Bezpieczeństwo sieci bezprzewodowej WLAN (WiFi) Drukuj
Wpisany przez Administrator   
poniedziałek, 16 marca 2009 19:48

Dekalog WLAN (sieci bezprzewodowej WiFi)

Od nieautoryzowanych Access Pointów (AP) do sieci Ad Hoc, nieprzestrzeganie zasad bezpieczeństwa w sieciach WLAN może doprowadzić do poważnych zagrożeń bezpieczeństwa sieci firmowych. O ile zasady bezpieczeństwa są pierwszym krokiem do zabezpieczenia firmowej sieci bezprzewodowej to w wielu firmach zasady te szybko stają się kolejnym ignorowanym, zakurzonym dokumentem.


Lista 10 najczęstszych naruszeń zasad bezpieczeństwa firmowych sieci WiFi:

  • Nieautoryzowane lub dzikie Access Pointy
  • Nieautoryzowanie komputery wyposażone w karty WLAN
  • Sieci równorzędne (Ad Hoc)
  • Access Pointy umożliwiające połączenie z niskimi prędkościami (1-2 Mbit)
  • Access Pointy umożliwiające zarówno połączenia VPN jak i Open AuthenticationPrzypadkowe połączenia stacji roboczych z sąsiednimi sieciami WLAN
  • Nietypowe (niestandardowe) karty sieciowe WLAN
  • Domyślny bądź niewłaściwy identyfikatory SSID
  • Niewłaściwa konfiguracja stacji roboczych Windows
  • Możliwość podłączenia do sieci firmowej poza godzinami pracy firmy

Nieautoryzowane lub dzikie Access Pointy

Access Pointy zainstalowane bez autoryzacji stanowią chyba największe zagrożenie dla bezpieczeństwa sieci firmowej. Przeważnie takie Access Pointy są instalowane bez zachowania nawet najmniejszych zabezpieczeń (takich jak WEP). Zresztą nawet w przypadku gdy szyfrowanie WEP jest włączone osoby, które chcą się do takiej sieci włamać mogą to zrobić bez większego problemu przy użyciu narzędzi takich jak NetStumbler czy AirSnort.

Niezależnie od podjętej decyzji dotyczącej dopuszczenia bądź nie do używania sieci bezprzewodowych przedsiębiorstwa powinny podjąć działania zmierzające do wykrycia i usunięcia nieautoryzowanych Access Pointów oraz zdyscyplinowania pracowników odpowiedzialnych za ich instalację.

Nieautoryzowanie komputery wyposażone w karty WLAN (szczególnie notebooki)

Niezależnie czy się nam to podoba czy też nie – nieautoryzowane urządzenia WLAN wciąż pojawiają się w firmach przeważnie przyniesione przez użytkowników, którzy bardzo szybko przyjmują i oswajają się z wszędobylskimi technologiami bezprzewodowymi.

Nawet gdy w firmie nie ma infrastruktury bezprzewodowej (Access Pointów) to nieautoryzowane notebooki wyposażone fabrycznie w karty WLAN przyprawiają o ból głowy osoby odpowiedzialne za bezpieczeństwo sieci komputerowej. Nieautoryzowane komputery wyposażone w karty WLAN muszą zostać odpowiednio skonfigurowane aby uniemożliwić przypadkowe podłączenie się do nieznanych lub „złośliwych” sieci WLAN, co potencjalnie może skutkować uzyskaniem przez osoby nieuprawnione dostępu do sieci firmowej oraz  plików lokalnych. Komputer (notebook, palmtop itd.) wyposażony w kartę bezprzewodową w czasie gdy jest podłączony do sieci firmowej może stanowić „punkt wejścia” do sieci firmowej dla osoby starającej się uzyskać dostęp (napastnika). Przedsiębiorstwa, które wcześniej zakazały używania sieci bezprzewodowych z powodu potencjalnych zagrożeń, obecnie muszą ponownie przeanalizować swoją politykę bezpieczeństwa gdyż pracownicy używają m.in. notebooków fabrycznie wyposażonych w karty bezprzewodowe.

