Jak zabezpieczyć sieć bezprzewodową?

Opublikowano 25 września 2010

wifiPodstawowe zasady bezpieczeństwa w sieci bezprzewodowej

Przy projektowaniu sieci komputerowej, niezależnie od tego, czy jej przeznaczeniem jest zapewnienie komunikacji między komputerami, czy też pomiędzy urządzeniami cyfrowego systemu monitoringu nie sposób pominąć zagadnienia związanego z bezpieczeństwem całości rozwiązania. O ile nie ma stuprocentowo skutecznej reguły na stworzenie zapory nie do przejścia dla potencjalnego włamywacza, o tyle istnieje szereg rozwiązań stanowiących mniej lub bardziej poważne utrudnienie w próbach nieautoryzowanego dostępu do tak zaprojektowanej sieci. W tym artykule omówimy najważniejsze i stosunkowo proste do wdrożenia sposoby zabezpieczenia sieci bezprzewodowej przed włamaniem z zewnątrz przez nieuprawnione osoby.

Zagadnienia specyficzne dla sieci bezprzewodowych:

Z uwagi na specyfikę medium transmisyjnego stosowanego w sieciach bezprzewodowych, zagadnienie kontroli dostępu do danych nabiera nowego znaczenia. Przede wszystkim, w odróżnieniu od standardowych rozwiązań opierających się o przewody miedziane lub światłowodowe, sygnał radiowy rozchodzi się bez ograniczeń w promieniu 360° od nadajnika, w wyniku czego może być odebrany w dowolnym miejscu znajdującym się w jego zasięgu. Przy braku właściwej ochrony sieci oraz wystarczającej mocy nadajnika, może dojść do sytuacji, że włamanie nastąpiło bez fizycznego wejścia na teren firmy, z ulicy biegnącej obok budynku, z parkingu lub też budynku stojącego w bezpośrednim sąsiedztwie. Wdrażając do użytku sieć bezprzewodową należy mieć na uwadze powyższe zagrożenia.

Prawdopodobieństwo ingerencji z zewnątrz w sieć lokalną firmy można znacznie zmniejszyć wprowadzając następujące techniki zabezpieczające:

