Рубрикатор |
Статьи | ИКС № 10 2005 |
Алексей ЛУКАЦКИЙ  | 01 октября 2005 |
Защита хот-спота как средство извлечения прибыли
Там, где нет «наших» и «не наших»Несмотря на то что при обеспечении безопасности хот-спотов и корпоративных беспроводных сетей цели одинаковы (целостность, доступность, конфиденциальность), способы их достижения очень различаются. И обусловлено это публичной природой хот-спотов.
В корпоративной Wi-Fi-сети, имеется, как правило, две группы пользователей – «свои» и «чужие». Основной упор делается на защите от «чужих», а «свои» автоматически попадают в группу доверенных лиц, от которых защищаться вроде бы незачем. В хот-спотах те же две группы пользователей, однако критерии деления иные: оплатившие услуги доступа в Интернет и не оплатившие. Но все они «чужие», поэтому ни о каком ни к кому доверии не может быть и речи.
Различна и мотивация внедрения защитных мер и средств. Корпоративные Wi-Fi-сети строятся для эффективного бизнеса сотрудников компании. Поэтому собственник бизнеса заинтересован в защите всех пользователей беспроводной сети и в предотвращении как утечки, так и нарушения доступности информационных активов.
В публичных хот-спотах все иначе, у их владельцев нет никакого желания защищать вас от несанкционированных действий. Безопасность их волнует только в двух аспектах: защита от мошенничества и, возможно, защита репутации. А пользователь – он «сам по себе», защита его активов и ценностей не входит в список услуг. Поэтому и атаки на пользователей публичных Wi-Fi-сетей практически не контролируются (за исключением случаев, которые могут привести к нежелательной огласке).
Подключаясь к публичному хот-споту, злоумышленник способен атаковать как своих беспроводных соседей, так и любой другой узел Интернета. При этом Wi-Fi-провайдер может и не отслеживать такие действия, ведь для него главным критерием «добропорядочности» является оплата времени, проведенного в Сети. А спасение утопающих – дело рук самих утопающих, так что пользователи, подключающие свои лэптопы и КПК к Интернету в публичном хот-споте, должны самостоятельно заботиться о своей защите.
Решусь предложить свой прогноз: учитывая развитие беспроводных технологий и постепенный охват даже самых удаленных территорий, скоро одним из немногих отличий одного хот-спота от другого станет безопасность беспроводного доступа. Пользователи будут платить прежде всего тому, кто обеспечит им защищенный доступ в глобальную Сеть.
Родовые особенности
В первую очередь отметим, что точки доступа, используемые в хот-спотах, должны быть более «интеллектуальными», чем домашние или офисные. Связано это со многими особенностями хот-спотов. В частности, согласно технологии беспроводной сети широковещательные сообщения, посланные одним из ее клиентов, поступают ко всем остальным. Например, широковещательную передачу использует механизм, знакомый каждому пользователю Windows, – Network Neighborhood (сетевое окружение), который служит для организации общей для нескольких компьютеров файловой системы.
Но то, что полезно в корпоративной сети, очень вредно и даже опасно при использовании хот-спота. В нем такая широковещательная рассылка дает возможность злоумышленнику идентифицировать будущие жертвы, перехватывать различную конфиденциальную информацию и т.п. Поэтому точки доступа должны блокировать такого рода передачи.
Точки доступа соединяются с контроллерами хотспота (их еще называют Access Zone Router, AZR), которые выполняют следующие задачи информационной безопасности (иногда некоторые функции контроллера могут выполняться точкой доступа и иными узлами сети хот-спота):
- предоставление IP-адреса;
- аутентификация пользователя;
- фильтрация запросов, адресованных ресурсам Интернета;
- защита от подмены адреса (IP Spoofing);
- определение порта коммутатора, к которому подключен пользователь (например, для дальнейшего разграничения доступа);
- сбор информации для биллинговой системы.
