Start » Strefa eksperta » Technologie i pojęcia » Audyt bezpieczeństwa, bezpieczeństwo wifi scanner

Bezpieczeństwo sieci WiFi


Na pytanie dotyczące bezpieczeństwa sieci WiFi odpowiada Sebastian Nowicki, Ekspert Bezpieczeństwa w firmie Passus


Co należy uwzględnić planując politykę bezpieczeństwa w sieciach bezprzewodowych?

Planując politykę bezpieczeństwa należy wziąć pod uwagę kilka aspektów. W pierwszej kolejności musimy określić do czego sieć będzie służyć? Zupełnie inne mechanizmy zastosujemy w przypadku popularnego  „hot-spota”, a więc instalacji zapewniającej publiczny dostęp do Internetu dla szerokiej rzeszy użytkowników, inaczej w przypadku korporacyjnej sieci WLAN. Bardzo istotnym zadaniem jest przeprowadzenie analizy ryzyka i ustalenie akceptowalnego poziomu tego ryzyka w zależności od tego jakiego typu informacje w sieci są przesyłane.

Kolejna kwestia to koszty. Należy pamiętać, że bardziej zaawansowane metody wymagają zakupu nowszego sprzętu, zatrudnienia wykwalifikowanych specjalistów, którzy będą w stanie wdrożyć takie metody zabezpieczeń. Wybór polityki i metod zabezpieczeń będzie też zależał od tego czy nasza infrastruktura opiera się na sprzęcie jednego producenta czy kilku różnych.
Należy wziąć pod uwagę, że podwyższanie poziomu bezpieczeństwa odbywa się najczęściej kosztem wygody i efektywności działania. Zawsze w jakimś stopniu mechanizmy szyfrowania ograniczają wygodę użytkownika, która przecież jest największym atutem sieci bezprzewodowych w porównaniu do kablowych.

Kolejne kryterium to wielkość sieci.  O ile w przypadku sieci składającej się z jednego punktu dostępowego i kilku kart bezprzewodowych, aby zapewnić bezpieczeństwo WiFi wystarczy zastosowanie identyfikatora SSID, 128-bitowego klucza WEP w połączeniu z filtrowaniem adresów MAC, o tyle w przypadku dużych sieci  polityka bezpieczeństwa  powinna opierać się  na nowych produktach bazujących na standardzie ochrony WPA czy WPA2.
Oprócz zdefiniowania i wprowadzenia polityki bezpieczeństwa równie ważne jest monitorowanie czy jest ona przestrzegana. Jak zwykle najsłabszym ogniwem w takim przypadku jest człowiek. Z pomocą przychodzą tutaj systemy do monitoringu i audytu bezpieczeństwa sieci takie jak np. AirMagnet Enterprise. Pozwalają one wychwycić wszystkie naruszenia polityki bezpieczeństwa i aktywnie im przeciwdziałać. Przykładowo system taki pozwala nie tylko wykryć nieautoryzowany punkt dostępowy, ale także wskazać na mapie gdzie on się znajduje oraz odciąć od sieci przewodowej.  Tego typu audyt bezpieczeństwa wykorzystywany jest m.in. przez takie firmy jak:PTC czy PKO BP. Banki, w których często polityka bezpieczeństwa zabrania instalacji sieci WiFi wykorzystują tego typu systemy właśnie w celu sprawdzenia, czy np. któryś z pracowników nie podłączył nielegalnego punktu dostępowego do sieci, który mógłby narazić sieć na atak.

Czy 802.11n wprowadza nowe, nieznane dotychczas zagrożenia? Jeżeli tak to jakie?

Standard 802.11n wykorzystuje mechanizmy bezpieczeństwa stosowane przy sieciach 802.11a/b/g, dlatego też pojawienie się nowego standardu nie pociąga za sobą plagi nowych zagrożeń. Jednak pewne nowe zagrożenia istnieją. Należy zwrócić uwagę, że nowy standard oferuje większy zasięg działania sieci, a więc możliwe jest przeprowadzanie ataków na infrastrukturę 802.11n z większej odległości. Jeżeli odpowiednio zadbano o bezpieczeństwo WiFi i zastosowano zaawansowane metody zabezpieczeń, sygnał przedostający się poza obszar budynku nie jest zagrożeniem. Jednak jeżeli tylko jeden punkt dostępowy został skonfigurowany niezgodnie z obowiązującą polityką bezpieczeństwa, sieć staje się podatna na ataki z zewnątrz.
Kolejnym zagrożeniem jest fakt, że standard 802.11n wprowadził mechanizm potwierdzania całych bloków pakietów, z zaznaczeniem ich zakresu przy pomocy numerów sekwencyjnych zamiast potwierdzania pojedynczych pakietów. Ten nowy mechanizm potwierdzeń nie jest póki co chroniony - napastnik może podszyć się pod którąś z informacji i stworzyć nieograniczenie duże okno, z którego pakiety mogą być wysyłane bez potwierdzeń ACK, co powoduje ryzyko ataków typu DoS.
Z czasem także mogą pojawić się nowe rodzaje ataków związane z warstwą fizyczną i warstwą MAC sieci, tam bowiem pojawiło się najwięcej zmian (nowe techniki modulacji, zaawansowane przetwarzanie sygnału).