  • Uaktywnienie szyfrowania przesyłanych danych dla wszystkich istniejących w sieci punktów dostępowych lub bezpośrednio połączonych z siecią urządzeń monitorujących. Jeżeli to możliwe, stosujemy protokół WPA (ang. Wi-Fi Protected Access), w przeciwnym wypadku WEP (ang. Wired Equivalent Privacy), pomimo udowodnionej jego słabości, starając się przy tym o dobór maksymalnej długości klucza szyfrującego (128bitów i więcej).
  • Zmiana danych umożliwiających dostęp do konfiguracji punktu dostępowego. Większość z dostępnych na rynku urządzeń posiada możliwość zdalnej administracji poprzez przeglądarkę WWW lub za pomocą protokołu Telnet, ewentualnie bezpośrednio z panelu urządzenia. Należy w pierwszej kolejności dokonać zmian domyślnych haseł umożliwiających taki dostęp na dowolne inne, o odpowiednio wysokim stopniu skomplikowania (im dłuższe i bardziej niestandardowe hasło, tym trudniejsze do złamania). Ponadto, zalecanym rozwiązaniem byłoby umożliwienie jedynie minimalnej koniecznej liczbie stacji (np. wyłącznie komputer administratora sieci lub operatora systemu monitoringu) zdalnego dostępu do konfigurowania punktu dostępowego, przy pomocy adresu IP lub adresu fizycznego stacji.
  • Ukrywanie SSID (ang. Service Set Identifier – identyfikator sieci bezprzewodowej). Większość urządzeń bezprzewodowych dostępnych na naszym rynku umożliwia pracę sieci bez rozgłaszania jej identyfikatora, w tej sytuacji klient, który będzie chciał się do niej podłączyć, musi znać jej nazwę. Jeżeli stosowane w sieci urządzenia nie umożliwiają ukrycia identyfikatora, dobrym rozwiązaniem jest własnoręczne utworzenie SSID w sposób podobny do generowania hasła (np. SSID o treści „A0lp9jq6”). Wprawdzie utrudnia to nieco proces podłączania do sieci dodatkowych urządzeń, jednakże nie daje bezpośredniej informacji osobom postronnym o właścicielu tak nazwanej sieci, ani o producencie zastosowanych w niej urządzeń (zupełnie inaczej prezentuje się sieć o powyższym SSID, niż np. sieć o identyfikatorze „NETGEAR”).
  • Utworzenie bazy danych zawierającej adresy fizyczne kart sieciowych oraz urządzeń występujących w sieci oraz nadawanie adresów IP poprzez  usługę DHCP, tam, gdzie jest to możliwe. W ten sposób będziemy mieć pewność, że stacja o adresie fizycznym, który nie występuje na liście znanych serwerowi DHCP adresów, nie otrzyma własnego adresu IP, dzięki czemu nie będzie miała bezpośredniego dostępu do sieci.
  • Filtrowanie ruchu w sieci oraz autoryzację klientów na podstawie adresów fizycznych kart sieciowych. Procedura ta wymaga uprzedniego skonfigurowania wszystkich urządzeń sieciowych tak, aby posiadały one informacje na temat wszystkich adresów fizycznych występujących w lokalnej podsieci., większość urządzeń dostępnych na naszym rynku posiada obsługę tego typu filtrowania.
  • Stosowanie regularnie zmienianych haseł dostępu, o odpowiednio dobranej długości i stopniu skomplikowania. Hasła proste, składające się z pojedynczych wyrazów występujących w języku potocznym lub będące ich prostą modyfikacją (np. ala1950) nie są trudne do złamania, a odpowiednie narzędzia służące temu celowi dostępne sią powszechnie w Internecie.
  • Doskonałym i bardzo skutecznym sposobem na zabezpieczenie lokalnej sieci firmowej jest zastosowanie technologii VPN (ang. Virtual Private Network – wirtualna sieć prywatna) wraz z IPsec (ang. IP security – bezpieczny IP). Wymaga to odpowiedniej konfiguracji stacji roboczych oraz urządzeń sieciowych (co jest zagadnieniem odbiegającym od tematu niniejszej pracy), jednakże daje prawdopodobnie największy z możliwych stopień bezpieczeństwa, oczywiście przy równoczesnym zastosowaniu opisanych powyżej metod ochrony. Ta metoda wymaga jednak wysokich kwalifikacji informatycznych i nie powinna być przeprowadzana przez osoby bez wystarczających umiejętności.
  • Wprowadzenie ścisłej polityki bezpieczeństwa polegającej na uświadomieniu użytkownikom sieci możliwych zagrożeń i wynikających z tego konsekwencji. Wszelkie wyrafinowane metody zabezpieczeń nie zdadzą się na nic, jeśli w sieci łamane będą podstawowe zasady bezpieczeństwa, np. użytkownicy będą uruchamiać własne punkty dostępowe pozbawione jakichkolwiek opcji zabezpieczających,  stosować proste hasła występujące w słownikach itp.
  • Ograniczenie mocy nadajnika do minimalnej wartości, przy której sieć funkcjonuje prawidłowo. Niektóre z urządzeń sieciowych posiadają taką możliwość, warto z niej skorzystać, by zmniejszyć zasięg sieci do niezbędnego minimum.
  • Regularne śledzenie dzienników zdarzeń w punktach dostępowych, pod kątem występowania niepokojących zjawisk typu pojawianie się nieznanych stacji w sieci, występowanie niezaszyfrowanych pakietów, wielokrotnie powtarzające się błędne hasła itp.- każde takie zjawisko może świadczyć o próbie włamania do sieci. W prawidłowo skonfigurowanym cyfrowym systemie monitoringu wystąpienie każdego z nietypowych zjawisk w sieci powinno być sygnałem do uważnego prześledzenia okoliczności jego wystąpienia – bowiem zawsze jest to sygnał jakiegoś działania z zewnątrz.
  • Stosowanie dedykowanego oprogramowania umożliwiającego monitorowanie pracę sieci. Jednym z najprostszych, a zarazem użytecznych jest WIDZ (Wireless IDS), który umożliwia  tworzenie wykazu wszystkich dostępnych w sieci punktów dostępowych oraz urządzeń w niej działających. Informacja ta może służyć do kontroli liczby stacji pracujących w sieci.

Należy przy tym wyraźnie podkreślić, że praktycznie wszystkie opisane powyżej  sposoby są albo bezpośrednio dostępne w narzędziach konfiguracyjnych urządzeń lub też szczegółowe opisy procedur ich przeprowadzenia zawarte są w dokumentacji technicznej, nie wymagają przy tym fachowej wiedzy i są możliwe do wykonania przez nawet mało zaawansowanego użytkownika.

Reguły ogólne dla każdej sieci

W celu zapewnienia bezpieczeństwa typowej sieci komputerowej, niezależnie od jej przeznaczenia, należy przestrzegać pewnych określonych reguł, na które składają się między innymi:

  • Stosowanie haseł dostępu o odpowiednio skomplikowanej budowie, regularnie (np. co 30 dni) zmienianych na nowe.
  • Zakaz udostępniania haseł osobom trzecim.
  • Stosowanie oprogramowania antywirusowego z możliwie świeżą bazą danych wszędzie tam, gdzie wykorzystywane są komputery – nawet gdy rolą komputera jest teoretycznie wyłącznie tworzenie nagrań wideo sygnałów dostarczanych przez kamery systemu monitorującego.
  • Zakaz instalowania przez użytkowników oprogramowania bez uprzedniego zweryfikowania  przez administratora sieci (np. prywatnego, przyniesionego z domu), jak również wykorzystywania w sieci prywatnych urządzeń bezprzewodowych użytkowników/pracowników.
  • Zakaz korzystania przez użytkowników z nośników danych nie będących własnością firmy oraz bez uprzedniego zweryfikowania przez administratora.
  • Zakaz korzystania przez użytkowników z usług nie będących związanymi z wykonywaną pracą (wszelkiego typu gry komputerowe itp.)
  • Fizyczne zapewnienie kontroli dostępu do newralgicznych elementów sieci (zamki kodowe, alarmy itp.) w celu uchronienia się przed potencjalną kradzieżą sprzętu lub niepowołanymi modyfikacjami.
Ten wpis został opublikowany w kategorii Ogólne. Dodaj zakładkę do bezpośredniego odnośnika.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *