оригинал: http://etutorials.org/Networking/Wireless+lan+security/
Глава 1. Введение
В этой главе приведен общий обзор беспроводных сетей с точки зрения сущностей, терминологии, стандартов и, естественно, безопасности. Далее в книге эти аспекты будут рассмотрены более глубоко. Цель этой главы - предоставление вводной информации, касающейся беспроводных локальных сетей. Также в неё входит раздел, представляющий собой предварительный обзор остальной части книги.
WLAN: Перспективы.
В определенном смысле беспроводные локальные сети - не что иное, как радиоволны разной частоты с разными характеристиками, используемые в качестве среды передачи данных. Концепция WLAN коренным образом отличается от привычного сетевого взаимодействия, представляющего собой проводные соединения через разъемы в аппаратуре. Отсутствие проводов позволило обеспечить повсеместную связь и преобладание объединенных сетевых моделей. Несмотря на популярность технологии, с точки зрения индустрии беспроводные локальные сети популярны недостаточно.
Со временем эта технология будет применяться для решения повседневных задач, от домашних сетей до интернета в общественных местах, а также в офисах. Беспроводные сети буду преобладать, а проводные - использоваться в крайних случаях.
Беспроводная технология выходит за рамки обычных сетей передачи данных и позволяет оказывать услуги сотовой связи, IP-телефонии и др. Беспроводные сервисы работают повсеместно, в т.ч. в автомобилях. Недавно появились новости о предложении Федеральной Комиссии по Связи разрешить задействовать неиспользуемую полосу между телеканалами 2 и 51 для нелицензионных беспроводных устройств. Эта инициатива имеет большое значение: телевизионные сигналы работают на низких частотах, что дает бОльшую зону покрытия и лучшее проникновение через стены и другие препятствия, а также более сильный сигнал. Другим аспектом является способность телевизионной инфраструктуры предлагать интерактивные услуги на основе сетей WLAN, работающих в этом спектре.
Однако, беспроводная технология подразумевает ряд проблем: безопасность, ограниченный охват, изменчивость силы сигнала,отсутствие эффективных механизмов передачи/роуминга между точками доступа. Также WLAN добавляет накладные расходы в виде служебных сообщений для обнаружения точек доступа, управления и тд.
Корпоративные беспроводные сети должные учитывать различные аспекты: мобильность, безопасность, управление сетью, управление частотами (RF), интеграцию в существующую инфраструктуру.
Безопасность - ключевой аспект в сетях WLAN и тема этой книги. Особенную проблему составляют авторизация, контроль доступа и конфиденциальность. WLAN работает в другой парадигме, нежели проводные сети, и перед проектировщиками, архитекторами и сетевыми администраторами стоит задача создать аналогичные условия в плане безопасности.
Дизайн WLAN развивается от распределенного/децентрализованного развертывания точек доступа и клиентов к централизованному с интеграцией в существующую инфраструктуру. Иллюстрацией этой тенденции служат, например, продукты CISCO:
1. CISCO Structured Wireless Aware Network (SWAN) распространяет "осведомленность о беспроводных сетях" на проводную инфраструктуру. Платформа предназначена для развертывания беспроводных сетей разного масштаба: от малых предприятий до корпораций, университетов и общественных сетей, - и предлагает возможность интеграции и расширения проводных и беспроводных сетей. Степень интеграции WLAN и LAN может быть высокой, либо WLAN можно наложить на существующую проводную инфраструктуру. SWAN рассматривается в 9 главе более подробно.
2. Модуль Cisco Wireless LAN Services Module (WLSM) для серии Catalyst 6500 обеспечивает быстрый, безопасный беспроводной роуминг третьего уровня для университетов и упрощает развертывание беспроводной сети. Также WLSM позволяет расширить возможности Catalyst 6500 за счет следующих факторов:
- Он расширяет возможности супервизора серии свитчей 2 и 3 уровней Catalyst 6500 - непрерывную переадресацию, переключение с отслеживанием состояний - на беспроводной трафик.
- Обеспечивает полный спектр ACL для анализа трафика и ограничения скорости на основе заголовков пакетов протоколов уровня 2-4 для беспроводного трафика.
- Сохраняет качество обслуживания и применение общих политик беспроводного трафика для каждой мобильной группы.
