Для защиты периметра сети применяются устройства, называемые межсетевыми экранами. Существует несколько поколений таких устройств. Первое – экраны с пакетной фильтрацией (Packet Filtering Gateways), которые работают на сетевом и транспортном уровне модели OSI и, как правило, анализируют следующие поля пакетов: IP-адрес источника и назначения, номер протокола, порт (TCP, UDP) источника и назначения. Они имеют хорошую масштабируемость и производительность, но обеспечивают не очень высокий уровень безопасности. На сегодняшний день практически все маршрутизаторы и большинство коммутаторов третьего уровня обладают функциональными возможностями экранов с пакетной фильтрацией.

Второе поколение – экраны уровня соединения (Circuit Level Gateways). Эти устройства работают на сетевом, транспортном и сеансовом уровнях и анализируют большее число полей: IP-адрес источника и назначения, номер протокола, порт (TCP, UDP) источника и назначения, информацию о последовательности и состоянии соединения (устанавливается, установлено, завершается), т. е. флаги пакетов. Главное их отличие от предыдущих в том, что экраны уровня соединения ведут так называемую таблицу соединений (session state table), в которую заносят информацию об установленных сессиях и удаляют ее из таблицы только при их завершении. Благодаря такому алгоритму работы обеспечивается гораздо более высокий уровень безопасности – устройства оперируют не только информацией, содержащейся в анализируемом пакете, а и «знают», что происходило раньше. Такие экраны, например, позволяют запретить установку соединения со стороны публичных сетей в сторону локальных и создать динамические правила для прохождения пакетов из Интернета в локальную сеть, если сессия была инициирована именно из нее. С их помощью можно защититься от некоторых атак, использующих подмену адресов, и атак типа «отказ в обслуживании» (Denial of Service – DoS). Производительность экранов уровня соединения практически такая же, как и устройств с пакетной фильтрацией.

Третье поколение – экраны уровня приложений (Application Level Gateways), которые могут отслеживать корректность работы протоколов данного уровня, например, блокировать определенные команды, терминировать сессию в случае неправильного порядка команд. Для протоколов, использующих динамические порты (FTP, SIP, H.323), устройства могут создавать динамические правила для открытия соответствующих портов. Они могут блокировать загрузку определенных файлов или типов файлов, ограничивать доступ к определенным Web-ресурсам, блокировать Java, апплеты ActiveX, Cookies. Экраны уровня приложений, как правило, не выпускаются в виде самостоятельных устройств или отдельного ПО, а являются службами в межсетевых экранах с полной пакетной проверкой (Statefull Packet Inspections – SPI).

Экраны с полной пакетной проверкой дают возможность анализировать пакеты на всех уровнях модели OSI. К этому типу относится большинство выпускаемых сегодня устройств, однако это не означает, что они могут анализировать все протоколы уровня приложений. Самые дешевые из них умеют работать только с протоколом HTTP, более продвинутые поддерживают большее количество протоколов (как правило, еще и FTP, SMTP, POP3, IMAP4). Наиболее функциональные модели могут работать с VoIP-протоколами (такими как SIP, H.323, MGCP, SCCP) и некоторыми другими протоколами уровня приложений. Поэтому при выборе устройств не следует особо обращать внимание на термин SPI, так как он практически ни о чем не говорит. Необходимо детализировать характеристики устройств, перечень поддерживаемых функций, технологий и протоколов, а также такой немаловажный параметр, как производительность.

Экраны уровня соединения и уровня приложения бывают двух типов: прозрачные (transparent) и посредники (proxy). Прозрачные межсетевые экраны инспектируют сессии, установленные между внешними и внутренними хостами. Межсетевые экраны-посредники устанавливают сессию с хостом-источником, а потом от его имени – сессию к хосту назначения. Такие устройства обеспечивают более высокий уровень безопасности, поскольку усложняется реализация атаки, т. е. атакуется сразу не конечный хост, а брандмауэр-посредник. Однако их недостаток – невысокое быстродействие.

