Як захиститися від Wi-Fi-шпигунів
Захист. Інформаційна безпека бездротових інфраструктур – предмет пильної уваги територіально розподілених компаній, що часто переїжджають або швидко зростають.
Бездротові інфраструктури компаній умовно діляться за територіальним охопленням на три рівні – федеральні (регіональні представництва), регіональні (не більше міста чи області), локальні – обмежені конкретним приміщенням. Перший рівень забезпечують супутникові мережі зв'язку, другий – технологія Wi-Max, третій – Wi-Fi. У деяких країнах також використовується поки що мало відома в Україні технологія ZigBee. Методи забезпечення інформаційної безпеки для двох останніх технологій збігатимуться.
Навколо планети. Інформаційна безпека в супутникових каналах зв'язку забезпечується за рахунок криптографічних засобів. Тобто навіть перехоплення інформації не гарантує її використання. Дані старіють за час, який буде витрачено на розшифровку.
Супутниковий зв'язок особливо зручний у важкодоступних місцях, де єдиною альтернативою найчастіше буває місцевий інтернет-провайдер з передачею даних через dial-up-модем. Наприклад, У Мурманській чи Архангельській областях єдиним власником «провідної» інфраструктури є «Транстелеком». За цими напрямами компанія може надати канал із пропускною спроможністю не більше 64 Кбіт/с. Через нерозвиненість регіональної інтернет-інфраструктури мережа салонів «Зв'язковий» будує свою телекомунікаційну інфраструктуру на основі супутникового зв'язку. «Частина наших точок продажу розміщується в райцентрах із населенням близько 40 тис. осіб, – каже керівник IT-управління «Связного» Євген Сізов. – Будь-який інший спосіб організації не гарантував би роботу каналу передачі». В багатьохУ регіонах наземна телекомунікаційна інфраструктура відсутня зовсім, і супутникові канали стають єдиним способом надання послуг зв'язку. "Забезпечити інтернет-доступ для офісу нафтовидобувної компанії, розташованого у віддаленому куточку Якутії, можна лише за допомогою супутника", - розмірковує Олександр Ільїн, технічний директор компанії "Сінтерра".
Комплект супутникового обладнання для однієї точки коштує близько $3 тис., дозвільні документи коштуватимуть ще $300. Природно, що й вартість трафіку буде в 1,5–2 рази вищою за провідний. За оцінками генерального директора компанії «Айпінет» Мурада Софізаде, обсяг українського комерційного ринку супутникового зв'язку за технологією VSAT у 2006 році становив близько $40 млн, і наступні 5 років щорічно збільшуватиметься в рази.
Міські жителі. В основі забезпечення інформаційної безпеки мереж Wi-Max лежить шифрування та автентифікація доступу абонентських пристроїв. Дальність дії базових станцій Wi-Max – до 50 км. «Обладнання Wi-Max спочатку призначалося для побудови операторських мереж, тому питання забезпечення безпеки закладалися в нього ще на етапі розробки, – каже Дмитро Гуркін, радник генерального директора компанії «Сінтера» за новими технологіями. – Стандартом 802.16 визначено, що весь трафік має бути зашифрований за допомогою алгоритму AES, а для автентифікації користувачів використовується протокол шифрування з відкритим ключем».
Корпоративні мережі Wi-Max можуть будуватися за допомогою тих самих можливостей захисту, як і дротові VPN. На додаток до шифрування можна встановити спеціалізоване програмне забезпечення, наприклад міжмережеві екрани, що захищають від несанкціонованого доступу. Важливо пам'ятати, що Wi-Max-обладнання різних виробниківнесумісно між собою – кожен застосовує свої закриті алгоритми та методи захисту.
За даними J'son & Partners, за 2006 рік коло українських користувачів технології Wi-Max майже не збільшилося – поки що йде перший етап формування цього ринку. Не вирішено питання з ліцензуванням та частотним ресурсом. Проте інтерес є – деякі компанії вже будують корпоративні мережі із використанням Wi-Max. Дистриб'ютор преси в Україні, країнах СНД та далекого зарубіжжя компанія «Сейлс» «пов'язує» бездротовою мережею свої торгові павільйони (23 точки), розташовані біля станцій метрополітену в Москві. Процес прокладання в цих зонах виділених ліній зажадав би серйозних тимчасових та грошових витрат, пов'язаних із отриманням різних погоджень та складнощами з будівельними роботами. До того ж, у разі ремонту станції нескладно перенести крапку на кілька метрів.
Офіс – наша фортеця. Технологія Wi-Fi (стандарт IEEE 802.11) передбачає можливість зв'язку на відстані до 100 метрів від хот-споту. Щоправда, практично заважають стіни, сторонні шуми у мережі – стійке з'єднання забезпечується з відривом трохи більше 50 метрів. Звідси і «офісність» цього виду зв'язку. Несанкціоновано підключитися до корпоративної мережі Wi-Fi фактично може людина, яка перебуває у радіусі дії хот-спотів, але не обов'язково на території офісу. Фахівці рекомендують використовувати обладнання Wi-Fi, яке підтримує вдосконалений стандарт 802.11i. Що стосується застарілого IEEE 802.11, то можна знову ж таки скористатися стандартними засобами для організації VPN.
