Интернет-служба обеспечения безопасности беспроводных сетей WSC Guard – THG.RU

Введение

Безопасные беспроводные сети – это то, что хотят многие, но используют единицы. Связано это с падением производительности на старых продуктах 802.11b, возможностью взлома шифрования WEP и с трудностями, которые необходимо преодолеть, чтобы заставить эту чёртову штуку работать!

Компания Wireless Security Corporation (WSC) не может помочь в решении первой проблемы, однако её служба WSC Guard направлена на помощь в преодолении последних двух. Мы познакомились со службой и можем подтвердить, что она действительно интересна и полезна.

Что это такое?

Маркетинговые лозунги WSC направлены на представителей малого и среднего бизнеса, которые хотят использовать гибкость и удобство беспроводных сетей, но не желают делать это за счёт ухудшения безопасности. Предполагаемые покупатели пока ещё не доросли до того уровня, чтобы иметь ИТ-отдел в своей организации, или персонал, который обладал бы достаточной квалификацией для установки и обслуживания системы аутентификации. Сюда же входят клиенты, которые могут поддерживать свои собственные системы аутентификации, но не хотят тратить на это человеческие ресурсы.

Служба WSC Guard обеспечивает аутентификацию 802.1x через серверы WSC, доступ к которым осуществляется по Интернету посредством защищённого соединения. На число точек доступа, членов сети или гостей не накладывается никаких ограничений, но защищаемые беспроводные сети должны состоять из оборудования, находящегося в списке совместимости. Список требует некоторого пояснения.

WSC заявляет, что служба WSC Guard должна работать с “большинством” клиентов, поддерживающих 802.1x/WEP и, желательно, WPA. Но в связи с различными несовместимостями возможно возникновение проблем, поэтому WSC решила перечислить список комбинаций сетевых карт и точек доступа, которые были протестированы внутри компании и сертифицированы под работу с WSC Guard.

Среди требований к беспроводным точкам/маршрутизаторам указана также поддержка 802.1x/WEP и/или WPA. Но поскольку приложение WSC автоматически конфигурирует настройки безопасности на каждой ТД, ему необходимо знать интерфейс ТД. Поэтому если точка доступа, которую вы желаете использовать, не перечислена в списке совместимого оборудования WSC, вам нужно либо связаться с WSC и узнать, сможет ли компания поддерживать и ваш продукт, или купить один из продуктов в списке.

Беспроводное оборудование с поддержкой WPA обеспечивает наиболее надёжную безопасность, поскольку WPA использует сильное шифрование и улучшенную работу с динамическими ключами. Однако аутентификация 802.1x WSC Guard также улучшает безопасность WLAN с WEP-шифрованием, так как использует шифрованные ключи WEP и периодически их меняет/проводит повторную аутентификацию.

Совет: Служба WSC Guard поддерживает смешанные сети WEP/WPA, но тогда вам нужно создать раздельные сети без роуминга между ними. Это ограничение не WSC, а самих точек доступа, которые обычно не поддерживают одновременно клиентов WPA и WEP.

Настройка и использование

Установка осуществляется с помощью скачивания программы установки с сайта WSC и её запуска на каждом беспроводном клиенте, который должен получить доступ к защищённым WSC беспроводным сетям. Вам также нужно установить одного клиента WSC на машину с проводной сетью, если вы желаете использовать функцию резервного режима Fallback (подробнее о ней ниже). WSC даёт разумный совет сначала запустить беспроводную сеть без шифрования, чтобы отладить все возможные проблемы перед установкой WSC Guard.

У нас не возникло каких-либо проблем с установкой на ноутбук с WinXP, использующий карту BuffaloTechnology WLI-CB-G54 802.11g CardBus (с обзором можно ознакомиться здесь), подключённую к маршрутизатору Buffalo Tech WBR-G54 802.11g router (с обзором можно ознакомиться здесь). Оба устройства были предоставлены нам WSC на время тестирования.

Программа установки сначала проходит через этап создания учётной записи WSC Guard (при этом предоставляется бесплатный тестовый период на протяжении 30 дней), в результате чего создаются имя пользователя и пароль. Как только учётная запись будет создана, запускается ещё один Мастер установки, который проведёт вас через создание беспроводных сетей, каждая из которых также получает имя пользователя и пароль. Затем вам следует добавить точки доступа к каждой сети и, наконец, добавить к каждой только что созданной сети клиентов. Кстати, каждая точка доступа получает пароль, при этом программа установки просит его изменить, если пароль установлен по умолчанию.

Обратите внимание, что на всём процессе установки всё, что вам придётся делать, – это вводить последовательность имён пользователей и паролей. Вам не придётся ломать голову над различными режимами шифрования, ключами WEP, IP-адресом сервера аутентификации и т.д. Мастер установки автоматически открывает все нужные окна Windows и вводит данные, необходимые для работы аутентификации 802.1x. Конечно, точки доступа тоже автоматически настраиваются.

Если всё пройдёт хорошо, то после завершения работы программы установки вам будет выведено окно входа (Рис. 1).

Рис. 1. Окно входа.

После того, как вы введёте имя пользователя и пароль, клиент WSC Guard автоматически свяжется с сервером WSC и проведёт аутентификацию, при этом в окне системных сообщений вы получите уведомление о том, что вы подключились, а значок ключа WSC Guard станет зелёным.

Примечание: аутентификация прекрасно работала, несмотря на то, что беспроводный маршрутизатор BuffaloTech находился за главным маршрутизатором нашей сети.

Другие точки доступа и участники сети могут быть добавлены к сети с помощью клиента WSC Guard, причём большая часть администрирования осуществляется через защищённую (только для зарегистрированных пользователей) часть сайта WSC. Конечно, функции на сайте нельзя назвать расширенными, но среди них есть ряд полезных, типа добавления гостевого доступа (Рис. 2).

