Bezpieczeństwo w eterze

Mogłoby się wydawać, że wraz z wprowadzeniem WPA2, PEAP, TTLS, EAP/TLS nasza sieć będzie odporna na wszelkie ataki. Niestety, tak nie jest! Musimy być świadomi, że pojawiają się nowe zagrożenia. Wiele zależy od poprawnej konfiguracji urządzeń. Mówi o tym Joshua Wright, autor wielu publikacji związanych z bezpieczeństwem sieci bezprzewodowych.

Mogłoby się wydawać, że wraz z wprowadzeniem WPA2, PEAP, TTLS, EAP/TLS nasza sieć będzie odporna na wszelkie ataki. Niestety, tak nie jest! Musimy być świadomi, że pojawiają się nowe zagrożenia. Wiele zależy od poprawnej konfiguracji urządzeń. Mówi o tym Joshua Wright, autor wielu publikacji związanych z bezpieczeństwem sieci bezprzewodowych.

Jak oceniłby Pan stopień zabezpieczenia sieci bezprzewodowych dzisiejszych przedsiębiorstw

Bezpieczeństwo w eterze

Joshua Wright Niestety, wciąż popularne jest przeświadczenie, że wystarczy wprowadzić WPA i sieć będzie całkowicie bezpieczna.

Myślę, że radzą one sobie coraz lepiej. Mniej sieci pozostaje otwartych, więcej firm migruje w stronę WPA/WPA2. Stary WEP jest nadal używany, ale często wynika to z konieczności obsługi sprzętu, który nie wspiera nowych protokołów. Niestety, wciąż popularne jest przeświadczenie, że wystarczy wprowadzić WPA i sieć będzie całkowicie bezpieczna. Takie rozumowanie jest błędne. Nie wolno zapominać o konfiguracji stacji klienckiej, gdyż to ona może stać się celem ataku. Jeśli chcemy się ustrzec przed punktem dostępowym zainstalowanym przez napastników (atak man-in-the-

-middle), niezbędne jest stałe monitorowanie sieci.

Na ile bezpieczny jest WPA-PSK lub WPA2-PSK

Uwierzytelnienia oparte na PSK są podatne na ataki offline przy użyciu słownika. Sam jestem autorem jednego z programów („coWPAtty”) wykorzystujących słabości WPA-PSK. Dostępny Aircrack-ng jest jeszcze szybszy. Podstawową wadą mechanizmu PSK jest to, że wszystkie urządzenia używają tego samego klucza. Przedsiębiorstwa powinny używać 802.1X, który oferuje lepsze zabezpieczenia poprzez stosowanie unikalnego klucza dla każdego użytkownika.

Czy wyłączenie opcji udostępniania plików i drukarki zabezpieczy nasz komputer przed dostępem innych osób korzystających z tej samej sieci bezprzewodowej

Do pewnego stopnia tak, ale nie w 100%. Inne usługi, takie jak zdalny pulpit, nadal są narażone na atak z sieci. Poza tym wielokrotnie spotkałem się z zainstalowanym VNC na stacji roboczej, który także stanowi furtkę do naszego PC. Jeśli w trakcie audytu napotkam PC z VNC, to uznaję, że sieć jest do złamania.

To znaczy, że jest Pan w stanie wykorzystać każdą wersję VNC do przejęcia kontroli nad siecią

Na pewno nie każdą, ale dotychczas zawsze mi się to udawało. Jestem pewien, że można VNC zainstalować w odpowiedni, bezpieczny sposób. Moja praktyka pokazuje jednak, że najczęściej jest to nienadzorowana instalacja przeprowadzona przez użytkownika. Nie ma więc mowy o dobrze dobranym koncie, przywilejach, monitorowaniu logowania czy silnym haśle.

Jak przedsiębiorstwa mogą przeciwdziałać błędom w sterownikach kart sieciowych

Należy pamiętać, że wada sterownika może zostać wykorzystana przez atakującego. W związku z tym, iż sterowniki ściśle współpracują z jądrem systemu, nie podlegają wszystkim zabezpieczeniom (na przykład ograniczone przywileje, mechanizmy detekcji włamania, spyware, antywirus). Dlatego mogą stanowić poważne zagrożenie. Sposób przeciwdziałania jest prosty. Organizacje powinny zacząć od inwentaryzacji i sporządzenia listy wszystkich zainstalowanych sterowników. Następnie należy regularnie sprawdzać strony producentów, czy nie wydane zostało jakieś uaktualnienie.

Pomocne może być także narzędzie WiFiDEnum, które napisałem. Zbiera ono informację o sterownikach zainstalowanych na komputerach w naszej sieci. W lokalnej bazie danych sprawdza, czy któryś nie jest podatny na znany atak. Darmowe oprogramowanie można pobrać ze stronyhttp://labs.arubanetworks.com/wifidenum.

Czy używając WPA2, możemy czuć się bezpieczni

WPA2 oferuje zaawansowane mechanizmy szyfrowania oraz uwierzytelniania (PEAP, TTLS, EAP/TLS). Niewątpliwie jest dobrym wyborem. Podstawowy problem z WPA2 to błędna konfiguracja ustawień PEAP i TTLS. Powoduje ona, że atakujący może podszyć się pod serwer RADIUS i zdobyć w ten sposób dane ofiary, takie jak login czy hasło.

Co Pan sądzi o wyłączeniu rozgłaszania SSID

Myślę, że to zły pomysł. Stacja kliencka musi odpytać wszystkie dostępne AP. Bardzo możliwe, że ktoś podszyje się pod właściwy punkt dostępowy i przechwyci nasze dane.

Jaki będzie wpływ 802.11n na bezpieczeństwo

Moim zdaniem standard 802.11n to kilka interesujących aspektów, które mogą mieć wpływ na funkcjonowanie naszej sieci:

  1. Większy zasięg AP (od 1.5 do 4 razy większy niż 802.11a).
  2. Sieć trudniejsza do monitorowania przez WIDS. Standard n zakłada kanały 20 MHz i 40 MHz, przez co system WIDS będzie miał mniej czasu na wykrycie nieprawidłowości i bardziej będzie zajęty zmianami kanałów.
  3. Ukryte węzły. 802.11n wprowadza nowy tryb pracy tzw. zielony (greenfield mode), który jest dostępny tylko dla urządzeń pracujących według 802.11n. Oznacza to, że urządzenia WIDS obsługujące 802.11a/b/g nie będą w stanie wykryć punktu dostępowego czy generowanego ruchu przez elementy zgodne z n.
  4. Nowe typy ataków DoS. Specyfikacja n zawiera dwa mechanizmy agregacji ramek. Mogą one posłużyć jako podstawa nowych ataków DoS.
  5. Nowe sterowniki. Urządzenia wymagają nowego oprogramowania, które na pewno nie będzie bezbłędne.

TOP 200