Pochopenie hrozieb a ochranu siete pred nimi
Pohodlie za cenu
Pohodlie bezdrôtových sietí je dodávané s cenou. Prístup k káblovej sieti je možné ovládať, pretože údaje sú obsiahnuté v kábloch, ktoré pripájajú počítač k prepínaču. Pri bezdrôtovej sieti sa "kabeláž" medzi počítačom a prepínačom nazýva "vzduch", ktorý môže potenciálne pristupovať k akémukoľvek zariadeniu v dosahu. Ak sa používateľ môže pripojiť k bezdrôtovému prístupovému bodu vzdialenému od 300 stôp, potom teoreticky môže ktokoľvek iný v okruhu 300 stôp bezdrôtového prístupového bodu.
Hrozby pre bezpečnosť bezdrôtovej siete
- Rogue WLAN's - Či už váš podnik má oficiálne schválenú bezdrôtovú sieť, alebo nie, bezdrôtové smerovače sú pomerne lacné a ambiciózni používatelia môžu do siete pripojiť neautorizované zariadenia. Tieto nepoctivé bezdrôtové siete môžu byť neisté alebo nesprávne zabezpečené a predstavujú riziko pre celú sieť.
- Spoofing Internal Communications - Útok z vonkajšej strany siete môže byť zvyčajne identifikovaný ako taký. Ak sa útočník môže pripojiť k vašej sieti WLAN, môže to vyfarbiť komunikáciu, ktorá vyzerá, že pochádza z interných domén. Užívatelia majú oveľa väčšiu pravdepodobnosť, že dôverujú a budú konať na falšovaných interných komunikáciách.
- Krádež sieťových zdrojov - aj keď narušiteľ nezaútočí na vaše počítače ani neohrozuje vaše dáta, môžu sa pripojiť k vašej sieti WLAN a útočiť na vašu sieťovú šírku na surfovanie po webe. Môžu využívať vyššiu šírku pásma, ktorá sa nachádza vo väčšine podnikových sietí, sťahovať hudbu a videoklipy, využívať vaše vzácne sieťové zdroje a ovplyvňovať výkonnosť siete pre svojich oprávnených používateľov.
Ochrana siete pred WLAN
Vylepšená bezpečnosť je vynikajúcim dôvodom na nastavenie siete WLAN na vlastnú VLAN. Môžete povoliť pripojenie všetkých bezdrôtových zariadení k sieti WLAN, ale chránit zvyšok internej siete pred akýmikoľvek problémami alebo útokmi, ktoré sa môžu vyskytnúť v bezdrôtovej sieti.
Pomocou brány firewall alebo routeru ACL (zoznamy prístupových práv) môžete obmedziť komunikáciu medzi sieťou WLAN a zvyškom siete. Ak pripojíte sieť WLAN k internej sieti prostredníctvom webového proxy servera alebo VPN, môžete dokonca obmedziť prístup bezdrôtových zariadení, aby mohli surfovať iba na webe, alebo majú prístup iba k určitým priečinkom alebo aplikáciám.
Zabezpečte prístup WLAN
Bezdrôtové šifrovanie
Jedným zo spôsobov, ako zabezpečiť, aby neoprávnené používatelia neposlali do vašej bezdrôtovej siete, je zašifrovať vaše bezdrôtové dáta. Zistilo sa, že pôvodná metóda šifrovania, WEP (drôtové ekvivalentné súkromie), bola zásadne chybná. WEP sa spolieha na zdieľaný kľúč alebo heslo na obmedzenie prístupu. Každý používateľ, ktorý pozná kľúč WEP, sa môže pripojiť k bezdrôtovej sieti. Neexistoval žiadny mechanizmus zabudovaný do WEP, ktorý by automaticky zmenil kľúč a existujú nástroje, ktoré môžu v priebehu niekoľkých minút spúšťať kľúč WEP, takže útočník nebude mať dlhý čas na prístup k bezdrôtovej sieti šifrovanej WEP.
Počas používania WEP môže byť o niečo lepšie ako vôbec žiadne šifrovanie, nie je dostatočné na ochranu podnikovej siete. Ďalšia generácia šifrovania WPA (Wi-Fi Protect Access) je navrhnutá na využitie autentifikačného servera kompatibilného s protokolom 802.1X, ale môže byť spustený podobne ako WEP v režime PSK (predbežne zdieľaný kľúč). Hlavným vylepšením z WEP na WPA je použitie protokolu TKIP (Temporal Key Integrity Protocol), ktorý dynamicky mení kľúč, aby zabránil takýmto technikám, ktoré sa používajú na rozbitie šifrovania WEP.
Dokonca aj služba WPA bola prístupom k pomoci. WPA bol pokus dodávateľov bezdrôtového hardvéru a softvéru na implementáciu dostatočnej ochrany pri čakaní na oficiálny štandard 802.11i. Najaktuálnejšou formou šifrovania je WPA2. Šifrovanie WPA2 poskytuje ešte zložitejšie a bezpečnejšie mechanizmy vrátane CCMP, ktorý je založený na šifrovacom algoritme AES.
Ak chcete chrániť bezdrôtové dáta pred zachytením a zabrániť neoprávnenému prístupu k bezdrôtovej sieti, mala by byť vaša sieť WLAN nastavená aspoň šifrovaním WPA a prednostne šifrovaním WPA2.
Bezdrôtové overenie
Okrem jednoduchej šifrovanie bezdrôtových dát môže WPA komunikovať s autentizačnými servermi 802.1X alebo RADIUS, aby poskytla bezpečnejšiu metódu kontroly prístupu k sieti WLAN. Ak WEP alebo WPA v režime PSK umožňuje prakticky anonymný prístup každému, kto má správny kľúč alebo heslo, overovanie pomocou protokolu 802.1X alebo RADIUS vyžaduje, aby používatelia mali platné používateľské meno a heslo alebo platný certifikát na prihlásenie do bezdrôtovej siete.
Vyžadovanie autentifikácie v sieti WLAN poskytuje zvýšenú bezpečnosť tým, že obmedzuje prístup, ale poskytuje aj protokolovanie a forenznú stopu, aby zistili, či sa niečo podozrieva. Zatiaľ čo bezdrôtová sieť založená na zdieľanom kľúči môže zaznamenať adresy MAC alebo IP, táto informácia nie je veľmi užitočná, pokiaľ ide o určenie hlavnej príčiny problému. Zvýšená dôvernosť a nedotknuteľnosť sa odporúča, ak sa to nevyžaduje, pri mnohých mandátoch týkajúcich sa bezpečnosti.
S protokolmi WPA / WPA2 a serverom overenia 802.1X alebo RADIUS môžu organizácie využívať rôzne autentifikačné protokoly ako Kerberos, MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) alebo TLS (Transport Layer Security) a používať pole metódy overovania poverení, ako sú používateľské mená / heslá, certifikáty, biometrické overovanie alebo jednorazové heslá.
Bezdrôtové siete môžu zvýšiť efektivitu, zvýšiť produktivitu a zefektívniť sieťovú komunikáciu, ale ak nie sú správne implementované, môžu byť aj Achilovou pätou bezpečnosti siete a vystaviť celú vašu organizáciu kompromisom. Urobte si čas na pochopenie rizík a zabezpečenia bezdrôtovej siete, aby vaša organizácia mohla využívať bezdrôtové pripojenie bez vytvorenia príležitosti na porušenie bezpečnosti.