Сергей Гордейчик,
преподаватель УЦ "Информзащита", MCSE, MCT, CISSP
gordey@itsecurity.ru

Беспроводные сети активно входят в повседневную жизнь, и на сегодня они прочно заняли свое место в сетевой инфраструктуре предприятий и организаций. Снижение цен на точки доступа и сетевые карты, обеспечение приемлемой для большинства бизнес-приложений пропускной способности делают беспроводные сети хорошим дополнением к имеющейся кабельной сети. В некоторых компаниях с динамичной или несложной сетевой инфраструктурой (например, в секторе SOHO) беспроводные сети вообще вытеснили классический Ethernet.

В зависимости от радиуса действия беспроводные сети делят на три категории: глобальные беспроводные сети (WWAN), локальные беспроводные сети (WLAN) и беспроводные сети персонального пользования (WPAN).

К категории WWAN относятся технологии, используемые в сетях сотовой связи (GSM, GPRS и т. д.) и характеризующиеся большим радиусом действия, а также развивающийся стандарт IEEE 802.16. Сети WLAN (Wireless Local Area Network) используются для обслуживания небольших территорий и имеют средний радиус охвата (около 500 м). WLAN - это в основном сети, построенные на базе семейства стандартов 802.11. К персональным сетям WPAN относят различные системы коммуникации сотовых телефонов, переносных компьютеров бытовых приборов, имеющих малый радиус действия (до 30 м), такие, как Bluetooth.

В данной статье мы рассмотрим основные вопросы, связанные с развертыванием локальных беспроводных сетей.

Стандарты группы 802.11

Семейство стандартов IEEE 802.11 описывает физический и канальный уровни модели OSI беспроводного варианта Ethernet. Оборудование, поддерживающее "классический" вариант 802.11, уже довольно давно снято с продажи, и на настоящий момент получили распространение три основных варианта данного стандарта - 802.11a, 802.11b и 802.11g, различающиеся по используемому частотному диапазону, методам модуляции сигнала и, как следствие, - пропускной способности (см. таблицу).

Основные характеристики стандартов семейства IEEE 802.11

  802.11 802.11b 802.11g 802.11a
Диапазон частот, ГГц 2.4-2.4835 2.4-2.4835 2.4-2.4835 5.15-5.25
5.25-5.35
5.725-5.825
Технология физического уровня DSSS
FHSS
IR
DSSS РВСС
ССК/OFDM
OFDM
Полоса частот, МГц 83 83 83 300
Скорость, Мбит/с 1; 2 1; 2; 5,5; 11 54 (OFDM)
33 (РВСС)
54
Дальность, м 100 100 100 50

IEEE 802.11b. На физическом уровне определяет только один метод передачи - DSSS. Согласно этому методу, вся используемая полоса частот (в районе 2,4 ГГц) делится на 11 подканалов. Каждый передаваемый бит превращается в избыточную последовательность из 11 разрядов. Максимальная скорость передачи данных, поддерживаемая в 802.11b, - 11 Мбит/с. В стандарте определено 14 смежных диапазонов частот (каналов), которые могут использоваться для одновременной работы нескольких расположенных рядом передатчиков.

IEEE 802.11a. На физическом уровне этим стандартом регламентируется метод передачи OFDM (Orthogonal Frequency Division Multiplexing - уплотнение с ортогональным разделением частот). Принцип его работы - деление одного высокоскоростного канала на несколько более медленных подканалов, по которым затем идет передача данных. OFDM обеспечивает более высокую скорость передачи по сравнению с IEEE 802.11b; кроме того, используется диапазон частот в области 5 ГГц, что делает стандарты IEEE 802.11a и 802.11b несовместимыми.

При переходе к диапазону в области 5 ГГц с сохранением уровня мощности дальность действия уменьшается. Для ее сохранения необходимо увеличивать мощность. Кроме того, во многих странах диапазон частот 5 ГГц относится к лицензируемым, что усложняет его использование. Эти факторы оказывают сдерживающее влияние на развития технологии 802.11a.

IEEE 802.11g. Стандарт обеспечивает скорость передачи 54 Мбит/с и использует частотный диапазон в районе 2,4 ГГц, что делает его совместимым со стандартом 802.11b. В качестве технологий физического уровня стандарт 802.11g использует OFDM (что и обеспечивает скорость 54 Мбит/с) и ССК (что обеспечивает совместимость с 802.11b). Кроме того, стандарт содержит дополнительную технологию физического уровня - РВСС.

Канальный уровень

На канальном уровне основное отличие WLAN от проводного Ethernet связано с используемым методом доступа к несущей. Определенный в 802.3 метод множественного доступа к среде передачи с обнаружением коллизий (CMSA/CD) ориентирован на обработку коллизий на передающей стороне. В беспроводной сети более актуальна проблема возникновения коллизий на приемной стороне.