Имеются как программные, так и аппаратные реализации межсетевых экранов. Первые представляют собой ПО, функционирующее на универсальной аппаратной платформе (обычные серверы или ПК) поверх открытой операционной системы (открытой для разработчиков ПО – Windows, UNIX, Mac и т. д.). Какой экран выбрать, программный или аппаратный? При разработке программных решений существует меньше различных технологических ограничений, к этому процессу привлекается, как правило, меньшее количество разработчиков, и соответственно, их стоимость зачастую ниже. То же самое справедливо и для межсетевых экранов – программные реализации по сравнению с аналогичными по функциональным возможностям аппаратными ощутимо дешевле. При этом программные решения оказываются гибче: в будущем к ним проще добавить дополнительные функции или исправить допущенные ранее ошибки. Казалось бы, что еще нужно? Дешевле, функциональнее, гибче. Почему же тогда существует настолько большой рынок аппаратных устройств, а объемы их продаж превышают таковые программных продуктов? Однако не все так просто.

Во-первых, для конечного пользователя программная реализация может оказаться дороже, чем аппаратная, ведь законченное решение включает в себя стоимость не только ПО межсетевого экрана, а и ОС, поверх которой работает брандмауэр, аппаратной платформы, производительность которой должна быть гораздо выше, чем в случае аппаратного решения, а иногда и дополнительного ПО – баз данных, в которых могут храниться логи, различные интерпретаторы и др. Свободно распространяемые бесплатные межсетевые экраны практически не востребованы компаниями (по данным различных агентств, их применяют лишь 3–5% организаций). Низкий процент использования обусловлен главным образом проблемами с поддержкой, что очень важно для данного класса продуктов, а в некоторых случаях – и качеством такого ПО. Во-вторых, программные решения обладают еще целым рядом недостатков, и основным из них является то, что их взлом или обход можно произвести не напрямую, а через уязвимости операционной системы, поверх которой они работают. Кроме того, надежность программных решений ниже, поскольку они работают на универсальных аппаратных платформах, содержащих множество компонентов и механических элементов. Программные межсетевые экраны требуют более высокого уровня квалификации обслуживающего персонала: необходимо правильно настроить не только сам экран, но и ОС и другое вспомогательное ПО, что нередко бывает значительно сложнее. Некоторые программные межсетевые экраны даже не продаются без предоставления платных услуг по их настройке. Их обслуживание требует больших затрат, так как нужно постоянно отслеживать уязвимости и устанавливать заплатки не только в специализированном ПО, а и в операционных системах, в которых их гораздо больше. Кроме того, возможны некоторые проблемы с совместимостью между программным обеспечением, особенно после установки дополнительных заплаток. Правила допуска персонала в помещение, в котором установлен программный межсетевой экран, должны быть более строгими, ведь к универсальной аппаратной платформе можно произвести подключение различными путями. Это и внешние порты (USB, LPT, RS-232), и встроенные приводы (CD, Floppy), а, вскрыв платформу, можно подключиться через дисковый интерфейс (IDE, SATA или SCSI). При этом открытая операционная система позволяет без проблем установить различные вредоносные программы. И, наконец, универсальная аппаратная платформа имеет большую потребляемую мощность, что негативно сказывается на времени ее работы от источника бесперебойного питания в случае исчезновения электроэнергии.

Споры о предпочтительности программных или аппаратных решений ведутся давно, но любые технические средства – это лишь инструмент в руках тех, кто их эксплуатирует. И чаще всего проблемы с безопасностью возникают из-за невнимательности или низкой квалификации ответственных за это лиц, а не выбора той или иной платформы. Опытный сетевой администратор может из программного экрана сделать решение не хуже, а то и лучше, чем аппаратное. Вопрос в том, что таких специалистов не так уж много. Мало того, некоторые из известных производителей аппаратных межсетевых экранов используют в своих устройствах программные решения других компаний. В данном случае производитель аппаратного решения как раз и берет на себя те проблемы, которые присущи программным продуктам, т. е. подбирает специализированную аппаратную платформу, устанавливает и конфигурирует ОС и ПО межсетевого экрана. В качестве примера можно привести устройства от Nokia и Nortel Networks, в которых используются программные продукты компании Check Point. Аппаратные экраны конструктивно могут быть реализованы в виде отдельного устройства, а также как модуль или программная служба маршрутизатора или коммутатора.

