Jak oceniłby Pan stopień zabezpieczenia sieci bezprzewodowych dzisiejszych przedsiębiorstw?

Myślę, że radzą one sobie coraz lepiej. Mniej sieci pozostaje otwartych, więcej firm migruje w stronę WPA/WPA2. Stary WEP jest nadal używany, ale często wynika to z konieczności obsługi sprzętu, który nie wspiera nowych protokołów. Niestety, wciąż popularne jest przeświadczenie, iż wystarczy wprowadzić WPA i sieć będzie całkowicie bezpieczna. Takie rozumowanie jest błędne. Nie wolno zapominać o konfiguracji stacji klienckiej, gdyż to ona może stać się celem ataku. Jeśli chcemy się ustrzec przed punktem dostępowym zainstalowanym przez napastników (atak man-in-the-middle), to konieczne jest stałe monitorowanie sieci.

Dedykowane czy zintegrowane rozwiązanie IDS/IPS jest Pana zdaniem lepsze?

Produkt dedykowany zazwyczaj jest bardziej dopracowany. Wynika to po prostu z tego, że producent skupia się całkowicie na wybranej funkcji. W przypadku rozwiązań zintegrowanych dochodzi konieczność współpracy z funkcją punktu dostępowego, dodatkowe testowanie produktu i sprzętu. I pewnie wiele innych problemów, których nie ma twórca rozwiązania dedykowanego. Oczywiście, każde podejście ma swoje plusy i minusy. Produkty zintegrowane mają tą przewagę, iż są w stanie analizować wszystkie warstwy a nie tylko pierwszą i drugą.

Na ile bezpieczny jest WPA-PSK lub WPA2-PSK?

Uwierzytelnienia bazujące na PSK są podatne na ataki offline przy użyciu słownika. Sam jestem autorem jednego z programów ("coWPAtty") wykorzystujących słabości WPA-PSK. Dostępny Aircrack-ng jest jeszcze szybszy. Podstawową wadą mechanizmu PSK jest to, że wszystkie urządzenia używają tego samego klucza. Przedsiębiorstwa powinny używać 802.1X, który oferuje lepsze zabezpieczenia poprzez stosowanie unikalnego klucza dla każdego użytkownika.

Czy wyłączenie opcji udostępniania plików i drukarki zabezpieczy nasz komputer przed dostępem innych osób korzystających z tej samej sieci bezprzewodowej?

Do pewnego stopnia tak, ale nie w 100%. Inne usługi takie, jak na przykład zdalny pulpit nadal są narażone na atak z sieci. Poza tym wielokrotnie spotkałem się z zainstalowanym VNC na stacji roboczej, który także stanowi furtkę do naszego PC. Jeśli w trakcie audytu napotkam PC z VNC to uznaję, że sieć jest do złamania.

To znaczy, że jest Pan w stanie wykorzystać każdą wersję VNC do przejęcia kontroli nad siecią?

Na pewno nie każdą, ale dotychczas zawsze mi się to udawało. Jestem pewien, że można VNC zainstalować w odpowiedni, bezpieczny sposób. Moja praktyka pokazuje jednak, że najczęściej jest to nienadzorowana instalacja przeprowadzona przez użytkownika. Nie ma mowy, więc o dobrze dobranym koncie, przywilejach, monitorowaniu logowania czy silnym haśle.

Jak przedsiębiorstwa mogą przeciwdziałać błędom w sterownikach kart sieciowych?

Należy pamiętać, że wada sterownika może zostać wykorzystana przez atakującego. W związku z tym, iż sterowniki ściśle współpracują z jądrem systemu, nie podlegają wszystkim zabezpieczeniom (jak na przykład ograniczone przywileje, mechanizmy detekcji włamania, spyware, antywirus). Dlatego mogą stanowić poważne zagrożenie. Sposób przeciwdziałania jest prosty. Organizacje powinny zacząć od inwentaryzacji i sporządzenia listy wszystkich zainstalowanych sterowników. Następnie należy regularnie sprawdzać strony producentów, czy nie wydane zostało jakieś uaktualnienie.

Pomocne może być także narzędzie WiFiDEnum, które napisałem. Zbiera ono informację o sterownikach zainstalowanych na komputerach w naszej sieci. W lokalnej bazie danych sprawdza, czy któryś nie jest podatny na znany atak. Darmowe oprogramowanie można pobrać z tej strony.

Czy używając WPA2 możemy czuć się bezpieczni?

WPA2 oferuje zaawansowane mechanizmy szyfrowania oraz uwierzytelniania (PEAP, TTLS, EAP/TLS). Niewątpliwie jest dobrym wyborem. Podstawowy problem z WPA2 to błędna konfiguracja ustawień PEAP i TTLS. Powoduje ona, że atakujący może podszyć się pod serwer RADIUS i zdobyć w ten sposób dane ofiary takie, jak login i hasło.

Co Pan sądzi o wyłączeniu rozgłaszania SSID?

Myślę, że to zły pomysł. Stacja kliencka musi odpytać wszystkie dostępne AP. Bardzo możliwe, że ktoś podszyje się pod właściwy punkt dostępowy i przechwyci nasze dane.

Jaki będzie wpływ 802.11n na bezpieczeństwo?

Moim zdaniem standard 802.11n to kilka interesujących aspektów, które mogą mieć wpływ na funkcjonowanie naszej sieci:

1. Większy zasięg AP (od 1.5 do 4 razy większy niż 802.11a).

2. Sieć trudniejsza do monitorowania przez WIDS. Standard n zakłada kanały 20 MHz i 40 MHz, przez co system WIDS będzie miał mniej czasu na wykrycie nieprawidłowości i bardziej będzie zajęty zmianami kanałów.

3. Ukryte węzły. 802.11n wprowadza nowy tryb pracy tzw. zielony (greenfield mode), który jest dostępny tylko dla urządzeń pracujących według 802.11n. Oznacza to, że urządzenia WIDS obsługujące 802.11a/b/g nie będą w stanie wykryć punktu dostępowego czy generowanego ruchu przez elementy zgodne z n.

4. Nowe typy ataków DoS. Specyfikacja n zawiera dwa mechanizmy agregacji ramek. Mogą one posłużyć jako podstawa nowych ataków DoS.

5. Nowe sterowniki. Urządzenia wymagają nowego oprogramowania, które na pewno nie będzie bezbłędne.