Новый путь обеспечения безопасности с помощью Bio-NetGuard

Устройство Bio-NetGuard компании Shimon Systems призвано обеспечивать безопасность беспроводных сетей с помощью биометрической аутентификации. В недалеком будущем это станет элегантным и простым способом обезопасить процесс беспроводной передачи данных. Однако на сегодняшний день качество продукта и прилагаемой к нему документации оставляют желать лучшего, что не позволяет в полной мере использовать данную технологию.

В своей основе Bio-NetGuard имеет небольшое (размером примерно с бумажник) устройство RADIUS. Оно может применяться в малом бизнесе для поддержки протоколов шифрования WPA (Wi-Fi Protected Access) или WPA2 в сочетании с протоколом EAP-TLS (Extensible Authentication Protocol-Transport Layer Security). Но вместо сложных в использовании цифровых сертификатов или легко поддающихся взлому паролей в Bio-NetGuard для аутентификации клиентов беспроводных сетей применяются отпечатки пальцев.

Поскольку в Bio-NetGuard задействован протокол EAP-TLS, ожидается, что при входе в беспроводную сеть пользователь предъявит для аутентификации уникальный цифровой сертификат. Но вместо этого Bio-NetGuard в процессе установки прилагаемого ПО размещает на компьютере общий сертификат (его подлинность гарантируется удостоверяющим центром компании Shimon). А для идентификации применяются отпечатки пальцев (в настоящее время ПО существует только в версии для Microsoft Windows XP и Windows 2000). Для аутентификации пользователю предлагается выбрать вид поддерживаемого в сети шифрования, указать адаптер беспроводного доступа для связи и имя беспроводной сети. Затем клиент вводит свое имя и с помощью специального устройства оставляет отпечатки пальцев. Поскольку он может не знать правильных ответов на все предлагаемые вопросы, его профиль после первой удачной попытки подключения создается по умолчанию.

На отпечатках пальцев ПО выделяет миниатюрные участки (при создания учетной записи сотрудник должен предоставить отпечатки трех пальцев), которые преобразуются в шаблоны и передаются устройству Bio-NetGuard для проверки в процессе аутентификации по стандарту 802.1x. Шаблон сравнивается с тем, который был составлен при создании учетной записи абонента. Для повышения безопасности администраторы имеют возможность регулировать необходимую степень совпадения шаблонов в процентном соотношении. В целях безопасности отпечатки пальцев не сохраняются ни на клиентском компьютере, ни на рассматриваемом устройстве. Хранятся только данные, полученные с помощью шаблонов.

Цены на Bio-NetGuard начинаются от 495 долл. за лицензию на 10 пользователей. Одно устройство стоимостью 2995 долл. может хранить учетные записи до 250 человек.

КРАТКИЙ СПИСОК АНАЛОГОВ

• Steel-Belted RADIUS Appliance (Juniper Networks). Решение гораздо более высокого класса, появившееся в результате приобретения корпорацией Juniper фирмы Funk Software (www.juniper.net).
• SecureMyWiFi (WiTopia). Выпускается в редакциях Home и Business. Плата взимается за годовую подписку (www.witopia.net).
• FreeRADIUS. Сервер RADIUS с открытым исходным кодом. Относится к той же категории, что и Bio-NetGuard (www.freeradius.org).
• Internet Authentication Service (Microsoft). Служба, включенная в состав Windows Server 2000 и 2003. Для аутентификации используются учетные записи Active Directory (www.microsoft.com).

Bio-NetGuard не обладает некоторыми функциями, к которым привыкли компании, применяющие такие широко известные решения RADIUS, как ПО производства Juniper Networks или FreeRADIUS. Например, администраторам приходится обращаться к встроенной базе данных сотрудников, поскольку для проверки имеющихся у них полномочий подключение к LDAP или Active Directory не предусмотрено. Не удалось нам найти и простого способа импортировать в систему данные о пользователях ни через текстовый файл, ни каким-либо иным способом - таким образом, даже при наличии этих данных всю информацию придется вводить в систему заново.

