Bezpieczne WiFi
- NetWorld OnLine,
- 18.11.2011, godz. 15:16
Prezentujemy co warto zrobić a czego zdecydowanie należy unikać by nasza firmowa sieć bezprzewodowa była bezpieczna. Obalamy też kilka mitów
<b>Zapomnijmy o WEP</B>
O tym, że WEP (Wireless Equivalent Privacy) nie jest (praktycznie) żadnym zabezpieczeniem wiadomo już od dawna. WEP można złamać szybko i łatwo, co gorsza, może tego dokonać większość niedoświadczonych hakerów. Zapomnijmy więc o WEP.
Jeśli nasza sieć jest chroniona tym wątpliwym zabezpieczeniem, przejdźmy natychmiast na WPA2 z uwierzytelnianiem 802.1X (802.11i). Jeśli jakieś starsze urządzenia nie obsługują WPA2, spróbujmy zaktualizować ich firmware, jeśli się nie da (muszą być naprawdę zabytkowe) - może czas po prostu je wymienić?
<b>WPA/WPA2-PSK nie dla firm</B>
Korzystanie z trybu współdzielonego klucza dla WPA czy WPA2 jest dobrym rozwiązaniem dla domowych sieci, ale już niekoniecznie dla firm. Zastosowanie tego trybu wiąże się z wpisaniem tego samego klucza w każdym urządzeniu, które podłączamy do sieci.
Będziemy więc musieli go zmieniać za każdym razem, gdy zwolnimy pracownika bądź zostanie skradzione/zgubione korzystające z niej urządzenie. Praktycznie jest to niewykonalne.
<b>802.11i - bezpieczne Wi-Fi</B>
Tryb EAP (Extensible Authentication Protocol) protokołów WPA i WPA2 zamiast ze współdzielonego klucza korzysta z uwierzytelniania 802.1X, co pozwala na zapewnienie każdemu użytkownikowi indywidualnego loginu i hasła i/lub cyfrowego certyfikatu.
Właściwe klucze szyfrujące są regularnie zmieniane i wymieniane w tle. Aby zmienić bądź odebrać uprawnienia dostępu użytkownikowi, wystarczy zmodyfikować (lub usunąć) jego dane logowania na zarządzającym usługą serwerze.
Unikalne klucze sesji chronią użytkowników przed podsłuchiwaniem ruchu, do czego nie są potrzebne zaawansowane techniki hakerskie - wystarczą takie narzędzia, jak Firesheep (do Firefoksa) czy DroidSheep (na Androida).
Aby wdrożyć 802.1X, potrzebujemy serwera RADIUS/AAA. W środowiskach Windows (2008 Serwer i nowsze) warto rozważyć skorzystanie z NPS (Network Policy Server) bądź (we wcześniejszych wersjach) z IAS (Internet Authenticate Service). We wszystkich pozostałych środowiskach można wykorzystać dostępny za darmo <a href="http://freeradius.org/" target="new"> <b>FreeRADIUS</b> </a>.
<b>802.1X - zabezpieczenie klientów</B>
Zastosowanie trybu EAP dla WPA i WPA2 wciąż zostawia możliwość ataku typu man-in-the-middle. Możemy jednak się przed nimi ochronić przez odpowiednie ustawienia zabezpieczeń na stacjach klienckich. Na przykład w systemach Windows możemy włączyć sprawdzanie certyfikatu serwera, wybierając certyfikat naszego CA, określając adres serwera i wyłączając możliwość akceptowania certyfikatów z nowych CA.
Można również rozpropagować te ustawienia 802.1X do komputerów w domenie za pomocą polityki GPO bądź innego rozwiązania, np. <a href="http://www.avendasys.com/products/quick1x.php" target="new"><b>Quick1X</b></a>.
<b>WIPS, czyli bezprzewodowy IPS</B>
Nieautoryzowane próby dostępu do naszej sieci Wi-Fi to tylko część problemów bezpieczeństwa. Innym przykładem zagrożeń może być podstawienie przez cyberprzestępców swojego punktu dostępowego czy ataki DoS. Takie problemy może rozwiązać wdrożenie systemu wykrywania włamań dla naszej sieci bezprzewodowej (WIPS). Urządzenia różnych producentów różnią się w szczegółach działania, ale ogólnie rzecz biorąc, monitorują one pasmo radiowe i ostrzegają, a także blokują niektóre działania hakerów.
Jest wielu komercyjnych dostawców rozwiązań WIPS, m.in. AitMagnet czy AirTight Networks. Jest też opcja open source - <a href="http://www.snort.org/snort" target="new"><b>snort</b></a>
<b>Ochrona sieci - NAP, NAC</B>
Jako dodatkowe zabezpieczenie, oprócz 802.11i i systemu WIPS, warto rozważyć wdrożenie typu NAP (Network Access Protection) bądź NAC (Network Access Control). Pozwolą one na dodatkowy nadzór nad dostępem do sieci, oparty na ID klienta i przypisanych mu zasadach polityki bezpieczeństwa. Dają one również możliwość izolowania klientów z problemami, a także wymuszenie na nich ustawień zgodnych z zadaną polityką bezpieczeństwa.
