправителя. В теле передаются данные и значение контрольной суммы передаваемых данных (ICV), используемое получателем для проверки целостности данных.
Для каждого нового сетевого пакета применяется новый кодирующий ключ. Причём, кодируется только тело пакета. В заголовок добавляется значение вектора инициализации соответствующего данному пакету кодирующего ключа. Содержание заголовка не кодируется и передаётся в открытом виде.
Если используемый системой генератор случайных чисел достаточно качественен в статистическом отношении, то проведённая операция шифрования обеспечивает шумоподобный характер передаваемых данных, что в теории, без знания секретного ключа, делает возможность декодирования перехваченного сообщения очень длительным процессом даже при современной вычислительной технике.
При расшифровке пакета получателем программа кодирования инициализируется секретным ключом и извлечённым из полученного пакета значением вектора инициализации. После расшифровки тела сетевого пакета, система вычисляет контрольную сумму полученных данных и сравнивает со значением контрольной суммы, переданной отправителем в этом же пакете. При положительном результате данные начинают обрабатываться, и отправителю передаётся подтверждение удачного приёма. В противном случае, отправитель повторно осуществляет передачу.
В стандартах рассматриваемых беспроводных сетей были изначально заложены механизмы идентификации клиентов (по аппаратным адресам), защиты (WEP) и контроля целостности передаваемых данных. Исходя из предоставленных разработчиками технологии средств, в теории, беспроводная сеть должна быть наиболее защищена при работе в режиме инфраструктуры (когда весь трафик клиентов проходит через узел доступа) с включённым WEP-кодированием и фильтрацией аппаратных адресов беспроводных клиентов.
Методики нападения
Специалисты должны тщательно отслеживать процесс создания новых стандартов. Стандарт IEEE 802.11b сыграл роль катализатора развития индустрии беспроводных ЛВС. Но широкое применение последних выявило серьёзные недостатки в их системе информационной безопасности, которые сегодня устраняются только с помощью фирменных решений. Следите за появлением стандартных решений в этой области и старайтесь спроектировать свою сеть таким образом, чтобы со временем можно было легко перейти на новые и улучшенные технологии.
Производители и органы стандартизации совершенствуют беспроводные ЛВС по трём основным направлениям: увеличение скорости передачи данных, повышение степени информационной безопасности и реализация эффективно работающих механизмов обеспечения QoS. В идеале хотелось бы видеть один новый стандарт, охватывающий все эти улучшения. Причём желательно было бы иметь возможность обновлять ПО сетевого оборудования для поддержания нового стандарта. Но наш мир далеко не идеален, поэтому прогресс в деле развития беспроводных ЛВС по основным направлениям осуществляется с разной скоростью, приводя к появлению отдельных стандартов.
Что касается увеличения скорости передачи данных, то здесь имеются значительные успехи. Стандартом IEEE 802.11a (который начали разрабатывать раньше, чем уже ставший популярным стандарт IEEE 802.11b) определён новый физический уровень, обеспечивающий скорость передачи данных до 54 Мбит/с. Хотя реальная пропускная способность сетей этого стандарта вряд ли будет превышать 25-30 Мбит/с, но такая скорость в пять раз больше реальной скорости передачи данных в нынешних беспроводных ЛВС стандарта IEEE 802.11b. Таким образом, будущий процесс внедрения на предприятиях оборудования стандарта IEEE 802.11a можно сравнить с процессом перехода от технологии Ethernet к технологии Fast Ethernet в проводных ЛВС.
Стандартом IEEE 802.11a предусмотрено использование передовой радиотехнологии, получившей название «ортогональное частотное мультиплексирование» (Orthogonal Frequency Division Multiplexing — OFDM). Согласно этой технологии вместо последовательной передачи информации по одному высокоскоростному каналу осуществляется параллельная передача потоков данных по многочисленным отдельным поднесущим. В результате получается один широкополосный и помехоустойчивый канал с высокой пропускной способностью. Многие новейшие радиосистемы, включая широкомасштабные сети фиксированной и мобильной связи, основаны на этой технологии.
