АРХИТЕКТУРА И ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ БЕСПРОВОДНЫХ WLAN СЕТЕЙ

Введение

Популярность беспроводных локальных сетей уже давно достигла своего пика и на сегодняшний день стала «привычной всем» технологией. Так по данным американского журнала “Forrester Consulting”, в США 60% транспортных компаний, 54% розничных организаций и 49% гостиничных сетей используют беспроводную сеть. Организации планируют добавить новые беспроводные сервисы, в том числе видеоконференцсвязь и потоковое видео.

“Forrester Consulting” дает очень интересную статистику по компаниям, которые расширяют или модернизируют свои локальные сети: Франция - 70%, США - 58%, Италия и Германия - 50%, Россия - 46%. Однако, несмотря на рост и использование беспроводных сетей вопрос безопасности остается открытым.

Топологии WLAN

В зависимости от требований, в локальных сетях обычно используется централизованная или распределенная архитектура. Выбор топологии для построения беспроводной сети зависит от физических условий, требований бизнеса, а также средств, выделенных на обеспечение безопасности.

В централизованной беспроводной сети ядром является контроллер WLAN. Он управляет трафиком беспроводных точек доступа, отвечает за авторизацию пользователей и соблюдение политик безопасности. В распределенной архитектуре точки доступа сами координируют и применяют политики, обеспечивают мобильность пользователей. Однако очевидны и проблемы такой архитектуры, это масштабируемость и управляемость, поэтому в крупных сетях применяются контроллеры WLAN, которые выполняют основные функции.

В наше время совершенствование микропроцессоров позволило наделять точки доступа большим «интеллектом», что в свою очередь открыло возможность использования распределенных сетей WLAN. Современные AP позволяют распределять управление и задачи обмена данными между точками доступа без использования контроллера. Эта архитектура хорошо подходит для малых корпоративных сетей WLAN.

Преимущества централизованной архитектуры:

•  Централизованное конфигурирование VLAN, настройка политик безопасности.
•  Мобильность пользователей на уровне “Layer 3”.
•  Возможность централизованного шифрования.
•  Эффективное управление широковещательным трафиком.

Преимущества распределенной архитектуры:

•  Проста в реализации.
•  Имеет невысокую стоимость, по сравнению с централизованной архитектурой.
•  Минимальный контроль со стороны ИТ-специалистов.
•  Допускает миграцию на архитектуру с контроллером.

Выбор архитектуры WLAN сети

При построении WLAN предпочтение в целом отдается той архитектуре, которая будет более защищенной и эффективной. Для крупных и средних сетей с тысячами пользователей очевидна актуальность использования централизованной архитектуры, с контроллерами в отдельных автономных инсталляциях, в удаленных офисах применение контроллера может оказаться технически или экономически невыгодным.

Таким образом, с ростом сложности и увеличением масштаба сети, централизация функций оказывается логичным решением. При большом числе пользователей важно планирование WLAN. Архитектура беспроводной сети должна быть такой, чтобы можно было динамически оптимизировать её производительность. Очень важно, чтобы при перемещении пользователей между точками доступа сохранялись применяемые к ним политики безопасности.

При выборе конфигурации локальной сети в компании, нужно учесть следующее:

• Масштабы сети, число пользователей и устройств. В крупных сетях предпочтительнее контроллеры.
• Требования к сервисам. Это один из ключевых факторов. Кроме надежного и безопасного беспроводного доступа могут потребоваться, например, сервисы оптимизации WAN, фильтрации контента и применения политик безопасности. Такие функции обычно реализует контроллер.
• Централизованное управление позволит администратору сети управлять сетями филиалов и диагностировать неисправности из центрального офиса. Архитектура с контроллерами позволит унифицировать политики безопасности в проводной и беспроводной сети, упростит диагностику и устранение неисправностей.

Основные риски, которым подвергаются беспроводные сети WLAN

Несанкционированное подключение к сети.

Главным недостатком WLAN, по отношению к проводным сетям является то, что злоумышленнику не потребуется получать физический доступ к рабочему сетевому оборудованию, ему достаточно находиться в зоне действия радиосигнала и установить логическую связь [1].

Отказ в обслуживании.

Особенности беспроводной сети WLAN делает ее значительно уязвимой и для атак, направленных на отказ в обслуживании. На качество работы могут повлиять как погодные условия, изменение местонахождения антенны, так и использование беспроводной сети в соседнем помещении.

Отсутствие контроля беспроводной сети.

Многие пользователи беспроводных локальных сетей, часто меняют месторасположение точки доступа. При этом не соблюдая элементарные правила по безопасности. Они передают конфиденциальные данные по не защищенным, легкодоступным для злоумышленника, каналам связи.

Обеспечение защиты сети WLAN

Беспроводные сети разделяю на домашние, корпоративные и общедоступные. Каждая их них имеет свой подход по обеспечению безопасности.

В домашних сетях используются как технологии построения VPN, также и WPA-PSK. Но стоить помнить, что если применяется защита WPA-PSK, то любой протокол аутентификации, основанный на паролях, уязвим для атак восстановления парольной фразы по перехваченной сессии. Из этого следует что, для защиты беспроводной сети необходимо выбирать устойчивый к подбору пароль (минимум 20 символом) [2].

Для защиты корпоративных сетей наибольшей популярностью пользуются решения на основе технологии 802.1X или средств построения виртуальных сетей. Обе технологии позволяют задействовать имеющиеся в корпоративной сети компоненты, такие, как инфраструктура открытых ключей, серверы RADIUS, шлюзы VPN для защиты от перехвата трафика и несанкционированного подключения к беспроводной сети. Достоинство VPN – это возможность задействовать существующее оборудование и программные продукты [3].

Заключение

Внедрение беспроводной сети WLAN должно сопутствоваться анализом рисков, разработкой политики безопасности для данной сети и инструктированием администраторов и пользователей по работе с используемой технологией. При создании крупной сети следует задуматься о механизмах централизованного управления настройками точек доступа и клиентских станций. Так как требования к безопасности беспроводной сети отличаются от проводной. Стоит разделять сети межсетевым экраном. Обеспечить контроль рабочих станций как активными средствами, так и беспроводными системами обнаружения атак.

Список литературы:

1. Белорусов Д. И., Корешков М. С. Wi-Fi сети и угрозы информационной безопасности // Специальная техника -2009 № 6. С.2-6.
2. Гордейчик С. Безопасность беспроводных LAN // Беспроводные технологии. - 2006 №2. – С.51-52.
3. Официальный сайт о группе стандарта IEEE 802.1X – [электронный ресурс] — Режим доступа. — URL: http://ieee802.org/ (дата обращения 13.02.2016)