Od wersji 2008 serwera Windows możemy korzystać z Microsoft NAP. Będzie działać na systemach Vista i nowszych. Możemy też skorzystać z innych rozwiązań, na przykład opensource’owy <a href="http://www.packetfence.org/PacketFence" target="new"><b>PacketFence</b></a>
<b>Nie ufaj ukrywaniu SSID</B>
Jeden z mitów dotyczących bezpieczeństwa Wi-Fi głosi, że wyłączenie rozgłaszania SSID przez punkt dostępowy uczyni naszą sieć albo przynajmniej jej SSID niewidoczne, co z kolei utrudni atak na nią. Niestety, operacja ta tylko usunie SSID z ramek beacon. Będzie się pojawiać w innych ramkach, takich jak association request, probe request czy response. Podsłuchanie i odkrycie "ukrytej" nazwy nie jest najmniejszym problemem i można tego dokonać bardzo szybko (szczególnie w aktywnie wykorzystywanej sieci) za pomocą legalnie dostępnych analizatorów sieci bezprzewodowych.
Niektórzy mogą przekonywać, że wyłączenie rozgłaszania SSID daje jednak dodatkowy poziom bezpieczeństwa. Nim się na to zdecydujemy, pamiętajmy jednak, że ukrycie SSID ma też negatywny wpływ na konfigurację sieci i jej wydajność. Korzystanie z tej opcji wiąże się z koniecznością ręcznego wprowadzania SSID na stacjach klienckich, co niepotrzebnie dodatkowo komplikuje ich konfigurację. Zwiększy też emisję pakietów probe request i response, zostawiając mniej pasma dla użytkowników.
<b>Nie ufaj filtrowaniu adresów MAC</B>
Kolejnym mitem związanym z bezpieczeństwem Wi-Fi jest to, że filtrowanie adresów MAC zwiększa jego poziom i pozwala na kontrolę nad tym, które stacje będą mogły przyłączyć się do sieci. Co prawda jest w nim odrobina prawdy, ale powinniśmy pamiętać o tym, że podsłuchanie, jakie adresy MAC są akceptowane w sieci, i podszycie się pod taki adres, nie jest trudne.
Filtrowanie adresów MAC nie wnosi więc wiele, jeśli chodzi o bezpieczeństwo. Może być przydatne jako narzędzie pozwalające na jakąś kontrolę nad tym, które komputery i inne urządzenia użytkowników podłączają się do sieci. Miejmy jednak na uwadze, że utrzymanie aktualnej bazy dozwolonych adresów MAC może być koszmarem.
<b>Ogranicz użytkownikom listę dozwolonych SSID</B>
Wielu administratorów nie dostrzega prostego, lecz niebezpiecznego zagrożenia: użytkownicy (świadomie bądź nieświadomie) łączący się z okolicznymi niezabezpieczonymi sieciami bezprzewodowymi wystawiają swoje urządzenia na ewentualne ataki. Można tego problemu dość łatwo uniknąć, np. ograniczając listę dozwolonych sieci. W systemach Windows Vista (i nowszych) można skorzystać z polecenia <a href="http://technet.microsoft.com/pl-pl/library/polecenie-netsh-dla-bezprzewodowej-sieci-lokalnej-wlan-w-windows-vista.aspx" target="new><i>netsh wlan</i></a> i określić, do jakich SSID użytkownik może się podłączyć.
Dla komputerów stacjonarnych sprawa jest prosta - wystarczy SSID naszej sieci bezprzewodowej, dla laptopów lepiej jest wykluczyć okoliczne sieci, by zostawić możliwość korzystania z domowej sieci czy hot spotów.
<b>Zadbaj o fizyczną ochronę komponentów sieciowych</B>
Bezpieczeństwo komputerów to nie tylko korzystanie z najnowszych technologii i kryptografii. Nie mniej ważne jest bezpieczeństwo komponentów sieciowych. Upewnij się, że punkty dostępowe są rozmieszczone poza zasięgiem użytkowników - dobrym miejscem na ich ukrycie jest podwieszany sufit. Inną opcją może być zamknięcie punktu dostępowego w bezpiecznym miejscu i zastosowanie zewnętrznej anteny. Niezabezpieczony punkt dostępowy można łatwo zresetować do ustawień fabrycznych i uczynić go dostępnym dla wszystkich.
<b>Nie zapomnij o ochronie klientów mobilnych</B>
Troski o bezpieczne Wi-Fi nie kończą się niestety na naszej firmowej sieci. O ile będą bezpieczne w naszej sieci, o tyle nie muszą być już wtedy, gdy korzystają z hot spota czy domowego routera bezprzewodowego. Co można zrobić, by zminimalizować zagrożenia dla zarządzanych przez nas urządzeń poza naszą siecią?
Laptopy i netbooki powinny mieć osobistą zaporę. Funkcję tą pełnią zwykle rozwiązania typu smart security - należy tylko zadbać o ich odpowiednią konfigurację. Kolejną sprawą jest zabezpieczenie przed podsłuchiwaniem za pomocą szyfrowanej transmisji VPN. Jeśli nie planujemy udostępniać do tych firmowego VPN, możemy skorzystać z zewnętrznych usług, takich jak Hotspot Shield czy Witopia. Dla urządzeń mobilnych Apple czy tych pracujących pod Androidem możemy skorzystać z wbudowanego klienta. Niestety dla BlackBerry i Windows Phone 7 jedyną możliwością jest skorzystanie z klienta opartego na współpracy z serwerem (odpowiednio BES, Exchange).
Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]