У більшості випадків, коли я раджу комусь використовувати бездротову мережу замість дротового для малого або домашнього офісу, мене запитують: «Це безпечно?» Звичайно, безпека - велика проблема бездротових мереж, які більш відкриті для анонімного доступу, ніж провідні мережі. Зазвичай я відповідаю, що бездротові мережі можуть бути вразливими, але це зовсім не обов'язково - все залежить від того, скільки уваги ми приділяємо безпеці. Насправді багато хто просто нехтують захистом комп'ютера, можливо, через нестачу знань або вважаючи, що нічого не втратять навіть в разі злому мережі. Windows Vista дуже добре пристосована для бездротових мереж і надійно захищена. У даній статті пояснюється, як використовувати функції для бездротових мереж Vista з метою підвищення рівня захисту на клієнтській стороні. Завдяки їм користувачі можуть підвищити безпеку бездротових мереж і вдосконалити їх функціональність у порівнянні з попередніми операційними системами.

Адміністрування бездротових мереж

У попередніх версіях Windows постачальники обладнання зазвичай надавали власний інструментарій для бездротових мереж. Цей підхід викликав труднощі як у користувачів, так і у служби підтримки, так як користувачам доводилося вивчати методи роботи зі спеціальними програмами різних постачальників, в залежності від типу комп'ютера або мережевого адаптера, а обслуговуючому персоналу управляти різноманітними клієнтськими програмами за допомогою різних інструментів, в основному самостійно. У складі Vista поставляється клієнтська програма для бездротової мережі. Ця програма не залежить від обладнання конкретного постачальника, а інтерфейс для адміністрування бездротових мереж однаковий для користувачів і адміністраторів. Єдиний центр адміністрування забезпечує новий рівень уніфікації клієнтів і спрощує управління безпекою бездротової мережі.

Підключення до бездротових мереж

Одне з найважливіших удосконалень Vista в області бездротової безпеки полягає в тому, що бездротовий клієнт розкриває набагато менше інформації про конфігурацію бездротових мереж. У попередніх версіях Windows, таких як Windows XP, клієнт періодично виконує трансляцію розсилку ідентифікаторів Service Set Identifier (SSID) всіх налаштованих бездротових мереж. Зловмисники можуть скористатися цим, перехоплюючи широкомовні розсилання, а потім змушуючи клієнтів підключатися до помилкових вузлів доступу AP з допомогою SSID, що збігається з ідентифікатором реальної бездротової мережі, заданим на клієнті, щоб витягти приватні відомості, такі як імена користувачів і пароль для підключення до цієї точки доступу .

У Vista бездротової клієнт не веде широкомовної розсилки всіх заданих ідентифікаторів SSID, а передає тільки SSID, явно задані для прихованих і пріоритетних мереж, і тільки при необхідності (наприклад, коли користувач ініціює підключення до налаштованої бездротової мережі). Якщо у користувача немає налаштованих бездротових мереж, то з клієнтської сторони не буде виходити ніяких широкомовних розсилок, що значно підвищує безпеку. Зверніть увагу, що використовувати SSID прихованої мережі не рекомендується, так як це призводить до ілюзії безпеки. Навіть якщо точка доступу не веде трансляцію передачу ідентифікаторів SSID, це роблять клієнти. Оскільки клієнтів набагато більше, ніж точок доступу, і вони мобільні, а точки доступу статичні, то зловмисник з більшою ймовірністю виявить прихований SSID, аналізуючи клієнтський широкомовний трафік, ніж отримає його з точки доступу.

У Vista підключення користувачів до прихованих мереж спрощується завдяки відображенню (неназваних мереж) в майстра Connect to a network (екран 1). Для доступу до цього майстра потрібно натиснути правою кнопкою миші на піктограмі мережі в панелі завдань і вибрати пункт Connect to a network. Якщо вибрати зі списку пункт Wireless, то будуть показані всі видимі, приховані і налаштовані бездротові мережі на комп'ютері. Якщо користувач спробує підключитися до неіменованого (прихованої) мережі, то отримає запит SSID, перш ніж почнеться перевірка справжності. Необхідність вручну вводити SSID кожен раз при підключенні до прихованої мережі запобігає трансляцію розсилку ідентифікаторів SSID з клієнтів, коли користувач знаходиться далеко від своєї мережі. Цю процедуру можна автоматизувати, налаштувавши Vista для автоматичного підключення до прихованих мереж, хоча при цьому потрібно широкомовна передача ідентифікаторів SSID. Бажана альтернатива - використовувати напівавтоматичний підхід: налаштувати приховану мережу, скасувати параметр для автоматичного підключення до мережі, але вибрати параметр для підключення до мережі, навіть якщо вона не веде трансляцію розсилку SSID. Щоб скористатися цим методом, потрібно вибрати пункт Manage Wireless Networks в утиліті Network and Sharing Center панелі управління Vista, а потім відкрити властивості бездротової мережі. При цьому підході ідентифікатор SSID і параметри перевірки автентичності мережі зберігаються на комп'ютері, але виконувати його потребує вручну.

