Около полугода консультант по вопросам безопасности Питер Шипли колесил по окрестностям Сан-Франциско, проверяя работу беспроводных сетей из своей машины с помощью портативного компьютера, сетевой карточки беспроводной связи и небольшой антенны. Вывод, к которому он пришел, неутешителен - беспроводные сети защищены очень плохо.
На одном из перекрестков деловой части Сан-Франциско Шипли обнаружил почти десяток корпоративных беспроводных сетей. В других районах города он нашел еще сотни и убедился: компании не защищают сети, что делает их уязвимыми для хакеров. "В сущности, сети вообще не защищены, - констатирует Шипли. - Люди просто не хотят верить, что это опасно".
С ним согласны многие специалисты. Привлеченные новыми возможностями беспроводной технологии и небольшой стоимостью сетей, компании быстро их устанавливают, не тратя времени даже на подключение встроенных средств защиты, и уж тем более не предпринимают других мер.
"Многие развертывают беспроводные сети, вообще не думая о безопасности, - сказал Крис Уайсопал, директор по научно-исследовательским разработкам в компании @stake, предоставляющей услуги по защите. - Самую большую опасность представляет пассивный мониторинг сети, который не поддается обнаружению".
В Центре по обеспечению безопасности беспроводной связи (Wireless Security Center of Excellence) компании @stake работает группа консультантов и разработчиков, которые изучают уязвимые места беспроводной технологии и оказывают профессиональные услуги, включая оценку сетей и их проектирование. Они предлагают услуги тем компаниям, которые хотят обеспечить защиту беспроводных ЛВС. "Многие наши исследования показывают, что эта технология таит в себе огромный риск", - утверждает Шипли.
Уязвимые места технологии защиты, включенной в стандарт 802.11b для беспроводных ЛВС, уже хорошо документированы. А совсем недавно исследователи обнаружили в системе шифрования данных Wired Equivalent Privacy (WEP) и в системе генерации ключей, предусмотренных стандартом 802.11b, серьезные недостатки, которые могут позволить хакеру подобрать секретный ключ.
В связи с уязвимостью системы WEP компания @stake рекомендует своим клиентам использовать для защиты беспроводных сетей технологию виртуальных частных сетей (VPN). Кроме этого, специалисты @stake рекомендуют принимать меры обеспечения безопасности еще при построении беспроводных ЛВС, в частности, правильно конфигурировать точки доступа и оснащать каждый портативный компьютер межсетевым экраном. "Не доверяйте беспроводной инфраструктуре так же, как вы не доверяете Интернету", - советует Уайсопал.
Основатель и главный управляющий компании Internet Security Systems (ISS) Кристофер Клаус считает, что для обеспечения безопасности беспроводных сетей применимы многие концепции защиты. Он рекомендует обезопасить беспроводные ЛВС с помощью средств мониторинга в режиме реального времени и регулярных проверок уровня защищенности сети. В ISS утверждают, что их продукция Internet Scanner позволяет выявить точки доступа беспроводной сети, при конфигурировании которых были допущены ошибки. Система обнаружения вторжения RealSecure, устанавливаемая между точкой доступа беспроводной сети и корпоративной сетью, подает при атаке через беспроводную ЛВС сигнал тревоги.
По словам Клауса, хакеры располагают множеством средств для взлома беспроводных ЛВС, построенных на базе стандарта 802.11b. "Хакеры досконально знают это дело и хорошо вооружены, - предупреждает Клаус. - Поэтому нам предстоит увидеть еще много случаев взлома сетей".
Директор по маркетингу подразделения беспроводных сетей компании Cisco Systems Кристин Фальсетти сообщил, что компания советует клиентам при создании беспроводных сетей начинать с самых основ. "Проведите оценку уровня безопасности, чтобы понять, каковы будут риски, и применяйте при развертывании сети соответствующие средства защиты", - рекомендует она.
Помимо этого, заказчики могут повысить безопасность сетей на базе стандарта 802.11b за счет более частой смены паролей или добавления VPN, которые обеспечивают более высокий уровень защиты.
В семействе продуктов Aironet компания Cisco предлагает новый стандарт безопасности 802.1x. Для обеспечения централизованного определения пользователей, аутентификации, управления динамическими ключами и расчетов в спецификации 802.1x предусмотрено использование таких стандартных протоколов безопасности, как Extensible Authentication Protocol (EAP) и Remote Authentication Dial-In User Service (RADIUS).
И все же, считает Фальсетти, преимущества беспроводных ЛВС перевешивают их недостатки.