Защита воздуха

Антон Карпов

Спецвыпуск: Хакер, номер #059, стр. 059-028-2

Старый добрый IPSec

Типичная схема подключения беспроводных клиентов в режиме Infrastructure (то есть с точкой доступа) выглядит следующим образом:

[client]- ))) ((( -[AP]----[gateway]----<wired network>

В такой схеме точка доступа играет роль моста между беспроводным и проводным сегментами сети (не путать с bridging mode!), а сама беспроводная сеть выделена в отдельный сегмент и роутится шлюзом в проводную LAN и/или интернет. Можно, конечно, подключить AP непосредственно к проводному сегменту сети, и тогда беспроводные клиенты будут в одной подсети с остальными. Но не рекомендую. Для использования IPSec необходимо настроить соответствующую политику на шлюзе, через который проходит трафик с AP. Если говорить в терминах IPSec, требуется указать правила ассоциации (Security Association), описывающие, что использовать (протокол AH или ESP), алгоритм шифрования (3DES, AES, и т.д.), тип ключа (IKE или прописать вручную) и политики ассоциации (Security Policy), описывающие, как это использовать (транспортный или туннельный режим; требовать использование ipsec или нет). Приведу конкретный пример, когда в качестве шлюза используется FreeBSD с включенной в ядро опцией IPSEC. Пусть для беспроводных клиентов выделена подсеть 192.168.1.1/24 и адрес шлюза - 192.168.1.1. Тогда для конкретного клиента 192.168.1.3 правила на шлюзе буду выглядеть следующим образом:

# flush previous SAD & SPD

flush;

spdflush;

# Security Association Database

# For ESP

add 192.168.1.1 192.168.1.3 esp 1011 -E 3des-cbc "secretpassphrase";

add 192.168.1.3 192.168.1.1 esp 1012 -E 3des-cbc "secretpassphrase";

# Security Policy Database

spdadd 192.168.1.3 0.0.0.0/0 any -P in ipsec esp/tunnel/192.168.1.3-192.168.1.1/require

spdadd 0.0.0.0/0 192.168.1.3 any -P out ipsec esp/tunnel/192.168.1.1-192.168.1.3/require

Это простейший случай, когда не используется никаких методов распределения ключа - парольная фраза вводится вручную. Стоит акцентировать внимание на выборе режима ipsec - туннельный. Этот режим используется для создания безопасного канала (secure hop) между клиентом и шлюзом, при нем шифруется весь IP-пакет, тогда как транспортный режим используется для создания защищенного канала "точка-точка", и в этом случае шифруется только тело IP-пакета.

Следует поместить указанный конфиг в файл /etc/ipsec.conf и перечитать настройки ipsec:

# setkey -f /etc/ipsec.conf

Если в качестве клиентской ОС используется также FreeBSD, то ее настройка будет точно такой же, только в SPD направления пакета - in и out - поменяются местами.

Если в качестве клиента используется Windows, настройка ipsec превратится в увлекательный процесс клацанья мышкой:

- Start-> Run. Набираем mmc и жмем <ENTER>.

- Console-> Add/Remove Snap In. Выбираем Add-> IP Security Policy Management и жмем Add, где выбираем Local Computer, затем Finish и Close.

- Выбираем IP Security Policies в Local Machine, нажимаем правую кнопку мыши и выбираем Create IP Security Policy.