Wybieramy rozwiązanie do ochrony WLAN

O tym, że do bezpieczeństwa sieci WLAN trzeba podchodzić równie poważnie jak do sieci przewodowych - nie trzeba chyba nikogo przekonywać. Tym razem nie będziemy skupiać się na bezpiecznej konfiguracji sieci (stosowanie WPA2 Enterprise, 802.1x, 802.11i itp.), lecz postaramy się pokazać wybrane narzędzia do monitorowania jej zabezpieczeń. Przybliżymy także nowe zagrożenie, które od kilkunastu tygodni straszy WLAN-y.

O zagrożeniach AD 2010 słów kilka…

Większość raportów potwierdza potrzebę solidnej ochrony sieci WLAN, i chociaż na ogół trzeba do nich podchodzić z pewną rezerwą, to jednak wskazują pewne trendy. Gartner w ub.r. zaliczył niebezpieczeństwa płynące z sieci WLAN do ścisłej czołówki zagrożeń - przed botnetami, wyciekiem danych na urządzeniach przenośnych czy atakami DDoS (Raport "Next Generation Threats and Vulnerabilities Projection" - 2009).

Na początek krótkie podsumowanie najpoważniejszych zagrożeń, a jest ich niemało (pominąwszy powszechnie już znane podatności związane z wykorzystywaniem WEP lub WPA TKIP).

Jednym z najpowszechniejszych zagrożeń są pojawiające się jak grzyby po deszczu nieautoryzowane punkty dostępowe: wystarczy krótka sesja Kismetem w biurze… Inne często występujące, to przynoszenie przez użytkowników domowych urządzeń, które następnie zostają podłączone do sieci korporacyjnej. Wraz z wprowadzeniem Windows 7 nie trzeba już nawet ich przynosić. Z systemem każdy użytkownik otrzymuje bezpłatny, software’owy (a do tego łatwy do uruchomienia) router bezprzewodowy.

Uruchomienie wirtualnego punktu dostępowego - Windows 7

1. Z poziomu CMD:

C:\> netsh wlan set hostednetwork mode=allow ssid=[nazwa_SSID] key=[hasło]

2. Na aktywnym połączeniu:

3. Z poziomu CMD:

C:\> netsh wlan start hostednetwork

Podobne zagrożenie stanowi obecność w przestrzeni naszej firmy otwartych punktów dostępowych, znajdujących się "gdzieś w pobliżu". Klienci mogą podłączyć się do nich przez przypadek, albo mogą też zostać do tego "skłonieni" przez intruza (tzw. misassociations). Pojawiają się również podrobione punkty dostępowe, które podszywają się pod nasze. Jest to atak Evil Twin, którego przeprowadzenie nie jest zbyt trudne. Żeby uruchomić taki sfałszowany AP, wystarczy zaopatrzyć się we wchodzący w skład platformy Metasploit - moduł Karmetasploit. Pamiętajmy, że każdy użytkownik lubi ułatwiać sobie życie. Jeżeli więc nasza firma blokuje dostęp (np. do lub, co gorsza, w ogóle do internetu, a w pobliżu jest jeszcze otwarty AP), to na 100% będziemy mieli do czynienia z przypadkami podłączania się "na dwie nogi". Tak samo niebezpieczne jest tworzenie połączeń Ad Hoc przez użytkowników sieci. Intruz, przeprowadzając skuteczny atak na komputer pracujący jako punkt Ad Hoc, otrzymuje dostęp do sieci korporacyjnej, omijając wszystkie zabezpieczenia działające w sieci LAN.

Poważnym problemem jest też niejednorodna konfiguracja. Zwłaszcza, jeżeli mamy kilkadziesiąt(-set) punktów, które nie zawsze są centralnie zarządzane. Musimy więc mieć możliwość wychwycenia tych AP, które nie spełniają wymogów polityki bezpieczeństwa, np. domyślne konfiguracje, proste hasła do konsoli zarządzania.

Kolejna kwestia to typowe ataki sieciowe. Tych jest całe mnóstwo - od CaffeLatte, skyjackingu, ASLEAP czy ChopChop, po bardzo popularne i najprostsze do przeprowadzenia ataki DoS. Wśród nich: blokowanie pasma (RF Jamming), association flood, probe request flood, RTS/CTS flood, zalew pakietami zrywającymi powiązanie z AP.


TOP 200