|
|
  |
Главная страница / Архитектура отрасли Информационная безопасность и беспроводная связь: Надежность или риск?»Беспроводные сети сегодня становятся все более популярным, по крайней мере, активно продвигаемым на рынке решением корпоративного уровня. О том, какие проблемы безопасности таят в себе заманчивые беспроводные возможности – мнения ведущих специалистов. Алексей АФАНАСЬЕВ, ведущий специалист, Aladdin Software Security R.D.: «Сложность контроля доступа, кто подключился к сети – слабая сторона Wi-Fi- и WiMAX-сетей» Сейчас разработчики Wi-Fi достаточно серьезно подходят к вопросу информационной безопасности, ведь изначально стандарты 802.11х имели значительные пробелы в плане защищенности соединений. Однако в силу специфики беспроводных сетей стандартных методов (64- и 128-битное WEP-шифрование трафика, запрет широковещательной аутентификации SSID, разграничение доступа, основанное на МАС-аутентификации ) чаще всего бывает недостаточно. Так называемая точка доступа – hot spot – физически располагается, как правило, в публичных местах (профильных IТ-выставках, аэропортах, гипермаркетах), ее функция – обеспечить доступ для целого ряда самых различных устройств (ноутбуков, КПК, смартфонов и др). В этой связи задача специалиста сводится к обеспечению безопасности не только самой беспроводной сети, но и каждого пользователя в отдельности. Антон КРЯЧКОВ, директор по продуктам, Aladdin Software Security R.D.: Топологию беспроводных сетей сложно контролировать, поскольку ее физический периметр не имеет четких границ, а определяется исключительно уровнем приема сигнала на стороне устройства, пытающегося подключиться к сети. Помимо активизации средств защиты, которые реализованы разработчиками для обеспечения безопасного подключения и конфиденциальности передаваемой информации, необходимо задействовать дополнительные средства обеспечения безопасности. Наиболее популярной из них является технология виртуальных частных сетей (VPN). При использовании VPN для аутентификации пользователей лучше всего использовать сертификаты открытого ключа стандарта Х.509 и соответствующие им закрытые ключи, хранящиеся в памяти смарт-карт или USB-ключей. Если это невозможно (например, при работе с портативного компьютера (PDA) – применяйте одноразовые пароли. Александр ЧУБАРОВ, менеджер по развитию бизнеса Alcatel, отделение беспроводных сетей: «Основная проблема – открытая среда передачи информации» На мой взгляд, настоящий уровень развития техники и технологии беспроводных систем максимально приближен, с точки зрения безопасности, к уровню систем корпоративной инфраструктуры. Причем темпы развития программных и аппаратных приложений позволяют говорить о выходе на этот уровень как о вопросе ближайшего будущего. Основная проблема очевидна – открытая среда передачи информации и возможность беспрепятственного перехвата кодированных потоков, которые передаются по сети. Вопросы беих» абонентских устройств в сеть (доступ к сервису), несанкционированный доступ к данным, транслируемым по сети, перехват идентификационных данных авторизованных пользователей сети и т. д. С точки зрения производителя, основная задача – обеспечение безопасности применительно к контролю доступа к сервису. На это направлены основные усилия разработчиков, здесь же демонстрируются наиболее существенные успехи. Защита данных, передаваемых по сети, обеспечивается в основном криптованием на нижних уровнях и внутренними механизмами приложений на более высоких уровнях, поэтому, с точки зрения производителя оборудования, эта задача второстепенна. Алексей ЛУКАЦКИЙ, менеджер по развитию бизнеса Cisco Systems: «Защищенные сети беспроводного доступа – уже реальность» Основное отличие беспроводных сетей от проводных – отсутствие проводов, по которым передается трафик. Вопрос физической безопасности, легко решаемый в традиционном подходе, в технологиях беспроводного доступа выходит на совершенно другой уровень. Нет кабельной системы, значит, невозможно четко описать периметр корпоративной сети. Следовательно, сложнее организовать разграничение доступа авторизованных и несанкционированных пользователей и устройств. Трудно и локализовать такие устройства. Несанкционированно установленная точка доступа может находиться в радиусе десятков, а то и сотен метров, что усложняет ее поиски. Отсутствие кабельной системы приводит к такой проблеме, как беспроводной роуминг, когда пользователь, перемещаясь по зданию, автоматически должен подсоединяться к ближайшей точке доступе. Причем такое подключение не должно приводить к снижению уровня защищенности как самого пользователя, так и сетевых сегментов, к которым подключается мобильный сотрудник. Но все эти проблемы достаточно эффективно решаются. Современные решения для построения беспроводных сетей мало чем уступают своим проводным собратьям. Григорий ПУТИНЦЕВ, системный инженер IBM Global Services: «Главное – не повторять прошлых ошибок» В настоящее время разработчики