Oprogramowanie

Zabezpieczenie sieci Wi-Fi w firmie

przeczytasz w 4 min.

Jak zapewnić bezpieczeństwo w sieciach WiFi

[źródło: sxc.hu]

Bez wątpienia sieć bezprzewodowa wygodniejsza od sieci przewodowych, jednak większa wygoda niesie w sobie zwiększone niebezpieczeństwo tego, że do naszego systemu mogą próbować dostać się różni nieproszeni goście. Na szczęście przestrzegając kilku zasad i wykorzystując parę podstawowych wskazówek podczas początkowej konfiguracji dostępu do sieci w biurze możemy ją całkiem przyzwoicie samemu zabezpieczyć.

Router to serce sieci w każdym biurze - na co dzień mało kto o nim pamięta, z reguły stoi gdzieś pod biurkiem i migając diodami rozdziela pasmo Internetu wykupione od operatora na wpięte doń komputery, drukarkę czy zalogowane bezprzewodowo urządzenia (a dodatkowo zarządza wewnętrzną konfiguracją sieci). I słusznie, ale tylko pod warunkiem, że poświęciliśmy mu wystarczająco dużo uwagi podczas procesu poprawnej konfiguracji, od której na wiele miesięcy zależy bezpieczeństwo całej sieci.

ABC bezpieczeństwa

Aby rozpocząć konfigurację routera, należy podłączyć go kablem sieciowym z komputerem, a następnie uruchomić kreator konfiguracji. Odnajdzie on urządzenie i uruchomi w trybie standardowym. Można wpisać też w adres przeglądarki jego adres IP w formacie xxx.xxx.xxx.xxx (znaleźć można go w instrukcji lub na obudowie) i w ten sposób przejść do panelu ustawień. Wszelkie potrzebne informacje (nazwa, hasło i domyślny nr IP w sieci wewnętrznej) znajdują się zawsze w załączonej do urządzenia instrukcji obsługi. Jeśli to jest kolejna instalacja tego samego urządzenia warto zacząć od  przywrócenia jego ustawień fabrycznych.

Budowanie zapory zaczynamy od wybrania z opcji konfiguracji (opisanych w instrukcji) wyłączenia dostępu radiowego do panelu ustawień – odetnie to skutecznie możliwość majstrowania przy urządzeniu przez kogo innego niż tylko administratora siedzącego przy komputerze podłączonego kablem.

Jeśli dodatkowo nadamy spersonalizowane hasło dostępu do samego routera (nie mylić z hasłem sieciowym, o którym za chwilę) to można przyjąć, że nasz sprzęt jest bezpieczny. Wprowadzenie klucza uniemożliwi osobom trzecim bezkarny dostęp do naszego urządzenia i zmianę jego parametrów. Standardowe hasło routera wszyscy mogą znaleźć na stronie internetowej producentów, gdzie jest powszechnie dostępne, stąd wymóg zmiany na inne, najlepiej zawierające kombinacje dużych i małych liter oraz cyfr i symboli. Tylko wtedy mamy gwarancję, że spełnia ono swoją funkcję zabezpieczenia.

To, że dostęp do sieci WIFi powinien być autoryzowany, nie ulega wątpliwości, pierwszym krokiem powinno być nadanie nazwy naszego systemu – jasnej i czytelnej dla tylko zorientowanych, stąd nazwa firmy, adres czy imię ukochanej itp. odpada na starcie! W ten  sposób, ktoś komu zależałoby na włamaniu akurat do naszej sieci, miałby mocno ułatwione działanie.

Zasada działania uwierzytelniania użytkownika z wykorzystaniem serwera RADIUS.

Ustawienie jako nazwy sieci modelu routera (często spotykana sytuacja!) szczególnie w firmie równa się zostawieniu uchylonych drzwi z narysowanymi na podłodze strzałkami kierujących gości do kasetki z pieniędzmi. Obecnie w Internecie bez kłopotu można znaleźć dokładne instruktaże złamania zabezpieczeń konkretnych modeli sprzętu.

