Z poradnika administratora

Obce punkty dostępowe i 802.1X... Problem ukrytego węzła... Co się składa na sieć bezprzewodową... Czy użycie pre-802.11n jest bezpieczne?... Otwarte porty...

Obce punkty dostępowe i 802.1X... Problem ukrytego węzła... Co się składa na sieć bezprzewodową... Czy użycie pre-802.11n jest bezpieczne?... Otwarte porty...

Obce punkty dostępowe i 802.1X

Pytanie: Jeżeli uruchomię protokół 802.1X na portach przełącznika Ethernet, czy nadal będę musiał martwić się o ataki obcych punktów dostępowych?

Z poradnika administratora

Architektura bezprzewodowego uwierzytelnienia 802.1X/EAP

Odpowiedź: Istnieją kompleksowe, ale drogie rozwiązania pozwalające zlikwidować problem obcych punktów dostępowych. Administratorzy mogą użyć narzędzi umożliwiających identyfikację, lokalizację oraz badanie przemieszczających się wrogich punktów dostępowych każdego rodzaju. Zakup kontrolerów bezprzewodowych i urządzeń lokalizujących to jednak nadal kosztowna inwestycja.

Standard 802.1X jest stosowany z protokołem EAP (Extensible Authentication Protocol) do kontroli procesów uwierzytelniania użytkowników w infrastrukturze sieciowej. Rozwiązania 802.1X/EAP są używane w sieciach bezprzewodowych standardu 802.11. Wynika to z niskiego narzutu na protokół w transferze, łatwości użycia oraz obsługi szyfrowania danych. 802.1X jest używany także w przełącznikach Ethernet do uwierzytelniania przewodowych użytkowników stacjonarnych.

Gdy obce punkty dostępowe zostaną przyłączone do portów Ethernet, otrzymują połączenie w ramach VLAN, do którego należy dany port. Używając 802.1X do kontroli portu Ethernet, dowolne urządzenie przyłączone do portu przełącznika będzie uwierzytelniane na podstawie bazy danych (przykładowo RADIUS). Nawet jeżeli atakujący dysponuje punktem dostępowym z funkcjami uwierzytelnienia, będzie musiał przekazać poprawne dane o użytkowniku i haśle przed przyłączeniem się do sieci. Taka architektura pozwala tylko wybranym klientom wykorzystywać porty Ethernet do transmisji danych.

W rzeczywistości uwierzytelnienie punktów dostępowych nie jest jedynym problemem z wrogimi punktami dostępowymi. Dodatkowy kłopot to przechwytywanie połączeń przez punkty dostępowe, które nie są przyłączone bezpośrednio do infrastruktury sieciowej. Ten atak może zostać przeprowadzony pod kątem komputerów mobilnych. W przeciwieństwie do ataku na infrastrukturę sieciową atak umożliwi przyłączenie się firmowych urządzeń klienckich do punktu dostępowego intruza. Agresor może przechwytywać informacje przesyłane przez użytkowników. Dodatkowo intruz mający fizyczny dostęp do punktów dostępowych może podmienić uwierzytelnione urządzenia. W ten sposób otrzymuje kontrolę nad wybranymi punktami sieci.

Zastosowanie protokołu 802.1X w infrastrukturze sieciowej może być świetnym pomysłem. Warto zaznaczyć, że niektóre systemy operacyjne nie obsługują bezpośrednio 802.1X. Dodatkowo ramki Ethernet nie obsługują szyfrowania danych (802.1X jest jedynie mechanizmem uwierzytelniania), więc bezprzewodowy system zapobiegania intruzom jest nadal niezbędny. Istotny jest głównie przy identyfikacji, lokalizacji i ochronie przed obcymi punktami dostępowymi.

<hr>

Problem ukrytego węzła

Pytanie: W jaki sposób rozwiązać problem z ukrytymi stacjami Wi-Fi?

Z poradnika administratora

Problem ukrytej stacji

Odpowiedź: Jest wiele aspektów zarządzania nielicencjonowanym pasmem Wi-Fi w zapobieganiu interferencjom oraz optymalizacji wydajności sieci bezprzewodowej. Interferencje mogą być wywołane transmisją danych w nakładających się kanałach, innymi urządzeniami operatorów 802.11, korzystającymi z danej częstotliwości, urządzeniami niestanowiącymi elementów sieci 802.11, a pracujących w danym paśmie lub wpływem środowiska.

"Ukryty węzeł" jest urządzeniem klienckim, które jest w zasięgu bezprzewodowego punktu dostępowego, ale niekoniecznie w zasięgu innych stacji przyłączonych do tego samego AP. Standard 802.11a/b/g używa mechanizmu kontroli dostępu do medium (MAC), określanego zwielokrotnionym dostępem z zapobieganiem kolizji lub inaczej CSMA/CD. Węzeł kliencki w przypadku "ukrytej stacji" nie słyszy każdej stacji klienckiej, więc nie może zapobiegać powstawaniu kolizji. Kolizja powstaje, gdy wiele stacji transmituje dane w tym samym czasie. Dwa węzły wysyłające dane na tym samym kanale częstotliwości powodują kolizje, które obniżają całkowitą przepustowość sieci oraz zwiększają czasy odpowiedzi.

Niektóre z narzędzi monitorujących i zarządzających Wi-Fi potrafią wykrywać "ukryte węzły". Rozwiązanie takiej sytuacji może zostać przeprowadzone na kilka sposobów. Podstawowym zabiegiem jest zmniejszanie wielkości komórki punktu dostępowego. Inną opcją jest zwiększenie poziomu mocy na urządzeniach klientów, aby istniało większe prawdopodobieństwo wzajemnej widoczności. Można także rozważyć wymianę kierunkowych anten na anteny dookolne.

Standard 802.11 wprowadza dodatkowy mechanizm nazwany RTS/CTS. Mechanizm realizuje wysyłanie poszczególnym klientom pozwolenia na transmisję, gdy inne stacje będą oczekiwały na możliwość transmisji. Uruchomienie RTS/CTS powinno koordynować transmisje, ale nie sprawdza się ze względu na dynamiczną naturę sieci bezprzewodowych oraz przyrost liczby klientów.

Nowy standard 802.11e wprowadzi do sieci bezprzewodowych zarządzanie jakością pakietów (QoS). Możliwe, że dostarczy także nowych mechanizmów koordynacji transmisji od klienta do punktu dostępowego.

<hr>

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200