Nelegální WLAN potřetí: Hra skončila

Mathias konečně odhaluje nelegální bezdrátové přístupové body, které umožňují nechráněný vstup do firemní sí...


Mathias konečně odhaluje nelegální bezdrátové přístupové body, které umožňují
nechráněný vstup do firemní sítě.
V poslední době jsem se zde několikrát zabýval problémem odhalování nelegálních
bezdrátových přístupových bodů (access points) připojených do firemní sítě.
Naši zaměstnanci nereagovali na výzvy k jejich odpojení a vystopování
jednotlivých zařízení se ukázalo jako problematické. Tento týden jsem konečně
našel řešení celého problému.
Vyšel jsem z předpokladu, že přístupové body, plnící roli mostu mezi
bezdrátovou a kabelovou částí lokální sítě, fungují jako tradiční ethernetový
rozbočovač (hub). To znamená, že by přes ně připojená zařízení měla
broadcastovat své adresy MAC (media access control) dále do sítě, a to až na
přepínač (switch), ke kterému je přístupový bod připojen. Přepínač pak uchovává
seznam adres MAC v paměti, a to spolu s odpovídajícími porty, které zajišťují
komunikaci s bezdrátovým přístupovým bodem.

Praxe
Na základě výše zmíněné úvahy jsem provedl test. Znovu jsem použil svůj skener
AirMagnet určený pro handheld iPaq a provedl detekci jednoho špatně
nakonfigurovaného přístupového bodu. AirMagnet obsahuje příjemnou utilitu která
vám umožňuje s detekovaným přístupovým bodem přímo komunikovat. Připojení k
němu bylo snadné. Stejně jako většina těchto zařízení určených pro běžný
spotřebitelský trh šířil tento produkt při standardním nastavením broadcastem
svůj přístupový kód SSID (Service Set Identifier) a neměl zapnuto žádné
šifrování ani autentizaci. Takovými drobnostmi se naši zaměstnanci nezabývají.
Nejenže jsem byl schopen s přístupovým bodem komunikovat, ale prostřednictvím
našeho firemního DHCP (Dynamic Host Configuration Protocol) serveru obdržel můj
notebook IP adresu. Protože se jednalo o interní adresu sítě, věděl jsem, že
mohu otevřít internetový prohlížeč a přistupovat k informacím na firemním
intranetu. A tak jsem pokračoval v práci. Vrátil jsem se do kanceláře pro
notebook a poté na stejném místě, kde jsem už dříve detekoval nelegální
přístupový bod, počítač nabootoval a připojil se prostřednictvím přístupového
bodu do naší sítě. Poté jsem použil internetový prohlížeč, abych se připojil k
firemnímu intranetu. Přihlásil jsem se do jednoho z našich přepínačů Cisco
Catalyst a začal hledal svou MAC adresu v paměti tohoto zařízení.

Hledání jehly
Po zadání příkazu "show cam dynamic" bych měl být schopen vidět seznam adres a
příslušných portů přepínače. Problémem ovšem bylo, že jsem si nebyl jist, ve
které z našich budov se nelegální přístupový bod nachází. Musel jsem se
přihlásit do tří různých přepínačů, než jsem konečně našel MAC adresu svého
laptopu. Od téhle chvíle bylo vystopování zařízení, po kterém jsem pátral,
takřka hračkou.
Navštívil jsem příslušnou rozvodnou skříň a sledoval kabel od nalezeného portu
přepínače k rozvodnému panelu. Zde pak bylo třeba použít mapu našich kabelových
vedení, kterou jsem si mezitím opatřil, abych zjistil přesné místo zástrčky ve
zdi, ke které byl přístupový bod připojen.
První nelegální přístupový bod jsem nalezl v jedné z našich konferenčních
místností dovedně ukrytý pod jedním z panelů stropních podhledů. Jedinou
indikací jeho existence byly síťové a napájecí kabely plazící se po jedné ze
zdí v místnosti.
Uvědomil jsem si, že jsem v této místnosti před několika týdny určitou chvíli
pobýval. Jak jsem to mohl přehlédnout? Předpokládal jsem, že nelegální
přístupové body naleznu někde na poličce nebo pod konferenčním stolem. Rozhodně
jsem nepředpokládal, že je někdo ukryje do stropu. Sebral jsem nalezené
zařízení a začal postupně odhalovat i ta ostatní, která jsem našel pečlivě
ukrytá na nejrůznějších místech testovacích laboratoří a kanceláří našich
zaměstnanců. Na druhý den většinu z nich potkalo zřejmě velmi nemilé překvapení.
Musím říci, že jsem měl docela štěstí. Výše popsaná metoda by nefungovala,
kdyby přístupové body neodhalovaly svůj identifikátor SSID nebo kdyby na nich
byly nastaveny nějaké šifrovací nebo autentizační mechanismy. To, co mi na nich
nejvíce vadilo, se tak paradoxně obrátilo v můj prospěch.