Щоб зрозуміти, як Vista виявляє приховані мережі, слід згадати, що апаратні засоби точки доступу приховують ідентифікатори SSID, посилаючи кадр з SSID як NULL. XP і Windows Server 2003 не можуть показати такі мережі користувачеві, але в Vista подібна можливість є.

Якщо користувач намагається підключитися до незахищеної мережі, Vista сповіщає його про це. Мережа вважається вразливою, якщо в ній не використовується протокол перевірки автентичності та шифрування (або якщо застосовується ненадійний протокол). Клієнт Vista ніколи автоматично не вдається з'єднатися з вразливою мережі. Можна використовувати групову політику для настройки клієнтів на заборону всіх незахищених підключень. Автоматичні підключення можливі лише для захищених мереж, налаштованих з мережевими профілями на клієнтській стороні.

Можливості створення і підключення до мереж без точки доступу в Vista стали ширше щодо як безпеки, так і функціональності. Найважливіший захід захисту довільній мережі - реалізація протоколу персональної безпеки Wi-Fi Protected Access 2 (WPA2). Як показано на екрані 2, цей протокол є метод перевірки автентичності, обираний за замовчуванням в майстра для побудови довільних мереж. Щоб звернутися до майстра, потрібно запустити утиліту Network and Sharing Center і вибрати режим Set up a connection or network. До Vista протокол Wi-Fi Protected Access (WPA) застосовувався тільки в бездротових мережах з інфраструктурою, а для тимчасових мереж залишалися лише слабкі методи перевірки автентичності, такі як Wired Equivalent Privacy (WEP).

Ще одна корисна нова можливість для підключення Vista до бездротових мереж - процедура одноразової реєстрації Enterprise Single Sign-On групової політики. З її допомогою користувачі можуть пройти перевірку справжності в бездротової мережі і на контролерах домену (DC) в ході єдиної процедури. Спочатку справжність користувача перевіряється за допомогою 802.1x-сумісного пристрою (із застосуванням сертифіката або імені користувача і пароля). У разі успіху застосовується групова політика комп'ютера, і облікові дані передаються для процедури реєстрації в домені. Процедура єдиної реєстрації також дозволяє приєднати клієнта до домену з використанням тільки бездротової мережі, чого не можна зробити в XP. В XP необхідно спочатку підключити клієнта до провідної мережі і зареєструвати клієнта в домені, а потім почати працювати з бездротовою мережею.

Методи забезпечення безпеки

Vista підтримує багато методів перевірки автентичності та шифрування, як показано на екрані 3. WEP був найбільш широко використовуваним протоколом безпеки для бездротових мереж в попередніх версіях Windows. Хоча реалізувати WEP просто, протокол паче не вважається прийнятним методом захисту. Основний недолік WEP полягає в використанні загального ключа для шифрування трафіку (а також ініціалізації). Інші вади WEP - ненадійний алгоритм шифрування і слабкі можливості управління ключем.

Основний протокол безпеки в Vista - WPA. WPA відрізняється від WEP більш ретельним опрацюванням, кращими функціями управління ключем і алгоритмом шифрування. Але головна перевага WPA перед WEP - використання протоколу TKIP для динамічного зміни ключів шифрування при пересиланні трафіку між двома комп'ютерами. Замість циклічної перевірки надмірності (CRC), як в WEP, в WPA використовується більш надійний метод забезпечення цілісності повідомлення, іменований кодом перевірки справжності повідомлення (Message Authentication Code).

