Bezpieczeństwo Wi-Fi: fakty i mity

Ochrona przed zagrożeniami związanymi z technologią Wi-Fi jest i będzie istotną częścią krajobrazu bezpieczeństwa wielu firm. Prezentujemy pięć mitów związanych z bezpieczeństwem sieci bezprzewodowych.

Mit trzeci: zarządzanie portami sieciowymi za pomocą 802.1x zapewni bezpieczeństwo.

Wprowadzenie uwierzytelnienia i kontroli dostępu do portów sieciowych za pomocą IEEE 802.1x (w ten sposób działają niektóre z rozwiązań kontroli dostępu do sieci firmowej), umożliwia izolację obcych urządzeń sieciowych. Niestety, rozwiązanie to nie ochroni sieci bezprzewodowej - nawet jeśli kontrola na poziomie portu wykryje obcy AP podłączony do sieci LAN, dość łatwo ją obejść za pomocą odpowiedniej konfiguracji punktu dostępowego. Rozwiązania kontroli dostępu na poziomie portów IEE 802.1x nie chronią przed podłączeniem obcego AP - do tego celu niezbędna jest ciągła kontrola. Podobny problem dotyczy rozwiązań NAC, ale potrafią one przynajmniej w większości przypadków wykrywać obce urządzenia dzięki zestawom testów komponentów systemu operacyjnego. Narzędzia te wykryją typowe punkty dostępowe, ale przy odpowiedniej konfiguracji (most w warstwie drugiej, statyczny IP z innej podsieci, wyłączone SNMP, wyłączona autokonfiguracja), byłoby to trudne do przeprowadzenia.

Mit czwarty: 802.11w eliminuje ataki odmowy obsługi

Transmisja w nielicencjonowanym paśmie radiowym w połączeniu z prostymi protokołami dostępu sprawiają, że powstało wiele technik ataków odmowy obsługi kierowanych przeciw sieciom Wi-Fi. Oprócz zagłuszania sygnału radiowego, powstały narzędzia do masowej deautentykacji lub rozłączania klientów. Ratyfikowany niedawno standard 802.11w wprowadza ochronę kryptograficzną pewnego zestawu ramek 802.11, dzięki czemu niektóre ataki polegające na rozłączaniu klientów, będą znacznie mniej prawdopodobne. Mimo wszystko ataki, które wykorzystują mechanizmy znajdujące się poza strefą ochrony kryptograficznej 802.11w (na przykład zagłuszanie sygnału), nadal będą możliwe.

Mit piąty: wystarczą proste narzędzia wykrywania obcych AP

Niektóre rozwiązania sieci bezprzewodowej posiadają opcję pracy, w której punkt dostępu co pewien czas może być cyklicznie przełączany do trybu sensora wykrywającego zagrożenia. Ochrona taka jest rozsądnym minimum w środowiskach Wi-Fi o niskim poziomie ryzyka. Gdy jednak za pomocą sieci Wi-Fi przesyła się wrażliwe dane albo niezbędna jest dodatkowa ochrona sieci, okresowe przełączanie punktów dostępowych w tryb sensora nie zapewnia ciągłej i niezawodnej ochrony. Podczas pracy w trybie detekcji spada wydajność i niezawodność transmisji, co może powodować problemy przy przesyłaniu danych głosowych przez Wi-Fi. Poza chwilami wykrywania zagrożeń, ochrona nie działa. Zatem w instalacjach wysokiego ryzyka (na przykład w centrach miast) niezbędna jest pełnowymiarowa infrastruktura wykrywania zagrożeń i przeciwdziałania nim.