Кроме того, в зависимости от качества и уровня принимаемого радиосигнала, OFDM-устройства могут динамически задействовать разные методы модуляции, обеспечивая тем самым либо высокую скорость передачи данных на небольшие расстояния, либо низкоскоростную, но надёжную связь на большие дистанции. Стоит также отметить, что оборудование стандарта IEEE 802.11b работает в перегруженном диапазоне частот 2,4 ГГц, а стандартом IEEE 802.11a предусмотрено использование более свободного диапазона 5 ГГц, в котором в США для нелицензируемой работы оборудования выделена более широкая полоса частот, примерно в три раза шире, чем та, которую используют в диапазоне 2,4 ГГц (300 МГц по сравнению с 83 МГц). Однако со временем и частотный диапазон 5 ГГц может стать сильно загруженным и несвободным от взаимных помех, создаваемых оборудованием.
Переход на эту технологию связан с решением ряда сложных проблем. Прежде всего остаётся неизвестной дальность связи (между радиоадаптером и точкой доступа) в помещении, на которую можно рассчитывать при развёртывании беспроводных ЛВС стандарта IEEE 802.11a. Согласно законам физики, дальность связи в открытом пространстве уменьшается с ростом рабочей частоты, но в помещении помимо этого на неё влияют поглощение и отражение радиоволн. Кроме того, дальность связи зависит от мощности излучаемого радиосигнала и вида его модуляции. Поэтому очень трудно заранее определить этот параметр для любой радиотехнологии.
По данным компании Mobilian, производящей компоненты оборудования стандартов IEEE 802.11a и IEEE 802.11b, для радиопокрытия одной и той же территории потребуется примерно в четыре раза больше точек доступа стандарта IEEE 802.11a, чем точек доступа стандарта IEEE 802.11b. Однако проведённые компанией Atheros испытания обоих типов оборудования в офисной среде показали другие результаты. Специалисты компании Atheros утверждают, что, если точки доступа размещены очень близко друг к другу (на расстоянии 18-24 м), то наложить сеть стандарта IEEE 802.11a на сеть стандарта IEEE 802.11b совсем несложно. Оборудование стандарта IEEE 802.11a обеспечивает передачу данных с максимальной скоростью 54 Мбит/с на расстояние около 15 м. При дальности связи 30 или 60 м скорость передачи падает до 36 или 6 Мбит/с соответственно. Помните, что реальная скорость передачи данных составляет примерно половину указанных здесь максимальных значений.
Хотя с увеличением дальности (при использовании любого оборудования) скорость передачи данных снижается, согласно информации, полученной от компании Atheros и других фирм-производителей, в сетях стандарта IEEE 802.11a она всегда остаётся на более высоком уровне, чем в сетях стандарта IEEE 802.11b. Однако до тех пор пока оборудование стандарта IEEE 802.11a не поступит в продажу, и не будут проведены его дополнительные испытания, наложение сети стандарта IEEE 802.11a на сеть стандарта IEEE 802.11b останется сложной задачей, которую вряд ли можно решить только заменой радиоадаптера в двухслотовой точке доступа.
Кроме того, существует проблема с обратной совместимостью нового оборудования. Сети стандартов IEEE 802.11a и IEEE 802.11b работают в разных частотных диапазонах, и большинство радиоадаптеров стандарта IEEE 802.11a, которые первыми появятся на рынке, будут поддерживать только этот стандарт. Двухрежимные радиоадаптеры (IEEE 802.11a/b) тоже поступят в продажу, но первое время они будут стоить дороже однорежимных, поскольку для поддержания каждого из рабочих режимов в них будут использоваться отдельные микросхемы. Первые инсталляции оборудования стандарта IEEE 802.11a будут иметь небольшое радиопокрытие по сравнению с зонами действия сетей стандарта IEEE 802.11b, что сделает невыгодной модернизацию ПК для большинства пользователей.
Стоит отметить, что ведущие производители оборудования стандарта IEEE 802.11b не торопятся с выпуском устройств стандарта IEEE 802.11a. Первыми производителями этих устройств станут в основном небольшие компании, стремящиеся упрочить своё положение на рынке. И все же переход индустрии беспроводных ЛВС на новые высокопроизводительные технологии неизбежен, поскольку они обеспечивают не только более высокие скорости передачи данных, но и поддержку большего числа пользователей. Последнее особенно важно, поскольку беспроводные ЛВС становятся все более популярными и число их пользователей быстро растёт.
