Groźna sieć w kieszeni

Oprócz ryzyka związanego z niekontrolowanym wykorzystaniem przez pracowników smartfonów i tabletów w firmach pojawia się zagrożenie pochodzące z utworzonych przez te urządzenia sieci.

Obserwujemy bardzo szybki rozwój urządzeń mobilnych, z których większość jest połączona z internetem za pomocą wbudowanych modemów wykorzystujących komórkowe. Większość urządzeń przenośnych udostępnia połączenie internetowe przez Wi-Fi, tworząc własną sieć bezprzewodową, podążającą za użytkownikiem. Z jednej strony, w takiej sieci znajdują się urządzenia, z których korzysta pracownik, z drugiej strony zaś jest sieć operatora telekomunikacyjnego przeznaczona do świadczenia usług dla końcowych użytkowników.

Zjawisko sieci tworzonych w firmach przez urządzenia pracowników (BYON - Bring Your Own Network; termin podobny do BYOD - Bring Your Own Device) staje się o wiele groźniejsze niż korzystanie z przynoszonych prywatnych urządzeń, gdyż dział IT nie wie, jak sobie z takimi sieciami poradzić.

Most między sieciami omija firewall

Niektóre urządzenia, posiadające kartę transmisji komórkowej oraz moduł sieci bezprzewodowych, korzystają jednocześnie z obu sieci. To duże zagrożenie, gdyż wystarczy ustawienie routingu na dowolnym urządzeniu wewnątrz lokalnej sieci w firmie, by można było zestawić połączenie drogą: sieć Wi-Fi - karta Wi-Fi w smartfonie lub - moduł GSM - sieć GSM - internet.

W ten sposób można ominąć korporacyjny firewall. Opcja ta wymaga przygotowań po stronie urządzenia mobilnego, ale jest możliwa. Modelowy telefon Motorola Droid 2, korzystający z transmisji w sieci Verizon, podczas badań w laboratorium na konferencji Cisco Live umożliwił zestawienie podobnego połączenia po instalacji specjalnie napisanej aplikacji spoza sklepu z aplikacjami Google.

Piracki punkt dostępowy wpięty do LAN

Groźniejszym przypadkiem jest dołączenie do firmowego gniazda sieciowego. Chociaż wykracza to poza zagadnienia związane z ochroną smartfonów i tabletów, bywa z nimi powiązane. Przyczyną kłopotów jest człowiek. Niektórzy pracownicy wysokiego szczebla nie chcą poddawać się obostrzeniom firmowej polityki bezpieczeństwa. Gdy zniechęcą się brakiem zgody ze strony IT na dołączenie swojego najnowszego tabletu, kupują punkt dostępowy (AP) i samodzielnie włączają go do sieci. To samo mogą zrobić zwykli użytkownicy. Ponieważ router z opcją Wi-Fi jest znacznie gorzej zabezpieczony od sieci korporacyjnej, może być łatwym celem ataków.

Dołączanie obcych urządzeń można wykrywać przez skanery Wi-Fi i za pomocą analizy SNMP w sieci lokalnej. Sprawdza się też poprawnie wdrożone rozwiązanie detekcji obcych hostów połączone z systemem kontroli dostępu do sieci (NAC). Po wykryciu nieautoryzowanego urządzenia połączenie do niego zostaje odłączone na poziomie przełącznika sieciowego.

Oprócz rozwiązań technicznych należy posiadać zapisy w firmowej polityce bezpieczeństwa regulujące sprawę samodzielnego dołączania urządzeń do sieci firmowej. Jeśli pojawia się problem, sprawa powinna być załatwiana bezpośrednio przez szefa działu bezpieczeństwa u prezesa zarządu firmy.

Do której sieci łączy się firmowa aplikacja?

Firmowe aplikacje pracujące na smartfonach i tabletach mogą być problemem dla bezpieczeństwa firmy, gdyż nie do końca wiadomo, na ile bezpieczna jest sieć, z której dane urządzenie korzysta. Połączenie w sieci firmowej może być uznane za względnie bezpieczne, ale nie można tego powiedzieć o publicznym hotspocie. "Sieci przenośne" BYON zagrażają danym firmowym, a zatem należy się przed nimi zabezpieczyć w firmowym środowisku.