Итак, межсетевые экраны предназначены для защиты периметра сети, и соответственно должны устанавливаться на ее границе таким образом, чтобы весь трафик, циркулирующий между сетями, проходил через них. Существует довольно много различных топологий установки устройств, рассмотрим лишь основные. Простейший из них: экран располагается между корпоративной и публичной сетями и контролирует проходящий через него трафик. Еще один вариант – установка двух межсетевых экранов и выделение между ними так называемой демилитаризованной зоны. Таких зон может быть несколько.

Как правило, для организации демилитаризованных зон используют не несколько устройств, а реализуют их на одном, применяя для каждой различные физические или логические интерфейсы экрана. Предпочтительнее именно физические интерфейсы – в этом случае трафик из разных зон не будет проходить по одним и тем же физическим линиям связи.

DMZ – это зона с пониженным уровнем доверия, т. е. кроме нее обязательно есть еще две: зона внутренней локальной сети (с самым высоким уровнем доверия) и зона внешней публичной сети (c самым низким уровнем доверия).

Демилитаризованных зон может быть больше двух. Это зависит от структуры каждой конкретной компании. Очень часто выделяются отдельные зоны для работы с партнерами, например, одна – для доступа локальных пользователей к Интернету, другая – для размещения в ней публичных ресурсов, третья – для работы с партнерами. Размещать такую базу в локальной сети опасно, все-таки партнер – это не часть собственной структуры и доверия к нему гораздо меньше. Но и оставлять ее в зонах, к которым есть доступ из Интернета, тоже опасно, поэтому такие ресурсы размещают в отдельных зонах.

При правильной реализации межсетевой экран может обеспечить довольно высокий уровень безопасности, однако следует помнить, что данные устройства не защищают от вирусов и «троянских» программ. Межсетевые экраны, даже работающие на уровне приложений, не просматривают содержимое пакета (поле данных), они анализируют только служебные поля. И если сессия HTTP, FTP, SMTP или другого протокола уровня приложений протекает нормально, то она не будет заблокирована, но в полях данных пакетов, передаваемых в пределах этих сессий, может находиться вредоносное содержимое. Поскольку межсетевой экран устанавливается на периметре, он не защищает и от атак, реализованных из локальной сети. Для защиты от вышеперечисленных угроз применяются устройства, называемые системами обнаружения вторжений (Intrusion Detection System – IDS).

Безопасность в локальных сетях

Прежде чем перейти к рассмотрению способов обеспечения безопасности в локальных сетях, обратимся к статистическим данным. Ежегодно ФБР и Институт компьютерной безопасности США проводят совместные исследования и собирают статистические данные на тему информационной безопасности. Один из вопросов, задаваемых респондентам, звучит так: «Какое количество инцидентов, связанных с безопасностью, зафиксировано в вашей организации? Какое их количество вызвано внешними нарушителями, а какое внутренними?». Согласно отчету за 2004 г., число внутренних и внешних инцидентов практически одинаково, т. е. из локальной сети атаки реализуются не реже, чем снаружи, а следовательно, и защищать ее необходимо не меньше.

Настораживает количество затруднившихся ответить, что с точки зрения информационной безопасности еще хуже, чем если бы респондент сказал, что у него произошло более 100 инцидентов. Это свидетельствует о том, что система информационной безопасности построена абсолютно неправильно, т. е. служба безопасности совершенно не знает, что происходит в организации

Аналогичное исследование в том же году попыталась провести и Российская компания InfoWatch. Его результаты заметно отличаются от данных западных исследований, причем очень сильно настораживает количество затруднившихся ответить, что с точки зрения информационной безопасности еще хуже, чем если бы респондент сказал, что у него произошло более 100 инцидентов. Это свидетельствует о том, что система информационной безопасности построена абсолютно неправильно, т. е. служба безопасности совершенно не знает, что происходит в организации.