Vista має двома режимами настройки WPA: персональним та корпоративним. Налаштувати WPA-Personal простіше завдяки використанню загальної парольної фрази. Ця фраза, яка повинна бути відома (і призначена) на клієнті і вузлі доступу, є основною для шифрування. Хоча надійність WPA-Personal набагато вище, ніж у WEP, але загальна парольний фраза несе істотний ризик, тому даний варіант WPA рекомендується для малих офісів або домашніх мереж. WPA-Enterprise - набагато більш надійний протокол, але для нього потрібні пристрої 802.1x, протокол RADIUS і сервер перевірки автентичності. WPA-Enterprise призначений для великих компаній. І WPA-Personal, і WPA-Enterprise існують у версії 2 (т. Е. WPA2). Найбільш важлива відмінність версії 2 - реалізація алгоритму на основі стандарту шифрування AES замість RC4, як в WPA. З метою підвищення безпеки рекомендується WPA2, але можна зіткнутися з труднощами, якщо обладнання точки доступу або клієнта несумісне з цим стандартом.

Перевірка справжності IEEE 802.1x призначається для середніх і великих бездротових мереж з інфраструктурою перевірки автентичності, що складається з серверів RADIUS і таких баз даних облікових записів, як Active Directory (AD). Цей метод перевірки справжності не дозволяє бездротовому клієнту підключитися до бездротової мережі до тих пір, поки перевірка не буде успішно виконана. Для перевірки справжності клієнтів в стандарті 802.1x застосовується EAP з іншими методами, наприклад з використанням імені користувача і пароля (Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol version 2, PEAP-MSCHAPv2), або цифровий сертифікат і / або смарт-карта ( Extensible Authentication Protocol - Transport Layer Security, EAP-TLS).

Використання групової політики для управління бездротовими мережами

Узгоджена політика бездротового зв'язку в корпоративному середовищі - важлива умова забезпечення безпеки мережі. Групова політика є найпростішим способом примусового застосування бездротового та інших політик. Можна використовувати групову політику, щоб блокувати доступ до близько розташованим бездротових мереж інших компаній, відключити вбудовані функції бездротової автонастройки і налаштувати бездротові клієнти на автоматичне підключення до захищених бездротових мереж компанії.

У Windows 2003 і XP можна задіяти об'єкт групової політики (GPO) для настройки бездротових параметрів. Однак бездротові параметри об'єкта GPO в Windows 2003 обмежені наявними в XP. Можливості Vista набагато ширше, тому GPO охоплює всі нові функції бездротових з'єднань.

Щоб використовувати групову політику для управління бездротовими клієнтами Vista на рівні великої компанії, необхідно спочатку доповнити схему AD Windows 2003 відповідними атрибутами. У статті Microsoft «Active Directory Schema Extensions for Windows Vista Wireless and Wired Group Policy Enhancements» ( www.microsoft.com/technet/network/wifi/vista_ad_ext.mspx ) Наведені докладні інструкції для цієї процедури, а також сценарій. Після розширення схеми AD можна використовувати консоль управління груповими політиками (GPMC - підключеної до лісу компанії) Vista для настройки бездротових політик. Необхідно створити новий об'єкт GPO, потім перейти до Computer Configuration, Windows Settings, Security Settings, Wireless Network (IEEE 802.11) Policies. У Vista з'явився новий набір бездротових параметрів, тому необхідно підготувати окремі політики для XP і Vista. На щастя, необов'язково будувати окремий об'єкт GPO для кожної операційної системи і працювати з WMI. Досить натиснути правою кнопкою миші на елементі GPO Wireless Network Policies і створити нову політику XP або Vista. Якщо налаштовані бездротові політики обох типів, то бездротові клієнти XP будуть використовувати тільки свої параметри політики, а бездротові клієнти Vista - свої. Якщо параметрів політики Vista не існує, то бездротові клієнти Vista будуть використовувати параметри XP, оскільки вони представляють собою підмножина параметрів Vista. Зверніть увагу, що бездротові політики, призначені для Vista, створені з консолі GPMC Vista і пов'язані з доменом, не видно через консолі GPMC Windows 2003 (у відміну від політик XP). Але це не означає, що політики не застосовуються.

Існує безліч параметрів настройки бездротових політик, зокрема забороняють користувачам підключатися до довільних мереж і створювати нові бездротові профілі і реалізують тільки заздалегідь призначені бездротові профілі. За допомогою цих параметрів групової політики адміністратори можуть створювати бездротові профілі для деяких або для всіх користувачів, які містять інформацію про SSID, методах перевірки автентичності та шифрування і деяких додаткових можливостях 802.1x. Наприклад, якщо потрібно заздалегідь налаштувати профіль бездротової мережі для клієнта, щоб не виникало необхідності введення інших налаштувань, слід відкрити вікно нової політики, вибрати вкладку General, клацнути на кнопці Add і вибрати тип мережі (інфраструктурний або довільний). Потім потрібно ввести всі дані для потрібної бездротової мережі у вікні властивостей нової політики (приклад показаний на екрані 4). Якщо потрібно дозволити користувачам підключення тільки до явно вказаних мереж, перейдіть на вкладку Network Permissions замість вкладки General.