Czy wprowadzenie 802.11n w firmie wiąże się z dodatkowymi nakładami na nowe systemy monitoringu?

Jeżeli prowadzimy regularny audyt bezpieczeństwa za pomocą systemu do monitorowania sieci WLAN potrzebne będzie jego uaktualnienie do wersji obsługującej standard 802.11n. To czy będzie się to wiązało z dodatkowymi kosztami zależy od dostawcy rozwiązania. Jeżeli mamy aktualną usługę wsparcia technicznego  samo oprogramowanie być może otrzymamy w ramach tej usługi, należy jednak pamiętać, że systemy monitorujące obejmują także sprzęt - bezprzewodowe karty sieciowe, specjalne czujniki sprzętowe. To one skanują sieć, i gromadzą informacje, które są następnie przetwarzane przez oprogramowanie.
Musimy również je wymienić na takie, które będą gromadzić dane o urządzeniach zgodnych z 802.11n i ruchu przez nie generowanym.
Jeżeli nie dokonamy uaktualnienia informacje, które będziemy otrzymywać z istniejących narzędzi nie będą kompletne. Nie będziemy mogli skorzystać z szeregu narzędzi diagnostycznych pozwalających na rozwiązywanie problemów czy pozwalających odpowiednio zaplanować i wdrożyć sieć w standardzie 802.11n, a także poznać wpływ nowego standardu na istniejące środowisko sieciowe.

Przy pomocy jakich narzędzi najlepiej chronić i monitorować taką sieć?

W przypadku  sieci  optymalnym rozwiązaniem jest  użycie produktów bazujących na standardzie ochrony 802.11i (handlowa nazwa to WPA2). Jeżeli nie jest to możliwe należy zastosować  najsilniejszy mechanizm, jaki jest obsługiwany przez posiadaną infrastrukturę. Warto wówczas połączyć szyfrowanie np. z filtrowaniem adresów MAC. Wspomniany mechanizm 802.11i wykorzystuje  protokół szyfrowania CCMP oraz uwierzytelnianie EAP oparte na serwerze RADIUS. W porównaniu do zniesławionego WEP-a wykorzystuje  tylko klucze 128-bitowe (w przypadku WEP często wykorzystywany był klucz 40-bitowy), a więc dłuższe trudniejsze do złamania.  W mechanizmie tym poprawiono wszystkie złamane zabezpieczenia WEP, stosowane są  klucze dynamiczne oraz automatyczna dystrybucja kluczy. Mechanizm typu 802.11i jest trudny do złamania, ale wymaga zmodernizowania istniejącej infrastruktury, a także stałego nadzoru i kontroli nad przestrzeganiem polityki bezpieczeństwa. To kolejne zalecenie jakie dotyczy sieci bezprzewodowych. Niezależnie jakie środki ochrony zastosujemy niezwykle istotnym elementem polityki bezpieczeństwa jest stały monitoring. Popularność urządzeń do sieci bezprzewodowych powoduje bowiem, że wiele z nich jest podłączanych do sieci firmowej bez wiedzy administratora, często niewłaściwie skonfigurowanych i niezabezpieczonych. Wystarczy jedno takie  słabe  ogniwo  aby narazić  sieć  na zewnętrzne ataki.

W naszej ofercie posiadamy całą gamę rozwiązań do obsługi sieci Wi-Fi, które pomagają w utrzymaniu pełnej kontroli nad siecią bezprzewodową na różnych etapach jej rozwoju. Jeśli potrzebujemy narzędzi do monitorowania sieci WLAN zlokalizowanej w jednym budynku najlepszym rozwiązaniem będzie analizator mobilny, tzw. WiFi scanner w formie dedykowanego urządzenia (np. Fluke Networks OptiView) lub oprogramowania instalowanego na notebooku czy tablecie (AirMagnet WiFi Analyzer). Jeśli administrujemy siecią bezprzewodową zlokalizowaną w kilku miejscach potrzebne jest narzędzie oparte na czujnikach sprzętowych, które monitorują stan sieci w poszczególnych miejscach i przesyłają komunikaty do centralnego serwera. Zastępują tym samym administratora tam, gdzie on sam nie może dotrzeć. Takim rozwiązaniem jest oprogramowanie AirMagnet Enterprise, pozwalające na nowoczesny i sprawny audyt bezpieczeństwa WiFi.
 
Ekspert
Zobacz produkty

AirMagnet Enterprise

AirMagnet Enterprise pozwala na bieżącą kontrolę sieci WLAN pod kątem bezpieczeństwa, wydajności i niezawodności.