Oficiální cesta
Poté, co jsem vyřešil problém nelegálních přístupových bodů, obrátil jsem svou
pozornost k našemu oficiálnímu projektu budování bezdrátové lokální sítě (WLAN
Wireless Local Area Network). Rozhodli jsme se použít přístupové body Aironet
1200 a bezdrátové PC karty společnosti Cisco Systems. Správu přístupových bodů
a jejich monitorování zajistíme prostřednictvím systému AMP (AirWave Management
Platform) společnosti AirWave Wireless, nikoli prostřednictvím WLSE (Wireless
LAN Solutions Engine) od Cisca, jak jsme původně předpokládali. Produkty od
Cisca jsou fajn, ale jeho software WLSE není podle mého názoru moc intuitivní a
navíc umožňuje spravovat pouze zařízení stejného výrobce, zatímco AMP lze
využít pro přístupové body řady výrobců.
Upřímně se přiznám, že zpočátku se nám do implementace AMP příliš nechtělo.
Máme totiž dost špatné zkušenosti s nejrůznějšími start-upovými firmami. Dnes
tu jsou, zítra už často nikoli. Ale spolu s naším správcem sítě jsme strávili
poměrně dost času v laboratoři AirWave a její produkt se nám skutečně zalíbil.
Jsem přesvědčený, že tato firma na trhu uspěje, a byl jsem tedy schopen
přesvědčit náš management, aby schválil nákup jejího řešení. Nyní už musíme
provést pečlivý průzkum naší sítě a návazné plánování, abychom zjistili, kolik
je třeba přístupových bodů pro zajištění celoplošného pokrytí našich areálů
signálem. Druhým důležitým úkolem je zajistit školení zaměstnanců uživatelů,
helpdesku i správců systémů.

Ve znamení PKI
Vzápětí po dopracování základních návrhů týkajících se naší WLAN jsem byl
požádán, abych vytvořil základní specifikace projektu na zavedení PKI
(public-key infrastructure) do naší firmy. Mé zkušenosti s touto oblastí jsou
poměrně omezené, a tak jsem se vždy v minulosti snažil pověřit takovým úkolem
nějakou specializovanou externí společnosti. Nakonec projekt vždy selhal
vzápětí poté, kdy management zjistil, že bude třeba příliš mnoha peněz, času a
dalších zdrojů.
Mám podezření, že firmy často implementují PKI pouze proto, že je to teď v módě
anebo že PKI chápou jako řešení jednoho omezeného problému. Podle mých
zkušeností platí, že pokud projekt není proveden s pečlivým plánování a
přidělením všech potřebných zdrojů, končí zpravidla ve stadiu prototypu.
U svého předchozího zaměstnavatele jsem se před několika lety pokoušel
implementovat PKI pro ochranu e-mailové komunikace a pro šifrování disků. Když
jsme dostali návrh rozpočtu na 400 000 dolarů, management rozhodl, že
potenciální riziko hrozící dokumentům, které měli v úmyslu chránit, neodpovídá
vynaloženým prostředkům. Místo toho bylo na mé doporučení zvoleno jiné řešení:
Pretty Good Privacy (PGP) společnosti PGP. Tento produkt, který firma PGP
koupila od Network Associates loni v srpnu, nabízí stejné základní vlastnosti
jako PKI. A s novou verzí a s novou firmou, která produkt zaštiťuje, stojí PGP
jistě za pozornost.
Je to už nějaký čas, kdy jsem byl vystaven otázkám souvisejícím s PKI, takže je
pro mě nový projekt dobrou příležitostí, jak zjistit aktuální stav v této
oblasti a to jak pokud jde o technologie, tak i o produkty. Doufám, že vývoj v
posledních letech přispěl k tomu, že tentokrát budou investice do PKI odpovídat
potenciálním přínosům.
Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.
cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.