Remote Access Dial-In User Services
услуги коммутируемого доступа для удаленных пользователей
Черновой вариант >IETF>RFC, обеспечивающего аутентификацию, проверку полномочий и другие опереции при доступе в сеть удаленных пользователей по коммутируемым линиям.
мост
Устройство, соединяющее две или несколько физических сетей и передающее пакеты из одной сети в другую. Мосты могут фильтровать пакеты, т.е. передавать в другие сегменты или сети только часть трафика, на основе информации канального уровня (MAC-адрес). Если адрес получателя присутствует в таблице адресов моста, кадр передается только в тот сегмент или сеть, где находится получатель. Похожими устройствами являются повторители, которые просто передают электрические сигналы из одного кабеля в другой и маршрутизаторы (>router), которые принимают решение о передаче пакетов на основе различных критериев, основанных на информации сетевого уровня. В терминологии OSI мост является промежуточной системой на уровне канала передачи данных (Data Link Layer).
маршрутизатор
• Система, отвечающая за принятие решений о выборе одного из нескольких путей передачи сетевого трафика. Для выполнения этой задачи используются маршрутизируемые протоколы, содержащие информацию о сети и алгоритмы выбора наилучшего пути на основе нескольких критериев, называемых метрикой маршрутизации ("routing metrics"). В терминах OSI маршрутизатор является промежуточной системой Сетевого уровня.
• ависящий от протокола компонент межсетевого взаимодействия, настроенный так, чтобы знать какие сегменты ЛВС взаимодействуют с ним и отвечающий за передачу пакетов между сегментами по наилучшему пути. Маршрутизатор должен распознавать различные протоколы сетевого уровня, которые могут использоваться для объединения сетей. Многопротокольные маршрутизаторы могут работать с различными протоколами.
Компоненты класса защиты Heavy Duty (тяжелые условия эксплуатации) предназначены для применения без дополнительных предохраняющих средств и поэтому в полной мере подвержены разрушающему воздействию промышленной среды. В соответствии с классом защиты IP67 они должны быть абсолютно непроницаемыми и в течение некоторого времени сохранять работоспособность под водой.
Через “дыры” в системе защиты беспроводных ЛВС (БЛВС), основанной на протоколе WEP (Wired Equivalent Privacy) комитета 802.11, образно выражаясь, может проехать грузовик. К счастью, появились новые технологии обеспечения информационной безопасности БЛВС, которые описаны в стандартах 802.11i института IEEE и WPA (Wi-Fi Protected Access) организации Wi-Fi Alliance и призваны “залатать” эти “дыры”.
тандарт 802.11i, предназначенный для обеспечения информационной безопасности БЛВС крупных предприятий и небольших офисов, задуман с целью усовершенствования защитных функций стандарта 802.11. Поддерживающие стандарт 802.11i продукты должны появиться на рынке в конце текущего года. Вместе с тем необходимо отметить, что этот стандарт, предусматривающий шифрование данных и контроль их целостности, отличается повышенной сложностью реализации и может оказаться несовместимым с существующим беспроводным оборудованием.
Если в вашей организации имеется множество устаревших клиентских станций и точек доступа стандарта 802.11b, то заменить сразу все эти устройства на новые практически не реально. В этом случае лучше ориентироваться на стандарт WPA, который является подмножеством спецификаций стандарта 802.11i. Эти два стандарта совместимы друг с другом, поэтому использование поддерживающих WPA продуктов можно считать начальным этапом перехода к системе защиты на базе стандарта 802.11i. Соответствующее стандарту WPA оборудование выпускают компании Airespace, Aruba, Buffalo Technology, Cisco Systems, Proxim и другие производители.
Информационная безопасность не терпит промедления
Поскольку процесс разработки стандарта 802.11i слишком затянулся, организация Wi-Fi Alliance была вынуждена предложить собственную технологию обеспечения информационной безопасности БЛВС — WPA. Она весьма привлекательна тем, что позволяет защитить ныне действующие БЛВС, и настолько проста в реализации, что ее можно использовать в домашних офисах.
