- •Для кого предназначен этот документ
- •Определение
- •Трудности
- •Функциональные преимущества
- •Выбор оптимального решения для обеспечения безопасности беспроводной сети
- •Отказ от развертывания беспроводной сети
- •Использование стандарта wpa с протоколом eap-tls
- •Использование стандарта wpa с протоколом peap-ms-chap v2
- •Использование стандарта wpa с протоколом peap-ms-chap v2 и службами сертификации
- •Использование технологии vpn
- •Использование протокола iPsec
- •Использование протокола wep
- •Разработка защищенного беспроводного сетевого решения
- •Алгоритм Microsoft для выбора подхода к защите беспроводной сети
- •Сертификаты
- •Создание заявления об использовании сертификатов
- •Иерархия центров сертификации
- •Проверка подлинности в Интернете
- •Имеющиеся radius-серверы
- •Перемещение при сбое radius-сервера и балансировка нагрузки
- •Централизованные или распределенные серверы службы проверки подлинности в Интернете
- •Оценка нагрузки на серверы и требований к аппаратным средствам
- •Проверка подлинности по стандарту wpa 802.11
- •Требования к клиентским системам
- •Чтобы установить службы iis, выполните следующие действия.
- •Подготовка службы Active Directory к использованию инфраструктуры открытого ключа
- •Предоставьте группе Enterprise pki Admins разрешения на создание и удаление групп в подразделении служб сертификации и его дочерних контейнерах.
- •Предоставление разрешений на восстановление группе Enterprise pki Admins
- •Чтобы предоставить разрешения на восстановление файлов и каталогов группе Enterprise pki Admins, выполните следующие действия.
- •Конфигурирование сервера корневого центра сертификации
- •Файл caPolicy.Inf
- •Чтобы создать файл caPolicy.Inf, выполните следующие действия.
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации в службе Active Directory, выполните следующие действия.
- •Публикация сертификата и списка отзыва сертификатов корневого центра сертификации на веб-сервере
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации на веб-сервере, выполните следующие действия.
- •Установка сертификата в выдающем центре сертификации
- •Чтобы автоматизировать публикацию списков отзыва сертификатов, выполните следующие действия.
- •Создание серверов службы проверки подлинности в Интернете
- •Настройка параметров защиты сервера
- •Установка и конфигурирование службы проверки подлинности в Интернете
- •Создание групп Active Directory, необходимых для доступа к беспроводной сети
- •Добавление пользователей и компьютеров в группы автоматической подачи заявок на сертификаты
- •Конфигурирование инфраструктуры доступа к беспроводной сети
- •Распространение конфигурации на несколько серверов службы проверки подлинности в Интернете
- •Развертывание сертификатов проверки подлинности в беспроводной сети
- •Чтобы включить автоматическую подачу заявок на сертификаты для всех пользователей и компьютеров в домене, выполните следующие действия.
- •Добавление компьютеров в группы безопасности для групповой политики беспроводной сети
- •Требования к клиентским системам wpa2
- •Аннотация
Использование протокола iPsec
Использовать протокол IPsec для защиты беспроводных сетей стали по той же причине, что и технологию VPN: для обхода недостатков стандарта WEP. Протокол IPsec обеспечивает надежную защиту многих специфических видов сетевого трафика и имеет ряд достоинств, оправдывающих его использование в беспроводной сети. В их число входят прозрачность, независимость от аппаратных ограничений беспроводных сетей и небольшие накладные расходы, связанные с отсутствием потребности в дополнительных серверах и программном обеспечении.
К сожалению, с использованием протокола IPsec для защиты беспроводных сетей связаны некоторые проблемы.
Протокол IPsec не позволяет защищать трафик при широковещательной или многоадресной передаче, потому что его действие может распространяться только на взаимодействие двух сторон, обменявшихся ключами и выполнивших взаимную проверку их подлинности.
Протокол IPsec защищает только сетевые пакеты, но не саму беспроводную сеть.
Несмотря на прозрачность протокола IPsec для пользователей, для сетевых устройств он прозрачен не полностью, потому что работает на сетевом уровне, а не на MAC-уровне. Это предъявляет дополнительные требования к правилам для брандмауэров.
Все устройства, не поддерживающие IPsec, уязвимы перед зондированием или атаками со стороны любых пользователей, способных осуществлять мониторинг трафика в беспроводной сети.
Если протокол IPsec используется в крупной системе не только для защиты трафика беспроводной сети, но и для комплексной защиты трафика других приложений, управлять политиками IPSec будет сложно.
