Sieci bezprzewodowe są podatne na włamania i podsłuch, ale można sprawić, że będą bardziej bezpieczne. Należy pamiętać, że porady internetowe są albo przestarzałe, albo pełne mitów na ten temat. Przedstawiamy sposoby ochrony sieci.

Nie używaj WEP ani WPA/WPA2-PSK

Standard WEP jest już od dawna przestarzały, jego algorytm szyfrujący może być złamany bardzo szybko przez niewprawnego hakera, dostępne są nawet narzędzia automatyzujące ten proces. Z kolei tryb współdzielonego hasła (PSK) w standardzie WPA i WPA2 nie nadaje się do środowiska firmowego, gdyż hasło musi być wpisane do każdego z urządzeń, w razie jego utraty musi być zmienione wszędzie. Zalecana konfiguracja to WPA2 + uwierzytelnienie 802.11i.

Uruchom 802.11i i zabezpiecz Wi-Fi na desktopach

WPA/WPA2 w trybie EAP wykorzystuje uwierzytelnienie 802.1X, umożliwiając zalogowanie użytkownika do sieci przy wykorzystaniu własnego loginu i hasła lub certyfikatu cyfrowego. Dzięki regularnej zmianie kluczy szyfrujących per sesja, problem kradzieży hasła PSK nie istnieje, jednak kluczem do poprawy bezpieczeństwa jest wykorzystanie 802.11i za pomocą serwera RADIUS/AAA. Do tego celu można wykorzystać usługę Network Policy Server (NPS) systemu Windows Server 2008R2 albo oprogramowanie FreeRADIUS dostępne w modelu open source.

Tryb EAP nadal jest jednak podatny na ataki pośrednictwa, zatem należy zabezpieczyć ustawienia na kliencie. Dobrym rozwiązaniem jest włączenie weryfikacji certyfikatów serwera - trzeba wybrać certyfikat CA, adres serwera i wyłączyć pytanie o zaufanie do serwera lub zapisanego certyfikatu.

Ustawienia Wi-Fi dla stacji roboczych z Windows można wymusić za pomocą GPO, jeśli korzysta się z serwera Windows 2008R2, albo za pomocą innego oprogramowania, takiego jak Avenda Quick1X.

Korzystaj z systemów detekcji intruzów

Zapewnienie bezpieczeństwa Wi-Fi nie kończy się na ochronie przed dostępem do sieci, należy jeszcze wziąć pod uwagę inne działania, takie jak instalacja obcych punktów dostępu oraz ataki odmowy obsługi. Aby móc je wykryć, niezbędne są narzędzia detekcji intruzów w sieciach bezprzewodowych (Wireless Intruder Prevention Systems - WIPS), które analizują transmisje radiowe i w razie wykrycia podejrzanej aktywności wszczynają alarm lub blokują obce punkty dostępu. Rozwiązania komercyjne w tej dziedzinie oferują firmy Cisco, AirMagnet czy AirTight Neworks, istnieją także pakiety open source, takie jak Snort oraz Kismet.

Chroń sieć za pomocą NAC

Oprócz 802.11i oraz WIPS należy rozważyć wdrożenie kontroli dostępu do sieci za pomocą rozwiązań, takich jak NAC (Network Access Control). Rozwiązania te chronią dostępu do sieci w tradycyjny sposób, bazując na uwierzytelnieniu klienta i zgodności z założeniami polityki bezpieczeństwa, umożliwiając przy okazji izolację podejrzanych urządzeń. Oprócz komercyjnych pakietów NAC można użyć funkcjonalności Microsoft NAP wbudowanej w infrastrukturę Windows albo narzędzia PacketFence rozwijanego w modelu open source. NAC ma sens, gdyż zwiększa prawdopodobieństwo wykrycia intruza i utrudnia infiltrację sieci.

Nie wierz ukrytym sieciom ani filtrowaniu adresów

Jednym z mitów jest poprawa bezpieczeństwa sieci wynikająca z ukrycia rozgłaszania identyfikatora sieci (SSID).Wyłączenie tej opcji sprawia jedynie, że nazwa nie pojawia się w liście dostępnych sieci systemu Windows. Uruchomienie dobrego analizatora ruchu (takiego jak wspomniany Kismet) z powodzeniem umożliwi odzyskanie nazwy sieci na podstawie przechwyconych pakietów uwierzytelnienia 802.11. Dodatkową wadą ukrytych sieci są problemy z konfiguracją z niektórymi kartami oraz gorsza wydajność spowodowana także większą ilością pakietów żądania dostępu.

Drugi mit dotyczący bezpieczeństwa jest związany z filtrowaniem adresów sprzętowych w punktach dostępu. To prawda, że ogranicza to możliwość połączenia bez znajomości sprzętowych adresów MAC, ale wystarczy poznać listę dostępnych adresów i ustawić MAC na taki, który jest dozwolony.

Ogranicz połączenia do obcych sieci

Rzadko stosowanym, ale ważnym sposobem poprawy bezpieczeństwa jest ograniczenie sieci, do których dany klient może się połączyć. W ten sposób można uniknąć łączenia się komputerów do obcych sieci - w systemach Windows Vista oraz 7 do ustawień widoczności sieci można użyć komendy netsh wlan. Firmowe stacje robocze powinny móc łączyć się wyłącznie do firmowych sieci, z kolei laptopy powinny mieć zablokowane obce sieci obecne w budynku przedsiębiorstwa, ale nie stanowiące części infrastruktury firmy. Dzięki temu laptopy będą mogły połączyć się z innych hotspotów.

Nie lekceważ bezpieczeństwa "fizycznego" ani klientów

Bezpieczeństwo sieci oznacza także ochronę urządzeń sieciowych przed dostępem osób postronnych. Punkty dostępowe należy umieścić w trudno dostępnych miejscach, maksymalnie utrudniając wykonanie resetu do ustawień fabrycznych. Bardzo dobrym pomysłem jest umieszczenie punktu w bezpiecznej lokalizacji i wyprowadzenie anten do niezbędnych miejsc.

Należy zadbać także o zabezpieczenie samych urządzeń klienckich. Trzeba wymusić korzystanie z zapory sieciowej (można zastosować opcje GPO z domeny Windows lub z rozwiązania Windows Intune). Aby uniknąć przechwycenia informacji, niezbędne są połączenia VPN inicjowane przez klienta i kończone w firmowym koncentratorze. W smartfonach i tabletach można skorzystać z wbudowanego klienta VPN.

Na podstawie "Wi-Fi security do's and don'ts" - Eric Geier - 7 listopada, 2011 (Network World)