Они хотят найти решение до того, как дурная слава о взломах защиты перевесит спрос на беспроводное Ethernet-оборудование, тщательно созданное и разрекламированное ими.

Новые стандарты, которые разрешат эту проблему, будут называться 802.11i.IEEE. Комитет стандартов 802.11 приступил к обсуждению проблемы за несколько месяцев до того, как она стала достоянием общественности. Комитет, названный Task Group i (TGi), занят работой над новой усовершенствованной спецификацией защиты, которая будет (как предполагается) лишена всех известных недостатков стандартов WEP-шифрования. Группа обещает, что новые инструменты защиты заработают автоматически и будут совместимы с более старым оборудованием, не использующим новые инструменты. У исследовательской группы есть Web-сайт на http://grouper.ieee.Org/groups/802/11/Reports, где можно найти информацию о встречах и прочесть некоторые технические документы.

Wi-Fi Alliance желает, чтобы его члены приступили к использованию продукта TGi как можно быстрее. Это может разрядить ситуацию до того, как она превратится в коммерческое бедствие. Как только инженеры сообщат о найденном решении, все производители точек доступа и сетевых адаптеров будут интегрировать новые методы защиты в свою продукцию, a Alliance добавит их к тестовому комплекту сертификации Wi-Fi. Обновленное программное обеспечение и прошивки обеспечат совместимость существующих продуктов 802.11b с новыми протоколами 802.11i.

Большинство точек доступа имеет функцию, разрешающую сетевому администратору ограничивать доступ к адаптерам клиентов из заданного списка. Если сетевое устройство, чей МАС-адрес не присутствует в списке авторизованных пользователей, пытается подключиться, точка доступа игнорирует запрос на ассоциирование с сетью. Такой способ может стать эффективным для предотвращения подключения посторонних к беспроводной сети, но это вынуждает сетевого администратора хранить полный список адаптеров пользователей и их МАС-адресов. Каждый раз, когда новый пользователь хочет подключиться к сети и когда легальный пользователь меняет адаптеры, кто-то должен добавлять в список еще один МАС-адрес. Это осуществимо в домашней или малой офисной сети, но может стать большой проблемой для крупной корпоративной или кампусной системы.

Каждая конфигурационная утилита точки доступа для списков доступа использует свой формат. Руководство и on line-документация, поставляемые с вашей точкой доступа, должны предоставлять подробные инструкции по созданию и использованию списка управления доступом. Стандарт 802.11b не определяет максимальный размер списка управления доступом для точки доступа, поэтому номера распределяются по всей карте. Некоторые точки доступа ограничивают список несколькими десятками параметров. Другие, например Proxim Harmony АР Controller, будут поддерживать вплоть до 10000 отдельных адресов. Остальные допускают неограниченное количество. Если вы планируете использовать список адресов для управления доступом в свою сеть, удостоверьтесь, что точка доступа будет работать с достаточно большим списком для поддержки всех пользователей с достаточным запасом на будущее. Непреложное правило — точка доступа должна допускать по крайней мере вдвое большее число МАС-адресов по сравнению с нынешним числом пользователей вашей сети.

МАС-аутентификация не может защитить от всех вторжений, так как смена МАС-адреса в большинстве сетевых карт является тривиальной: все, что нужно сделать недоброжелателю, — это достаточно долго отслеживать трафик вашей сети, чтобы найти действующего пользователя и скопировать его МАС-адрес.

Тем не менее это может стать весьма эффективным способом замедлить работу случайного шпиона.

Аутентификация: стандарт 802.1х

Из-за прорех в защите со спецификацией WEP-шифронания многие производители беспроводного сетевого оборудования и разработчики программного обеспечения уже адаптировали новый IEEE-стандарт — 802.1x — для добавления в свои сети другого уровня защиты. Стандарт 802.1х определяет структуру, которая может поддерживать несколько различных форм аутентификации, включая сертификаты, смарт-карты и однократные пароли, все из которых обеспечивают большую защиту, чем управление доступом, интегрированное в 802.11.

В беспроводных сетях 802.11 технология, названная устойчивой защитой сети — Robust Security Network, встраивается поверх структуры 802.1х для ограничения доступа в сеть авторизованными устройствами.

Большинство конечных пользователей должны знать две вещи о 802.1х: во-первых, она интегрирована в некоторое (но не все) аппаратное и программное обеспечение 802.11b, включая конфигурационную утилиту беспроводной сети, поставляемую с Windows ХР и многими современными точками доступа, поэтому может обеспечить еще один потенциальный уровень защиты; а во-вторых, она все еще обладает серьезными недостатками, которые опытный сетевой хакер может использовать для внедрения в беспроводную сеть. Малоприятные технические подробности, в виде анализа подготовленные двумя исследователями Университета Мериленда, доступны в режиме online на http://www.cs.umd.edu/~waa/1x.pdf.

Кажется, что появился ориентир, не так ли? Инженеры из заинтересованных компаний, производящих оборудование и программное обеспечение, объединяются вместе под флагом исследовательской группы

Что делать? Является ли безопасная беспроводная сеть недостижимым идеалом? Если вы посмотрите на беспроводную защиту как на игру в кошки-мышки, весьма очевидно, что мыши (шпионы и сетевые кракеры) остаются в выигрыше. Но этим мышам необходимы углубленные знания и оборудование для преодоления существующих инструментов кодирования и аутентификации.

Подумайте об этом как о парадной двери вашего дома: если вы оставите ее широко открытой, любой может войти и похитить ваши вещи, но если вы запрете дверь и закроете на щеколду окна, грабителю будет гораздо труднее проникнуть внутрь. Специалист может вскрыть замок, но на это потребуется много времени и усилий.

Если вы допускаете мысль о том, что WEP-шифрование и 802.1х не обеспечивают приемлемой защиты беспроводной сети, следующим логичным шагом будет поиск другого способа предотвращения доступа посторонних в вашу сеть. Вам нужен брандмауэр.

Брандмауэр является прокси-сервером, фильтрующим все данные, проходящие через него в сеть или из нее, в зависимости от набора правил, установленных сетевым администратором. Например, брандмауэр может отсеивать данные от неизвестного источника или файлы, связанные с определенным источником (вирусы). Или он может пропускать все данные, передающиеся из локальной сети в Интернет, но пропускать только конкретные их типы из Интернета. Наиболее общим использованием брандмауэра сети является шлюз в Интернет, как показано на рис. 14.5. Брандмауэр отслеживает все входящие и исходящие данные между локальной сетью на одной стороне и Интернетом на другой. Такой тип брандмауэра предназначен для защиты компьютеров в сети от неавторизованного доступа из Интернета.

Рис. 14.5

В беспроводной сети брандмауэр может быть также расположен на шлюзе между беспроводными точками доступа и проводной сетью. Такой брандмауэр изолирует беспроводную часть сети от проводной сети, поэтому недоброжелатели, подключившие свои компьютеры к сети без разрешения, не могут использовать беспроводное подключение для выхода в Интернет или проводную часть сети. На рис. 14.6 показано местоположение брандмауэра в беспроводной сети.