Статья только в электронной версии журнала
Беспроводные технологии позволяют подключать мобильных пользователей к корпоративным сетям без ущерба для безопасности, но при соблюдении мер предосторожности
Джейсон Брукс, Херб Бетони
По мере расширения применения в вычислительных системах предприятий беспроводных технологий растет потребность в их оценке с точки зрения защищенности и в выработке путей их интеграции в уже сформировавшиеся структуры обеспечения безопасности.
Сегодня набор беспроводных технологий для решения корпоративных задач включает ЛВС (LAN) на базе стандарта IEEE 802.11, персональные вычислительные сети (PAN), основанные на технологии Bluetooth, и территориально-распределенные сети (WAN), аргументом в пользу которых служит доступность многочисленных беспроводных служб вроде Palm.Net фирмы Palm. С каждой из этих схем связаны свои риски в области безопасности, и каждая имеет свои преимущества, однако в целом, по мнению специалистов Тестового центра eWeek Labs, нынешние стандарты и средства обеспечения безопасности для беспроводных сетей всех этих типов вполне адекватны, чтобы начинать их развертывать в вычислительных системах центральных офисов компаний.
Доступ в ЛВС
Беспроводная ЛВС (WLAN) позволяет компьютерам обмениваться информацией по радио вместо кабелей. В корпоративных вычислительных средах WLAN обычно служат связующим звеном между проводной сетью и группой клиентских компьютеров, пользователи которых могут работать с любыми ресурсами и службами корпоративной сети, свободно перемещаясь по зданию или комплексу зданий.
Наибольшей популярностью на сегодняшнем рынке пользуется оборудование WLAN, основанное на стандарте 802.11b. Как и все стандарты семейства IEEE 802, этот охватывает два низших уровня сетевой модели ISO: физический и канальный. Любое приложение, рассчитанное на работу в ЛВС, сетевая операционная система или протокол, включая TCP/IP и NetWare, будут работать в совместимой с 802.11b беспроводной ЛВС точно так же, как в проводной сети Ethernet.
Для шифрования данных в сетях 802.11b применяется стандарт WEP (Wired Equivalent Privacy), использующий алгоритм с общим ключом RC4 PRNG (Pseudo Random Number Generator - генератор псевдослучайных чисел) фирмы RSA Security с длиной ключа 40 или 128 бит. Любые данные, передаваемые через эфир от точки доступа сети на клиентский компьютер или обратно, могут шифроваться с использованием этого ключа.
При применении WEP аутентификация клиента для предоставления ему доступа к сети осуществляется следующим образом. Точка доступа посылает каждому клиенту, пытающемуся вступить с нею в контакт, закодированный пакет-запрос. В ответ должен быть передан пакет, зашифрованный с заранее записанным на клиентский компьютер ключом.
Большинство производителей оборудования, основанного на 802.11b - оно работает со скоростью 11 Мбит/с, - предлагают средства WEP в качестве дополнения. Насколько можно судить по результатам испытаний, проведенных в Тестовом центре eWeek Labs, отрицательное влияние применения WEP на производительность не слишком велико. Мы обнаружили, что снижение скорости передачи данных составляет не более 1 Мбит/с при шифровании с ключом длиной 40 бит и от 1 до 2 Мбит/с при использовании 128-битового ключа - весьма умеренная плата за защиту передаваемой через эфир информации.
У администратора есть и еще одна возможность для управления доступом по беспроводной ЛВС стандарта 802.11b - с помощью MAC (media access control)-адресов. Ограничив круг пользователей, имеющих доступ в сеть, списком обладателей определенных MAC-адресов, администратор может в значительной мере управлять предоставлением доступа в беспроводную ЛВС.
В дополнение к этим механизмам защиты, работающим на втором уровне, беспроводные ЛВС стандарта 802.11b поддерживают все те же средства обеспечения безопасности и шифрования, что и другие сети, основанные на стандартах семейства 802 (такие, как пароли доступа сетевых ОС, протокол IP Security или средства шифрования на уровне приложений). Эти высокоуровневые технологии могут использоваться для построения сквозных схем обеспечения безопасности, охватывающих не только беспроводные, но и проводные сегменты сети, причем в беспроводной части сети безопасность дополнительно укрепляется применением уникальной технологии WEP.
Однако для защиты данных, передаваемых по беспроводной ЛВС, одного шифрования недостаточно. Как только пакет попадает в проводную сеть, вся дальнейшая безопасность оказывается полностью на совести ее администратора.
Bluetooth
Bluetooth - это протокол построения беспроводных сетей, рассчитанный на небольшие расстояния и малую мощность радиосигнала. Основанное на нем оборудование сравнительно дешево и позволяет соединять отдельные устройства в беспроводную персональную вычислительную сеть (wireless PAN, WPAN).
Важное преимущество Bluetooth-сетей - расширенный спектр подключаемых устройств, но при их развертывании в организациях необходимо позаботиться о безопасности, а это совсем не простая задача, учитывая, что данная технология еще очень молода и быстро развивается.
Отчасти сложность задачи обеспечения безопасности в Bluetooth-сетях обуславливается разнообразием их приложений - от замены кабельной сети и синхронизации карманного ПК с настольным до “одноразовых” сетей и систем общего пользования, когда доступ к тем же самым данным и сервисам должен регулироваться строжайшим образом.
