LAN bezpieczny jak Wi-Fi

Zazwyczaj zarzuty obejmujące problemy z bezpieczeństwem dotyczą sieci bezprzewodowych. Gdyby jednak przyjrzeć się kontroli dostępu, stan bezpieczeństwa większości sieci przewodowych w polskich firmach jest opłakany.

Często przyrównuje się bezpieczeństwo sieci Wi-Fi do sieci przewodowych, przy czym głównym argumentem przemawiającym za sieciami przewodowymi jest niedostępność połączenia poza pomieszczeniami, gdzie są dostępne gniazda sieciowe. Gdyby jednak przyjrzeć się dokładniej konfiguracji sieci przewodowych, widać wyraźnie, że zabezpieczenia chroniące przed obcymi urządzeniami nadal są rzadkością. Ponadto mało firm decyduje się na konfigurację tak zwanego guest LAN-u - specjalnej podsieci dla gości firmowych, odseparowanej od firmowego segmentu.

Jak uwierzytelnić?

Jak uwierzytelnić?

Aby poważnie utrudnić podłączanie obcych urządzeń do sieci, stosowano filtry na adresy sprzętowe (MAC). Filtr taki skonfigurowany na zarządzalnym przełączniku sieciowym sprawia, że połączenie jest możliwe tylko wtedy, gdy do tak chronionego gniazda włączy się urządzenie o właściwym adresie sprzętowym. Zabezpieczenie można obejść za pomocą routera z klonowaniem adresów MAC albo ręcznie ustawiając adres, ale utrudnia ono proste podłączenie komputera i kradzież informacji tą drogą. Wadą ręcznego wpisywania adresów jest konieczność utrzymywania aktualnej listy wszystkich adresów MAC oraz wprowadzania konfiguracji do każdego zarządzanego przełącznika. Jest to bardzo pracochłonne i mogą zdarzać się pomyłki, skutkujące niedostępnością połączenia.

Zobacz również:

Jak powinna wyglądać ochrona sieci LAN

W pierwszej kolejności należy zadbać, aby uniemożliwić połączenia obcym - do tego celu stosuje się uwierzytelnienie 802.1x. Po pomyślnym uwierzytelnieniu urządzenie zostaje przełączone do właściwej podsieci VLAN. Na podstawie informacji o użytkowniku zostają mu przydzielone właściwe dla niego usługi, a następnie informacja o tożsamości i położeniu może być użyta do śledzenia i rozliczania z usług.

Przy uwierzytelnieniu należy także rozważyć miejsce, z którego dana osoba się łączy. Polityka bezpieczeństwa firmy powinna uwzględniać dostęp do usług zależny od lokalizacji, gdzie poziom uprawnień zostaje ustalony na podstawie tożsamości użytkownika oraz miejsca logowania do usługi. Przykładowo pracownik działu kadr, który ma dostęp do informacji osobowych, może mieć dostęp do aplikacji z sieci biura, ale gdyby zalogował się za pomocą VPN lub z innej sieci, dostęp byłby zabroniony. Podobnie można rozróżnić sposób łączenia się z siecią - inne uprawnienia będą przypisane przy korzystaniu z sieci przewodowej we właściwym pomieszczeniu, inne przy sieci bezprzewodowej, a zupełnie inne przy zdalnym za pomocą VPN.