Bio-NetGuard требует, чтобы для сбора данных применялось приложение, разработанное в Shimon. Поэтому администраторам следует убедиться, что они отключили любые другие приложения, выполняющие те же функции, которые поставляются вместе с операционной системой или со сканирующим оборудованием. К тому же упомянутое приложение Shimon может работать исключительно в сетях, защищенных с помощью Bio-NetGuard. Таким образом, тем компаниям, где сотрудникам разрешается использовать общедоступные точки доступа или домашние беспроводные сети, придется научить своих работников переключаться между различными приложениями, требующими ввода регистрационных данных. Это может их совершенно запутать - не все сотрудники могут обладать необходимыми для этого знаниями.

Во время работы с Bio-NetGuard могут регулярно возникать проблемы с совместимостью, связанные с нарушениями синхронизации потока транзакций по протоколу 802.1x. Например, мы получили значительно различающиеся результаты при использовании трех различных клиентских компьютеров: Dell Latitude D600 с адаптером Atheros Communications 802.11g и подключаемым через порт USB считывателем отпечатков пальцев Upek, а также двух ноутбуков Lenovo Group ThinkPad с интегрированными считывателями отпечатков пальцев - T60 с Wi-Fi-адаптером Centrino 3945 802.11 a/b/g и X60 Tablet с беспроводным адаптером Atheros, соответствующим предварительной версии стандарта 802.11n.

Основные проблемы были связаны с Centrino 3945 802.11 a/b/g. Часто этот адаптер не мог корректно установить или завершить сеанс связи с тестируемым устройством в процессе аутентификации. Представители компании Shimon сказали, что они закончили проверку на совместимость с более старыми моделями Centrino, но еще не добрались до Centrino 3945.

Незрелость продуктов Shimon давала о себе знать и в других случаях. Сначала мы тестировали опрашивающее пользователей приложение версии 2.0.2.0. Оно совершенно не желало работать ни на одном из ноутбуков Lenovo. Тогда мы обновили его до версии 2.0.3.0, которую сотрудники Shimon прислали нам по электронной почте.

Когда мы попытались заменить версию микропрограммы 2.0.0.5 SS на 2.0.0.7 SS, то поняли, что не можем доверять тем версиям ПО, которые выложены на веб-сайте Shimon. Новая микропрограмма пресекала любые попытки аутентификации со стороны наших пользователей (исключение составила лишь учетная запись администратора Bio-NetGuard). В журналах указывалось, что у всех учетных записей истек срок действия. И это несмотря на то, что мы задали срок действия в десять лет.

Сотрудники службы технической поддержки Shimon воспроизвели некоторые полученные нами результаты в своей лаборатории и сообщили, что они рекомендуют инженерам выкладывать новые (не окончательные) версии ПО на FTP-сайте компании. Но не готовые к широкому применению версии каким-то образом оказались и на веб-сайте. Такой недосмотр плохо характеризует функционирующие в молодой компании системы контроля качества продуктов.

Сначала мы проводили тестирование с использованием предназначенной для потребительского рынка и полностью настроенной производителем точки доступа - Linksys WRT54G. В настоящее время список поддерживаемых Shimon точек доступа довольно ограничен. Но поскольку применяемые механизмы должны основываться на стандартах Wi-Fi, мы протестировали Bio-NetGuard еще и с Wi-Fi-решениями корпоративного класса - Mobility Exchange и Mobility Points компании Trapeze Networks. Нас приятно удивило, насколько легко удалось интегрировать эти продукты. Ведь Mobility Exchange воспринимал Bio-NetGuard лишь как внешний сервер RADIUS.

Веб-сайт компании Shimon не содержит практически никакой полезной информации. Мало того, здесь размещены ненадежные новые версии ПО. В период подготовки нашего обзора на сайте еще и отсутствовала документация на английском языке. Все посвященные техническим деталям документы были доступны только на японском языке.