W dużych instalacjach typowym problemem jest także stosowanie strategii typu "fire and forget" polegającej na tym, że po skonfigurowaniu urządzeń sieciowych pozostawia się je bez nadzoru - dopóki działają. Po kilku miesiącach może się jednak okazać, że urządzenia faktycznie działają, tzn. pozwalają na uzyskanie dostępu do sieci, ale 1/3 z nich jest jeszcze oparta na WEP, a samego oprogramowania nikt od dawna nie aktualizował, mimo odkrycia w nim luk umożliwiających przeprowadzenie skutecznego ataku.

Z tych prozaicznych przyczyn ważne jest poznanie i wdrożenie dodatkowych zabezpieczeń - zarówno proceduralnych, jak i technicznych. Zabezpieczenie proceduralne to przede wszystkim jasna i klarowna polityka bezpieczeństwa, opisująca nie tylko zasady korzystania z sieci bezprzewodowych, lecz także (a może zwłaszcza) konsekwencje ich naruszenia. Polityka bezpieczeństwa potrzebna jest w każdej organizacji, nie tylko w tych z rozbudowaną infrastrukturą.

Dodatkowe środki techniczne konieczne są w szczególności tam, gdzie sieć bezprzewodowa jest rozległa i trudna do opanowania. Do najprostszych (niezwiązanych bezpośrednio ze środowiskiem WLAN) zalicza się zastąpienie przełączników niezarządzanych poprzez zarządzane. W ten sposób zyskujemy funkcjonalność "port-based security", dzięki której możemy każdemu portowi przyporządkować urządzenie o określonym adresie MAC. Jest to jednak bardzo ograniczone i podstawowe zabezpieczenie. Podmiana adresu MAC jest przecież bardzo prosta. Poza tym nic nam nie przyjdzie z zarządzanego switcha, jeżeli nic do niego nie zostanie podłączone (np. punkt dostępowy uruchomiony przez włamywacza jako sniffer).

Stosuje się również dobrodziejstwa standardu 802.1Q - mechanizmy VLAN-ów i tagowania ruchu pochodzącego z sieci bezprzewodowych. To daje możliwość ograniczania dostępu z określonych segmentów sieci do poszczególnych zasobów. Zabezpieczenie to jest szczególnie użyteczne w przypadku udostępniania sieci bezprzewodowej zarówno gościom (nie potrzebują oni niczego innego poza dostępem do internetu), jak i pracownikom.

Ale i to nie stanowi wystarczającej ochrony. Dlatego też - jak mówią eksperci bezpieczeństwa - szczególnego znaczenia nabrały obecnie systemy WIPS (Wireless Intrussion Prevention System). Ich wdrożenie pomaga ograniczyć ryzyko biznesowe związane z wykorzystaniem sieci bezprzewodowych. Występują one teraz albo jako samoistne systemy, albo w postaci "zaszytych" w sprzęcie modułów. W ciągu ostatnich kilku miesięcy daje się zauważyć trend polegający na maksymalnej konsolidacji rozdzielonych do niedawna funkcjonalności.

Współczesne WIPS-y są tylko IPS-ami z nazwy, a ich możliwości wykraczają daleko poza te typowe dla narzędzi do powstrzymywania włamań. Są to więc także systemy zarządzania, rozbudowane korelatory zdarzeń, skanery urządzeń przenośnych połączone z funkcjami alterowania i raportowania, narzędzia do analizy powłamaniowej, itd. Widać przy tym wyraźnie tendencję do zacieśniania współpracy pomiędzy producentami sprzętu WLAN a dostawcami oprogramowania typu WIPS. Najlepiej ilustruje to przykład największych graczy na rynku systemów monitoringu sieci WLAN - AirDefense oraz AirMagnet. Ten pierwszy zawarł przymierze z firmami Motorola, Nortel, Enterasys oraz Trapeze, podczas gdy drugi porozumiał się z firmami Aruba i Divitas. Pomimo tej współpracy producenci sprzętu starają się również we własnym zakresie integrować w swoich rozwiązaniach zaawansowane funkcje ochronne. Każde z podejść ma zalety i wady.

Niebezpieczne punkty dostępowe

Czym powinno się więc charakteryzować dobre oprogramowanie monitorujące/zabezpieczające sieci WLAN? Przede wszystkim musi być w stanie wykrywać podłączane do sieci urządzenia bezprzewodowe, pozwalając w ten sposób na wykrycie głównie nieautoryzowanych punktów dostępowych (tzw. RAP - Rogue Access Point), ale także np. sieci typu ad hoc.

Zatrzymajmy się na dłuższą chwilę przy wykrywaniu punktów dostępowych. Możemy wyróżnić co najmniej kilka rodzajów nieautoryzowanych punktów dostępowych. Mogą to być proste urządzenia przynoszone przez pracowników lub inne osoby przebywające w firmie. Pracownicy najczęściej przynoszą swoje punkty dostępowe nie po to, żeby zagrozić bezpieczeństwu, ale z wygodnictwa. Dość mają ciągania za sobą kabli - zwłaszcza jeżeli muszą przenosić swojego laptopa pomiędzy biurkami. Stąd zabezpieczenie przed tak "wprowadzanymi" access pointami wydaje się stosunkowo proste. Skoro pracownicy potrzebują dostępu bezprzewodowego, dajmy im go. Znacznie lepiej mieć kontrolę nad zbudowaną przez nas siecią, niż mieć świadomość, że użytkownicy zbudują własną, za naszymi plecami.

RAP-ami mogą stać się także nasze urządzenia dostępowe, które zostały niewłaściwie skonfigurowane i umożliwiają "wjazd" osobom nieuprawnionym. Zagrożenie stanowią również punkty dostępowe znajdujące się w bliskiej okolicy firmy - stacje klienckie mogą bez dodatkowych działań użytkownika automatycznie nawiązać z nimi połączenie. W ten sposób nieautoryzowane stacje klienckie jednej firmy łączą się z punktami dostępowymi drugiej i odwrotnie.

Takie samo zagrożenie niosą sieci ad hoc, gdzie brakuje mechanizmów bezpieczeństwa, a jest znacznie gorzej, jeżeli oprócz tego stacja kliencka równocześnie podłączona jest do sieci przewodowej.

Wreszcie nieautoryzowane punkty dostępowe świadomie umieszczone w pobliżu firmy przez włamywaczy. W większości przypadków emitują one silniejszy sygnał niż punkty autoryzowane. Posiadają przy tym takie samo ESSID jak punkt autoryzowany i w ten sposób "przyciągają" stacje klienckie. Stąd już tylko krok do ataków MITM (Man-In-The-Middle).