Стандарт IEEE 802.11a — это не единственная высокоскоростная альтернатива стандарту IEEE 802.11b. Европейский институт стандартов электросвязи (European Telecommunications Standards Institute — ETSI) разработал высокоскоростной беспроводной стандарт HiperLAN/2, являющийся прямым конкурентом стандарту IEEE 802.11a. Эти стандарты имеют очень похожие спецификации на протоколы физического уровня, предусматривающие работу оборудования в частотном диапазоне 5 ГГц и использование технологии OFDM, но отличаются протоколами более высоких уровней. Если стандарт IEEE 802.11a базируется на протоколе CSMA (Carrier Sense Multiple Access), то в стандарте HiperLAN/2 предусмотрено централизованное управление доступом мобильных станций к радиоканалу с динамическим выделением им тайм-слотов. Этот детерминистический подход (аналогичный используемому в технологии Token Ring) более сложен в реализации, но зато обеспечивает необходимые уровни QoS (сегодня в стандарте IEEE 802.11a соответствующие механизмы отсутствуют) и облегчает интеграцию сетей HiperLAN/2 с сетями ATM. Однако в плане поддержания IP-приложений возможности обеих стандартов сопоставимы.
Придётся ли нам стать свидетелями жёсткой конкуренции между ними? Возможно, но стандарт IEEE 802.11a имеет определённую «фору»: его поддерживают больше компаний — производителей компонентов для беспроводных устройств и первые основанные на нем продукты для конечных пользователей должны появиться на рынке раньше, чем появится оборудование стандарта HiperLAN/2. Кроме того, недалёк тот день, когда сети стандартов IEEE 802.11 начнут поддерживать механизмы QoS. Однако европейские регулирующие органы, отвечающие за электромагнитную совместимость систем связи, отдают предпочтение стандарту HiperLAN/2. В настоящее время, чтобы усилить позиции стандарта IEEE 802.11a, институт IEEE разрабатывает спецификацию IEEE 802.11h, в которой будут определены механизмы использования частот для оборудования этого стандарта.
Ситуация со стандартами очень непроста для понимания, поскольку институт IEEE разрабатывает ещё один высокоскоростной стандарт — IEEE 802.11g — на беспроводные ЛВС, передающие данные на скоростях 20 Мбит/с и выше. Скорее всего он тоже будет основан на технологии OFDM. Хотя стандартом IEEE 802.11g не предусмотрена обратная совместимость с оборудованием стандарта IEEE 802.11b, в нем определено использование того же самого диапазона частот, в котором работает названное оборудование. Можно предположить, что производители выпустят радиоадаптеры, поддерживающие сразу оба стандарта — и IEEE 802.11b, и IEEE 802.11g, что должно упростить модернизацию сетей. Однако если вскоре начнутся широкомасштабные поставки оборудования стандарта IEEE 802.11a, то не исключено, что более медленный стандарт IEEE 802.11g окажется запоздалым и никому не нужным.
Пока непонятно, что будут делать производители для обеспечения пользователям возможности модернизации своих точек доступа с целью поддержания более высоких скоростей передачи данных. Очевидно, что точки доступа, оснащённые съёмными радиоадаптерами (например, формата PC Card), будет модернизировать легче, чем точки доступа с интегрированными радиоадаптерами. Точки доступа с двумя слотами для радиоадаптеров смогут поддерживать стандарты IEEE 802.11a и IEEE 802.11b одновременно, но при этом не исключены проблемы с радиопокрытием (из-за разной дальности действия соответствующих радиотехнологий). Альтернативным подходом является наложение сети стандарта IEEE 802.11a (или IEEE 802.11g) на сеть стандарта IEEE 802.11b и независимое использование обеих сетей. Вероятно, данный подход несложно реализовать, но он неэффективен с точки зрения использования сетевой инфраструктуры. Если вы все же планируете сделать это, то заранее позаботьтесь о том, чтобы в сетевой инфраструктуре для каждой точки доступа имелось по два порта Ethernet (второй потребуется для подключения новой, высокоскоростной точки доступа).
Глава 3.