Чтобы избежать интерференции на приемнике, машины перед обменом информацией обмениваются служебными фреймами Request to Send (RST)/Clear To Send (CTS). Эти фреймы получают все приемники в радиусе действия взаимодействующих компьютеров и на основании полученной информации определяют время, на которое будет занята несущая (Network Allocation Vector).

Кроме того, в стандарте 802.11 на канальном уровне определены такие возможности, как фрагментация, повторная передача фреймов и поддержка функций энергосбережения.

Государственное регулирование

Этот вопрос достаточно хорошо проработан, и лучшим комментарием здесь может стать цитата из документа "Порядок назначения радиочастот радиоэлектронным средствам, работающим в диапазоне 2400-2483.5 МГц", опубликованного по адресу http://www.grfc.ru/index.phtml?page=36&tbl=tb_92&id=61&vview=169.

В настоящее время в соответствии с решением ГКРЧ от 29.04.2002 (протокол No 18/3) "О порядке использования на территории Российской Федерации внутриофисных систем передачи данных в полосе частот 2400-2483.5 МГц" разрешается использование юридическими и физическими лицами полосы частот для организации на территории Российской Федерации внутриофисных систем беспроводной передачи данных на вторичной основе и при условии непредъявления претензий на возможные помехи от РЭС военного и гражданского назначения, а также от высокочастотных установок промышленного, научного, медицинского и бытового применения, использующих указанную полосу частот.

При этом следует учитывать, что для этих систем не требуется согласований с радиочастотными органами Министерства обороны РФ и другими министерствами и ведомствами России. Для получения разрешения на использование радиочастот для эксплуатации внутриофисных систем передачи данных заявитель направляет в адрес ФГУП "Главный радиочастотный центр" радиочастотную заявку по форме, указанной в приложении 1 решения ГКРЧ от 29.04.2002 (протокол No 18/3). При отсутствии замечаний по заявке ФГУП "Главный радиочастотный центр" готовит проекты разрешительных документов. Обычное время оформление заявки - месяц.

Аппаратная часть

Задача выбора оборудования для построения беспроводной сети отнюдь не тривиальна. Дело в том, что основная проблема здесь связана с поддержкой оборудования теми или иными производителями программных средств. Например, при построении беспроводной сети с использованием точек доступа Cisco Systems можно дополнительно воспользоваться функциями CiscoWorks Wireless LAN Solution Engine для мониторинга состояния беспроводной сети. Другие продукты, например, беспроводные системы обнаружения атак, также поддерживают ограниченный набор точек доступа или могут работать с оборудованием любого производителя с ограниченными функциями.

Если в сети используются сетевые карты и точки доступа одного производителя, очень часто можно воспользоваться специфичными для данного вендора расширениями стандартов, позволяющими увеличить скорость передачи.

Не слишком хорошо поддерживают производители оборудования и операционные системы, отличные от Windows. Порой довольно сложно заставить работать новую беспроводную карту в среде ОС Linux. В последнее время были разработаны продукты, например NdisWrapper, позволяющие применять драйверы для Windows на платформе Linux. Однако тогда система теряет ряд полезных функциональных возможностей, например, возможность работы в режиме мониторинга.

Немаловажный компонент беспроводного оборудования - антенны, с помощью которых можно либо увеличить, либо подогнать под топологию здания зону приема точки доступа.

Место размещения и число необходимых точек доступа очень сильно зависят от топологии помещений компании. Наилучшим решением здесь будет экспериментальная проверка уровня сигнала в реальных условиях. При обеспечении связи вне помещений не стоит забывать, что неблагоприятные погодные условия могут очень сильно ухудшать качество связи.

Безопасность

Очень часто при внедрении беспроводных сетей вопрос защиты коммуникаций становится приоритетным. Учитывая специфические особенности Wi-Fi, такие, как выход сети за границы физического периметра и общая для всех среда передачи, подобное отношение вполне обоснованно.

В ходе разработки в беспроводные сети были заложены возможности защиты от несанкционированного подключения и прослушивания. Первым из предложенных стандартов защиты был WEP (wired equivalent privacy), использующий криптографический алгоритм RC4 со статическим распределением ключей шифрования для аутентификации подключающихся клиентов и шифрования передаваемого трафика. Однако в 2001 г. были публично продемонстрированы уязвимости данного протокола, позволяющие атакующему восстановить ключ WEP после перехвата определенного количества зашифрованных данных. Атаки на WEP получили дальнейшее развитие, и в 2004 г. появились так называемые KoreK-атаки, позволяющие атакующему получить ключ после перехвата гораздо меньшего объема данных, чем в оригинальном варианте. Кроме того, управлять статическим распределением ключей в случае большого количества клиентов практически невозможно.

Поскольку WEP не обеспечивает адекватного уровня безопасности, для защиты беспроводных сетей довольно широко используются средства построения виртуальных частных сетей. В этом случае канальный уровень OSI признается небезопасным, а вся беспроводная сеть приравнивается к сети Интернет, доступ из которой в корпоративную сеть возможен только по каналу, защищенному средствами VPN.

