Wybieramy rozwiązanie do ochrony WLAN
- Patryk Królikowski,
- 06.09.2010
O tym, że do bezpieczeństwa sieci WLAN trzeba podchodzić równie poważnie jak do sieci przewodowych - nie trzeba chyba nikogo przekonywać. Tym razem nie będziemy skupiać się na bezpiecznej konfiguracji sieci (stosowanie WPA2 Enterprise, 802.1x, 802.11i itp.), lecz postaramy się pokazać wybrane narzędzia do monitorowania jej zabezpieczeń. Przybliżymy także nowe zagrożenie, które od kilkunastu tygodni straszy WLAN-y.
O zagrożeniach AD 2010 słów kilka…
Większość raportów potwierdza potrzebę solidnej ochrony sieci WLAN, i chociaż na ogół trzeba do nich podchodzić z pewną rezerwą, to jednak wskazują pewne trendy. Gartner w ub.r. zaliczył niebezpieczeństwa płynące z sieci WLAN do ścisłej czołówki zagrożeń - przed botnetami, wyciekiem danych na urządzeniach przenośnych czy atakami DDoS (Raport "Next Generation Threats and Vulnerabilities Projection" - 2009).
Na początek krótkie podsumowanie najpoważniejszych zagrożeń, a jest ich niemało (pominąwszy powszechnie już znane podatności związane z wykorzystywaniem WEP lub WPA TKIP).
Jednym z najpowszechniejszych zagrożeń są pojawiające się jak grzyby po deszczu nieautoryzowane punkty dostępowe: wystarczy krótka sesja Kismetem w biurze… Inne często występujące, to przynoszenie przez użytkowników domowych urządzeń, które następnie zostają podłączone do sieci korporacyjnej. Wraz z wprowadzeniem Windows 7 nie trzeba już nawet ich przynosić. Z systemem każdy użytkownik otrzymuje bezpłatny, software’owy (a do tego łatwy do uruchomienia) router bezprzewodowy.
1. Z poziomu CMD:
C:\> netsh wlan set hostednetwork mode=allow ssid=[nazwa_SSID] key=[hasło]
2. Na aktywnym połączeniu:
3. Z poziomu CMD:
C:\> netsh wlan start hostednetwork
Poważnym problemem jest też niejednorodna konfiguracja. Zwłaszcza, jeżeli mamy kilkadziesiąt(-set) punktów, które nie zawsze są centralnie zarządzane. Musimy więc mieć możliwość wychwycenia tych AP, które nie spełniają wymogów polityki bezpieczeństwa, np. domyślne konfiguracje, proste hasła do konsoli zarządzania.
Kolejna kwestia to typowe ataki sieciowe. Tych jest całe mnóstwo - od CaffeLatte, skyjackingu, ASLEAP czy ChopChop, po bardzo popularne i najprostsze do przeprowadzenia ataki DoS. Wśród nich: blokowanie pasma (RF Jamming), association flood, probe request flood, RTS/CTS flood, zalew pakietami zrywającymi powiązanie z AP.