Превзошли ли беспроводные сети безопасность проводных сетей?

Мне часто кажется, что термин «беспроводная сеть» стал почти синонимом термина «небезопасная». С тех пор, как беспроводные сети стали популярными, Интернет был наводнен историями о кошмарах безопасности беспроводных сетей. Мошеннические точки доступа, шпионы на парковках и антенны для банок Pringles — все это было головной болью, с которой приходилось сталкиваться администраторам беспроводных сетей. Заявление о том, что беспроводные сети более безопасны, чем проводные, кажется абсолютно нелепым, но так ли это?

Позвольте мне начать с того, что я не считаю, что беспроводные сети более безопасны, чем проводные сети в целом. Однако есть определенные аспекты безопасности беспроводной сети, которые превосходят то, что традиционно используется в проводных сетях. Для этого есть две основные причины.

Первая причина, по которой некоторые механизмы безопасности беспроводных сетей лучше, чем те, которые используются в проводных сетях, связана с проблемой изображения, которая преследует беспроводные сети с самого начала. Беспроводные сети всегда имели репутацию небезопасных. Несмотря на это, спрос на беспроводное оборудование был беспрецедентным. Поскольку беспроводные сети стали настолько популярными, десятки компаний вложили большие деньги в разработку продуктов и архитектур, предназначенных для обеспечения безопасности беспроводных сетей. Конечно, существует множество продуктов для обеспечения безопасности и для проводных сетей, но решения для обеспечения безопасности для беспроводных сетей кажутся мне несколько более уникальными и оригинальными.

Другая причина, по которой беспроводные сети, как правило, более безопасны, чем проводные, заключается в общей философии сети. Например, представьте, что вы создали небольшую сеть с Windows 2003 Server и пятью рабочими станциями под управлением Windows XP. Все машины совершенно новые, и никто, кроме вас, не прикасался к оборудованию. Вы установили все операционные системы, приложения и исправления безопасности. ПК никогда не были доступны конечным пользователям или Интернету. Вопрос, который я задаю вам, заключается в том, доверяете ли вы рабочим станциям в вашей сети? Конечно, вы делаете.

А теперь немного изменим ситуацию. Предположим, что все так же, как и раньше, но сервер и ПК являются частью беспроводной сети, а не подключены к коммутатору. Предполагая, что ваша беспроводная точка доступа работает в стандартной конфигурации, доверяете ли вы компьютерам в вашей сети? Надеюсь, вы сказали «нет», потому что с общей конфигурацией беспроводной сети у вас нет возможности гарантировать, что компьютеры, подключенные к вашей беспроводной сети, действительно являются вашими компьютерами. Конечно, ваши компьютеры подключены к беспроводной сети, но ваши соседи также могут подключаться к вашей сети.

Суть, которую я пытаюсь подчеркнуть, заключается в том, что общая философия проводных и беспроводных сетей заключается в доверии. В проводной сети аппаратное обеспечение находится под непосредственным контролем сетевого администратора, и поэтому общее отношение к рабочим станциям, как правило, доверительное. В беспроводной сети хорошо известен тот факт, что кто-то может сидеть на парковке с ноутбуком и получать доступ к вашей беспроводной сети. Таким образом, общее отношение к беспроводным рабочим станциям, как правило, крайне недоверчиво.

Эта разница в отношении часто приводит к тому, что одни и те же администраторы, которые делают все возможное для обеспечения безопасности беспроводной сети, почти пренебрегают безопасностью проводной сети. Хотя позвольте мне задать вам еще один вопрос. Есть ли в вашем офисе неиспользуемые сетевые разъемы или неиспользуемые порты коммутатора? Если бы кто-то смог проникнуть в офис и подключить ноутбук к одному из этих неиспользуемых разъемов, сохранили бы вы тот же уровень доверия к оборудованию в вашей проводной сети?

Одной из основных функций большинства точек беспроводного доступа является список рабочих станций, которым разрешен доступ к беспроводной сети. Эта функция позволяет вам ввести MAC-адрес каждой беспроводной сетевой карты, которой владеет ваша компания. Таким образом, если кто-то попытается подключиться к вашей сети, точка доступа проверит, разрешен ли MAC-адрес сетевой карты. Если нет, то в соединении отказано.

Хотя эта технология не совсем идеальна. Есть еще несколько способов, которыми хакер может взломать беспроводную сеть. Например, некоторые сетевые карты позволяют вам установить MAC-адрес на адрес по вашему выбору. Хакер может шпионить за сетью, получить адрес действительного сетевого адаптера, а затем назначить этот адрес своему собственному сетевому адаптеру. Также возможно, что хакер может украсть одну из ваших сетевых карт и использовать ее для получения доступа к сети.