Беспроводные сети. Взлом и защита
Многие пользователи и специалисты в первую очередь обращают внимание на скоростные возможности новых стандартов и технологий, но не менее важны и новые методы обеспечения информационной безопасности, призванные сделать нашу жизнь спокойнее. Используемый сегодня в сетях стандарта IEEE 802.11 метод обеспечения информационной безопасности, получивший название WEP (Wired Equivalent Privacy), основан на алгоритме шифрования RC4 с 40-битовым или 128-битовым ключом. К сожалению, этот метод имеет серьёзные недостатки, которые позволяют раскрыть передаваемую информацию, и предполагает распределение ключей шифрования вручную.
Решить эти проблемы призвана новая система сетевой безопасности, разработанная институтом IEEE и описанная в стандарте IEEE 802.11x. Она ориентирована на все виды сетей доступа (проводные и беспроводные), соответствующие стандартам IEEE. В ней предусмотрены подсистемы аутентификации, шифрования и распределения ключей шифрования. Система, о которой идёт речь, предназначена для совместной работы с существующими средствами защиты данных, поддерживающими стандарты EAP (Extensible Authentication Protocol) и RADIUS (Remote Access Dial-in User Service).
Ещё один новый стандарт, IEEE 802.11i, определяет специфические для беспроводных сетей, включая инфраструктуры стандартов IEEE 802.11b и IEEE 802.11a, защитные функции. Учитывая сильную поддержку новых стандартов обеспечения информационной безопасности со стороны таких крупных компаний, как Cisco Systems и Microsoft, можно предположить, что соответствующие этим стандартам сетевые продукты появятся в начале следующего года.
Стоит отметить, что ОС Microsoft Windows XP поддерживает стандарты IEEE 802.11x и EAP. Благодаря этому, пройдя единую процедуру аутентификации, пользователь получает возможность работать как в беспроводной, так и в инфраструктурной сети. Чтобы воспользоваться преимуществами новых методов защиты данных, необходимо проделать определённую работу по интеграции проводной сети с беспроводной. Должно пройти ещё некое время, прежде чем большинство производителей начнут поддерживать новые стандарты сетевой безопасности. Кроме того, могут возникнуть проблемы с совместимостью решений от разных производителей.
Обеспечить необходимые уровни качества обслуживания трафика в беспроводных сетях призван другой новый стандарт — IEEE 802.11e.
В нем определены асинхронная и контролируемая по времени передачи данных. Последняя нужна для пересылки аудио— и видеоинформации. Кроме того, для разных видов потоков данных предусмотрена возможность использования разных методов передачи. Например, для пересылки чувствительного к задержкам видеопотока вместо механизма повторной передачи пакетов можно задействовать метод упреждающей коррекции ошибок. Одновременная поддержка в оборудовании стандартов IEEE 802.11e и IEEE 802.11a позволит получить примерно такой же набор рабочих характеристик и функциональных возможностей, какой предусмотрен стандартом HiperLAN/2.
Необходимые для качественной передачи аудио— и видеоинформации механизмы обеспечения QoS беспроводной ЛВС должны быть интегрированы с соответствующими механизмами инфраструктурной сети, а на это потребуется некоторое время. Возможно, до появления корпоративных приложений, использующих механизмы QoS для беспроводных ЛВС, пройдут годы. Гораздо быстрее интегрированные (предназначенные для передачи речи, видео и данных) беспроводные ЛВС появятся в жилых домах. Однако не стоит откладывать развёртывание беспроводной ЛВС, ожидая появление продуктов с новыми функциями. Возможностей сегодняшних устройств вполне хватает для нормальной работы большинства приложений. Предварительно обсудив с представителями фирмы-производителя её планы по модернизации выпускаемого оборудования, смело разворачивайте у себя беспроводную ЛВС, функциональность которой вы со временем сможете улучшить.
Решить эти проблемы призвана новая система сетевой безопасности, разработанная институтом IEEE и описанная в стандарте IEEE 802.11x. Она ориентирована на все виды сетей доступа (проводные и беспроводные), соответствующие стандартам IEEE. В ней предусмотрены подсистемы аутентификации, шифрования и распределения ключей шифрования. Система, о которой идёт речь, предназначена для совместной работы с существующими средствами защиты данных, поддерживающими стандарты EAP (Extensible Authentication Protocol) и RADIUS (Remote Access Dial-in User Service).