Równorzędnie sieci WLAN (Ad Hoc)

Podobnie jak nieautoryzowane access pointy, sieci równorzędne Ad Hoc (będące częścią specyfikacji WiFi), stanowią kolejne poważne zagrożenie bezpieczeństwa sieci i systemu informatycznego ponieważ mogą stworzyć dla sieci firmowej zagrożenie, o istnieniu którego w danym momencie żadna z osób odpowiedzialnych za bezpieczeństwo nie ma pojęcia.

Karty sieciowe WLAN umożliwiają ustanowienie łączności między komputerami bez udziału access pointa. Te tymczasowe sieci równoległe umożliwiają nieautoryzowanemu użytkownikowi na przesyłanie danych firmowych (plików, dokumentacji technicznej, baz danych) do innych nieautoryzowanych użytkowników poza wszelką kontrolą (i zarazem praktycznie całkowicie poza siecią firmową). Podczas gdy karta WLAN pracuje w trybie Ad Hoc – użytkownik komputera musi mieć pewność, że wszystkie inne komputery pracujące w zasięgu jego karty w tym trybie należą do tej samej sieci (czyli nie ma w zasięgu jego komputera komputerów obcych) ponieważ tryb Ad Hoc zapewnia jedynie minimalny poziom bezpieczeństwa i stanowi poważne zagrożenie dla bezpieczeństwa sieci firmowej. „Intruz” może połączyć się bezpośrednio z którymś z autoryzowanych komputerów i za jego pośrednictwem uzyskać dostęp do sieci firmowej.

Access Pointy umożliwiające połączenie z niskimi prędkościami

O ile prawidłowo skonfigurowana sieć bezprzewodowa standardu 802.11b powinna umożliwiać użytkownikom łączenie się z prędkościami transmisji rzędu 5,5 lub 11 Mbit (a nowsze również z wyższymi prędkościami), to w takiej sieci access pointy powinny być skonfigurowane do połączeń tylko i wyłącznie na tych prędkościach.

 

Jednocześnie access point umożliwiający użytkownikom łączenie się z niższymi prędkościami (1 i 2 Mbit) oznacza zarówno obniżoną wydajność całej sieci bezprzewodowej (w zakresie w jakim ją obsługuje) jak i potencjalne zagrożenie włamaniem do sieci (np. przez kogoś stojącego na parkingu firmowym*).

*osobiście w ramach testów bez problemu uzyskiwałem połączenie z AP wyposażonym w standardową antenkę (2 dbi) znajdującym się w budynku za dwiema ścianami z cegły o grubości około 40 cm z odległości około 100 – 200 m.

Tak więc połączenia o prędkości 1-2 Mbit sygnalizują potencjalne zagrożenie dla sieci.

Access Pointy umożliwiające zarówno połączenia VPN jak i Open Authentication

O ile firmy dbające o bezpieczeństwo własnej sieci zabezpieczają swoje sieci bezprzewodowe poprzez łączenie stacji klienckich do sieci firmowej poprzez dodatkowo szyfrowane połączenie VPN (oraz odpowiednie logowanie użytkowników), to jednak w wielu przedsiębiorstwach access pointy są nieumyślnie (zazwyczaj z powodu braku wiedzy i umiejętności osoby je konfigurującej) konfigurowane tak, że umożliwiają podłączenie do sieci zarówno poprzez VPN jak i poza nim.

Przypadkowe połączenia stacji roboczych z sąsiednimi sieciami WLAN

Ponieważ nie ma możliwości zatrzymania sygnałów radiowych sieci WLAN wewnątrz pomieszczeń biurowych w wielu firmach zdarzają się przypadkowe połączenia stacji klienckich do sąsiednich (nienależących do danej firmy) sieci bezprzewodowych. W czasie takiego połączenia mogą zostać ujawnione hasła sieciowe lub dokumenty firmowe, które staną się dostępne dla komputerów pracujących w sąsiedniej sieci. Takie przypadkowe połączenia mogą wręcz „spiąć” ze sobą dwie sąsiadujące sieci pomijając wszelkie ich zabezpieczenia.

Nietypowe (niestandardowe) karty sieciowe WLAN

Firmowe sieci (w tym sieci bezprzewodowe) bazują z zasady na ściśle określonym sprzęcie (producent a nawet model karty sieciowej) który obsługuje określone protokoły zabezpieczeń.

