Максим Букин
mb@viem.ru

Беспроводные сети, как работающие по протоколам GPRS/EDGE, так и базирующиеся на Wi-Fi, - одна из составляющих современных офисов, особенно в мегаполисах. Несмотря на то, что работа по таким каналам на 15-20% дороже кабельных сетей, выгоды очевидны - быстрота развертывания, легкость обслуживания мобильных пользователей. Мировые тенденции последних двух лет подтверждают, что эффективность руководства и ведущих специалистов прямо пропорциональна их мобильности, поэтому ноутбуки в массовом порядке вытесняют настольные рабочие станции, а локальные сети организуются только по радиоканалу. Именно в этой связи остро встает вопрос безопасности подобных сетей.

Офисные опасности

Сети, построенные по технологии Wi-Fi, - офисные, "дальнобойность" базовой станции редко превышает 50-100 м, и в большом здании требуется несколько таких устройств, чтобы гарантированно охватить все рабочие помещения. Конечно, все возможные проблемы безопасности здесь давно изучены. Злоумышленники могут получить доступ к ресурсам и дискам пользователей Wi-Fi-сети, а через нее - и к ресурсам LAN, могут "прослушать" трафик и извлечь из него конфиденциальную информацию, исказить проходящую в сети информацию. Отдельным списком идут более агрессивные действия - воровство Интернет-трафика, атака на ПК пользователей и серверы сети (например, типа Denial of Service или даже глушение радиосвязи), а также рассылка спама, противоправная деятельность от имени чужой сети.

Однако в последнее время появились "умельцы", которые, кроме всего прочего, создают поддельные точки доступа - это удобно делать рядом с офисными зданиями и публичными или коммерческими точками доступа. Как поясняет директор по эфирным технологиям компании "Комстар ОТС" Владимир Морозюк, такие хот-споты называются evil twin и представляют собой беспроводные сети, создаваемые хакерами и замаскированные под легитимные узлы беспроводного доступа Wi-Fi. Злоумышленники перехватывают соединение клиента с легитимной сетью, посылая более мощный сигнал с расположенной поблизости базовой станции, и таким образом превращают фальшивый узел доступа в "дьявольского близнеца". Дальше все просто - похищение учетных данных и противоправные действия, выполняемые с помощью логинов и паролей самых обычных пользователей. По сути, достаточно неприятная реальность, бороться с которой тем не менее вполне возможно.

С точки зрения безопасности, конечно, проще работать с проводными сетями - там возможно хотя бы чисто физически выделить сегменты сети, которые можно считать "чистыми". С беспроводными сетями сложнее - атаку на них можно осуществить из любой зоны, которая "покрывается" той или иной базовой станцией Wi-Fi. Самая простая мера защиты - это четкая калибровка сигнала базовой станции. По сути, как уже отмечалось выше, Wi-Fi - это стандарт беспроводной связи для помещений, поэтому, если доступ к сети будет возможен только из охраняемых помещений, то шансы злоумышленников сильно снизятся. Второй момент - это установка специальных устройств, типа брандмауэров для контроля пересылаемого трафика и фильтрации неадекватных запросов из внешней сети во внутреннюю и наоборот. Третий элемент безопасности - установка специального защитного ПО на коммутаторах и маршрутизаторах беспроводных сетей, что позволит вести мониторинг Интернет-активности всех пользователей и выявлять аномальную активность в случае попытки взлома или вирусной атаки. Четвертый элемент - шифрование передаваемого трафика, авторизация пользователя не только по логину и паролю (обязательно через VPN-доступ), а дополнительно по IP и MAC-адресу сетевой карты.

Однако есть и организационные меры, которые позволяют снизить риск заражения. К примеру, можно создать и внедрить специальный административно-технический регламент, который определяет все действия системных администраторов и пользователей. Основное положение такого регламента состоит в том, что в корпоративной беспроводной сети могут и будут работать только единообразные компьютеры с одинаковыми ОС и защитным ПО, которые настраиваются администраторами. Это существенно снижает вероятность атаки, поскольку все уязвимые места ограниченного числа типов компьютеров хорошо известны. Для средней и большой локальной сети надо создавать систему автоматического мониторинга за активностью пользователей.