Ещё один новый стандарт, IEEE 802.11i, определяет специфические для беспроводных сетей, включая инфраструктуры стандартов IEEE 802.11b и IEEE 802.11a, защитные функции. Учитывая сильную поддержку новых стандартов обеспечения информационной безопасности со стороны таких крупных компаний, как Cisco Systems и Microsoft, можно предположить, что соответствующие этим стандартам сетевые продукты появятся в начале следующего года.
Стоит отметить, что ОС Microsoft Windows XP поддерживает стандарты IEEE 802.11x и EAP. Благодаря этому, пройдя единую процедуру аутентификации, пользователь получает возможность работать как в беспроводной, так и в инфраструктурной сети. Чтобы воспользоваться преимуществами новых методов защиты данных, необходимо проделать определённую работу по интеграции проводной сети с беспроводной. Должно пройти ещё некое время, прежде чем большинство производителей начнут поддерживать новые стандарты сетевой безопасности. Кроме того, могут возникнуть проблемы с совместимостью решений от разных производителей.
Обеспечить необходимые уровни качества обслуживания трафика в беспроводных сетях призван другой новый стандарт — IEEE 802.11e.
В нем определены асинхронная и контролируемая по времени передачи данных. Последняя нужна для пересылки аудио— и видеоинформации. Кроме того, для разных видов потоков данных предусмотрена возможность использования разных методов передачи. Например, для пересылки чувствительного к задержкам видеопотока вместо механизма повторной передачи пакетов можно задействовать метод упреждающей коррекции ошибок. Одновременная поддержка в оборудовании стандартов IEEE 802.11e и IEEE 802.11a позволит получить примерно такой же набор рабочих характеристик и функциональных возможностей, какой предусмотрен стандартом HiperLAN/2.
Необходимые для качественной передачи аудио— и видеоинформации механизмы обеспечения QoS беспроводной ЛВС должны быть интегрированы с соответствующими механизмами инфраструктурной сети, а на это потребуется некоторое время. Возможно, до появления корпоративных приложений, использующих механизмы QoS для беспроводных ЛВС, пройдут годы. Гораздо быстрее интегрированные (предназначенные для передачи речи, видео и данных) беспроводные ЛВС появятся в жилых домах. Однако не стоит откладывать развёртывание беспроводной ЛВС, ожидая появление продуктов с новыми функциями. Возможностей сегодняшних устройств вполне хватает для нормальной работы большинства приложений. Предварительно обсудив с представителями фирмы-производителя её планы по модернизации выпускаемого оборудования, смело разворачивайте у себя беспроводную ЛВС, функциональность которой вы со временем сможете улучшить.
Предлагаемые методы защиты
Маскировка сети
Если отключить широковещательную передачу узлом доступа «маячковых» сигналов с идентификатором сети, то теоретически такая сеть становится «скрытой». Пользователь, находясь в зоне доступа «скрытой» сети, не получает «маячковых» сигналов от узла доступа. Следовательно, не может определить идентификатор сети. А если у него нет идентификатора, то и подключиться к сети он тоже не может. О надёжности такого способа маскировки позднее, а пока для подключения к «скрытой» сети пользователю необходимо ввести значение сетевого идентификатора вручную.Шифрование передаваемых данных
Реализованный в протоколе 801.11 метод — WEP. Это симметричный способ шифрования, когда для кодирования и декодирования данных используется один и тот же кодирующий ключ, состоящий из двух частей. Одна часть — секретный ключ, хранится у получателя и отправителя. Вторая — вектор инициализации — генерируется случайным образом в системе отправителя. На основании этих двух значений вычисляется псевдоуникальный кодирующий ключ.Данные между сетевыми системами передаются в виде пакетов. Структурно, каждый пакет состоит из двух частей — заголовка и тела. В заголовке хранится служебная информация, в частности, идентификатор сети, аппаратные адреса получателя и отправителя. В теле передаются данные и значение контрольной суммы передаваемых данных (ICV), используемое получателем для проверки целостности данных.
