Bezdrátově, ale přesto bezpečně

technologie bezdrátové komunikace zvyšují pohodlí uživatelů, ale současně přinášejí i nová rizika pro firemní s...


technologie bezdrátové komunikace zvyšují pohodlí uživatelů, ale současně
přinášejí i nová rizika pro firemní sítě.

Bezdrátová připojení zažívají v poslední době nebývalý rozkvět meziročně se
jejich počet zvyšuje podle střízlivých odhadů o šedesát procent. Jejich
aplikací totiž společnosti šetří prostor, čas potřebný na údržbu či změnu
konfigurace, získávají vysokou flexibilitu apod. Jenomže rychlost rozvoje
těchto sítí s sebou nese nejedno nebezpečí: třeba to, že díky ní nestačily
dozrát správné bezpečnostní návyky u uživatelů nebo správců.
Málokdy si uvědomují, že se na jedné straně jedná o technologie pohodlnější,
ale na straně druhé i zranitelnější vůči útokům. Důvodem je právě ona
bezdrátovost útočník už nemusí získávat fyzický přístup k zařízením, ale
teoreticky může získávat data i z bezpečné vzdálenosti (na ulici před firmou,
na chodbě úřadu apod.).
Tímto neříkáme, že bezdrátové technologie jsou automaticky nebezpečné. Chceme
jen upozornit, že v případě jejich nesprávného použití může útočník získat
nemalou výhodu.
O stavu bezdrátových sítí svědčí i výsledky průzkumu zveřejněného v březnu 2005
firmou RSA Security. Podle ní funguje více než třetina Wi-Fi sítí prakticky bez
jakéhokoliv zabezpečení, což je činí nesmírně zranitelnými vůči různým typům
útoků. Průzkum byl prováděn v různých lokalitách: New Yorku (38 %
nezabezpečených Wi-Fi sítí), San Franciscu (36 %), Londýně (36 %) či Frankfurtu
(34 %). V drtivé většině případů přitom šlo o základní bezpečnostní nedostatky
jako ponechání defaultního nastavení nebo opomenutí aktivace šifrovacích
technik při komunikaci.

Rizika
Bezpečnostní rizika bezdrátových sítí tkví jednak v tom, že bezdrátové
technologie často jen spojují jiný hardware či aplikace, takže na ně není
kladen odpovídající důraz. A jednak v tom, že útoky jsou odolné vůči mnoha
klasickým způsobům kontroly (pasivní odposlouchávací zařízení je prakticky
nemožné detekovat). Právě snadnost přístupu je nepřítelem číslo jedna. Jinými
slovy: Výhody bezdrátového světa jsou i jeho velkými bezpečnostními riziky.
V případě bezdrátových technologií je zapotřebí si uvědomit následující
skutečnosti:
lInfrastruktura je vystavena stejným hrozbám jako v případě infrastruktury plné
kabeláže.
lPřípadní útočníci získávají několik velkých výhod, a to třeba možnost obejít
firewall i další ochranné prvky a zaútočit proti některému zranitelnému bodu
sítě (toto je jeden z důvodů, proč jsou v poslední době bezpečnostními
specialisty tak prosazovány i personální firewally na jednotlivých stanicích v
síti).
lCitlivé informace předávané v nešifrované podobě jsou přímo vystavené útokům.
lVelmi snadné je odcizení identity nebo jakýchkoliv jiných identifikačních
údajů.
lMůže dojít také k poškození soukromí legitimních uživatelů třeba sledováním
jejich pohybu nebo prosté přítomnosti.
lVelmi snadno lze instalovat neautorizované vybavení. Útočník se nemusí fyzicky
k ničemu fyzicky připojovat a tak nabývá nového rozměru i kontrola fyzického
přístupu.
lZ nesprávně nakonfigurovaných a spravovaných zařízení mohou být odcizena
citlivá data. V podstatě každé zařízení využívající bezdrátové technologie se
tak stává potenciálně nebezpečným místem.