В качестве превентивной меры на некоторые хот-споты, расположенные в людных местах, можно поставить специальные устройства-сканеры (стоимостью 800-1200 долл.) - они будут "слушать" эфир на предмет противоправной активности и заодно играть роль "троянского коня". Дело в том, что сигнал у таких устройств можно сконфигурировать так, чтобы он был несколько сильнее, чем у обычного хот-спота, поэтому хакер скорее обратит внимание на сканер, чем на обычный хот-спот. Здесь-то ловушка и захлопнется. В дополнение к этому стоит отключить возможность администрирования хот-спотов по радиоканалу (оставить только администрирование по кабелю), а также отключить telnet. Дополнительно надо позаботиться о безопасности компьютеров - на каждом обязательно должна быть установлена проверенная ОС (к примеру, Windows 2000 или Windows XP SP2) с необходимым количеством патчей, антивирусный комплекс (обязательно регулярно обновлять антивирусные базы), а также программный экран, который будет защищать клиентский компьютер от проникновений извне.

Защита сот

Все больше информации передается ныне по сотовым каналам связи - если раньше скорость передачи по каналу GSM-связи была порядка 9600 бит/с, то сейчас практическая скорость работы по GPRS достигает 20-25 Кбит/с, а по EDGE - 40-50 Кбит/с. Учитывая развитость сотовой связи в России, именно эти протоколы передачи данных становятся основным связующим звеном между сотрудниками компаний, работающими в командировках, и головными офисами. В целом в сотовых сетях второго и последующих поколений проблема безопасности решена на очень неплохом для массового пользователя уровне (сообразно расходам на нее). Конечно, взломать можно все что угодно, но защиту тоже можно делать все более и более надежной. Однако не надо забывать, что достаточно большую часть случаев фрода (fraud) составляют внутренние инциденты (например, когда сотрудники оператора "снимают" абонентские данные, несмотря на всесторонние меры защиты, из-за того, что эти меры ориентированы на внешнего врага). Ведь безопасность сетей (каналов) связи складывается из многих компонентов (например, организационного - банальное разделение доступа к главным компьютерам), поэтому современные компании доверяют конфиденциальную информацию сотовым сетям только исходя из корпоративных процедур и соображений здравого смысла - расходы на обеспечение конфиденциальности должны соответствовать важности передаваемой информации.

Говоря о тенденциях на рынке сотовой связи, можно отметить рост популярности дистанционного подключения к ресурсам корпоративной сети через сеть GPRS у бизнес-пользователей. Очень популярна в промышленности передача телеметрической информации по GPRS, так как она не требует высокой пропускной способности. Можно ожидать, что новый импульс технологии даст повсеместное внедрение и развитие технологии EDGE, которая в три раза увеличивает скорость передачи данных по сравнению с GPRS. Если говорить о степени доверия компаний к передаче данных в беспроводных сетях, то зависимость здесь такая же, как и в целом по отрасли связи, в том числе проводной. Естественно, что передача конфиденциальных данных через собственную сеть радиодоступа компании, а затем через собственные выделенные каналы связи предпочтительнее с точки зрения безопасности, чем передача этих же данных поверх сетей связи общего пользования (например, через GPRS и далее по IP через Интернет). Тем не менее сегодня сети связи общего пользования и беспроводные технологии активно развиваются, и в них реализуются разнообразные варианты защиты передаваемой информации (технологии VPN, туннелирование, шифрование). Уже сегодня на рынке востребованы услуги, связанные с передачей конфиденциальной информации, - мобильного офиса, электронной коммерции, банкинга, доступа к корпоративным сетям, управления счетами и т. д., а в дальнейшем можно ожидать повышения спроса на подобные услуги.