обращают все больше внимания на обеспечение безопасности новых беспроводных стандартов. Буквально два года назад, на первых этапах развития и стандартизации технологии, ситуация, к сожалению, была иной. Последствия мы можем наблюдать до сих пор, когда разработчики устройств вынуждены включать в свои новые продукты рудиментарные схемы авторизации и шифрования данных, не обеспечивающие необходимый уровень защиты. Поэтому при переходе к новой технологии (WiMAX) нужно использовать все существующие на данный момент наработки и не повторять предыдущих ошибок. Главная проблема заложена в самом принципе беспроводных технологий – затрудненный контроль физического распространения радиоволн и, следовательно, их широкая доступность. Беспроводные сети являются лишь одним из элементов (транспортной составляющей) инфрастрй безопасности необходимо принимать во внимание гораздо более широкий спектр вопросов, чем конкретные механизмы одного из модулей. Юрий ПИСАРЕВ, главный эксперт компании InfiNet Wireless: «Аспектам безопасности БС сегодня уделяется серьезное внимание» Беспроводные сети обеспечивают только транспорт «последней мили» и «последних метров», как правило, на МАС-уровне. Уязвимость беспроводных сетей обусловлена реально неконтролируемой зоной обслуживания и, как следствие, потенциальной возможностью несанкционированного прослушивания и подключения к сети. На борьбу именно с этими угрозами и направлены усилия разработчиков в области обеспечения безопасности беспроводных сетей. Задача решается использованием средств шифрования на канальном уровне и тех или иных протоколов аутентификации и авторизации. При полном понимании потенциальных угроз и грамотной политике обеспечения безопасности, как беспроводной сети, так и информации, циркулирующей в ней, такая сеть может стать основой надежной корпоративной инфраструктуры. Юрий ХОХЛОВ, старший консультант отдела технологий и развития бизнеса Lucent Technologies в России и СНГ: «Беспроводные сети в плане уязвимости не отличаются от проводных» Вопросам безопасности новых беспроводных стандартов – Wi-Fi, WiMAX – разработчики уделяют первоочередное внимание. Стандарт Wi-Fi изначально отличался слабой защитой от несанкционированного доступа, однако в 2004 г. был утвержден стандарт 802.11i, определяющий для Wi-Fi использование AES (Advanced Encryption Standard) с ключами 128, 192 и 256 бит. В стандарте WiMAX изначально предусмотрена высоконадежная система защиты с множеством ключей. Радиоинтерфейс беспроводных сетей, в силу своей естественной пространственной протяженности, и, следовательно, слабой контролируемости, является наиболее уязвимым местом сети с точки зрения несанкционированного доступа и помехозащищенности. Особенно это касается беспроводных сетей, работающих в нелицензируемых диапазонах частот. В остальном беспроводные сети принципиальных отличий от «проводных» кабельных сетей не имеют. Современные беспроводные технологии могут являться основой или фрагментами современных корпоративных сетей при условии выбора технологии и построения сети с учетом конкретных требований по защищенности. Естественно, успех в построении такой сети будет зависеть от многих факторов. Денис БОНДАРЕНКО, инженер-консультант отдела корпоративных сетей Nortel Networks: «Беспроводные сети – наиболее опасный тип связи» Безопасность в беспроводных сетях – краеугольный камень данного типа связи. Стандарт IEEE 802.11 изначально вышел с очень слабыми средствами защиты. По этой причине многие производители беспроводного оборудования начали разработки своих собственных средств защиты, которых сейчас насчитывается несколькжно, но с некоторыми оговорками. Основным критерием при построении сети являются производительность, защищенность и отказоустойчивость сети. Сегодняшние стандарты на авторизацию и шифрование позволяют создавать защищенные беспроводные коммуникации. Слабым звеном является скорость – в стандарте IEEE 802.11 это максимум 108 Мбит/с, то есть сеть не приспособлена к передаче огромных объемов данных. Второй слабостью является поддержка качества обслуживания для мультимедийных приложений – даже при правильной классификации разнородного трафика беспроводными устройствами все равно остается вопрос о разделяемой радиосреде, в которой все делят общую полосу пропускания. Тони ФИЛД, ведущий менеджер по продуктам компании U.S.Robotics: «Наилучшая сеть – смесь проводной и беспроводной структур» Сегодня большинство продуктов для беспроводных сетей отличаются хорошими характеристиками безопасности, но это, в свою очередь, требует дополнительных действий от потребителя для ее обеспечения. Как и в проводных сетях, наиболее уязвимым местом являются сетевые пароли. Многие пользователи либо не изменяют пароль по умолчанию, либо используют пароли, слишком простые для догадки. Любой человек, находящийся вне здания с полностью разрешенной сетью WPA2, если не может угадать сетевой пароль, то может изменить его и получить прямой доступ к магистральной