В то же время вы должны помнить, что фильтр управления доступом к мультимедиа — не единственная линия защиты. Хотя это отличная отправная точка. Проблема в том, что в большинстве проводных сетей нет такой функции. Администраторы исходят из того, что каждый компьютер в проводной сети имеет право находиться там, поэтому нет необходимости внедрять фильтр управления доступом к среде.

Хорошо, я признаю, что вероятность того, что кто-то просто войдет с улицы и подключит ноутбук к пустому сетевому разъему, довольно мала. Хотя подумайте об этом. Мошеннические точки доступа были огромной проблемой для корпораций. Было бесчисленное множество ситуаций, когда компании не нужна беспроводная сеть, а сотруднику она нужна, поэтому они устанавливают собственную точку доступа. Также были случаи, когда сотрудник злился из-за того, что ему не предоставили доступ к беспроводной точке доступа, поэтому он устанавливал свою собственную.

Сотруднику не нужен запасной сетевой разъем для установки мошеннической точки доступа. Точки доступа обычно имеют встроенный мини-концентратор. Пользователь может просто отключить свой ПК и подключить точку доступа к сетевому разъему, который использовал ПК. Затем они могут подключить свой компьютер к точке доступа. Так какое это имеет отношение к средствам управления доступом к медиа? Большинство точек беспроводного доступа имеют собственный MAC-адрес. Следовательно, если в вашей проводной сети установлен фильтр MAC-адресов, мошенническая точка доступа никогда не сможет получить доступ к остальной части сети.

Шифрование

Вы бы общались по беспроводной сети без использования шифрования? Конечно, нет, но многие проводные сети позволяют передавать большинство сообщений в незашифрованном виде. Проводные сети так же подвержены прослушиванию, как и беспроводные сети. Единственная разница заключается в том, что посторонние могут отслеживать беспроводные сети, а для отслеживания проводной сети требуется физическое соединение. Тем не менее, я видел множество случаев, когда сотрудник использовал анализатор протокола для слежки за коллегами.

Microsoft начала предлагать шифрование IPSec в Windows 2000 и продолжает предлагать его в Windows Server 2003 и Windows XP. Однако многие компании предпочитают шифровать только трафик, проходящий между серверами. Хотя, безусловно, есть исключения, большая часть трафика, проходящего между серверами и рабочими станциями, обычно не шифруется.

Пару лет назад считалось, что большая часть трафика рабочих станций не должна шифроваться из-за нагрузки, которую шифрование возлагает на сеть. Процесс шифрования и дешифрования потребляет вычислительную мощность, а зашифрованные пакеты обычно потребляют больше пропускной способности сети.

Хотя когда-то это могли быть веские аргументы, я считаю, что пришло время зашифровать весь сетевой трафик. Существуют сетевые карты, которые могут выполнять процесс шифрования и дешифрования, не нагружая процессор. Точно так же гигабитные сетевые карты стали достаточно дешевыми, поэтому дополнительная пропускная способность, необходимая для зашифрованных пакетов, больше не должна быть большой проблемой.

Изоляция

Еще один способ, которым безопасность беспроводной сети превзошла безопасность проводной, заключается в том, что она изолирована. Во многих компаниях все, что поступает через беспроводную точку доступа, автоматически считается ненадежным, пока отправитель не сможет доказать обратное. Поскольку эфир считается небезопасной средой, беспроводной трафик обрабатывается иначе, чем проводной. Компании обычно устанавливают VPN для пользователей беспроводной сети.

Идея состоит в том, что когда пользователь подключается к беспроводной сети, он полностью изолируется от остальной сети до тех пор, пока не пройдет аутентификацию. Часто механизм аутентификации даже не допускает прямого доступа к контроллеру домена. Вместо этого сервер RADIUS обычно используется для аутентификации пользователей беспроводной сети. Как только аутентификация установлена, пользователь связывается с сетью через безопасный туннель.

Что интересно, так это то, что VPN-подключение использует собственное шифрование. В то же время беспроводной сигнал уже зашифрован с помощью WPA или чего-то подобного. Это означает, что законный беспроводной трафик шифруется дважды с использованием двух совершенно разных протоколов шифрования.

На мой взгляд, изоляция сегментов проводной сети и требование аутентификации RADIUS, вероятно, в большинстве случаев является излишним. Это хороший пример того, как механизмы безопасности беспроводных сетей являются более строгими, чем те, которые используются в проводных сетях.

Вывод

Хотя я не считаю, что беспроводные сети, как правило, более безопасны, чем проводные, нет никаких сомнений в том, что безопасности беспроводных сетей уделяется больше внимания, чем безопасности проводных сетей. Если вы действительно обеспокоены безопасностью вашей проводной сети, возможно, стоит взглянуть на механизмы безопасности, используемые в вашей беспроводной сети, и посмотреть, можно ли какой-либо из этих методов адаптировать к вашей проводной сети.