Вообще проблемы безопасности беспроводных сетей, в том числе сетей подвижной связи с функциями пакетной передачи данных, можно функционально разделить на обеспечение безопасности пользователей (или терминального оборудования) и защиту сетевой инфраструктуры. При этом необходимо решить несколько основных задач. Первая и самая главная из них - это защита от несанкционированного доступа, она обеспечивается как организационными, так и техническими методами (всевозможные системы идентификации, авторизации и т. д.). Далее идет защита от перехвата и расшифровки передаваемых данных, здесь в дело вступают протоколы защиты информации и их криптостойкость. Третья проблема - это защита провайдера от различных видов фрода (махинации в сотовых сетях, незаконное получение информации), в том числе и с использованием уязвимых мест протоколов. И, наконец, идет защита оборудования от использования уязвимых мест протоколов.

Как отмечает Михаил Пахоруков, ведущий технический консультант Siemens Communications, механизмы безопасности, предусмотренные в самом стандарте GSM (а GPRS/EDGE - это лишь новые технологии в рамках данного стандарта), такие, как аутентификация и авторизация, алгоритмы шифрования данных на радиоинтерфейсе, достаточно надежно защищают от упомянутых выше проблем. Кроме того, вместе с GPRS/EDGE (и особенно в сетях третьего поколения) внедряются новые, более совершенные механизмы повышения безопасности. Не следует также забывать, что для снижения риска нарушения защиты необходимо корректно реализовать механизмы обеспечения безопасности не только на радиоинтерфейсе, но и в опорной и транспортной сетях передачи данных.

Все правила безопасности, которыми руководствуются при создании проводных сетей, используются и в GPRS/EDGE-сетях. В самих протоколах GPRS и EDGE изначально заложены механизмы безопасности, рассчитанные на высокую, но, естественно, ограниченную степень защищенности, так что для защиты собственно протоколов ничего не требуется. Абонент услуг GPRS/EDGE соответственно также защищен всеми механизмами GSM. Дополнительно, при подключении, например, абонента GPRS к корпоративной сети предприятия, могут использоваться механизмы безопасности, предоставляемые локальной сетью этого предприятия (IP, VPN). Поверх GPRS строится так называемый туннель, и данные передаются через сеть GPRS, защищенные, помимо GSM, еще и механизмами локальной корпоративной сети. Таким образом, с точки зрения безопасности каналов, в частности в сетях подвижной связи, можно утверждать, что безопасность обеспечивается механизмами, заложенными в используемый стандарт связи.

Отдельный вопрос - безопасность пользователя. Маловероятно, что безопасность пользовательского оборудования будет поставлена под угрозу с использованием уязвимых мест протоколов радиоинтерфейса. Гораздо вероятнее эксплуатация уязвимостей ПО терминального оборудования на уровне приложений, что особенно актуально в связи с активным ростом функциональности этого ПО в последнее время и значительным количеством производителей терминального оборудования. Таким образом, в первую очередь следует обращать внимание на используемые приложения и соответствие их уровня защищенности конфиденциальности передаваемых данных. Эта задача полностью аналогична задаче защиты информации в проводных сетях связи. GPRS/EDGE сами по себе - всего лишь технологии для транспортировки пользовательских данных в сетях подвижной связи стандарта GSM, хотя и предусматривающие достаточно высокую степень защищенности.

Вирусы на связи

Безопасность в сотовых сетях имеет еще один немаловажный аспект - это защита от специальных "мобильных" вирусов. Ведь одной из функций подобных программ вполне может быть несанкционированная передача данных "на сторону". Как отмечает Ольга Кобзарева, руководитель информационной службы "Лаборатории Касперского", сейчас распространены только два "червя" для мобильных устройств - это Cabir и ComWar. Число стран, в которых был обнаружен Cabir, приближается к 30, а ComWar - к 15. В основном это страны Юго-Восточной Азии и Ближнего Востока, однако есть и европейские державы; Cabir был также обнаружен в США.

Активно распространяются и несколько троянских программ для мобильных телефонов - в основном это модификации "троянца" Skulls (Skuller), и здесь в числе лидеров также страны Юго-Восточной Азии. Распространение, как правило, начинается с публикации зараженных файлов на одном из популярных Интернет-форумов, посвященных мобильным телефонам. Учитывая, что современные смартфоны сейчас используются как мини-компьютеры в деловой поездке и на отдыхе, в них вполне могут содержаться конфиденциальные данные - в основном текстовые файлы не очень большого размера, которые легко могут быть отправлены злоумышленнику по сотовой сети - причем так, что владелец практически ничего не заметит.