Модель обеспечения безопасности, встроенная в спецификацию Bluetooth, предусматривает механизмы аутентификации (подтверждения идентификатора устройства), авторизации (определения ресурсов, доступ к которым может быть предоставлен данному устройству) и шифрования (чтобы воспрепятствовать перехвату).
Вопрос доверия
Спецификация Bluetooth позволяет пользователю управлять отношениями с удаленными устройствами через сервис менеджера безопасности, входящий в стек ПО Bluetooth, которым оснащаются все Bluetooth-устройства.
Этот сервис использует БД ранее аутентифицированных устройств, которым пользователь может присваивать статус “доверенных” (“trusted”). Он используется обычно для устройств, находящихся в постоянной связи с данным и имеющих доступ ко всем его сервисам. Устройства, не удостоенные звания “доверенных” (“untrusted”) либо не находятся в постоянной связи, либо ограничены в правах доступа.
Можно также ввести определенную градацию уровней “доверия”, присваивая статус trusted/untrusted отдельно по каждому виду обслуживания или группе сервисов. Таким образом, нет необходимости выбирать между предоставлением внешнему клиенту доступа ко всем сервисам данного устройства и полным отказом в доступе.
Менеджер безопасности Bluetooth позволяет дифференцировать по требованиям безопасности и сами сетевые ресурсы. Например, можно установить, чтобы такие сервисы, как передача файла или подключение к сети по телефонной линии, требовали и авторизации, и аутентификации, только аутентификации или чтобы они относились к низшей категории безопасности, когда услуги доступны любым внешним устройствам.
Доступ к сервису, зарегистрированному как требующий авторизации и аутентификации, автоматически предоставляется только устройствам, зарегистрированным в БД сервиса менеджера безопасности как “доверенные”. В прочих случаях авторизация должна проводиться вручную.
Встроенные средства обеспечения безопасности Bluetooth предназначены для аутентификации устройств, а не пользователей. Поэтому приложения, рассчитанные на работу в Bluetooth-сетях, должны полагаться на собственные дополнительные механизмы - такие, как аутентификация пользователя по паролю или смарт-карте. Это приобретает особую важность ввиду компактности и мобильности Bluetooth-устройств, которые легко могут быть потеряны или украдены.
Преимущества территориально-распределенных сетей
Беспроводные территориально-распределенные сети (wireless WAN, WWAN), позволяющие мобильным пользователям работать с корпоративными данными из приложений, исполняющихся на карманных беспроводных устройствах, сулят развертывающим их компаниям значительные выгоды. В то же время в беспроводных территориально-распределенных сетях существуют свои особые угрозы безопасности.
Портативность клиентских беспроводных карманных компьютеров, используемых для доступа в такие сети, значительно повышает риск их утери или похищения в сравнении с традиционными клиентскими машинами. Кроме того, малые габариты этих устройств налагают ограничения на ресурсы ЦП и ОЗУ, которые могут быть выделены на цели обеспечения безопасности и шифрования.
Использование доступа к корпоративным данным с мобильных устройств по протоколу WAP (Wireless Application Protocol - протокол беспроводных приложений) создает слабое звено в системе обеспечения безопасности, поскольку зашифрованные пакеты, уже вышедшие за брандмауэр корпоративной сети, должны расшифровываться и снова зашифровываться (на этот раз с применением технологии Wireless Transport Layer Security) в шлюзе беспроводной сети, обычно принадлежащем внешнему оператору. Один из путей обхода этой неприятности - поддержание компанией собственного шлюза беспроводных приложений. Поместив его за брандмауэр, можно добиться лучшей защищенности конфиденциальных данных.
Устройства Palm VII используют для доступа в Интернет через службу Palm.Net технологию криптозащиты ECC (Elliptic Curve Cryptography) корпорации Certicom. Она отличается высокой степенью надежности при сравнительно небольшой длине ключа - шифрование на основе этого алгоритма с использованием 163-битного ключа эквивалентно по устойчивости к взлому криптозащите по методу RSA с ключом длиной 1024 бита. Высокая эффективность этой технологии позволяет обмениваться более короткими сообщениями и обходиться меньшим объемом вычислительных ресурсов клиентских устройств.
Серверы Palm, предоставляющие оптимизированное информационное наполнение для устройств Palm VII, оснащаются средствами защиты на основе протокола SSL (Secure Sockets Layer - уровень защиты гнезд). Таким образом, между любым удаленным сервером, поддерживающим SSL, и устройством Palm может быть установлен канал связи с беспроводным участком, постоянно защищенный от начала и до конца.
Устройства BlackBerry фирмы Research in Motion используются для обмена данными, в первую очередь электронными почтовыми отправлениями, с корпоративными ЛВС. Для защиты информации в них применяется алгоритм шифрования Triple Data Encryption Standard. Данные шифруются за брандмауэром корпоративной сети и не дешифруются ни в какой точке маршрута их передачи по сети оператора связи.
С техническим аналитиком Джейсоном Бруксом можно связаться по адресу: jason_brooks@ziffdavis.com, а с директором по работе с корпоративными партнерами Хербом Бетони - по адресу: herb_bethoney@ziffdavis.com.
