Eter pod kluczem

Standard 802.11i umożliwia budowę bezpiecznej, korporacyjnej infrastruktury sieci bezprzewodowych bez konieczności implementacji nietypowych rozwiązań firmowych.

Standard 802.11i umożliwia budowę bezpiecznej, korporacyjnej infrastruktury sieci bezprzewodowych bez konieczności implementacji nietypowych rozwiązań firmowych.

Organizacja WiFi Alliance opublikowała specyfikację 802.11i - oczekiwany od blisko trzech lat standard zaawansowanych zabezpieczeń transmisji danych w sieciach bezprzewodowych. Specyfikacja ta ma rozwiać wątpliwości dotyczące bezpieczeństwa w sieciach radiowych i może się przyczynić do szybkiej popularyzacji sieci WiFi w dużych firmach.

Migracja będzie trudna

Testy zgodności sprzętu z 802.11i mają się rozpocząć we wrześniu, a certyfikowane urządzenia będą oznaczane symbolem WPA2 (WiFi Protected Access 2). Jako pierwsze wprowadzenie urządzeń zgodnych z tym standardem zapowiedziały firmy Aruba Wireless Networks i Cisco Systems. Aruba już w sierpniu rozpoczęła praktyczne testowanie sprzętu obsługującego funkcje 802.11i, a Cisco Systems zapowiedziała implementację mechanizmów szyfrowania AES w swoich produktach - AES jest podstawowym elementem standardu 802.11i. Można jednak oczekiwać, że wszystkie liczące się firmy wprowadzą funkcje WPA2 do swoich produktów.

Choć 802.11i umożliwia budowę bezprzewodowych sieci równie bezpiecznych co kablowe, trudno oczekiwać, że wszystkie problemy z ochroną dostępu do danych zostaną szybko rozwiązane. Wynika to przede wszystkim z tego, że w firmach działa sporo sprzętu starszej generacji, którego zazwyczaj nie da się dostosować do nowego standardu bez wymiany modułów radiowych w stacjach bazowych. Wydajna obsługa wielu sesji szyfrowanych AES wymaga bowiem wsparcia sprzętowego.

Ogrom potencjalnych wydatków związanych z migracją sprawia, że nawet Microsoft nie spieszy się z wymianą urządzeń. Właściciel największej na świecie wewnętrznej sieci WLAN, obejmującej ok. 4500 stacji bazowych, nie zdążył dotychczas przeprowadzić kompletnej migracji infrastruktury nawet do standardu WPA i wciąż wykorzystuje stare modele urządzeń. Firma zamierza wdrożyć 802.11i, jednak oprócz stacji bazowych będzie to wymagać wymiany ok. 100 tys. kart dostępowych.

Uzdatnienie za dopłatą

Wykorzystanie starej infrastruktury jest jednak możliwe. Aruba Wireless Networks opracowała scentralizowany, sprzętowo-programowy system, który umożliwia obsługę funkcji 802.11i przy zachowaniu starych modeli stacji dostępowych. Obsługa szyfrowania jest w nich delegowana na inteligentny przełącznik WLAN obsługujący wiele stacji bazowych. Takie rozwiązanie wymaga wydatkowania kilku lub kilkudziesięciu tysięcy dolarów na rozwiązanie Aruba, co oznacza, że jego wdrożenie opłaci się głównie w naprawdę dużych sieciach.

W większości firm jedynym rozwiązaniem będzie upgrade lub wymiana całego sprzętu WLAN na zgodny ze standardem 802.11i.n. Aktualizacja polegająca jedynie na wymianie oprogramowania może prowadzić do pogorszenia wydajności sieci - zwłaszcza w tych przypadkach, gdy urządzenia dotychczas w ogóle nie obsługiwały AES.

Potrójne Centrino

Intel wprowadził do produkcji nową generację chipsetów obsługujących wszystkie trzy standardy sieci bezprzewodowych: 802.11 a, b i g. Wcześniej takie zintegrowane układy interfejsów zaprezentowali już inni producenci, jak Broadcom, Atheros Communications i Texas Instruments. W efekcie można oczekiwać, że już wkrótce nastąpi popularyzacja uniwersalnych interfejsów dla urządzeń klienckich i ich użytkownicy będą się mogli łączyć prawie z każdą siecią bezprzewodową niezależnie od standardu wykorzystywanego przez stacje dostępowe.

Bezpieczeństwa nigdy dość

Airespace wspólnie z Atheros Communications i Funk Software opracowała rozwiązanie, dzięki któremu zabezpieczenie sieci 802.11 ma być łatwiejsze niż dotychczas. Jest to zrealizowany jako rozszerzenie standardu 802.11i mechanizm buforowania na stacjach bazowych kluczy/certyfikatów wystawianych dla urządzeń klienckich przez serwer AAA. Dzięki buforowaniu urządzenie klienckie przemieszczające się w zasięgu kilku stacji dostępowych nie musi się za każdym razem uwierzytelniać. Korzyści z tego są dwojakie. Mniejsza liczba uwierzytelnień to mniejsze szanse na atak, który najłatwiej przeprowadzić właśnie podczas uwierzytelniania. Druga korzyść polega na tym, że łatwiej jest wdrożyć aplikacje czułe na opóźnienia - przede wszystkim telefonię IP.

Drugie usprawnienie, tym razem autorskie rozwiązanie Airespace, to zestaw interfejsów API dla aplikacji, które sprawdzają wiele parametrów, zanim pozwolą urządzeniu na dostęp do sieci i uwierzytelnienie w centralnym serwerze AAA. Na razie Airespace certyfikowała dwie aplikacje: CyberGatekeeper LAN firmy Infoexpress oraz Integrity Server - Zone Labs. Z biegiem czasu wsparcie zostanie zapewne rozszerzone o te aplikacje, które mają szanse na największą popularność w długim okresie, a więc Microsoft NEP czy Cisco Secure Agent. Można też przypuszczać, że tego rodzaju funkcjonalność pojawi się wkrótce w ofertach wielu producentów sprzętu WLAN.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200