Защита воздуха

Антон Карпов

Спецвыпуск: Хакер, номер #059, стр. 059-028-4

allocated: 848 hard: 0 soft: 0

sadb_seq=2 pid=5878 refcnt=1

Кроме того, запущенный tcpdump должен показывать исключительно наличие ESP-пакетов. Теперь весь трафик защищен.

Разумеется, данный способ построения IPSec довольно примитивен. Если клиентов много, возникнут задачи дублирования политик, к тому же трудно дергать админа каждый раз, когда новый легитимный клиент подключается к сети. В этом случае, по-моему, удобно использовать цифровой X.509-сертификат клиента в качестве авторизационного документа. Останется лишь выдать новому клиенту сертификат по запросу. Подробную статью с построением беспроводного шлюза с использованием OpenBSD и isakmpd на X.509-сертификатах написал Andrushock в одном из недавних номеров "Хакера".

IPSec - надежное, проверенное годами решение. С главной задачей, защитой трафика, он справляется на ура. Есть ли у него минусы? При всех плюсах - да, есть. Например, использование ipsec авторизует клиента в сети (но не на AP!), однако никоим образом не авторизует точку доступа для клиента, то есть не решает проблему подложного AP IPSec, но делает ее в известной мере бессмысленной: через AP злоумышленника все равно будут проходить зашифрованные пакеты либо не будут проходить вообще, в зависимости от того, потеряется ли виртуальный канал "клиент-шлюз".

802.11i и WPA

Новый стандарт (хотя разве можно назвать новым стандарт, принятый еще в 2004 году?) определяет не только меры по защите трафика в беспроводных сетях. Эта задача целиком отдается протоколу WPA, который, из-за полной несостоятельности WEP, пришлось даже выпустить раньше, отдельно от 802.11i. WPA предполагает использование протоколов авторизации семейства 802.1x, EAP, TKIP и RADIUS. TKIP здесь как бы приходит на смену WEP, выполняя задачи по защите трафика, а EAP и RADIUS осуществляют авторизацию клиента в сети. Важно, что в стандарте 802.11i вместо TKIP используется алгоритм шифрования AES, но выпущенная отдельно версия WPA изначально предусматривала использование TKIP, так как для AES требовалось более мощное оборудование.

Если описывать коротко, совместная работа всех протоколов выглядит следующим образом: клиент авторизуется в RADIUS и затем, совместно с точкой доступа, генерирует сессионный ключ для шифрования трафика. Заметно, что разработчики стандарта серьезно подошли к вопросу обеспечения безопасности в корпоративных сетях. Но как быть SOHO-классу? Для пользователей домашних или малых офисных сетей разработан вариант WPA-PSK (Pre-Shared Key), при котором ключ не генерируется, а вводится пользователем, и необходимость использования сервера авторизации отпадает.

Эпилог

Как любил говорить профессор Преображенский, "Разруха - в головах, а не в клозетах". Сколько бы стандартов ни разрабатывали, какие бы протоколы ни придумывали, всегда найдутся люди, которым слово "безопасность" ни о чем не говорит. WPA? RADIUS? Вы о чем? 30% точек доступа во всем мире работают с заводскими настройками по умолчанию!

www.drizzle.com/~aboba/IEEE - много информации по протоколам, применяемым в Wi-Fi-сетях.