Сытые по горло брешами в стандарте WEP (Wired Equivalent Privacy - секретность на уровне проводной связи) ИТ-менеджеры все чаще задаются вопросом: когда же наконец можно будет перевести корпоративные сети 802.11 на протокол безопасности WPA (Wi-Fi Protected Access - защищенный доступ Wi-Fi)? Правда, здесь есть одно "но": хотя эта новейшая технология и обещает многое, однако перед тем, как приступить к ее освоению, нужно тщательно оценить ряд факторов.
Протокол WPA, утвержденный альянсом Wi-Fi в прошлом году, призван закрыть слабые места беспроводных сетей, где используется WEP. Например, новая спецификация требует, чтобы сетевые элементы были оснащены средствами динамической генерации ключей, использовали усовершенствованную схему шифрования данных RC4 на основе TKIP (Temporal Key Integrity Protocol - протокол краткосрочной целостности ключей) и обязательно производили аутентификацию 802.1х.
В WPA получила дальнейшее развитие технология шифрования RC4, реализованная в виде TKIP. Таким способом удалось повысить защищенность пакетов и обеспечить обратную совместимость с WEP, пусть даже за счет дополнительной нагрузки на сетевые каналы. Кроме того, контрольные криптографические суммы в WPA рассчитываются по новому методу под названием Michael. В каждый кадр 802.11 здесь помещается специальный восьмибайтный код целостности сообщения, проверка которого позволяет отражать атаки с применением подложных пакетов.
Все устройства с поддержкой WPA производят обязательную аутентификацию 802.1х посредством протокола EAP (Extensible Authentication Protocol - расширенный протокол аутентификации). При этом применяется сервер RADIUS (Remote Authentication Dial-In User Service - служба дистанционной аутентификации пользователей по коммутируемым линиям) либо предварительно заданный общий ключ.
Аутентификация 802.1х основана на клиент-серверной архитектуре и использует три элемента: клиентский запросчик (client supplicant), аутентификатор и сервер аутентификации. Широкому применению этой технологии в корпоративных беспроводных ЛВС способствуют реализованная в ней модель централизованного управления безопасностью и возможность интеграции с действующими схемами корпоративной аутентификации.
Многие производители уже пообещали включить поддержку WPA в свое беспроводное оборудование путем простого обновления микропрограмм. Фирмы Linksys Group, D-Link Systems и SMC Networks, в частности, собираются провести такое обновление и начать выпуск устройств с поддержкой WPA уже нынешним летом.
Большинству организаций для перехода на WPA будет достаточно установить новые микропрограммы и клиенты, интегрировав их со своими системами аутентификации. Компаниям же малого и среднего бизнеса, которые обходятся без сервера аутентификации, придется предварительно инсталлировать общий ключ на каждом клиенте и точке доступа.
Кроме всего прочего WPA поддерживает шифрование по стандарту AES (Advanced Encryption Standard - усовершенствованный стандарт шифрования). От включенной в WEP реализации RC4 он выгодно отличается гораздо более стойким криптоалгоритмом, однако предъявляет повышенные требования к пропускной способности каналов связи, поэтому переход на новый стандарт потребует и модернизации сетевой аппаратуры. К тому же у AES отсутствует обратная совместимость с нынешним оборудованием WPA и WEP.
WPA уже находит поддержку и в операционных системах. Совсем недавно корпорация Microsoft выпустила специальную заплату для Windows XP, обеспечивающую взаимодействие клиентов с адаптерами 802.11. Правда, для этого нужно, чтобы клиент работал под управлением XP со служебным пакетом SP1, а адаптер использовал Wireless Zero Configuration - сервис Windows XP, выполняющий автоматическую конфигурацию беспроводных сетевых устройств.
В Windows Server 2003 реализация WPA не предусмотрена, но, как заявили представители Microsoft, она будет включена в первый же служебный пакет к ней, а все последующие версии этой ОС станут поддерживать 802.11i.
В целом же относительно WPA можно сказать следующее. Организациям, где уже развернуты большие беспроводные ЛВС, стоит перевести их на этот протокол, когда появятся обновления микропрограмм для используемого оборудования, - это мгновенно повысит защищенность сети. Однако при планировании такого перехода ИТ-менеджеру обязательно следует предусмотреть обновление сразу всех устройств 802.11. И в самом деле: хотя WPA и обеспечивает обратную совместимость с WEP, имеет ли смысл переводить на новый протокол одну часть сети, оставляя лазейки для хакеров в другой, где будет по-прежнему использоваться WEP?
Развитие стандартов безопасности 802.11
Тем же компаниям, которые не хотят торопиться, мы бы посоветовали не только внимательно присмотреться ко всем решениям с поддержкой нынешних стандартов WPA, но и оценить возможность их последующего перевода на 802.11i. новые устройства 802.11i едва ли будут намного дороже выпускаемых сейчас.