На настоящий момент подсистема безопасности семейства стандартов 802.11 представлена двумя спецификациями - WPA и 802.11i. Первая из них, как и WEP, задействует для защиты трафика алгоритм RC4, но с динамической генерацией ключей шифрования. Устройства, поддерживающие 802.11i, в качестве алгоритма шифрования используют AES. И 802.11i, и WPA для аутентификации устройств могут применять как статически распределяемый ключ, так и технологию 802.1X.

Технология 802.1X служит для аутентификации клиента перед получением доступа к канальному уровню технологии Ethernet даже при наличии физического подключения. Для аутентификации используется протокол EAP и его варианты (PEAP, EAP-TTLS, LEAP). В качестве сервера аутентификации может выступать сервер, реализующий необходимые расширения протокола RADIUS.

Беспроводные сети можно условно разделить на домашние (SOHO), общедоступные и корпоративные. В каждом из этих случаев имеют смысл разные подходы к обеспечению безопасности сети, поскольку модели угроз различаются для каждого из типов сетей.

Для защиты корпоративных сетей наибольшей популярностью пользуются решения на основе технологии 802.1X или средств построения виртуальных частных сетей. И та, и другая технология позволяет задействовать уже имеющиеся в корпоративной сети компоненты, такие, как инфраструктура открытых ключей, серверы RADIUS, шлюзы VPN для защиты от перехвата трафика и несанкционированного подключения к беспроводной сети. Достоинство VPN - возможность задействовать существующее оборудование, программные продукты и опыт, накопленный при эксплуатации традиционных виртуальных частных сетей. Дополнительным плюсом внедрения 802.1X служит возможность дальнейшего переноса этой технологии и в локальную сеть, поскольку все больше и больше проводных коммутаторов поддерживают 802.1X.

Однако вопросы безопасности корпоративных беспроводных сетей не ограничиваются контролем подключения к точкам доступа и шифрованием трафика. Едва ли не большую проблему в корпоративном секторе представляют собой неконтролируемые беспроводные устройства, которые могут использоваться как канал утечки конфиденциальной информации. И эта проблема возникает, даже если в корпоративной сети нет беспроводных сетей и внедрение их не планируется.

Например, недавно в ходе проведения практических работ курса "Безопасность беспроводных сетей" слушатели обнаружили "несанкционированную" точку доступа еще до того, как преподаватель включил ее в сеть. Оказалось, что один из сотрудников компании решил "поэкспериментировать" со своей домашней точкой доступа на работе и подключил AP к сети предприятия. В результате слушатели обнаружили не учебный, а вполне реальный инцидент.

Для защиты домашних сетей, содержащих небольшое количество компьютеров, есть смысл использовать стандарт WPA с аутентификацией на общих ключах (WPA-PSK). При выборе достаточно длинного и сложного ключа WPA обеспечивает вполне серьезную защиту от несанкционированного подключения и перехвата трафика. Дополнительное достоинство этого стандарта - широкая его поддержка производителями ПО. Например, клиент на основе Windows Mobile довольно просто настроить на поддержку WPA-PSK, в то время как конфигурация другого распространенного механизма защиты беспроводных SOHO сетей - IPsec в туннельном режиме весьма нетривиальна.

Защита общедоступных сетей, например, публичных хотспотов в аэропортах, на настоящий момент проработана весьма слабо. Так, запустив сетевой анализатор рядом с любой общедоступной точкой доступа в Москве, злоумышленник получает доступ не только к паролям на доступ к Wi-Fi, но и ко всему трафику, который передает и получает пользователь. Еще одной серьезной проблемой становятся атаки Evil-Twins, когда злоумышленник конфигурирует точку доступа c тем же значением SSID, что и публичная сеть, после чего атакует ошибочно подключившиеся к нему компьютеры.

Неплохим решением в этом случае могли бы стать SSL-VPN, не требующие установки специального ПО на клиентской стороне, так называемые Web SSL VPN, например, Megaproxy (http://www.megaproxy.com). При их использовании весь трафик от клиентской машины до сервера провайдера зашифровывается с помощью SSL. Однако подобные решения распространены очень мало.

Перспективы беспроводных сетей

В настоящее время различные стадии утверждения проходят три беспроводные технологии - Wireless USB, 802.11n и 802.16e. Технология Wireless USB относится к категории персональных беспроводных сетей и представляет собой беспроводной аналог USB, обеспечивающий скорость передачи до 480 Мбит/с. Стандарт 802.11n представляет собой дальнейшее развитие 802.11, которое разрабатывается с целью увеличить реальную пропускную способность сети до 100 Мбит/с. Для сравнения: реальная пропускная способность 802.11a и 802.11g составляет около 25 Мбит/с. Стандарт 802.16e (WiMAX) разработан для организации глобальных беспроводных сетей и позволяет охватывать большую территорию, чем Wi-Fi (до 50 км), на скоростях до 75 Мбит/с.