Pravidla správy
Více než kde jinde tedy platí, že správa bezpečných bezdrátových sítí je
kontinuálním procesem, který vyžaduje větší pozornost než ostatní komponenty.
Stejně tak je důležité, aby organizace prováděly vyhodnocení rizik a testování
bezpečnosti v jejich případě častěji než u jiných prvků.
V současné době existují tři základní technologie bezdrátového přístupu, které
můžeme najít v počítačových sítích a které vyžadují různé způsoby ochrany před
vznikem bezpečnostního incidentu. Jsou to připojení pomocí standardů řady
802.11, Bluetooth a mobilních zařízení. Každá z těchto technologií vyžaduje
určité specifické přístupy k zabezpečení (proto se k nim v některém z příštích
dílů našeho seriálu jistě vrátíme), nicméně některá základní pravidla jsou pro
všechny stejná.
Především je nutné mít stále dokonalý přehled o topologii sítě. Jen tak lze
zabránit vzniku chaosu a především zamezit útočníkům v nepozorovaném připojení
vlastních zařízení. Je zapotřebí si uvědomit, že útočníkem může být v daném
případě i vlastní zaměstnanec, který se pokusí do lokální sítě připojit své
soukromé mobilní zařízení. Přitom nemusí jít o zlý úmysl (ačkoliv jej nelze
stoprocentně vyloučit), ale rozhodně se jedná o bezpečnostní riziko, protože do
sítě přichází neautorizovaný (nekontrolovaný) prvek. Navíc připojení podobného
zařízení ukazuje, že něco podobného je snadné i pro případného externího
útočníka (kde jsou zlé úmysly rozhodně pravděpodobnější).
Dále je nutné mít přesný přehled o používaném hardwaru jen tak je možný audit a
kontrola, zdali splňuje aktuální požadavky. A také zda používaný hardware
souhlasí s výše zmíněnou topologií. Je nutné periodicky provádět testování a
hodnocení bezpečnosti, protože jen tak lze odhalit slabá místa sítě. Na to
samozřejmě navazují bezpečnostní audity a kontroly.
Důležitý je také důraz na přístupové body (Access Points), neboť ty jsou
potenciálně velmi slabými místy respektive místy, na která bude útočník
zaměřovat v prvé řadě svoji pozornost. Snadný přístup k nim společně se snadnou
dostupností standardizovaného vybavení znamená, že se útočník může připojit
téměř bez odporu.
Důraz je též vhodné klást na kontrolu přístupu byť u bezdrátových technologií
není tak přesně vymezena jako jinde, stále se jedná o účinný prvek ochrany.
Nemá smysl používat zbytečně výkonné antény a další prvky, které výrazně
přesahují nutnou oblast (tedy kromě kanceláří a pracovišť zahrnují i další
přilehlá místa jako jsou chodby, okolní restaurace apod.). Namísto toho jsou
striktně doporučovány směrové antény či tzv. panýlky. A ideální je, když
dotyčné zařízení ještě umožňuje regulovat vysílací výkon, čímž optimalizuje
pokrytí signálem.

Autentizace
Autentizace je v daném případě účinnou obranou, protože chrání před interními i
externími hrozbami. Umožňuje totiž zjistit nejen, kdo přistupuje do sítě, ale
také jak ji používá. Ruku v ruce s tím lze nastavit celkovou úroveň bezpečnosti
včetně toho, kam se dotyčný subjekt dostane (k jakým zdrojům dat, jak bude moci
ovlivnit chod sítě apod.).
Šifrování pak přináší jinou úroveň bezpečnosti, než je kontrola přístupu či
autentizace. Pokud je pohyb dat v síti šifrovaný, tak je samozřejmě pro
nepovolanou osobu (i kdyby mělo jít o vlastního zaměstnance) velmi obtížné
provést jejich dešifrování. Nasazení šifrování vychází z předpokladu, že žádný
systém není stoprocentní a že k nějakému úniku přece jen dojít může. Právě
šifrování má svoji mimořádnou cenu v případě bezdrátových technologií, protože
kromě snadno představitelných zvědavců umožňuje ochranu před pokročilejšími
technikami, jako je spoofing, únos relace nebo externí neautorizované
monitorování sítě.
Bezvýhradně je nutné aplikovat bezpečnostní záplaty a zlepšení. Na to pak
navazuje průběžné monitorování novinek týkajících se bezdrátových technologií v
oblasti změn a nových produktů. Stejně tak je nutné sledovat možné hrozby a
nově objevené nedostatky.
Organizace by pak také neměly přistupovat k implementaci bezdrátových
technologií v kritických systémech (datových, provozních aj.), pokud nejsou na
toto dostatečně připraveny a pokud toto nemají vhodným způsobem odzkoušené. Je
lepší se poučovat z chyb druhých, než z chyb vlastních. Proto by implementaci
bezdrátů mělo předcházet zvážení rizika a vytvoření odpovídajících úprav v
bezpečnostní politice.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.