W zakładce ustawień zabezpieczeń samej sieci bezprzewodowej, spośród kilku dostępnych metod absolutnie nie wolno polegać na szyfrowaniu WEP. Łamania tego standardu uczą już w „hakerskich przedszkolach”. Zamiast tego polegać należy na metodzie WPA/WPA2. Szczególnie WPA2 zostało uznane za niemal w stuprocentowo bezpieczną ochronę. Rzeczywiście profesjonalne testy potwierdzają, nie ma szybkiego sposobu, aby taki kod złamać, nawet z użyciem wydajnych komputerów.

Stosując ten standard możemy budować hasła zawierające do 63 znaków z rozróżnianiem ich wielkości – szacuje się, że złamanie dobrego hasła zbudowanego tylko z 10 znaków musiałoby zająć nawet dwa tysiąclecia obliczeń. Po prostu  im dłuższe hasło, tym większa pewność, że miną lata, zanim ktoś włamie się do naszej sieci. Dlatego nie ograniczajmy się w tym względzie: zamiast  wybrać do zabezpieczenia prosty ciąg znaków  „Mojebiuro123”, znacznie lepiej będzie napisać w zasadzie to samo ale w formacie np. „M01eBi\/R0I23”, gdzie „o” i „1” zostały zastąpione zerem oraz literą I. Warto dorzućmy do tego kilka znaków w rodzaju %@(*^& zwiększających siłę hasła.

Autentykacja hasła

Jeśli zależy nam na skutecznej ochronie, warto skorzystać z systemu RADIUS – ma dwie zalety, jest jeszcze bardziej bezpieczny niż WPA, oraz znacznie mniej popularny, co skutkuje także i tym, że w sieci znaleźć  można mniej materiałów na temat jego hackowania. RADIUS działa w ciekawy, ale prosty sposób: osoba, która chce uzyskać połączenie z Internetem wysyła swój indywidualny adres MAC do wirtualnego urządzenia Network Access Server (NAS). Sygnał ten jest przesyłany do bazy danych RADIUSa, który przechowuje zapisane informacje o użytkowniku, w tym jego login, hasło, ale też indywidualny adres danego urządzenia w sieci - MAC. Użytkownik jest proszony o weryfikację tych danych i dopiero gdy przebiegnie ona poprawnie – uzyskuje dostęp. Minusem systemu jest konieczność "postawienia" dedykowanego serwera, oraz brak wsparcia przez wszystkich producentów – ewentualne wdrożenie zacząć trzeba od sprawdzenia czy nasz punkt dostępu (router) wspiera ten standard

Aby utrudnić włamanie do naszego warto wyłączyć opcję WPS PIN w panelu administracyjnym urządzenia.

W ramach wygody dla użytkowników, którzy nie muszą pamiętać długich haseł ze znakami w rodzaju %@()) $$, dostawcy routerów i sprzętu sieciowego w 2007 r. opracowali standard WPS (Wi-Fi Protection Setup), który pozwala łączyć urządzenia poprzez równoczesne naciśniecie przycisku na ruterze i sprzęcie podłączanym. Jest to rozwiązanie proste: wystarczy jednocześnie nacisnąć oba przyciski i urządzenia są połączone. Jednak uwaga – nie zawsze mamy możliwość skorzystać z takiego rozwiązania. Czasami na obudowie przycisku nie ma, a wtedy instrukcja wymaga od nas wpisania z klawiatury cyfr składających się na PIN. Na ten moment czatują hackerzy (a precyzyjniej mówiąc skonfigurowane przez nich programy skanujące sieć) przechwytując go podczas przesyłania.