линии связи компании. Не совсем правильно рассматривать беспроводную сеть как полную инфраструктуру, так как наилучшие сети представляют собой смесь проводных и беспроводных. Даже несмотря на высокую производительность некоторых беспроводных продуктов, последние в настоящее время не могут соперничать по производительности с технологией Gigabit Ethernet. Тем не менее за последние 10 месяцев беспроводная сеть стала лучшим решением для офиса. Владимир АЛФЕРЬЕВ, менеджер по продукции российского представительства ZyXEL: «Массового внедрения БС в корпоративные структуры не происходит» Ведущие производители беспроводных устройств стараются максимально повысить безопасность при организации сети. Каждый разработчик понимает, что чем выше степень защищенности в их устройствах, тем большее конкурентное преимущество он получает. Несколько лет назад основным сдерживающим фактором широкого распространения беспроводных технологий была защищенность передаваемых данных. Сегодня доступно уже достаточно много стандартизованных алгоритмов шифрования и протоколов безопасности, однако следует учесть главное – какие бы технологии безопасности ни создавались, радиоэфир постоянно доступен для сканирования, и изобретательный человеческий ум всегда найдет способы обойти схемы безопасности. Массового внедрения беспроводных сетей в корпоративные структуры не происходит. Заказчики до сих пор больше доверяют проводным технологиям, хотя на сегодняшний день стоимость организации беспроводной связи сопопасности беспроводной связи достаточно высокого уровня. Андрей АНИКИН, руководитель отдела беспроводных технологий компании «АК-Цент Микросистемс»: «Уязвимость беспроводных сетей – в самом принципе действия» Наиболее распространенный 256-битный ключ шифрования, которым защищается передаваемая информация, с помощью особых программ взламывается мгновенно, поэтому коммерческое использование Wi-Fi- и WiMAX-технологий нецелесообразно. Единственно надежным решением по безопасности сейчас является создание беспроводных сетей на базе VPN (Virtual Privat Network), и многие производители оборудования Wi-Fi уже начинают включать поддержку VPN в своих продуктах. Уязвимость беспроводных сетей заключается в самом принципе действия: хот-спот создает вокруг себя электромагнитное информационное поле, действие которого в той или иной степени ВСЕГДА выходит за пределы помещения. На данный момент я не рекомендовал бы использование беспроводных сетей в корпоративной инфраструктуре. Имеющиеся в гражданской промышленности способы защиты пока не могут гарантировать информационной безопасности коммерческих структур. Но в некоторых секторах бизнеса, особенно для передачи данных на большие расстояния (удаленные терминалы/офисы), Wi-Fi, WiMAX находят свое применение. Олег САМАРИН, руководитель отдела информационной безопасности «АМТ Груп»: «Основная угроза – несанкционированные точки доступа» Безусловно, разработчики стремятся сделать беспроводные решения настолько безопасными, насколько это возможно. Существующие технологии позволяют обеспечить достаточный уровень безопасности беспроводной инфраструктуры. В конце концов, мы можем передавать по радиоканалу VPN-трафик. Защищенность такого канала практически ничем не будет отличаться от проводного. Основная угроза безопасности корпоративных радиосетей состоит в появлении несанкционированных точек доступа на базе абонентских устройств. Сегодня практически каждый ноутбук имеет встроенные средства радиодоступа, и злоумышленнику довольно просто организовать канал утечки информации, по неопытности такой канал может создать и лояльный пользователь. Поэтому чрезвычайно важно осуществлять постоянный мониторинг радиоэфира с целью обнаружения несанкционированных каналов. Беспроводные решения являются только частью корпоративной инфраструктуры, которая обеспечивает мобильность тем или иным пользователям. При такой постановке вопроса мы можем говорить о мобильном сегменте сети как о стабильной и безопасной инфраструктуре. Сергей КРУТОВ, заместитель генерального директора по технической и сервисной политике компания «Верисел Проекты»: «Проблемы с безопасностью тормозят развитие Wi-Fi сетей» Нельзя сказать, что разработчики беспроводных стандартов ставили проблемы безопасности на первое место, несмотря на то что IT-индубезопасности. В итоге получилось типовое решение для бытового, а не коммерческого использования. Вопросы безопасности дорабатываются, но именно безопасность является сегодня основным ограничивающим фактором распространения Wi-Fi-сетей. В итоге в умах «просвещенных» пользователей сложился стереотип, что данные сети уязвимы и потому непригодны к коммерческому использованию. Имеет смысл оценивать безопасность той или иной сети, только имея в наличии политику безопасности предприятия. Конечно, об обработке государственной тайны в любых беспроводных сетях говорить абсурдно. Но если знать, что защищать, то беспроводные сети данного стандарта вполне можно