Odyssey фирмы Funk основан на новой схеме аутентификации
Небольшая компания Funk Software (Кеймбридж, шт. Массачусетс) разработала и подготовила к выпуску ПО, которое должно запереть на засов печально знаменитые своей незащищенностью беспроводные сети (WLAN).
Ее продукт Odyssey состоит из серверного и клиентского ПО и основан на новой схеме аутентификации, известной под названием EAP-TTLS (Extensible Authentication Protocol - Trivial Transport Layer Security, расширяемый протокол аутентификации - обыкновенная защита транспортного уровня). EAP-TTLS не требует применения клиентских цифровых сертификатов.
Большинство существующих продуктов для защиты беспроводных сетей основаны на схеме EAP-TLS, которая использует Transport Layer Security (протокол защиты транспортного уровня), являющийся преемником протокола SSL (Secure Sockets Layer), и требует авторизации пользователей через центр сертификации (certificate authority).
“Люди заинтересованы в безопасности, но не хотят чрезмерной сложности, и TTLS как раз отвечает этим запросам, - говорит Стив Петтит, главный управляющий отдела софтверного бизнеса фирмы Enterasys Networks (Портсмут, шт. Нью-Гэмпшир), которая тестировала Odyssey. - Такую технологию гораздо проще внедрить на практике, чем систему, нуждающуюся в центре сертификации. Она позволяет развертывать WLAN без лишней сложности”.
С новым ПО Funk ИТ-менеджеры смогут защитить уже существующие WLAN, не тратя денег на приобретение усовершенствованного оборудования. Это связано с тем, что основанный на TTLS пакет Odyssey также поддерживает TLS и другие протоколы обеспечения безопасности.
Беспроводные сети на базе стандарта 802.11b за минувший год заметно укрепили свои позиции в корпоративной среде, чему способствовали, в частности, их невысокая стоимость и возможность передвижения пользователей при сохранении подключения к сети.
Однако, как показали исследования специалистов по безопасности, 802.11b и его протокол криптозащиты WEP (Wired Equivalent Privacy) изобилуют множеством уязвимых мест.
Odyssey использует для аутентификации пользователей пароли, а не клиентские цифровые сертификаты. Пароль помещается в оболочку TLS-криптозащиты и затем отсылается на сервер, осуществляющий аутентификацию клиентов. Поскольку Odyssey не нуждается в клиентских сертификатах, он также предоставляет возможность доступа к WLAN с различных ПК. Традиционные же средства защиты WLAN требуют, чтобы пользователь в этом случае обзавелся отдельным сертификатом либо перенес уже имеющийся.
Сейчас продукт проходит открытое бета-тестирование и поступит в продажу к концу февраля.
Нужно отметить, что в своем стремлении создать защиту для беспроводных сетей Funk не одинока. Занимается этим и фирма ReefEdge (Форт-Ли, шт. Нью-Джерси), разработавшая продукты Connect Server и Connect Bridges, взаимодействие которых позволяет подключаться к WLAN через любой браузер с передачей данных аутентификации в зашифрованном виде по протоколу SSL.
По мнению экспертов в области безопасности, новые подходы заслуживают всяческой похвалы, но требуют пристального контроля над пользовательским доступом.
“Контроль доступа очень важен, если вы не хотите, чтобы посторонние проникли в вашу беспроводную сеть, - говорит Ави Рубин, главный исследователь лабораторного отдела корпорации AT&T (Флорем-Парк, шт. Нью-Джерси), один из разработчиков технологии WEP. - По-моему, использование SSL - это правильный путь”.