Будучи органом стандартизации, комитет IEEE 802.11i не испытал столь сильное давление рынка, какое пришлось испытать альянсу производителей Wi-Fi Alliance. Наконец-то после трех лет жарких дебатов комитет IEEE 802.11i закончил разработку своего стандарта информационной безопасности, в котором определена концепция надежно защищенной сети — Robust Security Network (RSN). Согласно требованиям этой концепции, беспроводные клиентские продукты и точки доступа должны иметь такие технические характеристики, какими не обладают большинство существующих устройств БЛВС, включая большую вычислительную мощность и поддержку сложных алгоритмов шифрования данных. Вместе с тем в защитном стандарте 802.11i предусмотрена промежуточная спецификация на так называемую переходную защищенную сеть — Transitional Security Network (TSN), в которой допускается возможность одновременного использования решений RSN и устаревших систем WEP. Однако при этом беспроводная сеть будет защищена не столь хорошо, как при переходе на архитектуру RSN в масштабе всей сети.
Между технологиями RSN и WPA много общего. Так, в них определена идентичная архитектура системы безопасности с улучшенными механизмами аутентификации пользователей и протоколами распространения и обновления ключей. Но есть и существенные различия. Например, технология WPA базируется на протоколе TKIP (Temporal Key Integrity Protocol), поддержку которого в большинстве ныне действующих устройств БЛВС можно реализовать путем обновления их ПО, а в более функциональной концепции RSN предусмотрено использование стандарта AES (Advanced Encryption Standard), с которым совместимо лишь новейшее оборудование для БЛВС.
В своей лаборатории (в Сиракузском университете) мы протестировали технологию WPA с точки зрения обеспечения целостности данных, их шифрования и аутентификации пользователей (см.: “Проверка на практике”).
Формула WPA
Структуру защитной технологии WPA можно наглядно выразить с помощью следующей формулы (представленной в виде операторов языка программирования):WPA = {802.1X + EAP + TKIP + MIC + ( RADIUS *X)}If PSK, X=0; ELSE X=1
Из этой формулы видно, что в стандарте WPA предусмотрено использование известных специалистам защитных протоколов 802.1x, EAP, TKIP и RADIUS . Механизм аутентификации пользователей основан на протоколах 802.1x (разработан для проводных сетей) и EAP (Extensible Authentication Protocol). Последний позволяет сетевому администратору задействовать множество алгоритмов аутентификации пользователей посредством сервера RADIUS .
В технологии WPA функции обеспечения конфиденциальности и целостности данных базируются на протоколе TKIP , который в отличие от протокола WEP использует более эффективный механизм управления ключами, но тот же самый алгоритм RC4 для шифрования данных. Согласно протоколу TKIP , сетевые устройства работают с 48-битовым вектором инициализации (в отличие от 24-битового вектора инициализации протокола WEP) и реализуют правила изменения последовательности его битов, что исключает повторное использование ключей и осуществление replay-атак. В протоколе TKIP преду-смотрены генерация нового ключа для каждого передаваемого пакета и улучшенный контроль целостности сообщений с помощью криптографической контрольной суммы MIC (Message Integrity Code), препятствующей хакеру изменять содержимое передаваемых пакетов (forgery-атака).
Система сетевой безопасности стандарта WPA работает в двух режимах: PSK (Preshared Key) и Enterprise (корпоративный). Для развертывания системы, работающей в режиме PSK, необходим разделяемый пароль. Такую систему несложно устанавливать, но она защищает БЛВС не столь надежно, как это делает система, функционирующая в режиме Enterprise с иерархией динамических ключей. Хотя протокол TKIP работает с тем же самым блочным шифром RC4, который предусмотрен спецификацией протокола WEP, технология WPA защищает данные надежнее последнего. Представители Wi-Fi Alliance утверждают, что эта технология была разработана именитыми криптографами и досконально проверена ими.