Более-менее четкий ответ смогли дать лишь 6% респондентов, из которых 99% затруднились оценить нанесенный ущерб в денежном выражении по причине отсутствия системы учета или нежелания терять время. 26% опрошенных заявили об отсутствии подобных инцидентов, однако уточняющий вопрос о возможности существования неучтенных утечек выявил почти 100%-ную латентность: такие случаи наверняка имеют место, но остаются неучтенными или намеренно не фиксируются по различным причинам.

Так как же все-таки обеспечить безопасность в локальной сети? Один из наиболее простых и дешевых способов – сегментировать ее при помощи технологии виртуальных сетей (VLAN), т. е. выделить для каждой из структурных групп свою виртуальную подсеть. Например, бухгалтерию разместить в одном сегменте сети, сетевых администраторов во втором, руководство – в третьем, чтобы ни при каких обстоятельствах трафик из одной подсети не попадал в другую. Наверняка в организации будут какие-то общие ресурсы, к которым обязателен доступ и бухгалтерии, и руководства, и других сотрудников. В этом случае рекомендуется такие ресурсы вынести в отдельную виртуальную подсеть и настроить для доступа в нее правила ограничения и контроля трафика при помощи списков контроля доступа, т. е. точно так же, как это делается на межсетевых экранах. Естественно, коммутаторы локальной сети при этом должны обладать необходимой функциональностью.

Одним из надежных способов обеспечения безопасности является применение протокола IEEE 802.1x. До его появления аутентификация пользователей производилась только на конечных ресурсах – почтовых и Web-серверах, базах данных и др. В результате злоумышленник, подключившись к порту коммутатора, уже мог реализовать определенные типы атак. Стандарт 802.1x позволяет аутентифицировать пользователя на канальном уровне, т. е. непосредственно на порту коммутатора. Если пользователь не прошел аутентификацию, то коммутатор не будет принимать от него и передавать ему пакеты данных. Для организации этого процесса в соответствии с 802.1х в сети нужно установить сервер аутентификации (например, RADIUS) и данный способ аутентификации должен поддерживаться коммутатором и клиентской операционной системой, или же, если в ОС нет встроенных средств, – устанавливается дополнительный саппликант. В продуктах компании Microsoft поддержка 802.1х присутствует начиная с Windows 2000.

Естественно, один из самых эффективных способов обеспечения безопасности в локальных сетях – использование систем обнаружения вторжений (IDS). Такие системы, в отличие от межсетевых экранов, анализируют не только служебные поля пакетов, а и их содержимое, в результате они могут выявлять довольно сложные по реализации атаки, вирусы и «троянские» программы. На сегодняшний день большинство таких систем научились обнаруживать работу пиринговых сетей и различных мессенджеров, работающих поверх стандартных протоколов, чаще всего – HTTP и условно вредоносного ПО (adware, spyware).

Поскольку IDS просматривают все содержимое пакета (а иногда в качестве такового может выступать заархивированная информация, которую перед проверкой необходимо сначала разархивировать), то производительность их является довольно низкой – это один из основных критериев при выборе системы обнаружения вторжений.

Данные системы для обнаружения атак могут использовать различные механизмы. Наиболее распространенный способ – сигнатурный анализ – заключается в том, что информация, передаваемая в полях данных пакетов, сравнивается с сигнатурами (описаниями атак) на предмет совпадения. Например, наличие строки «GET . cgi-bin ./etc/passwd» в области данных HTTP-пакета свидетельствует об использовании эксплойтов типа phf, php или aglimpse. Недостаток этого способа в том, что обнаружить можно лишь известные атаки, сигнатуры которых уже подготовлены и загружены в устройство. Для выявления неизвестных атак используется эвристический анализ, а также анализ аномалий в сетевой активности и в работе системы.

