Na czym, Pana zdaniem, polega największy problem przy zabezpieczaniu sieci bezprzewodowej?

Zarządzanie bezpieczeństwem stacji klienckich jest niewątpliwie najtrudniejszym wyzwaniem. Źle skonfigurowane urządzenia, niewłaściwe ustawienia, sieci ad-hoc, błędy w sterownikach to wszystko, co należy wziąć pod uwagę, zabezpieczając klienta sieci. Przedsiębiorstwa mogą wspomagać się na przykład Windows Server 2003 Group Policy, ale ta metoda jest skuteczna tylko wtedy, gdy nałożymy na naszych użytkowników strasznie restrykcyjne zasady grupy.

Czy ważne jest szyfrowanie ramek zarządzających?

Dziś nie jest to coś strasznie istotnego. Cenniejsze informacje będą przesyłane w związku z 802.11k (zarządzanie zasobami radiowymi) i 802.11v (zarządzanie siecią bezprzewodową). Wówczas ochrona będzie musiała zostać wzmocniona.

IAS to Pańskim zdaniem dobry serwer RADIUS? Czy mógłby Pan polecić coś lepszego?

IAS to dobry serwer RADIUS, gdyż opiera się on na systemie Windows Server i dzięki temu bardzo dobrze integruje się ze środowiskiem Microsoft. Nie jest to jednak najlepszy wybór w przypadku, gdy potrzebujemy czegoś innego niż PEAP, bowiem IAS obsługuje jedynie PEAP, EAP-MD5 (którego nigdy nie powinno się używać) oraz EAP/TLS. Na przykład Funk/Juniper Odyssey jest bardziej uniwersalny. Pozwala na korzystanie z wielu typów EAP i działa w wielu środowiskach. Niestety, należy za to odpowiednio zapłacić. Osobiście lubię FreeRADIUS, lecz uprzedzam, że konfiguracja nie jest łatwa.

Czy może Pan powiedzieć cokolwiek o atakach na bezprzewodowe myszy lub klawiatury?

Temat był poruszany na konferencjach poświęconych bezpieczeństwu. Zaprezentowano atak pozwalający przechwycić i "odszyfrować" wciskane klawisze i ruchy myszy. "Szyfr" nie był trudny, gdyż okazało się, że urządzenia do ochrony transmitowanych danych używają jedynie prostej funkcji XOR i 16 bitowego klucza. Możliwe jest nie tylko przechwycenie informacji. Udało się także nadać spreparowane dane. Wynika z tego, że można bez przeszkód na przykład wywołać kombinację Win+R (okno "uruchom"). Tak może wyglądać początek ataku...

Jeśli KARMA to największe zagrożenia 2006/2007, to co wygra w 2008 roku?

Moim zdaniem ataki na PEAP, ale mogę być odrobinę nieobiektywny, bo akurat tym tematem się zajmuję. Oczywiście pojawia się coraz więcej ataków wykorzystujących błędy w sterownikach. Ta liczba z pewnością będzie rosła.

Dlaczego słabość PEAP jest taka istotna?

Jeśli uda mi się zdobyć dane potrzebne do uwierzytelnienia przez PEAP, to wówczas mam nazwę użytkownika i hasło. Najprawdopodobniej jest to także login do domeny. A teraz proszę sobie wyobrazić, gdzie te dane są używa... Serwery plików, SQL, Sharepoint, Outlook itp. Maluje się całkiem straszny obrazek, gdy ktoś będzie w stanie się pod nas podszyć.

Co w takim razie mogą zrobić organizacje wykorzystujące PEAP? Jakieś sugestie?

Zawsze należy sprawdzać prawdziwość certyfikatu. W ustawieniach stacji nazwa serwera RADIUS powinna się zgadzać z nazwą serwera dla jakiej wystawiono certyfikat. Należy odrzucać każdy nierozpoznany certyfikat. Użytkownik nawet nie powinien być powiadamiany o fakcie otrzymania takiego certyfikatu. Niestety, Windows zazwyczaj pyta, czy zaakceptować certyfikat. Większość użytkowników nie wybierze opcji odrzuć. Nie ma im się co dziwić, ponieważ świadomość i wiedza o hierarchii certyfikatów jest uboga nawet wśród administratorów. Dlatego należy uniknąć sytuacji, gdy to użytkownik końcowy decyduje, czy certyfikat jest OK.

Czas na podanie nazw. Biorąc pod uwagę bezpieczeństwo, którego dostawcę poleca Pan użytkownikom domowym a kogo widzi Pan w firmach?

Żaden producent nie jest doskonały, ale... Pracuję dla Aruba Networks i zdaję sobie sprawę, jak rozwiązane są u nas kwestie bezpieczeństwa. Myślę, że nasz sprzęt posiada wiele zalet. W domu używam Linksys WRT54G z oprogramowaniem pobranym z OpenWRT.org. Punkt dostępowy realizuje także funkcje zapory ogniowej i NAT.

***

Opracował: Marcin Suszkiewicz na podstawie materiałów Julie Bort (NetworkWorld, USA)