Można zastosować narzędzia wykrywające obce hotspoty, ale niezbędna jest procedura związana z ich lokalizacją i likwidacją. Obcy hotspot nie musi być połączony z siecią firmową, a można za jego pośrednictwem przejąć i kontrolować część ruchu. Wystarczy uruchomić silny hotspot o identycznej nazwie, przedstawiający się tak samo firmowym komputerom i pozyskujący od nich dane. Ponieważ rzadko aplikacje sprawdzają, z jaką siecią naprawdę się komunikują, a takich testów nie przeprowadza niemal żaden smartfon (sprawdza sieć Wi-Fi po identyfikatorze i sposobie uwierzytelnienia), atak ma bardzo wysokie prawdopodobieństwo powodzenia w prawie każdej firmie.

Można osiągnąć poprawę bezpieczeństwa firmowych aplikacji na smartfonach, wprowadzając zasadę nieprzechowywania informacji na samym urządzeniu, a także implementując mocne szyfrowanie w samej aplikacji za pomocą standardowych algorytmów.

Firmowa sieć dla gości

Dział IT powinien wdrożyć w firmie podsieć dla gości. Wdrożenie podsieci przechodzącej przez firmowy firewall, ale odłączonej od serwerów i stacji roboczych, umożliwia bardziej bezpieczne połączenia obcych urządzeń. Jeśli pracownik musi z takiej sieci dostać się do firmowych zasobów, powinien skorzystać z VPN. Jeśli goście mają skorzystać z drukarki sieciowej, można udostępnić ją tylko w tej podsieci przez standardową kartę sieciową. Przekazanie połączenia (port forwarding) na routerze łączącym obie sieci nie jest wskazane, gdyż ludzki błąd lub podatność routera mogą narazić firmową sieć na włamanie.

Aby zapobiec nadużyciom, hasło do sieci gościnnej powinno być okresowo zmieniane. Można to zrealizować za pomocą portalu logowania albo przez zmianę klucza/hasła do sieci WPA/WPA2.

Zakorkować wyciek własnym APN-em

Niektóre firmy decydują się na udostępnienie firmowych kart SIM dla smartfonów pracowników. Metoda umożliwia wprowadzenie założeń polityki bezpieczeństwa, dzięki korzystaniu przez pracownika z dedykowanego punktu dostępu APN. W ten sposób wszystkie dane przechodzące przez kartę SIM i sieć operatora trafiają do dedykowanej podsieci doprowadzonej do korporacyjnej zapory sieciowej, gdzie podlegają odfiltrowaniu i kontroli.

Metoda ta, choć kontrowersyjna z punktu widzenia prywatności użytkowników, ułatwia wykrycie i odfiltrowanie niektórych ataków, w których złośliwe oprogramowanie wykorzystałoby połączenie komórkowe do wysłania danych na zewnątrz. Most między siecią prywatną w firmie a siecią komórkową udostępnianą przez smartfona nie ma aż tak krytycznego wpływu na bezpieczeństwo sieci w firmie.

Do firmy tylko przez VPN

Rozwiązaniem minimalizującym ryzyko jest wdrożenie połączeń z urządzeń przenośnych do sieci firmowych jedynie poprzez VPN, niezależnie od tego, z której sieci łączy się urządzenie. Klient VPN może być centralnie zarządzany, udaje się na systemie smartfona wymusić routing w taki sposób, by cały ruch przechodził przez tunel VPN, zaterminowany na firmowym koncentratorze i chroniony zaporą sieciową. Metoda, choć trudna w utrzymaniu i kosztowna, charakteryzuje się najwyższym poziomem bezpieczeństwa. Niestety, nie działa z każdej sieci.