- Аппаратные механизмы защиты от отказа в обслуживании, такие как ограничители скорости в плоскости контроля и Unicast Reverse Path Forwarding (uRPF).
- Совместимость с модулями обнаружения вторжений, сетевого анализа, IPSec VPN и сервисными модулями сетевого экрана.
3. Инициатива Cisco Compatible Extensions (CCX) для WLAN обеспечивает возможность достижения функциональной совместимости при одновременном развитии различных стандартов и спецификаций для обеспечения безопасности, производительности и богатого функционала. Нельзя допускать отклонение от стандартов и фрагментацию при быстром прогрессе.
В целом, первостепенное значение при развертывании беспроводных сетей имеет безопасность, механизмы которой и рассматриваются в книге.
Компоненты и терминология wlan.
Традиционными составляющими WLAN являются точки доступа (AP), сетевые адаптеры (NICs) или клиенты, мосты, повторители и антенны. Кроме того, в корпоративной сети присутствуют серверы авторизации (AAA) (а именно RADIUS - Remote Address Dial-in User Service), система управления сетью (NMS), а также коммутаторы и маршрутизаторы с беспроводными адаптерами.
▪ Точка доступа (AP - Access Point) работает внутри определенного частотного диапазона и использует методы модуляции, предусмотренные стандартом 802.11. Она информирует беспроводных клиентов о своей доступности, проводит их авторизацию и предоставляет связь с беспроводной сетью. Также точка доступа координирует использование проводного соединения беспроводными клиентами. Существует несколько типов AP, которые могут работать в одном или нескольких диапазонах, согласно стандарту.
▪ Сетевой адаптер (NIC - Network Interface Controller). ПК или рабочая станция используют беспроводные сетевые карты (клиентские адаптеры) для подключения к беспроводной сети. Сетевые карты сканируют доступный диапазон частот на возможность подключения и связываются с точкой доступа или другим беспроводным клиентом. Операционная система клиентской машины взаимодействует с сетевой картой посредством драйвера.
▪ Мост. Мосты служат для соединения нескольких сегментов локальной сети ( как проводной, так и беспроводной) на уровне MAC (Media Access Control). Беспроводные мосты имеют большую зону покрытия, чем AP, и служат для соединения между зданиями. Стандарт 802.11 определяет максимальную зону покрытия точки доступа одной милей. Мосты можно применять в разных вариантах, предусмотренных стандартом. Мосты не определяются в стандартах 802.11, то есть не работают по открытым стандартам. Поэтому мосты должны быть того же вендора, что и остальная инфраструктура беспроводной сети.
▪ Мост рабочей группы (WGB - Workgroup Bridge) - это мост меньшего масштаба, который может поддерживать ограниченное число проводных клиентов.
▪ Антенна излучает модулированный сигнал по воздуху, чтобы беспроводные клиенты могли его получить. Характеристики антенны определяются схемой распространения (остронаправленные, ненаправленные), коэффициентом усиления, мощностью передачи и т.д. Антенны должны присутствовать на AP, мостах и клиентах. Они не обязательно должны быть на виду: в ноутбуках, например, их обычно скрывают по бокам монитора.
▪ Сервер авторизации, аутентификации и сбора учётных данных (AAA - Authentication, Authorization, Accounting). Протоколы AAA необходимы для обеспечения безопасности беспроводного соединения. Сервер используется в корпоративных сетях для авторизации как пользователей, так и администраторов. Он может использоваться для реализации политики авторизации, например Virtual Lan (VLAN) и SSID клиентов; для предоставления различных уровней доступа администраторам и для генерации ключей динамического шифрования для пользователей WLAN.
▪ Система управления сетью (Network Management System) нужна для того, чтобы упростить развертывание больших сетей и управление ими. Система должна поддерживать программное/микропрограммное управление; настройки конфигураций; анализ тенденций производительности с отчетами, а также отчеты о клиентах беспроводной сети. В корпоративных сетях кроме этого требуется управление радиоспектром и обнаружение фальшивых точек доступа. NMS должна поддерживаться другими системными мониторами для логирования и т.п.
