Niespodziewany atak z powietrza

Gil Shwed, prezes firmy Check Point Software, lidera w zakresie systemów firewall i VPN, jako główne zagrożenie dla bezpieczeństwa sieci wskazuje obecnie technologie bezprzewodowe. Rozwiązania te są na tyle tanie i łatwe w użyciu, że często ich instalacja odbywa się bez wiedzy administratorów, a przy pracy w standardowej konfiguracji dostęp do sieci może uzyskać każdy, kto znajdzie się w zasięgu punktu dostępowego.

Gil Shwed, prezes firmy Check Point Software, lidera w zakresie systemów firewall i VPN, jako główne zagrożenie dla bezpieczeństwa sieci wskazuje obecnie technologie bezprzewodowe. Rozwiązania te są na tyle tanie i łatwe w użyciu, że często ich instalacja odbywa się bez wiedzy administratorów, a przy pracy w standardowej konfiguracji dostęp do sieci może uzyskać każdy, kto znajdzie się w zasięgu punktu dostępowego.

Stwierdzenie, że system bezpieczeństwa jest tak mocny jak jego najsłabsze ogniwo, jest już mocno "wyświechtane". Nadal pozostaje ono jednak prawdziwe, o czym przekonują się administratorzy nadzorujący solidnie zabezpieczone przed atakiem z Internetu sieci korporacyjne, w których niesforni użytkownicy na własną rękę otwierają dostęp włamywaczom, samodzielnie instalując punkty dostępowe sieci bezprzewodowych. Do penetracji sieci korporacyjnej w takim przypadku wystarczy notebook wyposażony w kartę bezprzewodową, znajdujący się w zasięgu punktu dostępowego - w innym pomieszczeniu, na innym piętrze budynku lub po prostu na parkingu obok siedziby firmy.

Zagrożenie z powietrza

Zastosowanie technologii bezprzewodowych ma dwie podstawowe zalety decydujące o ich powodzeniu: "uwolnienie" komputera przenoś-nego od jednego biurka jest bardzo wygodne, a jednocześnie dołączenie sieci bezprzewodowej do korporacyjnej jest bardzo łatwe. W połączeniu z niską ceną niezbędnego zestawu, czyli punktu dostępowego (Access Point) i karty bezprzewodowej (zestaw taki można już nabyć za 300 USD), użytkownicy skłonni są sami, bez konsultowania tego z administratorem, finansować taką inwestycję znacznie podnoszącą ich komfort pracy.

Wszystkie dostępne na rynku rozwiązania sieci bezprzewodowych są standardowo skonfigurowane w taki sposób, by umożliwiać ich łatwą instalację i włączenie do sieci kablowej. W praktyce sprowadza się to do tego, że punkt dostępowy pobiera numer IP za pośrednictwem mechanizmu DHCP z serwera firmowego. Sam może pełnić funkcję routera realizującego translację adresów i udostępniającego od strony interfejsu bezprzewodowego dowolnym bezprzewodowym kartom sieciowym numery IP z prywatnej puli adresowej. I chociaż wszystkie access pointy oferują możliwość konfiguracji bezpiecznych transmisji między komputerem a punktem dostępowym, to nie czyni tego zdecydowana większość użytkowników zadowolonych z korzystnego przebiegu instalacji w trybie plug and play.

W rezultacie takich działań pracowników sieć korporacyjna staje się całkowicie obna- żona i umożliwia dostęp nieuprawnionym osobom. Co więcej, na powietrzne ataki jest podatny nie tylko punkt dostępowy, ale również komputer użytkownika - zazwyczaj znacznie słabiej zabezpieczony niż firmowe serwery. Karty bezprzewodowe w standardowej konfiguracji umożliwiają bowiem zarówno komunikację z punktami dostępowymi, jak i w trybie peer-to-peer z innymi komputerami. I nawet jeśli firewall firmowy nie pozwala np. na ska- nowanie portów ukrytych za nim komputerów, to z łatwością może to uczynić włamywacz wyposażony w komputer z anteną - bo wcale nie musi przechodzić przez firewall, lecz atakuje sieć od środka.

Walka z użytkownikami

Jak więc administrator może walczyć z użytkownikami stosującymi we własnym zakresie urządzenia bezprzewodowe? Najprostszy sposób to opracowanie zasad wykorzystania sieci komputerowej i edukacja pracowników w zakresie zagrożeń wynikających ze stosowania niewłaściwie skonfigurowanych urządzeń bezprzewodowych. Większość użytkowników po prostu nie zdaje sobie sprawy, że dołączając punkt dostępowy do sieciowego portu RJ-45, znajdującego się w ścianie, powoduje zagrożenie dla bezpieczeństwa. Stworzone przez administratorów zasady wykorzystania sieci bezprzewodowych powinny dokładnie określać, w jakich miejscach mogą znajdować się punkty dostępowe (tak by zasięg sygnału radiowego nie wykraczał poza pomieszczenia firmy), jak one powinny być skonfigurowane i w którym miejscu sieci kablowej włączone.

Jednym z podstawowych sposobów zabezpieczania sieci bezprzewodowych jest zastosowanie protokołu WEP (Wired Equivalent Privacy), udostępnianego przez praktycznie wszystkie sprzedawane punkty dostępowe. Jego zadaniem jest szyfrowanie transmisji między kartą bezprzewodową a punktem dostępowym. Jak jednak wykazały praktyczne testy organizacji ISAAC, protokół WEP, stosujący 40-bitowy klucz szyfrujący, zawiera kilka luk umożliwiających włamywaczom pokonanie zabez- pieczeń i uzyskanie dostępu do przesyłanych danych. Co więcej, jego konfiguracja przekracza zazwyczaj umiejętności użytkowników.

Uzyskanie informacji o wszystkich zainstalowanych w firmie punktach dostępowych jest możliwe tylko wtedy, gdy ich stosowanie nie będzie piętnowane przez dział informatyki. Nawet mimo rozesłania oficjalnej prośby, nie wszyscy użytkownicy mogą być chętni do ujawnienia faktu wykorzystywania sieci Wireless LAN (WLAN). W takim przypadku administrator może po prostu przejść się z notebookiem wyposażonym w kartę bezprzewodową po firmie i sprawdzić w zasięgu jakich podsieci się znajduje. Szukanie ukrytych access pointów może być jednak trudne.