В настоящее время существуют три вида вредоносных программ для мобильных телефонов - "троянцы", bluetooth-черви и MMS-черви. Троянские программы самые опасные - они попадают к пользователю вместе с зараженными файлами, действуют в скрытном режиме и могут как перехватывать различные пароли, с последующей отправкой своему создателю, так и уничтожать файлы или разрушать ОС. Защитить пользователей от троянских программ и bluetooth-червей можно только при помощи персонального антивируса, установленного на телефоне. В случае с MMS-червями оправдан вариант применения антивирусного решения на стороне мобильного оператора для проверки MMS-трафика.

В настоящее время наиболее известным антивирусом для мобильных телефонов (на платформе Symbian) считается разработка программистов из финской компании F-Secure. Другие крупные антивирусные компании также имеют свои антивирусные решения для смартфонов. Кроме того, сейчас появилось несколько молодых компаний, специализирующихся именно на создании подобных антивирусов, - AirScanner, MPulze, SimWorks. Этот рынок пока не занят, и даже небольшие, но талантливые коллективы программистов пробуют свои силы в этой нише, защищая данные пользователей от преступных посягательств. Работает в этом направлении и отечественный разработчик - "Лаборатория Касперского": бета-версия его продукта была выпущена в середине августа 2005 г., в настоящее время в ней около 50 записей о мобильных вредоносных программах.

Совершенные методы защиты

Несмотря на то, что у обычных пользователей и администраторов сетей есть все необходимые средства для надежной защиты в сети Wi-Fi, существует острая проблема человеческого фактора. "Защита от дурака" совершенно не предусмотрена даже в самой совершенной системе, поэтому предлагаем несколько простых рекомендаций, как, с одной стороны, усовершенствовать свою систему, а с другой - проверить уже существующие настройки. Кстати, некоторые рекомендации подойдут и для сетей GPRS/EDGE, но там большая часть проблемы ложится на тренированные плечи специалистов оператора сотовой связи, поэтому вероятность проникновения значительно ниже.

1. Максимальный уровень безопасности обеспечит применение VPN - обязательно используйте эту технологию в корпоративных сетях.

2. Если точка доступа позволяет запрещать доступ к своим настройкам с помощью беспроводного подключения, то используйте эту возможность. Настраивайте AP только по проводам. Не используйте по радио протокол SNMP, Web-интерфейс и telnet - это опасно, так как "администратором" может стать и хакер.

3. Если точка доступа позволяет управлять доступом клиентов по MAC-адресам (Media Access Control, в настройках может называться Access List), используйте эту возможность. Хотя MAC-адрес и можно подменить, тем не менее это дополнительный барьер на пути злоумышленника, устраняющий примерно 90% псевдохакерских проникновений из хулиганских побуждений.

4. Располагайте антенны как можно дальше от окон, внешних стен здания, а также ограничивайте мощность радиоизлучения, чтобы снизить вероятность подключения "с улицы". Используйте направленные антенны, не используйте радиоканал по умолчанию.

5. Всегда используйте максимально длинные ключи. 128 бит в данном случае - это только минимум. Никогда не прописывайте в настройках простые или очевидные ключи и пароли - список хакерам давно известен.

6. Не давайте никому информации о том, каким образом и с какими паролями вы подключаетесь. Предельно очевидный пункт, но 99% всех проблем вызваны тем, что пользователь сам сообщает свой пароль окружающим.

7. Обязательно используйте сложный пароль для доступа к настройкам точки доступа. Если точка доступа не позволяет ограничивать доступ паролем, ее лучше заменить.

8. На всех ПК внутри беспроводной сети установите брандмауэры. Старайтесь не устанавливать точку доступа вне брандмауэра, используйте минимум протоколов внутри WLAN (например, только HTTP и SMTP). Все дело в том, что в корпоративных сетях межсетевой экран стоит обычно только на выходе в Интернет, взломщик же, получивший доступ через Wi-Fi, может попасть в LAN, минуя корпоративный брандмауэр.