Реализация безопасности беспроводных сетей
Реализация WLAN должна предваряться полной оценкой рисков, связанных с проектом. Необходимо провести изучение потенциальных угроз, выявить любые имеющиеся контрмеры, принять дополнительные меры для снижения рисков.
Безопасность точки доступа
В самом начале реализации проекта необходимо настроить безопасность точки беспроводного доступа. В идеальном случае точка доступа позволяет указать ключ WEP. Убедитесь, что этот ключ нельзя легко угадать. Хотя такой шаг и не предотвратит взлом ключа, он сделает процесс несанкционированного определения ключа несколько сложнее. Если возможно, используйте MAC-адреса для ограничения набора рабочих станций, которым разрешено подключение. Это усложнит задачу управления проектом, однако данный подход помогает ограничить обнаружение рабочих станций точкой доступа. Убедитесь, если возможно, что точка доступа не осуществляет распространение SSID.
Большая часть точек доступа, доступных на рынке, снабжены некоторым интерфейсом управления. Это может быть веб-интерфейс или интерфейс SNMP. По возможности используйте HTTPS для управления точкой доступа и предотвращайте доступ злоумышленника посредством использования высоконадежных паролей.
Последнее, что необходимо принимать в расчет при рассмотрении точек доступа, – их расположение. Помните, что беспроводные сигналы могут распространяться на значительные расстояния. Сигналы могут элементарно доходить до других этажей здания, автомобильной парковки или вовсе за пределы территории предприятия. Попытайтесь разместить точки доступа так, чтобы их диапазон действия как можно меньше выходил за пределы помещения или здания, занимаемого компанией.
В организациях редко удается полностью ограничить распространение сигнала таким образом. Однако следует помнить, что данный подход подразумевает максимально возможное ограничение радиуса действия. Если возможно предотвратить доступ постороннего человека во внутреннюю сеть с обычным адаптером беспроводной сети, проходящего по улице за пределами предприятия, то необходимо принять соответствующие меры.
Безопасность передачи данных
Даже, несмотря на серьезные уязвимости, присутствующие в WEP, необходимо использовать этот протокол. Защита WEP может быть преодолена, однако для этого потребуется много усилий, и нет никаких причин для того, чтобы позволять злоумышленнику действовать совершенно свободно.
Принимая во внимание, что WEP недостаточно защищает важную информацию, рекомендуется использовать иной тип системы шифрования, помимо WLAN. Следует применять VPN при соединении рабочих станций WLAN с внутренней сетью. Большая часть VPN-продуктов предусматривает надежные алгоритмы шифрования, в которых отсутствуют недостатки, присущие WEP.
Размещать WLAN, лучше всего, в зоне, защищаемой межсетевым экраном или другим устройством контроля доступа, и использовать VPN при соединении с этой системой.
Безопасность рабочей станции
Если злоумышленник хочет проникнуть в сеть WLAN, то будет использовать снифферы для обнаружения других рабочих станций. Даже если не получится проникнуть во внутренние системы или прослушать информацию, передаваемую в сети, он сможет атаковать другие рабочие станции.
Необходимо установить соответствующее антивирусное ПО. Но если риск велик, на рабочих станциях следует применить еще персональные межсетевые экраны.
Безопасность сайта
Не существует различия между сетями WLAN и подобными системами: их необходимо отделять от внутренней сети. Следовательно, сети WLAN необходимо развертывать в отдельных сегментах сети и установить межсетевой экран между сетью WLAN и внутренней сетью организации.
Наряду с сегментацией сети следует установить в WLAN систему обнаружения вторжений для выявления несанкционированных посетителей. И тогда при осуществлении попытки выполнения какой-либо активной атаки, вы будете уведомлены.
При использовании рабочей станции в сети WLAN необходимо использовать надежный механизм аутентификации. Стандарт 802.1X предусматривает более надежную аутентификацию, нежели SSID или MAC-адрес, однако он не защищен от перехвата сеанса соединения. Использование надежной аутентификации совместно с VPN значительно снизит возможность злоумышленника получить доступ к внутренним системам.
Нелегальные и несанкционированные точки доступа также представляют собой проблему, которую организации должны разрешать с целью предотвращения неприятностей. Выявлять данные точки можно с помощью таких утилит, как NetStumber или средства обнаружения точек доступа во внутренней сети APTools.
Широкомасштабное развертывание WLAN – это проект, для реализации которого потребуется привлечь сетевых и системных администраторов, а также сотрудников отдела безопасности. Руководство многих организаций привлекает низкая стоимость беспроводных технологий в сравнении с модернизацией имеющихся кабельных сетевых соединений. Меры безопасности, которые необходимо применить в сети WLAN, повысят стоимость развертывания. Следует учесть все вопросы, связанные с управлением и выполнением операций, так как может представиться возможность для использования процедур поддержания безопасности WLAN.