▪ Беспроводные коммутаторы и роутеры нужны для масштабирования и управления беспроводными сетями; интеграции различных элементов WLAN - точек доступа, мостов, клиентов - и элементов проводной сети (коммутаторов и роутеров). Роуминг, управление сетью, обеспечение безопасности и другие задачи можно осуществлять с использованием проводной инфраструктуры.
Описанные компоненты сети объединяются для создания сквозного подключения с обеспечением мобильности на предприятиях.
Примечание: в мире беспроводных сетей существует путаница, так как домен WLAN регулируется не одним стандартом, и в разных спецификациях одна и та же сущность может называться по-разному.
Клиентская сетевая карта может также называться "STA" - station, "supplicant" или "peer". Точку доступа также называют "authenticator" или "network access server" - сервер доступа к сети, так как она служит интерфейсом между клиентом и сетью. Сервер авторизации также называют "authentication server", "RADIUS server" или сервер контроля доступа - ACS, "access control server".
Стандарты wlan.
В основе различных аспектов домена WLAN лежат публичные стандарты таких организаций, как IEEE, ETSI - European Telecommunications Standards Institute - и IETF - Internet Engineering Task Force. Основной стандарт - это IEEE 802.11, описывающий протоколы беспроводных сетей, кадры данных, различные уровни и диапазоны частот.
Стандарты IETF относятся к области протоколов и методов безопасности, а ETSI определяет частоты и другие вопросы регулирования радиосвязи. Глава 3 - «Стандарты WLAN» - подробно описывает различные стандарты.
Безопасность wlan
Основные принципы WLAN, которые делают технологию прорывной, также и усложняют обеспечение безопасности. ЛВС основаны на принципах проводной связи, особенно с точки зрения конфиденциальности и контроля доступа. Наличие проводов делает связь более безопасной, так как требует подключения к физическому разъему для установления соединения. Но в мире беспроводных сетей сигналы перемещаются по воздуху и открыты для всех. Кроме того, беспроводные сигналы выходят за физические границы предприятия. Это свойство беспроводных сигналов делает важным обеспечение строгой конфиденциальности, основанной на шифровании, и контроля доступа на основе механизмов аутентификации. В некотором смысле достижение этого баланса - основа безопасности беспроводной сети.
Концептуальная модель домена безопасности wlan.
Сначала рассмотрим домен безопасности WLAN с точки зрения концептуального моделирования. Эта модель определяет сущности, функциональные возможности и отношения между ними, а также механизмы - технологии и протоколы, посредством которых реализуются функциональные возможности.
В общих чертах система беспроводной связи состоит из следующих сущностей: пользователи, беспроводные адаптеры, точки доступа, корпоративная сеть и доступ к сети провайдера. У каждой сущности есть идентификатор. В таблице 1-1 представлены общие идентификаторы для каждого типа сущностей.
Таблица 1-1
Сущности Идентификатор
Основы Имя пользователя, имя домена в сертификате
клиентские сетевые карты MAC-Id, IP-адрес
Точки доступа SSID
Идентификаторы объектов нужно знать, потому что их часто подделывают, поэтому для удостоверения подлинности идентификатора необходима аутентификация. Разумеется, у объектов есть учетные данные для аутентификации и авторизации, и обмен этими данными происходит в рамках протоколов авторизации. Объекты обмениваются данными по каналам, которые должны быть защищены от различных типов атак - пассивных и активных. Конечной целью обмена является безопасная аутентификация объектов с использованием систем аутентификации. Корпоративные системы AAA хранят различные элементы, требуемые для авторизации: ключи, имена пользователей, хэши паролей, политики и т.д. Протоколы аутентификации предоставляют механизмы обмена учетными данными и хендшейкинга.
После успешной аутентификации в соответствии с действующими политиками клиент получает права доступа - авторизуется. Авторизация может принимать различные формы:
На предприятиях клиент может получить полные сетевые привилегии или доступ к ограниченным зонам сети (например, доступ в интернет для гостей и посетителей).
В публичных беспроводных сетях могут находиться платежные шлюзы, проверки учетной записи с помощью WSP и т.д. При этом доступ предоставляется в зависимости от уровня сервиса.
Также авторизация включает в себя истечение срока действия соединения и другие подобные функции.
Во многих случаях, таких как конференции, авторизации может не быть в том смысле, что клиент получает доступ к сетевым ресурсам сразу после аутентификации. В таких случаях помните, что сеть - это просто соединение с интернетом и с сервером, на котором лежат материалы для конференции.