рекомендовать большинству российских предприятий, если бизнес-процессы не критичны к возможным перерывам в работе сети по причинам искусственных помех в радиоэфире. При этом необходимо построение эшелонированной защиты путем дополнения стандартных средств безопасности механизмами аутентификации и использования VPN-технологий с сертифицированным российским криптоядром. Валерий АНДРЕЕВ, директор по науке и развитию компании ИВК: «Элементы безопасности должны быть встроены в корпоративную инфраструктуру» Если раньше слабость встроенных средств защиты была связана в основном с малой производительностью канала, то сегодня все меняется. Внедряются полноценные технологии шифрования, механизмы авторизации пользователя и идентификации устройства, что положительно влияет на развитие стандартов беспроводной связи в целом, не только на WiMAX, но и на ZigBee, BlueTooth и пр. Уязвимость беспроводных сетей заложена в самой их природе, в относительной простоте перехвата трафика, в нестойкости канала связи к всевозможным воздействиям. Еще отмечу несовершенство платформенной реализации этой технологии и возможность атаки на ОС хоста на сетевом уровне модели ISO. Последние изменения, связанные с внедрением процедур идентификации и аутентификации пользователя, меняют положение в лучшую сторону. Как бы ни развивались механизмы безопасности, встроенные в сетевые технологии, они не станут достаточными для обеспечения безопасности информационных систем корпоративного и государственного уровня. Другие элементы безопасности должны быть встроены в наложенную корпоративную инфраструктуру. Станислав РЫБАЛКО, руководитель направления беспроводных технологий, CompTek International: «Систему защиты нужно уметь настраивать» В системах Fixed Broadband Wireless Access, к которым относится и WiMAX-сертифицированные системы, беспроводное устройство является граничным в сети, поэтому к нему предъявляются требования по маршрутизации и ограничению входящего и исходящего трафика, а также шифрации передаваемого в эфир трафика. Однако аутентификация абонентов оборудованием данного класса не производится. Кроме того, устройство имеет аппаратно прошитый сертификат, который крайне сложно подделать йства. Насколько достаточны такие механизмы? В настоящее время, по моему мнению, защита корпоративных Wi-Fi сетей достигла пика своего развития и при грамотной настройке может сделать беспроводную сеть взломостойкой. Систему защиты нужно уметь настраивать, а для этого необходимо приложить определенные усилия, что иногда влечет за собой дополнительные расходы. Главное – не скупиться на беспроводную сеть. Александр ПОЗДНЯКОВ, руководитель направления беспроводных сетей компании КРОК: «Главная уязвимость – человеческий фактор» В этом году в Европе доля незащищенных WLAN по сравнению с 2004 г. возросла с 25 до 35%. Более 40% сетей не используют шифрование. И это спустя год, как существует WPA, не говоря уже о WEP. Наиболее плачевная ситуация сложилась в домашних WLAN и сетях небольших офисов, где, в отличие от средних и крупных компаний, нет специально обученных администраторов. Поэтому главной «уязвимостью» WLAN можно назвать человеческий фактор, отсутствие информации, нежелание или неумение защититься от несанкционированного доступа. Второй фактор – использование разномастного оборудования дешевых «китайских» вендоров, имеющих, в лучшем случае, шифрование по WEP со статическим ключом минимальной длины, что уже не является эталоном устойчивости. Говорить о беспроводных сетях как о корпоративной инфраструктуре можно и нужно. Компаниям, бизнес-процессы которых зависят от степени мобильности пользователей внутри офиса, не обойтись без WLAN, а значит, и без обеспечения защиты информации на этом сегменте сети. Эрнест МОШКОВ, ведущий инженер по сетям широкополосного беспроводного доступа, компания ТЕЛЕКОР: «БС меняют представление о физической безопасности сетей» Со временем в сетях Wi-Fi уязвимый протокол шифрования WEP будет заменен WPA2 в составе протокола 802.11i, что приведет к исключению несанкционированного доступа к корректно настроенной сети Wi-Fi. Оборудование WiMAX предназначено в первую очередь для операторов связи, и безопасность заложена в него еще на этапе разработки стандарта 802.16, которым определено, что весь трафик должен быть зашифрован с использованием алгоритма AES, а для аутентификации используется протокол на основе TLS с шифрованием открытым ключом. Беспроводные сети меняют представление о физической безопасности компьютерных сетей. Для подключения к беспроводной сети хакеру не обязательно проникать на территорию предприятия или офиса, достаточно находиться в радиусе действия радиосети. Существующие средства безопасности в современном беспроводном оборудовании при правильной настройке обеспечивают надлежащий уровень защиты передаваемой информации. В дополнение к этому возможно применение дополнительных средств защиты для сетей IP, например VPN. Главная страница / Архитектура отрасли |