Использование протокола wep
Самым простым методом обеспечения безопасности на основе стандарта 802.11 является применение статического протокола WEP, при котором управление доступом осуществляется с помощью общего ключа; этот же ключ используется еще и в качестве основы при шифровании трафика беспроводной сети. Главное преимущество этого метода — его простота. Если в сети не реализованы никакие другие средства обеспечения безопасности, он в какой-то степени защищает сеть, но при этом возникают серьезные проблемы управления и безопасности. При наличии ноутбука и простых средств, которые можно загрузить из Интернета, на определение открытого ключа и идентификатора SSID (если он распространяется не в широковещательных сообщениях) в беспроводной сети WEP требуется от нескольких минут до нескольких часов, после чего доступ к сети открыт.
Один из способов усовершенствования статического алгоритма WEP предполагает, что точки доступа нужно сконфигурировать так, чтобы они путем фильтрации MAC-адресов предоставляли доступ к сети только предварительно определенной группе клиентов. Однако этот защитный барьер также легко устраняется с помощью средств, позволяющих определять и подделывать MAC-адреса компьютеров, подключенных к беспроводной сети.
Дополнив протокол WEP другими технологиями обеспечения безопасности, можно в некоторой степени защитить сети, не поддерживающие WPA или WPA2, но даже эти методы рекомендуется использовать лишь на этапе перехода от незащищенной беспроводной сети к защищенной, основанной на стандарте WPA. Ниже перечислены эти методы в порядке убывания их защищенности.
Использование протокола WEP с проверкой подлинности 802.1X по протоколу EAP-TLS с сертификатами пользователей и компьютеров и принудительным периодическим выполнением проверки подлинности заново.
Использование протокола WEP с проверкой подлинности 802.1X по протоколу PEAP-MS-CHAP v2 с политиками, требующими применения надежных паролей пользователей, и принудительным периодическим выполнением проверки подлинности заново.
Отказ от защиты беспроводной сети
Развертывать незащищенные беспроводные сети в компаниях средних размеров настоятельно не рекомендуется. Лишь в некоторых редких ситуациях такое решение может быть оправданным. Например, мэрии многих городов рассматривают возможность организации свободных зон беспроводного доступа или уже организовали их. Возможно, в таких ситуациях иногда лучше использовать сеть незащищенных точек доступа, просто позволяющих непосредственно подключаться к Интернету. Как бы то ни было, следует помнить, что незащищенные беспроводные сети чрезвычайно уязвимы перед самыми разными атаками.
WPA или WPA2?
Протоколы Wi-Fi Protected Access (WPA) и Wi-Fi Protected Access 2 (WPA2) специально разработаны для блокирования угроз, которым подвергаются беспроводные сети, основанные на стандарте IEEE 802.11. Однако между ними есть некоторые различия. Протокол WPA был разработан в 2003 году для устранения недостатков стандарта WEP. Разработчики WPA хорошо справились с задачей, реализовав в этом протоколе поддержку взаимной проверки подлинности, шифрование данных с использованием протокола TKIP и проверку целостности подписанных сообщений, которая обеспечивает защиту от атак, основанных на подмене или повторении пакетов. Протокол WPA2 обеспечивает еще более высокий уровень безопасности, потому что в нем для защиты сетевого трафика используется стандарт AES, а не протокол TKIP. Поэтому ему всегда следует отдавать предпочтение перед WPA.
Протоколы WPA и WPA2 значительно превосходят WEP по степени защиты, и при правильной настройке системы безопасности ни в первом, ни во втором нет никаких известных уязвимостей. Тем не менее, протокол WPA2 считается более защищенным, чем WPA, и, если инфраструктура его поддерживает, а дополнительные накладные расходы, связанные с администрированием решения WPA2, приемлемы, выбор следует делать в его пользу.
Большинство производимых сегодня точек доступа и новейшие версии ОС Windows, а именно Windows XP с пакетом обновления 2 и Windows Server 2003 с пакетом обновления 1, сертифицированы в соответствии с требованиями протокола WPA2. Если в имеющейся среде какие-то точки доступа или клиентские компьютеры не поддерживают WPA2, беспроводные устройства и клиентские системы, поддерживающие WPA2, могут использовать более старый стандарт WPA.
Примечание. Для обеспечения поддержки сертификации WPA2 на клиентских компьютерах, работающих под управлением ОС Windows XP с пакетом обновления 2 (SP2), необходимо установить дополнительный пакет обновления — обновление протокола WPA2 и информационного элемента службы обеспечения беспроводной связи (WPS IE) для Windows XP с пакетом обновления 2. Информацию об этом пакете обновления можно найти по адресу http://support.microsoft.com/default.aspx?scid=kb;en-us;893357 (эта ссылка может указывать на содержимое полностью или частично на английском языке). Кроме того, нынешние версии ОС Windows не поддерживают WPA2 на уровне объектов групповой политики, что с точки зрения управления является существенным недостатком, который делает реализацию WPA2 гораздо более сложной в сравнении с WPA. При выборе между WPA и WPA2 это может оказаться решающим фактором, так как оба стандарта обеспечивают сравнительно надежную защиту.