Другим аспектом безопасности является целостность и конфиденциальность каналов связи. Конфиденциальность достигается с помощью шифрования; для проверки целостности сообщения используют цифровые подписи с соответствующими механизмами начальной загрузки, обмена ключами и их генерации.
Навигация по книге, краткое описание глав.
Прежде всего в книге уделяется внимание безопасности беспроводных сетей, поэтому все главы содержат прямо или косвенно аспекты безопасности. По сути книга разделена на 2 части: главы с 1 по 8 посвящены основам и концепциям, а главы с 9 по 13 посвящены проектированию, рекомендациям, настройке и развертыванию.
Вы можете усомниться в пользе тщательного прочтения сухих стандартов и материалов, посвященных подробностям работы протоколов. Некоторые могут привычно пропускать главы, посвященные стандартам, так как последние непрозрачны и сложны для чтения. Надеемся, что у вас появится мотивация прочесть эти главы. Как отметил один из рецензентов, из-за быстрого развития понимание стандартов представляет собой новую технологию, улучшающую работу беспроводных сетей и управление ими. Во многих случаях, как, например, EAP-FAST, реализация безопасной инфраструктуры требует знания основ протоколов аутентификации, таких как EAP. Кроме того, беспроводные сети развиваются быстрыми темпами: с начала написания книги сменилось уже как минимум 2 поколения! Поэтому единственная защита от того, чтобы отстать - следить за базовыми технологиями.
Глава 2: "Базовые принципы работы протоколов безопасности" - содержит краткий справочный материал по криптографии, различным протоколам и методам обеспечения безопасности.
Глава 3: "Стандарты WLAN". Может показаться нудной, но является хорошим введением в разнообразие стандартов. Если вам понадобится больше информации о конкретном стандарте, можете обратиться непосредственно к стандарту. Знание основ главных стандартов IEEE и IETF необходимо для понимания методов усиления безопасности.
Глава 4: "Основы беспроводных сетей" описывает основы ещё более детально.
Глубокие знания об уязвимостях действующих реализаций протоколов уберегут вас от повторения ошибок. В этом смысле полезным будет понимание классической реализации WEP, описанной в главе 5 - "Основные методы аутентификации и обеспечения конфиденциальности WLAN". В главе 6 "Уязвимости беспроводных сетей" вы углубитесь в аспекты безопасности. Наконец, как упоминалось ранее, для реализации инфраструктуры безопасности вы должны понимать протоколы. Глава 7 "Протоколы аутентификации EAP для локальных беспроводных сетей" и глава 8 "Протоколы шифрования и обеспечения целостности данных в беспроводных сетях" дают это понимание.
Главы с 9 по 13 посвящены наиболее интересным аспектам: проектированию, настройке и развертыванию WLAN.
Глава 9 "SWAN - комплексное решение для обеспечения безопасности" освещает систему Cisco Structured Wireless Aware Network (SWAN), которая обеспечивает масштабируемость, управляемость, надежность и простоту развертывания для малых, средних и крупных предприятий, а также в вертикальных коммуникациях.
Глава 10 "Руководство по проектированию безопасных сетей WLAN" и глава 11 "Рекомендации по безопасности при проектировании и эксплуатации локальных беспроводных сетей" предоставляют прекрасную возможность перейти от технических основ к проектированию и передовым методам эксплуатации. Глава 12 "Рекомендации и примеры конфигурации безопасных WLAN" посвящена настройке продуктов Cisco, которые могут пригодиться при работе с продуктами Aironet. Глава 13 "Примеры развертывания беспроводных сетей" предоставляет исчерпывающие знания о шаблонах развертывания, которые можно применить к реальным ситуациям.
Эта книга задумана и написана так, что её нужно читать последовательно, начиная с 1 главы до конца. Различные концепции вводятся и обсуждаются с минимальными требованиями к предварительным знаниям. Кроме того, темы развиваются постепенно, так что вы не столкнетесь с новой технологией без предварительного ознакомления.
Резюме
В этой короткой главе была представлена концепция беспроводных сетей и терминология, необходимая для понимания на протяжении всей книги. Также дана базовая модель безопасности беспроводных сетей и описано содержание последующих глав.