Для каждого нового сетевого пакета применяется новый кодирующий ключ. Причём, кодируется только тело пакета. В заголовок добавляется значение вектора инициализации соответствующего данному пакету кодирующего ключа. Содержание заголовка не кодируется и передаётся в открытом виде.
Если используемый системой генератор случайных чисел достаточно качественен в статистическом отношении, то проведённая операция шифрования обеспечивает шумоподобный характер передаваемых данных, что в теории, без знания секретного ключа, делает возможность декодирования перехваченного сообщения очень длительным процессом даже при современной вычислительной технике.
При расшифровке пакета получателем программа кодирования инициализируется секретным ключом и извлечённым из полученного пакета значением вектора инициализации. После расшифровки тела сетевого пакета, система вычисляет контрольную сумму полученных данных и сравнивает со значением контрольной суммы, переданной отправителем в этом же пакете. При положительном результате данные начинают обрабатываться, и отправителю передаётся подтверждение удачного приёма. В противном случае, отправитель повторно осуществляет передачу.
Контроль доступа
Сетевой доступ к какому-либо беспроводному устройству можно избирательно контролировать, используя список контроля доступа. Там указываются аппаратные адреса сетевых устройств, связь с которыми разрешена. Соответственно, любая сетевая активность устройств с аппаратными адресами, не внесёнными в список, будет проигнорирована. Данный вид защиты основан на том, что аппаратный адрес — это уникальный идентификатор устройства, присваиваемый производителем. Теоретически, двух сетевых устройств с одинаковым аппаратным адресом быть не может. Следовательно, на основании этой характеристики сетевого устройства можно однозначно идентифицировать его владельца.В стандартах рассматриваемых беспроводных сетей были изначально заложены механизмы идентификации клиентов (по аппаратным адресам), защиты (WEP) и контроля целостности передаваемых данных. Исходя из предоставленных разработчиками технологии средств, в теории, беспроводная сеть должна быть наиболее защищена при работе в режиме инфраструктуры (когда весь трафик клиентов проходит через узел доступа) с включённым WEP-кодированием и фильтрацией аппаратных адресов беспроводных клиентов.
Методики нападения
Главным преимуществом беспроводных сетей (равно как и их ахиллесовой пятой) является доступность физической среды передачи данных — радиоэфира. И если для площадок общественного доступа к сетевым ресурсам (hot spots) такая возможность это благо, то для домашних или локальных сетей доступность за пределами ограниченной территории, определённой стенами офиса или квартиры, совершенно излишня. Пространственно зона доступа одного узла представляет собой сферу, радиус которой определён максимальным удалением от центра с сохранением устойчивого качества работы беспроводных клиентов. На практике, реальная пространственная зона доступа далека от геометрически красивой фигуры из-за поглощения окружающей физической средой радиосигнала. Говоря нормальным языком, при одинаковом оборудовании размеры зон доступа в кирпичных и панельных зданиях с железобетонными перекрытиями будут различаться. Надо быть готовым, что, настроив офисную беспроводную сеть, можно не только обеспечить подключение из любой точки офиса, но и из таких неожиданных мест, как чердак, автостоянка или здание напротив. Если для защиты от вторжения при прокладке кабельных сетей можно было использовать экранированную витую пару, то в качестве аналогичного решения для физического ограничения пространственной зоны доступа беспроводной сети придётся использовать экран из заземлённой металлизированной сетки, натянутой по границам зоны доступа. Можно представить, что укладка такого экрана даже в случае небольшой офисной сети будет нелёгким и недешёвым удовольствием.
Также следует заметить, что максимальное расстояние от клиента до точки доступа напрямую зависит от используемого оборудования. Так, при работе с направленной антенной для адаптера DWL-520 удалось установить подключение к офисной сети с расстояния порядка 450 метров, тогда как со встроенной антенной максимальное удаление было около 80 метров.
Для сбора информации достаточно войти в зону покрытия сети, и, воспользовавшись рабочей станцией с беспроводным сетевым интерфейсом, подключить программный анализатор сетевого трафика (например, Kismet или Ethereal). Если WEP-кодирование не включено (обычная заводская настройка оборудования), наблюдатель видит в открытом виде все данные, передаваемые в сети. Если WEP-кодирование все-таки включено, то, следует заметить, кодируются только данные, передаваемые в сетевом пакете, а заголовок пакета передаётся в открытом виде. Из анализа заголовка можно извлечь информацию об идентификаторе сети, аппаратных адресах узлов доступа и клиентов сети, а также значение вектора инициализации, используемое получателем для дешифровки полученных данных.