Современные хот-споты, к сожалению, не обеспечивают такой возможности, заставляя пользователя каждый раз заходить на специальную web-страницу и вводить свои идентификационные данные. Однако иногда этот метод незаменим, особенно в местах скопления «случайных» пользователей (аэропорты, кафе и т.п.). Но в этом случае необходимо обязательно применять протокол HTTPS, предотвращающий перехват пароля и идентификатора клиента хот-спота. Эти компоненты, как правило, и составляют систему защиты сети публичного беспроводного доступа. Но они решают только одну задачу: точно идентифицировать клиента, оплатившего свой доступ. Для защиты одних пользователей хот-спота от других, а также для предотвращения атак на ресурсы Интернета из публичной беспроводной сети такие системы не приспособлены.
От паллиатива к полноценной защите
Далеко не каждому пользователю нужны все услуги, предоставляемые владельцем хот-спота. Можно предложить клиентам различные наборы услуг по разной цене и, чтобы отделить одну группу от другой, применить схему их разграничения с помощью беспроводных виртуальных частных сетей (VLAN). Для более серьезной защиты в сети необходимо использовать беспроводные системы обнаружения атак (Wireless IDS), которые своевременно отслеживают все попытки нарушения беспроводной безопасности.
Для того чтобы предотвратить перехват сессии пользователя, провайдер должен применять контроллеры, в которых предусмотрен механизм обнаружения пользователя и завершения сеанса на канальном уровне. Кстати, этот же механизм дает возможность пользователю не переплачивать за услуги при аварийном завершении соединения. Так, после обычного выключения компьютера (или после случайной перегрузки системы) без завершения сеанса сеанс считается незакрытым. Квалифицированный злоумышленник способен «вычислить» этот момент и выдать себя за пользователя, на которого и свалятся все счета на оплату услуг доступа в Интернет. Задачу предотвращения перехвата призван решить и протокол 802.1x, который начинает (хоть и медленно) внедряться владельцами хот-спотов.
Однако применение протокола 802.1x влечет за собой и проблемы. Так, во многих случаях при работе беспроводными сервисами пользователь не должен менять конфигурацию своего ПК, не должен устанавливать дополнительное ПО (например, для поддержки 802.1х, EAP и др.). Есть и другие ограничения.
На сегодняшний день протокол 802.1x, к сожалению, встроен далеко не во все ОС. А значит, нужно либо заранее установить его поддержку на свой компьютер ( Windows XP он, к счастью, уже есть), либо использовать менее защищенные варианты. Аналогичная ситуация и семейством протоколов EAP. До сих пор нет де-факто общепринятого стандарта, каждый производитель выбирает из множества модификаций: EAP-TLS, PEAP, EAP-Fast, LEAP и т. д.
Еще одна проблема хотспотов – установка злоумышленниками несанкционированных точек доступа. Пользователь, находящийся в зоне действия одной из них, спокойно на ней регистрируется, предоставляя злоумышленнику все свои идентификационные данные. Для решения проблемы надо задействовать механизм взаимной аутентификации, предусмотренный протоколом 802.1x, а также методы локализации «чужих» точек доступа. Последняя задача может быть реализована по-разному:
- путем идентификации и блокирования порта коммутатора, к которому подключена несанкционированная точка доступа;
- путем сканирования радиоэфира и определения местоположения точки доступа методом триангуляции и др.
Чтобы получать прибыль, владелец хот-спота должен обладать гибкой инфраструктурой, предлагающей множество услуг уже сегодня и позволяющей легко добавлять новые услуги в будущем. Однако для защиты доходов необходимо предотвратить кражу этих сервисов, также иметь защищенный способ расчета стоимости использования беспроводного доступа. Требование защиты биллинговой системы, фиксирующей время использования и тип услуги, наиболее актуально для провайдера (о безопасности автоматизированной системы расчетов см. «ИКС» № 9’2005, с. 60–62).
Настоящая система безопасности хот-спота (а не ее паллиатив в виде контроллера оплаты) служит не только для защиты доходов его владельца – она охраняет пользователей. И хоть «своих денег жалко», выделиться на фоне других хот-спотов, когда набор сервисов практически у всех одинаков, можно за счет дополнительной услуги – обеспечения безопасности доступа.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!