В зависимости от типа и реализации IDS могут выполнять определенные действия: уведомлять системного администратора, отбрасывать пакеты вредоносной сессии, разрывать такую сессию, удалять вредоносное содержимое из поля данных пакета, запрещать изменение системной информации.

Существует три основных класса систем обнаружения вторжений. Прозрачные сетевые IDS (Transparent Network IDS – TNIDS) устанавливаются в разрыв сетевого подключения. Сенсорные сетевые IDS (Sensor Network IDS – SNIDS) подключаются к сегменту сети одним портом и прослушивают трафик, попадающий на этот порт. Если локальная сеть является коммутируемой, то подключение сенсорных IDS производят к зеркальным портам коммутаторов, на которые направляется необходимый для прослушивания трафик. Хостовые IDS (Host IDS – HIDS) представляют собой программное обеспечение, инсталлируемое на рабочих станциях или серверах и обеспечивающее их защиту.

Устанавливать системы обнаружения вторжений следует в первую очередь между сетевым экраном и локальной сетью и в демилитаризованных зонах, организованных на интерфейсах экрана. В этом случае IDS будут обеспечивать как безопасность периметра сети (поскольку сами межсетевые экраны не обладают такой функциональностью), так и защиту локальной сети (при реализации атаки из которой взломщику все равно потребуется передать какую-то информацию во внешние сети и в этом случае IDS смогут обнаружить такую атаку). Рекомендуется устанавливать IDS-системы и в самых критических местах локальной сети, например, в сегментах, где находятся рабочие места руководства компании, в зонах подключения серверных ферм, магистральных каналах связи (между коммуникационными центрами). Но важно помнить, что производительность IDS ограничена и контроль трафика в таких местах как серверные фермы и магистральные соединения может быть затруднительным.

Для серверов оптимальным будет применение хостовых IDS. Иногда системы обнаружения вторжений устанавливают перед брандмауэром или маршрутизатором, со стороны его WAN-порта. В этом случае можно более точно отследить, кто, каким образом и к каким ресурсам пытается получить доступ, но данная IDS будет генерировать значительное количество сообщений, которые придется разбирать системным администраторам, на что нередко не хватает ресурсов. Поэтому чаще всего IDS устанавливают так, чтобы они обнаруживали атаки, прошедшие через межсетевой экран или реализованные из локальной сети.

Системы IDS могут быть выполнены в виде отдельного аппаратного устройства, программного обеспечения, модулей или программных служб межсетевых экранов, маршрутизаторов или коммутаторов. Некоторые межсетевые экраны имеют встроенные службы обнаружения вторжений, но они, как правило, используют только сигнатурный способ. У разных производителей различный подход к реализации систем IDS. Например, в продуктовой линейке компании Cisco есть выделенные полноценные аппаратные SNIDS, HIDS, модули к маршрутизаторам и коммутаторам, реализующие различные механизмы обнаружения вторжений, большие обновляемые базы сигнатур, при этом межсетевые экраны Cisco (PIX) поддерживают довольно ограниченную необновляемую базу. Компания D-Link не имеет выделенных систем IDS, но ее межсетевые экраны оснащены полноценными встроенными IDS с обновляемыми базами сигнатур.

Кроме систем обнаружения вторжений существуют еще и системы предотвращения вторжений (Intrusion Prevention System – IPS). Данный термин применяют для двух абсолютно разных классов устройств. Во-первых, так называют системы обнаружения вторжений, умеющие выполнять активные действия, т. е. разрывать сессии, удалять вредоносное содержимое и т. д. (говоря о таких системах, чаще всего используют аббревиатуру IDS/IPS). Во-вторых, этим термином именуют анализаторы безопасности. Как правило, это программное обеспечение, позволяющее проанализировать хосты системы на предмет наличия последних сервисных пакетов и заплаток, открытых портов, запущенных, но не использующихся служб, правильности настроенной политики безопасности и аудита. Такие анализаторы выдают подробные отчеты об обнаруженных потенциальных уязвимостях и рекомендации по их устранению. Из бесплатных продуктов хотелось бы выделить анализатор для ПО Microsoft – Microsoft Baseline Security Analyzer (MBSA), который доступен для свободной загрузки с сайта компании.