Менеджер проектів компанії US Robotics Олексій Станової радить користуватися дуже простим, але маловідомим елементом безпеки – регулювання потужності передавача. Вона дозволяє обмежити"видимість" бездротової мережі зловмисниками, що знаходяться зовні офісного приміщення. Для перехоплення даних у бездротовій мережі необхідна наявність як мінімум двох складових: програми, що сканує діапазон частот, та дешифратора. Після отримання даних для їх розшифровки необхідно знати ключі та метод шифрування. Існує спеціальне обладнання, яке аналізує код, здатне розшифрувати вкрадену інформацію на основі складної системи аналізу та обробки зашифрованих даних. «Якщо взяти до уваги те, що обладнання досить дороге, а ключі можуть постійно змінюватися, то ймовірність злому та несанкціонованого доступу досить мала», – робить висновок Олексій Становий.
Організація бездротового офісу не вирішує проблеми забезпечення зовнішнього інтернет-каналу - хот-спот доведеться підключати до точки входу оператора, а його потужність "поділиться" на учасників інформаційного обміну. Що накладає певні обмеження на пропускну спроможність мережі – що більше користувачів, то більше вписувалося потужність зовнішнього каналу. За оцінкою керівника відділу системних рішень Computer Mechanics Сергія Рацеєва, бездротовий офіс здатний забезпечувати комфортну роботу компанії або її філії з кількістю до 20 осіб. Якщо основні потреби передачі інформації полягають в інтернет-доступі, роботі з електронною поштою, друку на мережевий принтер та обміні файлами між співробітниками, вартість організації такої мережі близько $1200 (по $400 за точку). При цьому сумарна швидкість передачі не перевищить 25 Мбіт/с. Організація провідної структури обійдеться приблизно вдвічі дорожче – до $2800 (організація робочого місця – $120, вартість іншого обладнання – $400), а її швидкість передачі даних становитиме 100 Мбіт/c.
Мурад Софізаде, генеральний директор компанії«Айпінет»: – Супутниковий зв'язок спочатку передбачає більшу безпеку, ніж провідні з'єднання. При підключенні до місцевого провайдера дані компанії передаються мережами різних операторів. У кожній точці з'єднання розмивається відповідальність за збереження інформації. Оператор супутникового зв'язку передає всі дані виключно власними каналами – спочатку з супутника на наземний центр, потім від точки до точки по захищеному бездротовому каналу. При цьому використовуються засоби вбудованої шифрації як на програмному, так і на апаратному рівнях. Перехопити інформацію шляхом невирішеного доступу складно та дорого.
Дмитро Гуркін, радник генерального директора «Сінтери» за новими технологіями: – Для забезпечення інформаційної безпеки кожен виробник використовує свої методи. Наприклад, наступне поєднання: абонентський пристрій отримує лише первинний вхідний трафік і тому не може отримати інформацію від інших абонентів. Однонаправлена вхідна інформація приймається лише абонентським пристроєм конкретного користувача, ніякий інший пристрій неспроможна «бачити» ці дані. Код абонентських пристроїв і базових станцій поширюється і завантажується в зашифрованому вигляді, унеможливлюючи «інженерний» аналіз програмного забезпечення та створення «підслуховуючого» пристрою.
Сергій Рацеєв, керівник відділу системних рішень Computer Mechanics: – Розповсюдження радіосигналу в бездротових мережах зазвичай не обмежується тільки займаними компанією приміщеннями. Якщо зловмисник не робить активних атак на бездротову мережу, а виробляє лише пасивний збір інформації, що передається – виявити його технічними засобами практично неможливо. Однак можливість перехоплення переданоїінформація не означає її витоку. Використання бездротового обладнання, що підтримує стандарт IEEE 802.11i, забезпечує захищеність даних, що передаються, оскільки навіть перехоплену інформацію неможливо декодувати за час до її повного старіння.
Олексій Чередниченко, технічний консультант Symantec в Україні та СНД: – Статистика показує, що у цій сфері важливий людський чинник. Обслуговуючий персонал не завжди знає та застосовує на практиці всі сучасні механізми забезпечення інформаційної безпеки. В принципі, сучасний Wi-Fi, що базується на стандарті 802.11i, використовує протокол шифрування WPA чи WPA2. У результаті правильно налаштованої бездротової мережі несанкціонований доступ неможливий. Що стосується Wi-Max, то всі сертифіковані пристрої повинні мати два унікальні сертифікати, один для даного типу пристроїв і один для даного конкретного виробника. Так досягається цілком надійний та ефективний захист.