Рис. 2. Добавление гостевого доступа.

Каждая гостевая учётная запись имеет своё собственное имя и пароль, при этом она действует на срок от одного до 48 часов с момента её создания.
Рис. 3. Сетевые настройки.

Изменения в конфигурации сети производятся через экран сетевых настроек Modify Network setup (Рис. 3). Вы можете удалять точки доступа и получать связанную с ними информацию (производитель, MAC-адрес, версия прошивки), но вы не можете добавлять точки доступа. Последнее придётся осуществлять через клиентское приложение. Имейте в виду, что пункт Общие ресурсы/Shared Resource серого цвета пока ещё не реализован.

На этой странице также устанавливаются параметры функции определения вторжений Intrusion Detection. Мы проверили эту функцию – она работала превосходно, и оповещающее письмо приходило в течение пяти минут после неудачных попыток взлома. Эти попытки также отражались на экране журналирования Network Reporting (Рис. 4).

Рис. 4. Журналирование.

Поскольку WSC Guard является web-службой, то что же произойдёт, если соединение с Интернетом прекратится? Для этого служит резервный режим Fallback, который позволяет переключить WLAN либо в режим статического WEP-шифрования, либо режим WPA-PSK (всё зависит от того, что вы используете), но без аутентификации. Вы можете перейти в резервный режим вручную (или выйти из него) с любого клиента, на котором запущено приложение WSC Guard, или, что лучше, использовать функцию автоматического перехода Automated Fallback.

WSC рекомендует, чтобы вы настроили функцию автоматического перехода в резервный режим Automated Fallback на компьютере, подключённом к проводной сети Ethernet. Всё, что вам нужно для этого, – запустить установщик WSC Guard и отвечать “нет” практически на все вопросы. Когда ваша система перезагрузится, вызовите WSC Guard, осуществите вход в сеть и поставьте галочку, как показано на Рис. 5.

Рис. 5. Функция автоматического перехода в резервный режим.

Как показывает журнал на Рис. 5, проверка сервера аутентификации WSC осуществляется каждые две минуты (период нельзя изменить), то есть при переходе в резервный режим задержка составит, максимум, 2 минуты, если переход не осуществить вручную.

Во время перехода в этот режим беспроводные клиенты будут временно отключены от WLAN и должны затем автоматически подключиться с использованием статического ключа WEP или WPA-PSK. По данным WSC, в резервном режиме приложение WSC Guard автоматически получает зашифрованную версию ключа WEP/WPA-PSK из реестра Windows. Полученный ключ расшифровывается и используется как статический ключ при использовании WEP.

Если работает WPA, то полученный расшифрованный ключ вводится в качестве Pre-Shared Key и затем производится установка связи WPA (handshaking). Имейте в виду, что конфигурация XP Zero Config показывает, что ТД всё ещё находится в полном режиме WPA и поля ключей нельзя изменить.

Когда связь с сервером аутентификации WSC будет восстановлена, все клиенты будут отсоединены, и затем произойдёт их повторная аутентификация через окно входа WSG Guard. Вряд ли у вас возникнут какие-то проблемы с этим, если ваше соединение с Интернетом стабильно, иначе вы получите некоторые головные боли.

Недостатки

Хотя система WSC, по большей части, работала хорошо, мы всё же обнаружили несколько шероховатостей:

• Программа установки сообщила нам, что не может найти поддерживаемые адаптеры, несмотря на то, что она обнаружила наличие адаптера BuffaloTech, который указан в списке поддерживаемого оборудования на сайте WSC.
• Всё стало несколько запутанным на системе XP с запущенной Wireless Zero Config, поскольку и Zero Config, и приложение WSC Guard выдавали всплывающие оповещения. Мы обнаружили, что, как правило, мы можем игнорировать оповещения XP и просто перейти к экрану входа WSC для выполнения авторизации. Но иногда нам приходилось использовать Zero Config для выбора сети подключения, а уже затем осуществлять авторизацию.
• Важный недостаток и потенциальный источник проблем заключается в том, что приложение WSC Guard не даёт пользователю никакой информации о статусе подключения. Как только вы вводите имя пользователя и пароль, окно входа исчезает и перед вами остается окно статуса WSC Guard, где не выводится каких-либо сообщений, нет вращающегося шарика или любого другого намёка на то, что сейчас происходит. Поскольку мы не относим себя к терпеливым пользователям, мы каждый раз нажимали клавишу повторного входа (Login as New…), когда аутентификация не происходила в течение пяти секунд или около того… А случалось это часто. Возможно, задержка связана с тем, что мы используем линию ISDN на 128 кбит/с, но, вероятно, здесь играют роль и другие факторы. В любом случае, приложение должно сообщать пользователю о том, чем оно занимается.
• Нам не понравилось отсутствие журналирования для целей отладки, не считая журнала на экране автоматического резервного режима. Так что если что-то не заработает, вы долго будете искать, в чём кроются причины.
• Отсутствие кнопки logout, а также простого способа отключить эту службу.

Заключение

WSC Guard обеспечивает полезное и простое решение, которое позволит малому и среднему бизнесу оградить свои беспроводные сети от толпы варваров.

Что касается цены, то решайте сами. Она колеблется от $8 на человека в месяц (1-4 пользователя) до $5,50 на человека в месяц (1000+ пользователей). Как считает WSC, переходный момент между использованием службы и созданием своего сервера аутентификации наступает при достижении 250 пользователей.

Напоследок хотелось бы привести набившее оскомину выражение: если вы считаете, что цена беспроводной безопасности слишком высока, то её игнорирование может привести к куда большим убыткам.