Между тем определенный по умолчанию в стандарте IEEE 802.11i механизм обеспечения конфиденциальности данных основан на блочном шифре стандарта AES . Использующий его защитный протокол получил название Counter-Mode CBC MAC Protocol, или CCMP. Для этого протокола AES играет ту же роль, что и RC4 для протокола TKIP . Основное различие между протоколами CCMP и TKIP проявляется на нижних уровнях модели OSI, где происходят шифрование и расшифровка передаваемых данных: TKIP использует четыре временных ключа шифрования, тогда как AES — только три. Оба протокола работают с одним и тем же механизмом управления ключами.
Чтобы точки доступа БЛВС стали совместимыми со стандартом WPA, достаточно модернизировать их ПО. Для перевода же сетевой инфраструктуры на стандарт 802.11i потребуется новое оборудование, поддерживающее алгоритм шифрования AES . Однако если вы купили свои точки доступа в этом году, то скорее всего сможете сделать их совместимыми со стандартом 802.11i путем модернизации их ПО. Дело в том, что многие новые корпоративные точки доступа имеют достаточно большую вычислительную мощность для реализации протоколов, предусмотренных стандартом 802.11i, но соответствующее программное обеспечение для них появится только после утверждения данного стандарта.
Чтобы использовать технологию WPA на беспроводных клиентских устройствах, необходимо обновить их клиентское ПО или драйверы. Но обеспечить соответствие названных устройств стандарту 802.11i значительно сложнее. Дело в том, что AES -шифрование создает большую нагрузку на центральный процессор беспроводного клиентского устройства, которая слишком велика для большинства таких средств, поэтому имеющиеся ноутбуки и карманные ПК придется заменить соответствующими новыми продуктами с более высокой производительностью, которая позволит использовать их в RSN.
Аутентификация по протоколу RADIUS
Чтобы корпоративные точки доступа работали в системе сетевой безопасности стандарта WPA или 802.11i, они должны поддерживать аутентификацию пользователей по протоколу RADIUS и реализовывать преду-смотренный стандартом метод шифрования — TKIP или AES , что потребует модернизации их ПО. И еще одно требование — быстро осуществлять повторную аутентификацию пользователей после разрыва соединения с сетью. Это особенно важно для нормального функционирования приложений, работающих в реальном масштабе времени (например, средств передачи речи по БЛВС). На рынке представлены специально предназначенные для работы с точками доступа серверы RADIUS (серверы WLAN RADIUS ). Эти продукты поставляют такие компании, как Funk Software, Meetinghouse Data Communications и Interlink.
Если ваш сервер RADIUS , применяемый для контроля доступа пользователей проводной сети, поддерживает нужные методы аутентификации EAP, то его можно задействовать и для аутентификации пользователей БЛВС. В противном случае стоит установить сервер WLAN RADIUS , который будет взаимодействовать с имеющимся сервером RADIUS в качестве сервера-посредника. Сервер WLAN RADIUS работает следующим образом: сначала он проверяет аутентифицирующую информацию пользователя (на соответствие содержимому своей базы данных об их идентификаторах и паролях) или его цифровой сертификат, а затем активизирует динамическую генерацию ключей шифрования точкой доступа и клиентской системой для каждого сеанса связи. Для работы технологии WPA требуется механизм EAP-TLS (Transport Layer Security), тогда как в стандарте IEEE 802.11i применение каких-либо конкретных методов аутентификации EAP не оговаривается. Выбор метода аутентификации EAP определяется спецификой работы клиентских приложений и архитектурой сети.
Чтобы ноутбуки и карманные ПК работали в системе сетевой безопасности стандарта WPA или 802.11i, они должны быть оснащены клиентскими программами, поддерживающими стандарт 802.1x. Компании Funk и Meetinghouse предлагают такие программы (в виде добавочных модулей) для различных клиентских ОС, а фирма Cisco включила ее в свою утилиту Aironet Client Utility. Компания Microsoft предусмотрела наличие поддержки стандарта 802.1x в ОС Windows XP; соответствующую клиентскую программу для ОС Windows 2000 можно загрузить бесплатно с ее Web-сервера. К сожалению, эти клиентские программы, заранее включаемые в ОС и в другие средства, как правило, поддерживают не все методы аутентификации EAP.
