Ochrona przed wrogimi punktami bezprzewodowymi

Idealną sytuacją w sieci korporacyjnej jest możliwość kontrolowania całego środowiska bezprzewodowego. Jednak wskutek tego, że obecnie komunikacja bez kabli stała się na tyle tania, dostępna i łatwa w konfiguracji - zdarza się, że pracownicy przynoszą do pracy własne urządzenia. I tak, nagle obcy bezprzewodowy punktu dostępowy pojawia się w sali konferencyjnej lub innym pomieszczeniu biurowym, a po podłączeniu - w korporacyjnej infrastrukturze sieciowej. Skutki takiego postępowania mogą być bardzo groźne. Większość takich niefrasobliwych pracowników nie myśli o bezpieczeństwie i pozostawia takie urządzenia w domyślnej konfiguracji.

Urządzenia bezprzewodowe niezgodne z korporacyjną polityką bezpieczeństwa można określać różnymi terminami, jako: wrogie, nieautoryzowane, obce, a czasami brzegowe (z racji położenia w sieci). Stanowią one jedno z największych zagrożeń w bezprzewodowych sieciach korporacyjnych.

Klasyfikacja zagrożeń

Termin "wrogi punkt dostępowy" odnosi się do urządzeń, które zostały zainstalowane w złych zamiarach, ale nie tylko. Czasami mogą być to urządzenia stanowiące zagrożenie przez przypadek. Trudno jednak ustalić rzeczywiste zamiary osoby, która instaluje takie urządzenie.

W zależności od typu zagrożenia, konieczne jest podjęcie określonej akcji. Schemat skutecznego działania w przypadku wrogich punktów dostępowych zawsze będzie wyglądał następująco: wykrycie - klasyfikacja - neutralizacja.

Czy wykrywanie wrogich urządzeń to konieczność?

Teoretycznie, jeżeli przedsiębiorstwo prawidłowo wdrożyło najnowsze standardy bezpieczeństwa bezprzewodowych sieci LAN, wrogie (nieautoryzowane) punkty dostępowe nie powinny zezwolić intruzowi na dostęp do sieci. Dodatkowo, w przypadku prawidłowo wdrożonego uwierzytelniania 802.1x, atakujący nie powinien zdołać przełamać sieciowej autoryzacji ani uzyskać dostępu do zasobów sieciowych, określanych przez korporacyjną politykę bezpieczeństwa. Czy powinniśmy zatem monitorować "przestrzeń powietrzną", aby wykrywać wrogie punkty dostępowe? Przecież wspomnieliśmy, że prawidłowo zabezpieczona sieć z 802.1x powinna skutecznie powstrzymywać intruzów. Niestety, to tylko teoria. Dlaczego?

Ochrona przed wrogimi punktami bezprzewodowymi
Ilu administratorów wdraża sieć w pełni przygotowaną do obsługi standardu 802.11i, realizując dobre praktyki wdrożeń bezprzewodowych i przewodowych w jednej spójnej sieci? W rzeczywistości - bardzo niewielka grupa, w dodatku taka, która wdrożyła sieć bezprzewodową stosunkowo niedawno. Standard 802.11i (inaczej WPA2) na rynku jest bardzo krótko, dlatego też wiele wykorzystywanych urządzeń sieciowych nie ma tego mechanizmu. Statystyki pokazują, że w wielu sieciach, jako zabezpieczanie sieci bezprzewodowej LAN jest wykorzystywany starszy standard (WPA). Statystyki ujawniają jednak jeszcze gorszy obraz bezpieczeństwa sieci bezprzewodowych - wielu administratorów, jako podstawowe mechanizmy bezpieczeństwa nadal wykorzystuje klucze WEP lub filtrację adresów MAC. W większości tych przypadków niepożądani użytkownicy przyłączeni do punktów dostępowych uzyskują dostęp do istotnych zasobów sieciowych. Dzieje się tak szczególnie w przypadkach, gdy nie został zastosowany żaden dodatkowy mechanizm bezpieczeństwa.

Ochrona przed wrogimi punktami bezprzewodowymi
Mechanizm 802.1x jest przewidziany do zadań uwierzytelniania na poziomie portu przełącznika. Gdy punkt dostępowy jest przyłączony do niezabezpieczonego portu Ethernet, uzyskuje łączność w ramach sieci VLAN, do której przypisany jest port. Przy użyciu 802.1x do kontroli dostępu wykorzystania portu Ethernet, dowolne urządzenie przyłączone do portu będzie musiało prawidłowo uwierzytelnić się w bazie danych użytkowników (przykładowo RADIUS). Oznacza to zupełne przeciwieństwo w stosunku do wprowadzania portu w stan przekazywania ramek. Nawet jeżeli atakujący dysponuje punktem dostępowym realizującym funkcjonalność uwierzytelniania (co nie jest zbyt często spotykane w modelach SOHO), będzie musiał legitymować się poprawnymi danymi, zanim uwierzytelnienie zakończy się powodzeniem. W przypadku braku uwierzytelniania zaimplementowanego w sieci, wrogi punkt dostępowy pozwoli dowolnemu klientowi na przyłączenie się do sieci WLAN i spenetrowanie przewodowej sieci korporacyjnej.


TOP 200