Будьте внимательны к безопасности 802.11n

На пути усовершенствований нельзя забывать про безопасность

После того как Motorola 12 марта публично объявила о выпуске оборудования с поддержкой стандарта 802.11n для корпоративных пользователей, практически все крупные игроки рынка беспроводных ЛВС стали предлагать продукты на базе предварительной версии нового стандарта.

Их солидарные действия доказывают, что производители отреагировали на нетерпеливые пожелания пользователей, которых проинформировали о новых возможностях 802.11n, касающихся пропускной способности, зоны покрытия и т. д.

Однако такое нетерпение чревато упущениями в сфере безопасности. Осмысление потенциальных угроз при использовании 802.11n и концепций защиты от них отстает от темпов, которые задал рынок, и внедрение нового стандарта наряду с существующими нерешенными вопросами наверняка потребует работы над еще более крупными проблемами.

Все, с кем я разговаривал, имеют весьма общее представление о том, что для 802.11n пока не найдено каких-либо уязвимостей или специфических путей атак, и история показала, что новый протокол автоматически не означает появления новых уязвимостей. Ведь когда спецификация 802.11n впервые пришла на рынок, это не принесло никаких новых угроз.

Амит Синха, технологический руководитель фирмы AirDefense, поставляющей средства предупреждения беспроводных вторжений, однако обращает внимание на то, что 802.11n значительно повышает степень сложности реализации функций MAC (контроль доступа к среде) и PHY (физический уровень) беспроводных сетей, а стало быть, в будущем это может открыть пути для новых атак. По его словам, “802.11n значительно усложняет MAC-уровень, добавляя такие механизмы, как блочные подтверждения и ложные поля продолжительности (spoofed duration fields), которые могут послужить для создания вредоносных эксплойтов. 802.11a не менял MAC или базовую OFDM-модуляцию, используемую на физическом уровне. А в 802.11n физический уровень радикально изменился. Включение каналов шириной 40 МГц и сложных механизмов защиты позволит задействовать слегка модифицированные DDoS-атаки, что может как минимум подпортить впечатление от притягательных достоинств 802.11n.”.

Правда, в ближайшей перспективе проблемы безопасности пользователей 802.11n предстанут в виде увеличенной копии того, с чем уже годами сражаются администраторы беспроводных сетей. Например, снова появится на свет яблоко раздора, связанное с нелегальной установкой точек доступа персоналом организации.

Ввиду значительно возросшей “дальнобойности” 802.11n сетевым администраторам понадобится переосмыслить зоны границ своей Wi-Fi-сети (включая новые позиции для нелегальных подключений). Если более старые сети 802.11a/b/g допускали полезное применение разве что в радиусе ближайшего места парковки автомобилей, то сеть 802.11n можно “перебросить” через улицу или в другое здание. Поэтому непреложным императивом в переходе к 802.11n должно быть использование современного стандарта защиты беспроводных сетей, например WPA2 (Wi-Fi Protected Access 2), для предотвращения как утечек пропускной способности (воровство трафика), так и более злонамеренных акций.

При сегодняшнем состоянии 802.11n, когда стандарт еще претерпевает некоторые изменения, а ландшафт его уязвимостей пока не оформился, поставщики средств беспроводной безопасности и дополняющих технологий, таких, скажем, как AirDefense, AirMagnet или AirTight, не спешат выходить с официальными планами и продуктами для 802.11n. Хотя через несколько месяцев ситуация может измениться — мне кажется, что поставщики 802.11n-функциональных продуктов будут ориентироваться, в большей степени, на анализ производительности сети, чем на безопасность. А функционал средств безопасности, по всей видимости, будет ограничен в основном улучшением обнаружения нелегальной аппаратуры и сужением круга возможностей декодировать передачи 802.11n.