Варианты реализации технологии WPA
Самым простым с точки зрения развертывания вариантом системы сетевой безопасности стандарта WPA является система, работающая в режиме PSK. Она предназначена для небольших и домашних офисов и не нуждается в сервере RADIUS , а для шифрования пакетов и расчета криптографической контрольной суммы MIC в ней используется пароль PSK. Обеспечиваемого ею уровня информационной безопасности сети вполне достаточно для большинства вышеуказанных офисов. С целью повышения эффективности защиты данных следует применять пароли, содержащие не менее 20 символов.
Реализовать систему стандарта WPA, работающую в режиме PSK, действительно очень просто. Прежде всего нужно проверить, совместимы ли ваши беспроводные устройства со стандартом WPA, и при необходимости модернизировать их ПО. Для проверки устройств на совместимость воспользуйтесь списком сертифицированных продуктов, который вы найдете на Web-сайте организации Wi-Fi Alliance (http://www.wi-fi.org/OpenSection/certified_products.asp?TID=2). Имеющееся в составе ОС Windows XP клиентское ПО неплохо работает в сетях небольших и домашних офисов, но для лучшей защиты данных мы настоятельно рекомендуем вам обновить его (см.: http://support.microsoft.com/?kbid=815485). Более подробную информацию о развертывании системы сетевой безопасности стандарта WPA, работающей в режиме PSK, вы найдете по адресу http://www.tomsnetworking.com/Sections-article50-page10.php.
Предприятиям целесообразно внедрять у себя системы сетевой безопасности стандарта WPA с серверами RADIUS . Большинство компаний предпочитают именно такие системы, поскольку работающие в режиме PSK решения сложнее администрировать и они более уязвимы для хакерских атак. Чтобы эффективно использовать протокол RADIUS , нужно тщательно проанализировать достоинства и недостатки всех методов аутентификации EAP.
Как поступить сегодня
Если для выполнения критически важных операций ваша компания использует портативные компьютерные устройства, то оснастите их ПО поддержки стандарта WPA, поскольку такие устройства не совместимы с ресурсоемким протоколом шифрования AES сети RSN. До тех пор пока средства стандарта 802.11i не станут доступными на рынке, WPA будет оставаться самым подходящим стандартом для защиты БЛВС..
(Быстрые кадры): Технология "быстрых кадров" повышает пропускную способность путём увеличения числа битов, передаваемых в одном кадре, и уменьшения времени передачи кадра с помощью оптимизации динамической передачи. Эта технология расширяет возможности пакетной передачи данных, обеспечивая увеличение производительности. Технология "быстрых кадров" также основывается на проекте стандарта 802.11e QoS.
(Пакетная передача данных): Техника пакетной передачи помещает большее количество данных в один кадр. Поскольку в каждый пакет можно вставить больше несформированых данных, обеспечивается не только доставка большего количества данных, но и уменьшается количество трафика в сети. Пакетная передача данных преобразует длинный двоичный код в простые уравнения, в результате чего уменьшается общее количество 0 и 1 передаваемых по сети. Эта технология определена как один из методов повышения производительности в проекте стандарта IEEE 802.11 e QOS .
MIMO (Multiple Input Multiple Output — «несколько входов и несколько выходов»). Технология предполагает установку нескольких антенн на передающем и принимающем концах беспроводного соединения, что делает возможной одновременную обработку нескольких пространственно разделенных потоков данных, занимающих один и тот же частотный диапазон. Пространственное разнесение антенн и мультиплексирование сигналов — ключевые особенности технологии MIMO, позволяющие заметно повысить эффективность радиосвязи.
396892056 Online!