Wymuszenie logowania do niektórych zasobów tylko przez VPN nie rozwiązuje problemu sieci tworzonych przez smartfony, ale minimalizuje skutki naruszenia bezpieczeństwa. Niektóre firmy idą dalej i wprowadzają logowanie do niektórych aplikacji tylko przez VPN, nawet z własnej sieci stacji roboczych. Odseparowanie podsieci serwerów od stacji roboczych jest standardem, ale nie zawsze można zastosować radykalne rozwiązania, takie jak wymaganie połączenia VPN z każdego urządzenia.

Jak wykryć obcą sieć w firmie

Obecnie dostępne są dwa pasma częstotliwości Wi-Fi: 2,4 GHz oraz 5 GHz. Większość kart telefonów i tabletów wykorzystuje jedynie niższe pasmo 2,4 GHz. Zdarzają się jednak urządzenia, które potrafią zestawić sieć BYON w paśmie 5 GHz. Do monitorowania ruchu sieciowego Wi-Fi należy używać kart pracujących w obu standardach.

Do najważniejszych metod wykrywania obcych sieci należą:

- wykorzystanie systemów IDS/IPS oraz NAC po stronie sieci przewodowej,

- odpytywanie za pomocą SNMP,

- skanowanie podsieci za pomocą narzędzi, takich jak nmap,

- skanery bezprzewodowe, np. kismet czy airmon-ng + airodump-ng z pakietu aircrack-ng,

- wstrzykiwanie pakietów broadcast po stronie LAN, a następnie detekcja przez Wi-Fi,

- wstrzykiwanie pakietów w torze radiowym,

- detektory wbudowane w oprogramowanie sterujące punktami dostępowymi.

Obecność sieci utworzonej przez smartfony i podobne urządzenia można wykryć jedynie na podstawie analizy sygnałów sieci bezprzewodowej. Wymaga to instalacji sensorów w różnych lokalizacjach biura lub wdrożenia narzędzi, które współpracują z firmowymi punktami dostępu i prowadzą detekcję. Małe i średnie firmy, których biuro nie zajmuje wielu pomieszczeń, mogą skorzystać z prostego rozwiązania programowego, polegającego na monitorowaniu ruchu Wi-Fi przez oprogramowanie, takie jak Kismet, prowadząc regularne skanowanie podsieci LAN i porównywanie wyników. Jeszcze lepsze efekty dają narzędzia z pakietu aircrack-ng. Proces można zautomatyzować za pomocą skryptów. Niektórzy dostawcy oferują narzędzia, które potrafią określić przybliżone położenie obcego punktu dostępowego na podstawie sygnału odbieranego przez firmowe punkty dostępowe.

Narzędzia IDS/IPS nie zawsze wykryją router, ale rozwiązania NAC wskażą obecność obcego serwera DHCP za NAT, a także obecność routera i urządzenia wysyłających pakiety, które nie powinny się znaleźć w firmowej sieci. Dotyczy to różnic w pracy stacji i przydzielania adresów z DHCP. W ten sposób można zablokować ruch znajdujący się za routerem, niezależnie od tego, czy dalsze połączenie odbywa się poprzez sieć kablową czy bezprzewodowo.

Odpytywanie podsieci LAN po SNMP nie zawsze umożliwia znalezienie obcych punktów dostępowych, ale odpytanie przełączników umożliwi znalezienie wszystkich wykorzystywanych adresów sprzętowych MAC. Porównanie listy z listą autoryzowanych urządzeń od razu wskaże obcy punkt dostępowy dołączony do sieci LAN. Należy mieć na uwadze fakt, że routery z funkcją Wi-Fi mogą udawać dowolny adres MAC po stronie LAN.

Wstrzykiwanie pakietów polega na publikowaniu pakietów broadcast, które są retransmitowane przez sieć Wi-Fi. Detekcja takich ramek przez skaner radiowy i porównanie z listą MAC umożliwia wykrycie urządzeń dołączonych do lokalnej sieci. Wstrzykiwanie pakietów po stronie radiowej działa odwrotnie, gdyż wykrywa obecność utworzonego w ten sposób ruchu w sieci kablowej.