А. Щербаков - Wi-Fi - Все, что Вы хотели знать, но боялись спросить

Летом прошло года работник Cisco Scott Fluhrer, Itsik Mantin и Adi Shamir из научного института Израиля, обнаружили уязвимость в алгоритме Key Scheduling Algorithm (KSA) который работает в RC4. С её помощью можно получить как 24-битный ключ WEP, так и 128-битный ключ WEP 2. На всеобщее обозрение было представлено две программы — Air snort и WEPCrack.

Собственно как ясно из названия дело тут даже не в атаке, а в добыче халявы из незащищённых сетей. Большинство беспроводных сетей абсолютно не защищены, в них не требуется авторизации и даже не используют WEP, так что человек с беспроводной сетевой карточкой и сканером может легко подключиться к Access Point'у и использовать все ресурсы им предоставляемые. Отсюда и название — низко висящие фрукты, которые сорвать не составляет никакого труда…

Итак, мы рассмотрели основные проблемы безопасности, настало время поговорить и о защите от хакеров. В этой главе вы узнаете об основных методах борьбы с незаконным проникновением:

В этом варианте администратор составляет список МАС адресов сетевых карт клиентов. В случае нескольких АР необходимо предусмотреть, чтобы МАС адрес клиента существовал на всех, дабы он мог беспрепятственно перемещаться между ними. Однако этот метод легко победить, так что в одиночку его использовать не рекомендуется.

Обеспечивает шифрование при передаче данных между клиентом и сервером, однако как я уже описывал, так же легко поддаётся взлому. Использовать его, тем не менее, можно и нужно, дабы не облегчать взломщику его задачу.

Первой попыткой обезопасить беспроводные сети была система Сетевых Идентификаторов или SSID. При попытке клиента подключиться к АР на него передаётся семизначный алфавитно-цифровой код, используя метку SSID мы можем быть уверены, что только знающие его клиенты будут присоединяться к нашей сети. При использовании WEP сетевой идентификатор при передаче шифруется, однако на конечном устройстве он хранится в виде plain-text'a, так что злоумышленник, имеющий доступ к девайсам сможет его прочесть.

По ходу дела единственная вещь, которая может помочь от неавторизованного доступа. Доступ к сети должен осуществляться при помощи IPSec, secure shell или VPN и брандмауэр должен быть настроен на работу именно с этими безопасными соединениями — они и помогут избежать присутствия нежелательных «насекомых».

Точку доступа надо настраивать на фильтрацию МАС адресов, кроме того, физически сам девайс необходимо изолировать от окружающих. Рекомендуется так же конфигурировать точку только по telnet, отрубив конфигурацию через браузер или SNMP.

Основы безопасности необходимо закладывать ещё на стадии проектирования беспроводной сети. Вот несколько фишек, которые помогут «протянуть» правильную сеть:

• Защищайте свою сеть при помощи VPN или access control list

• Точка доступа не должна быть напрямую подсоединена к локальной сети, даже если WEP включён

• Точка доступа никогда не должна находиться позади брандмауэра

• Доступ клиентам беспроводной сети надо давать по secure shell, IPSec или виртуальные частные сети. Они обеспечивают приемлемый уровень безопасности.

«Комстар Объединённые Телесистемы», Fujitsu Siemens Computers, Intel и «РосБизнесКонсалтинг» объявляют о запуске нового проекта «Wi-Fi Комстар», направленного на создание сети точек беспроводного доступа и популяризацию мобильных Интернет-решений. Запуск проекта «Wi-Fi Комстар» связан с началом активного развития сетей беспроводной передачи данных, способствующих росту как потребительского сектора, так и корпоративного.

Суть проекта заключается в создании и накоплении критической массы хот-спотов, достаточной для охвата большинства общественных и деловых центров Москвы и массового распространения технологии Wi-Fi. Стратегия развития проекта предполагает работу по нескольким направлениям: организация точек беспроводного доступа в публичных местах и использование беспроводной технологии в качестве альтернативы кабельных локальных сетей. Планы развития на 2005-2006 гг. включают открытие более 200 хот-спотов. Инвестиции в проект составят $3,3 млн.».

Для продвижения проекта предполагается использовать все возможные варианты сотрудничества с заказчиками: организация хот-спота как за счёт оператора связи, так и владельца здания, работа с существующими клиентами по расширению имеющегося у них набора услуг связи, привлечение заказчиков, нуждающихся в организации защищённой локальной радиосети. Таким образом, «Комстар» получает возможность создать новую топологию сети, увеличить своё присутствие на территории Москвы и заметно упрочить положение в новом сегменте рынка. Основное поле для реализации этой бизнес-модели — гостиницы, деловые центры, любые площадки, имеющие отношение к бизнес-клиентам, реально приносящим более 70% доходов от Wi-Fi.