Wi-Fi в переговорной и WEP, который ломается за двадцать минут
Ставим первую точку 802.11b в переговорной, включаем WEP и успокаиваемся - пока клиент не спрашивает, а что будет, если сосед захочет послушать. Разбираем ограничения WEP и что делать прямо сейчас.
первая волна корпоративного Wi-Fi в офисах, точки 802.11b и иллюзия защиты с WEP
Клиент попросил поставить Wi-Fi в переговорную. Задача звучит просто: точку доступа 802.11b, чтобы ноутбуки участников не тянули провода через весь стол. Поставили. Включили WEP на 128 бит, выдали ключ - десять символов, которые секретарь записала на стикер под клавиатуру. Клиент доволен, переговорная работает.
Через неделю тот же клиент позвал нас по другому поводу, и пока сидели в офисе, один из нас достал ноутбук и запустил утилиту для анализа эфира. Просто чтобы посмотреть, что вообще вокруг. Через двадцать минут пассивного захвата и пять минут работы с захваченным дампом WEP-ключ был у нас на экране. Не потому что мы особенные. Потому что так работает WEP.
Почему WEP сломан принципиально. Протокол использует RC4 с фиксированными векторами инициализации длиной 24 бита. Векторы повторяются - при достаточном объёме трафика математика позволяет восстановить ключ из самого шифрованного потока, не зная его заранее. В активной сети с нормальной нагрузкой это вопрос часов. Если целенаправленно стимулировать трафик - уже двадцать минут, как мы и получили. Длина ключа - 64 или 128 бит - ситуацию принципиально не меняет: уязвимость не в ключе, а в схеме.
Клиенту мы это показали прямо на экране. Реакция предсказуемая: «и что теперь, убирать Wi-Fi?». Нет, не убирать. Но понимать, что WEP - это не замок, а просто маркировка «чужим не входить». Кто хочет войти - войдёт.
Что делать прямо сейчас, если замена точки не запланирована. WPA на большинстве нынешних точек 802.11b или нет вообще, или есть только в обновлённой прошивке - надо смотреть по конкретной модели. Если прошивка поддерживает WPA-PSK - обновляемся и переходим. Если нет - работаем с тем, что есть, но принимаем дополнительные меры:
- Фильтрация по MAC-адресам. Муторно поддерживать, обходится элементарно (MAC подделывается программно), но отсекает случайных соседей и вардрайверов с улицы, которые просто ищут открытые сети.
- Изоляция Wi-Fi в отдельный VLAN или сегмент. Если точка доступа стоит напрямую в офисную сеть - взломавший эфир получает всё: принтеры, файловый сервер, 1С. Если Wi-Fi сегмент изолирован и выходит только в интернет - ущерб ограничен.
- VPN поверх Wi-Fi. Для ноутбуков, которые работают с корпоративными данными - поднять VPN-туннель до офисного шлюза. Тогда даже если кто-то снифает эфир, он видит только зашифрованный тоннель, а не HTTP к серверу с базой.
- Мощность сигнала. Снизить мощность точки до минимально рабочего уровня. Не избавляет от проблемы, но уменьшает радиус, в котором вообще можно захватить пакеты.
Где это реально критично, а где можно расслабиться. Переговорная, где ноутбуки ходят только в интернет для презентаций - риск умеренный. Бухгалтер с ноутбуком через Wi-Fi прямо в базу данных - риск высокий. Соответственно и меры разные. Не надо одинаково относиться к точке для гостей и к точке, через которую идут платёжки.
У нас сейчас несколько клиентов с только что поставленными точками 802.11b и WEP. Честно: большинству мы поставили именно WEP, потому что на тот момент это был единственный доступный вариант защиты и объяснять каждому всю историю с RC4 не всегда уместно при монтаже. Теперь объясняем. И сегрегируем Wi-Fi от основной сети там, где это не было сделано сразу.
Про сам стандарт 802.11b. Одиннадцать мегабит теоретически, реально четыре-шесть с учётом служебного трафика и коллизий. Для браузера, почты и даже файлов умеренного размера - достаточно. Для передачи больших объёмов лучше всё-таки провод. Проводку мы обсуждали ещё в 2001-м - ничего не изменилось: если есть возможность протянуть кабель нормально, лучше протянуть кабель. Wi-Fi - для тех случаев, где провода не протянешь физически или переговорная используется разными людьми с разными ноутбуками.
Радиус покрытия точки 802.11b в офисе с гипсокартонными перегородками - метров двадцать-тридцать. Стекло и деревянные двери сигнал почти не ослабляют. Кирпичные стены - заметно. Металлические двери и серверные шкафы - существенно. Это к вопросу, где вешать точку: не в дальнем углу переговорной, а ближе к центру, с прямой видимостью на рабочие места.
Итог: Wi-Fi в переговорной - вещь удобная и мы понимаем, почему клиенты хотят. Но WEP - это не безопасность, это её видимость. Если сеть изолирована и через Wi-Fi ходит только интернет - жить можно. Если через ту же точку люди ходят к внутренним сервисам - надо либо VPN, либо ждать нормального оборудования с WPA, либо осознанно принимать риск. Стикер с ключом под клавиатурой, кстати, убрали в первый же визит - это хотя бы ничего не стоит.