Liczba kombinacji w przypadku hasła 8-cyfrowego wynosi milion, więc teoretycznie jest ono niełatwe do złamania. Jednak specyfika działania niektórych routerów pozwala programowi napisanemu przez włamywaczy potwierdzić odgadnięcie części znaków i skupienie mocy obliczeniowej tylko na rozkodowaniu pozostałego, znacznie krótszego ciągu.

Ochrona przed włamaniem

W tej sytuacji jest kilka kroków, które utrudnią hakerom włamanie do naszego systemu. Jeśli router ma automatycznie włączony WPS PIN wyłączmy tę opcję z panelu administracyjnego (opcja „sieć bezprzewodowa”, pozycja „Disable Router’s PIN”). W tym samym miejscu wyłączyć warto też funkcję uPnP, która w podobny sposób może być wykorzystana do ataku. Uwaga: opcja WPS PIN może być włączona, wyłączona lub nasz sprzęt może jej wcale nie posiadać, aby się upewnić co do wariantu należy uważnie przeczytać jego instrukcję.

Idealnie jest, kiedy sieć bezprzewodowa ma sygnał o mocy, która pozwala na objęcie wszystkich pomieszczeń w biurze czy domu, a jednocześnie jest na tyle słaby, że z zewnątrz nie jest łatwo się z nią połączyć. Niepowołane osoby próbujące zalogowania gubią w takim przypadku zasięg oraz odczuwają cały dyskomfort ze słabym sygnałem związany. Nie warto zdawać się tu na łut szczęścia –pamiętając, że moc sygnału można ustawić odpowiednio do własnych potrzeb, warto poświęcić chwilę na eksperymenty pozwalające osiągnąć odpowiedni kompromis mocy.

Filtrowanie adresów MAC może utrudnić dostanie przypadkowym osobom do naszej sieci.

Są jeszcze inne sposoby utrudniające osobom postronnym podłączenie się do naszej sieci. Jednym z nich jest np. przypisanie na stałe adresów IP do adresów MAC przypisywanych fabrycznie do konkretnych urządzeń. Aby to zrobić w „Punkcie Dostępowym” określamy te adresy kart sieciowych, którym chcemy zapewnić korzystanie z naszego WiFi. Osoba, posługująca się sprzętem spoza listy– nie uzyska zezwolenia na wejście do sieci. Korzysta się w tym przypadku np. z usługi DHCP, przydzielającej IP do adresów fizycznych. Trzeba pamiętać, że filtracja MAC jest przydatna, ale tylko jako pomocnicze rozwiązanie, nie podstawowy mur obronny przed intruzami.

Ukrycie widoczności naszej sieci poprzez wyłączenie SSID (przekazywanie sygnału identyfikator sieci bezprzewodowej) to kolejne proste zabezpieczenie Wi-Fi. Sprawi to że nie pojawi się ona na liście systemów dostępnych po włączeniu skanowania. Choć zabezpieczy nas to przed próbami włamu przez początkujących cyberwandali, dla profesjonalnych włamywaczy nie będzie istotną barierą – tak ukryty sygnał jest jednak z łatwością wykrywany przez specjalistyczne oprogramowanie.

Na koniec zła wiadomość i dobra. Niestety, żadne nawet najbardziej zaawansowane metody bezpieczeństwa nie dają gwarancji 100% bezpieczeństwa. Tak już jest, że na kolejne zabezpieczenia znajdują się sposoby na ich obejście i walka ta nie dotyczy jedynie rynku IT.  Z drugiej strony, na szczęście jest mało prawdopodobne, że akurat do naszej sieci w biurze włamać się będzie chciał jakiś „cybercrime expert”, haker z górnej półki. Zasadniczym zagrożeniem są domorośli, nierzadko nastoletni łamacze haseł, którzy łatwo zniechęcą się po kilku nieudanych próbach i pójdą testować swe umiejętności na innych – mniej skrupulatnie zabezpieczonych dostępach.

Komentarze

0
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.

    Nie dodano jeszcze komentarzy. Bądź pierwszy!