Как можно себе представить, прослушивание и анализ перехваченных сетевых пакетов делает попытки сокрытия беспроводной сети несостоятельными за счёт отключения широковещательной передачи узлами доступа «маячковых» сигналов.
Тонкость работы с алгоритмом кодирования, реализованном в WEP, в том, что нельзя допускать повторного использования кодирующих ключей. И этот момент был упущен при разработке стандарта.
Также следует заметить, что максимальное расстояние от клиента до точки доступа напрямую зависит от используемого оборудования. Так, при работе с направленной антенной для адаптера DWL-520 удалось установить подключение к офисной сети с расстояния порядка 450 метров, тогда как со встроенной антенной максимальное удаление было около 80 метров.
Прослушивание (Sniffing)
Сбор информации об атакуемом объекте — это необходимый этап при подготовке атаки. К сожалению администраторов и владельцев беспроводной сети, пассивное прослушивание и анализ передаваемой информации может предоставить сторонним наблюдателям достаточно данных для успешного проникновения в сеть. И предусмотренные разработчиками методы защиты не смогут этому помешать.Для сбора информации достаточно войти в зону покрытия сети, и, воспользовавшись рабочей станцией с беспроводным сетевым интерфейсом, подключить программный анализатор сетевого трафика (например, Kismet или Ethereal). Если WEP-кодирование не включено (обычная заводская настройка оборудования), наблюдатель видит в открытом виде все данные, передаваемые в сети. Если WEP-кодирование все-таки включено, то, следует заметить, кодируются только данные, передаваемые в сетевом пакете, а заголовок пакета передаётся в открытом виде. Из анализа заголовка можно извлечь информацию об идентификаторе сети, аппаратных адресах узлов доступа и клиентов сети, а также значение вектора инициализации, используемое получателем для дешифровки полученных данных.
Как можно себе представить, прослушивание и анализ перехваченных сетевых пакетов делает попытки сокрытия беспроводной сети несостоятельными за счёт отключения широковещательной передачи узлами доступа «маячковых» сигналов.
Подделка аппаратного адреса (MAC spoofing)
Использование механизма идентификации клиентов по аппаратным адресам сетевых интерфейсов для доступа к сетевым ресурсам — не самая лучшая идея. Перехватив и проанализировав сетевой трафик, можно за короткое время получить список аппаратных адресов всех активных клиентов. Задача же изменения аппаратного адреса своего сетевого интерфейса давно решена. Под «линуксоподобными» операционными системами достаточно воспользоваться стандартной сетевой утилитой ifconfig, а для Windows-систем надо трудиться несколько больше, переставляя драйвер сетевого интерфейса или устанавливая дополнительную утилиту.Взлом криптозащиты
Дьявол прячется в деталях. Стандарт 802.11 предусматривает две длины ключей — 40 бит и 104 бита. При длине ключа в 104 бита декодирование данных прямым перебором становится довольно утомительным занятием даже при работе новейшей вычислительной техники. На первый взгляд, реализованный в WEP-механизм криптозащиты должен быть устойчив ко взлому. Но обратите внимание на следующий факт: обе стороны (отправитель и получатель) должны обладать секретным ключом, используемым вместе с вектором инициализации для кодирования и декодирования информации. А в стандарте 802.11b не оговорён механизм обмена ключей между сторонами. В результате, при интенсивном обмене данными, реальна ситуация повторного использования значений векторов инициализации с одним и тем же секретным ключом. Особенность реализованного алгоритма криптозащиты приводит к тому, что, имея два сетевых пакета, зашифрованных одним кодирующим ключом, можно не только расшифровать данные, но и вычислить секретный ключ. Это позволяет не только декодировать всю перехваченную информацию, но и имитировать активность одной из сторон.Тонкость работы с алгоритмом кодирования, реализованном в WEP, в том, что нельзя допускать повторного использования кодирующих ключей. И этот момент был упущен при разработке стандарта.