Podobnie jak to ma miejsce w przypadku access pointów czy laptopów, pracownicy przynoszą czasem do firmy własny sprzęt (przeznaczony na rynek konsumencki) i nie spełniający wymogów bezpieczeństwa dla sieci firmowej.

Domyślny bądź niewłaściwy identyfikatory SSID

SSID (Service Set Identifiers) to inaczej nazwa sieci bezprzewodowej rozgłaszana przez access point. Przedsiębiorstwa powinny więc do tej nazwy podchodzić w sposób przemyślany aby nie zdradzać za jej pośrednictwem zbyt wielu informacji (ponieważ rozgłaszanie tej nazwy jest elementem specyfikacji WiFi i zarazem elementem normalnego ruchu w sieci bezprzewodowej).

Intruzi (włamywacze) często są „przyciągani” przez pozostawienie domyślnego identyfikatora sieci (wg konfiguracji fabrycznej urządzenia). Pozostawienie niezmienionego SSID pozwala przypuszczać, że również pozostałe elementy (domyślne hasła czy też ustawienia szyfrowania) nie zostały zmienione. Domyślna nazwa sieci często sugeruje, że sieć taka nie została właściwie zabezpieczona.

Podobnie jak nazw domyślnych należy unikać nazw zdradzających zbyt wiele informacji (księgowość, zbyt itd.) gdyż takie informacje też mogą stanowić łakomy kąsek dla włamywacza szukającego określonych informacji.

Niewłaściwa konfiguracja stacji roboczych Windows XP

Polityka bezpieczeństwa sieci bezprzewodowej powinna odnosić się do każdego urządzenia wyposażonego w kartę sieci bezprzewodowej, a domyślna konfiguracja sieci bezprzewodowej w Windows XP nie spełnia zazwyczaj wszystkich wymogów bezpieczeństwa dla połączeń bezprzewodowych (ale za to ułatwia nawiązanie połączenia użytkownikom z mniejszym doświadczeniem). O ile przyjazność dla sieci WiFi w systemie Windows XP jest wielkim ułatwieniem dla użytkownika (łatwość konfiguracji) a co za tym idzie ma duży wpływ na rozpowszechnienie w wzrost sprzedaży urządzeń do sieci bezprzewodowych , o tyle też przyprawia specjalistów z działów IT i osoby odpowiedzialne za bezpieczeństwo sieci o dodatkowy ból głowy związany z utrzymaniem określonego poziomu bezpieczeństwa sieci bezprzewodowej szczególnie stacji z zainstalowanym systemem Windows XP.

Domyślnie notebook z zainstalowanym systemem Windows XP i wyposażony w kartę WiFi automatycznie poszukuje access pointa do którego mógłby się połączyć i jeśli to możliwe to łączy się z nim.

 

Do tych właśnie niebezpiecznych ustawień należą głównie:

  • automatyczne łączenie do wszystkich niezatwierdzonych sieci bezprzewodowych (które tylko na to pozwolą – np. są niezabezpieczone)
  • wysyłanie pakietów poszukujących wszystkich access pointów z którymi kiedyś dany komputer był połączony
  • oraz praca w trybie „dual mode” pozwalającym na łączenie zarówno do sieci pracujących w trybie „infrastructure” jak i sieci równorzędnych (Ad Hoc)

Możliwość podłączenia do sieci firmowej poza godzinami pracy firmy

Biorąc pod uwagę, że fale radiowe przenikają przez ściany (poza obręb biura czy budynku firmowego) i nie ma możliwości ich dokładnego kontrolowania, w wielu przedsiębiorstwach ogranicza się czas działania sieci bezprzewodowej do godzin pracy biura. Jest to spowodowane chęcią zabezpieczenia się przed  „nocnymi, nieproszonymi gośćmi” (krakerami, hackerami). Niektóre firmy uciekają się nawet do fizycznego wyłączania (odcinania zasilania) dla wszystkich access pointów ponieważ każda aktywność w sieci bezprzewodowej poza godzinami pracy jest z założenia zagrożeniem.

Dodaj do:

Deli.cio.us    Digg    reddit    Facebook    Wykop    Gwar
Poprawiony: środa, 16 grudnia 2009 23:45