Використання групової політики - єдиний метод настройки процедури єдиної реєстрації Enterprise Single Sign-On в Vista. За допомогою параметрів процедури Enterprise Single Sign-On в груповій політиці можна вказати, коли буде виконуватися перевірка справжності 802.1x при реєстрації користувача, а також об'єднати облікові дані реєстрації користувача і перевірки автентичності 802.1x на контролері домену (DC). Можна вибрати між бездротової перевіркою достовірності безпосередньо перед або після реєстрації користувача і вказати затримку (в секундах) з'єднання перед початком процесу. При необхідності можна попросити користувача заповнити додаткові поля або вказати, чи будуть бездротові мережі використовувати іншу віртуальну мережу для перевірки автентичності комп'ютера і користувача. Для настройки цих параметрів відкрийте вікно нової політики, виберіть вкладку General, клацніть на кнопці Add і виберіть Infrastructure. У вікні властивостей нового профілю потрібно вибрати вкладку Security і клацнути на кнопці Advanced.

Якщо використовується перевірка справжності WPA2-Enterprise, то групова політика надає набір для настройки кешування результатів перевірки автентичності 802.1x (див. Екран 5). У розділі Fast Roaming можна налаштувати кешування парного головного ключа Pairwise Master Key (PMK) і параметри попередньої перевірки автентичності. Бездротові клієнти і точки доступу можуть кешувати результати перевірки автентичності 802.1x. Кешування цих результатів значно прискорює подальший доступ, коли бездротової клієнт повертається до точки доступу, в якій він вже пройшов перевірку. Можна вказати максимальний термін зберігання даних в кеші PMK і максимальне число записів. Завдяки попередній перевірці автентичності бездротової клієнт може виконати перевірку 802.1x з іншими бездротовими точками доступу в своїй зоні зв'язку, залишаючись підключеним до поточної точки доступу. Можна також вказати максимальну кількість спроб попередньої перевірки автентичності з вузлом доступу.

Бездротові мережі і NAP

Захист мережевих доступу Network Access Protection (NAP), новий компонент Windows Server 2008 и Vista для управління доступом до мережі (з позіцій працездатності клієнта), может застосовуватіся и до бездротовіх мереж. Vista може оголосити про свій стан працездатності при спробі підключитися до бездротової мережі 802.1x. Для роботи NAP в бездротової мережі в поточному домені повинен знаходитися Server 2008 Network Policy Server (NPS). На стороні клієнта Vista необхідно доповнити відповідним агентом примусового поміщення в карантин для 802.1x (т. Е. The EAP Quarantine Enforcement Client). Щоб налаштувати агент примусового застосування, слід відкрити консоль NAP Client Configuration console (napclcfg.msc) і перейти до вузла Enforcement Agents. Запустіть утиліту Services з панелі управління і налаштуйте службу Network Access Protection для автоматичного запуску.

Якщо клієнт, який не відповідає вимогам безпеки компанії (наприклад, не встановлені всі оновлення), намагається підключитися до корпоративної бездротової мережі, NAP відмовляє в доступі і поміщає клієнта в карантин (окрему віртуальну мережу). Звідти клієнт може звертатися тільки до серверів реабілітації (наприклад, Windows Server Update Services, WSUS), які нададуть необхідні оновлення, щоб привести клієнта в відповідність з правилами. Додаткові відомості про NAP, в тому числі про налаштування NAP для роботи з 802.1x, можна знайти за адресою technet.microsoft.com/en-us/network/bb545879.aspx.

Безпека можлива

Завдяки новим функціям Vista можна підвищити безпеку як домашніх, так і корпоративних бездротових мереж. Із застосуванням WPA2 в довільних мережах підвищується захищеність домашнього офісу, а компанії зможуть усунути вразливі місця мереж, поєднуючи Vista з новітніми технологіями безпеки.

Дамір Діздаревіч ( [email protected] ) - менеджер навчального центру Logosoft в Сараєво (Боснія). Має сертифікати MCSE, MCTS, MCITP і MCT. Спеціалізується на безпеки Windows Server і опублікував понад 350 статей в журналах по ІТ