Построение демилитаризованных зон – пример

Необходимость и правила построения демилитаризованных зон лучше всего рассмотреть на примере реальной корпоративной сети. В данном случае для каждой из них выделен отдельный физический интерфейс межсетевого экрана. Интерфейс WAN подключен к публичной сети (Интернету), LAN – к локальной сети, в которой находятся все корпоративные службы: контроллер домена, корпоративный почтовый сервер, прокси-сервер для обеспечения доступа пользователей в Интернет, DNS-сервер, обслуживающий локальную сеть, базы данных и др. На интерфейсе DMZ1 расположена демилитаризованная зона, обеспечивающая доступ к Интернету корпоративных (локальных) пользователей. На интерфейсе DMZ2 – зона, в которой размещены корпоративные ресурсы с доступом со стороны внешних клиентов, например, Web- и FTP-серверы, к которым может обратиться любой пользователь Интернета.

Построение демилитаризованных зон на примере организации служб реальной корпоративной сети

На межсетевом экране при помощи статических пакетных фильтров создаются списки контроля доступа – в них указывается, кто и куда имеет право заходить. Прежде всего запрещается любой обмен трафиком между LAN- и WAN-интерфейсами. Если какому-то локальному клиенту необходим доступ в Интернет, он обращается к соответствующей службе в локальной сети, последняя, в свою очередь, – к службе-посреднику в зоне DMZ1, а посредник – к нужному ресурсу в Интернете. Почему все так сложно? Рассмотрим на примере почтовой службы. На корпоративном почтовом сервере производится аутентификация пользователей (причем, как правило, не локально на самом сервере, а при помощи какой-то централизованной базы, скажем, на котроллере домена Windows NT/2000/2003) и поддерживаются их почтовые ящики. Если такому серверу мы разрешим непосредственно выходить в Интернет, то в случае его взлома нарушитель может получить доступ к конфиденциальной информации, хранящейся в почтовых ящиках пользователей, а также к их учетным записям. Даже не получив доступа к почтовым ящикам, злоумышленник может вывести из строя сервер, на восстановление которого потребуется несколько дней. Если же в DMZ1 установить SMTP Relay и разрешить почтовому серверу общаться только с ним, задача взломщика значительно усложнится: ему необходимо будет сначала взломать Relay, установить туда «троянскую» программу, а с него уже производить атаку почтового сервера в локальной сети.

Вывод из строя посредника тоже ничем особым не грозит – его восстановление займет не более пары часов. То же самое касается и прокси-служб для доступа пользователей к HTTP, FTP и другим ресурсам. DNS-серверы, находящиеся в локальной сети и в DMZ1, вообще не общаются друг с другом. Атаки на них чреваты довольно серьезными последствиями, так как вывод из строя локального DNS-сервера может парализовать работу практически всех локальных служб, т. е. приведет к остановке всей информационной системы предприятия. Поэтому DNS-сервер, расположенный в локальной сети, производит разрешение имен только для локальных служб, а запросы к внешнему DNS-серверу, установленному в DMZ1, выполняют прокси-службы, находящиеся в той же зоне, и внешние пользователи. Как правило, DNS-зоны внешнего DNS-сервера дублируются еще и на серверах провайдера.

Если зона DMZ1 предназначена для доступа локальных пользователей к чужим ресурсам, то зона DMZ2 – наоборот, для доступа чужих пользователей к собственным (чаще всего ими являются Web- и FTP-серверы). На сегодняшний день реализация Web-служб далека от совершенства: они обладают наибольшим количеством уязвимостей, а если в них используются еще и какие-то скриптовые интерпретаторы, то более удобной точки входа в корпоративную сеть для взломщика не найти. Поэтому такие службы категорически не рекомендуется устанавливать в локальной сети и лучше всего вынести их в отдельную демилитаризованную зону.
Безопасность в беспроводных сетях

Как известно, в беспроводных сетях данные передаются с помощью радиосигнала, который, в отличие от кабельных систем, не имеет четко определенных границ и точек терминации. Естественно, это значительно затрудняет контроль над подключением устройств к такой сети. Учитывая особенности технологии, классические способы обеспечения безопасности могут не оказать должного эффекта, поэтому для защиты таких сетей используются специально разработанные механизмы и алгоритмы защиты.

Как защитить беспроводную сеть? Существует специальный стандарт, призванный обеспечить безопасные коммуникации в беспроводных сетях - IEEE 802.11i. Последний вводит понятие надежно защищенной сети (Robust Security Network, RSN) и надежно защищенного сетевого соединения (Robust Security Network Association, RSNA), после чего делит все алгоритмы на RSNA (для создания и использования RSNA) и Pre-RSNA. К Pre-RSNA-алгоритмам относятся WEP и существующая аутентификация IEEE 802.11 (имеется в виду аутентификация, определенная в стандарте редакции 1999 г.). То есть к данным типам алгоритмов относятся аутентификация Open System с WEP-шифрованием или без (точнее, отсутствие аутентификации) и Shared Key. К RSNA-алгоритмам относятся TKIP, CCMP, процедура установления и терминации RSNA (включая использование IEEE 802.1x аутентификации) и процедура обмена ключами.

Таким образом, способами шифрования, удовлетворяющими RSNA, являются: WPA-EAP (WPA-Enterprise), WPA-PSK (WPA-Preshared Key, WPA-Personal), WPA2-EAP (WPA2-Enterprise), WPA2-PSK (WPA2-Preshared Key, WPA2-Personal). На сегодняшний день нет известных уязвимостей для WPA и WPA2. Разница между WPA и WPA2 заключается в использовании в последней более криптостойкого алгоритма - AES.

Для работы алгоритмов WPA-EAP и WPA2-EAP необходимо наличие в сети сервера аутентификации, который при каждом подключении пользователя будет производить его аутентификацию и выдавать ему персональный ключ. WPA-PSK и WPA2-PSK не требуют наличия сервера аутентификации. Ключ генерируется из парольной фразы, прописанной на точке беспроводного доступа и клиентах. Недостаток WPA-PSK и WPA2-PSK заключается в том, что, во-первых, прописываемая парольная фраза одинакова для всех клиентов сети, т.е. если кто-то из пользователей сообщит ее злоумышленнику, то мы даже не узнаем кто это сделал, во-вторых, если парольная фраза не будет достаточно уникальной, то возможен ее подбор при помощи простого перебора.

Если наша сеть является сетью организации, то крайне рекомендуется использовать алгоритмы WPA-EAP и WPA2-EAP, если же это домашняя сеть, то вполне достаточно и WPA-PSK или WPA2-PSK. Кроме нас самих, других пользователей нет, т.е. парольную фразу никто никому не сообщит, и при небольшом количестве беспроводных устройств мы можем ее довольно часто менять. Если мы используем беспроводные устройства в режиме моста, т.е. организуем, например, беспроводную связь между двумя офисами при помощи двух точек доступа, то в этом случае мы можем использовать только алгоритмы WPA-PSK и WPA2-PSK, в результате необходимо или довольно часто менять на точках доступа парольные фразы или же поднять поверх такой сети шифрованный туннель, например, при помощи протокола IPSec. Из классических способов обеспечения безопасности целесообразным будет вынос беспроводной сети в отдельную демилитаризованную зону с установкой туда системы обнаружения вторжений и настройка на точках доступа фильтров по MAC-адресам. Более подробно об обеспечении безопасности в беспроводных сетях можно прочитать в предыдущих номерах журнала (itc.ua/17055 и itc.ua/21244).

Заключение

Мы попытались более-менее целостно рассказать о существующих способах и средствах защиты информационных систем и дать рекомендации по их применению.

Тема информационной безопасности настолько широка, что полностью осветить ее невозможно в принципе. Автор не претендует на истинность в последней инстанции, но личный опыт показывает, что описанный подход и механизмы обеспечения безопасности оказываются наиболее эффективными.