Pobočku firmy trápí přístupový bod

Neautorizovaný a nedetekovaný access point pouští do podnikové sítě nezvaného návštěvníka. Naštěstí nejde o út...


Neautorizovaný a nedetekovaný access point pouští do podnikové sítě nezvaného
návštěvníka. Naštěstí nejde o útočníka.
Tak má naše firma zase o jednoho zaměstnance méně. Člověka, o kterém jsem psal
v jednom ze svých minulých příspěvků a jenž byl podezírán, že využívá firemní
počítač k obchodování s pornografií, odvedla přímo z naší budovy před týdnem
policie.
Poté, co bylo vystaveno povolení k prohlídce našich prostor, což vedlo k jeho
propuštění z pracovního poměru, jsem se od vyšetřovatelů už nic nového
nedozvěděl. Jsem si ale jist, že chlapec bude mít vážné problémy. Měli jsme
příležitost analyzovat obraz pevného disku v jeho počítači, který obsahoval
spoustu adresářů s nejrůznějšími druhy pornografie.
Ne že byste si toho však mohli všimnout, aniž byste příslušné soubory otevřeli
ten člověk ukládal všechny obrázky pod nevinně vypadajícími názvy souborů.
Zcela určitě proto, aby obešel naše filtry detekující slova související s
pornografií. Nemyslím, že by snad firma utrpěla jeho odchodem nějaké ztráty,
neboť se zdá, že většinu pracovní doby strávil budováním své ilegální sbírky.

Překvapivý návštěvník
Tento týden jsem dostal e-mail od svého přítele, který pracuje pro jednoho z
našich dodavatelů. Navrhoval mi, abychom přehodnotili naši politiku týkající se
bezdrátových zařízení, protože se mu při poslední návštěvě v naší společnosti
podařilo připojit přes otevřený bezdrátový přístupový bod do našeho intranetu.
Nejenže mě to překvapilo, ale bylo mi zároveň trapně, protože jsme stanovili
pravidla pro používání bezdrátové LAN a domnívali jsme se, že se již dávno
podařilo odstranit všechna problémová zařízení.
Zavolal jsem mu, a on mi sdělil, že byl v jednom z našich středisek pro vývoj
softwaru, když si tohoto problému povšiml. Během prezentace začal jeho osobní
firewall vydávat hlášení žádající o povolení přístupu k internetu.
Ale jeho počítač nebyl fyzicky připojen k naší síti a on právě prezentoval data
z PowerPointu. Po schůzce věc dále prozkoumal a zjistil, že Wi-Fi karta
integrovaná v jeho notebooku se automaticky připojila k přístupovému bodu v
naší budově. SSI kód na access pointu byl nastaven na výchozí hodnotu bez
jakéhokoliv šifrování, takže měl volný přístup k celému intranetu naší firmy.
Spolu se svým týmem se snažím k těmto věcem zaujímat proaktivní přístup.
Využíváme AirWave Management Platform od kalifornské firmy AirWave Technologies
v kombinaci s přístupovými body 3e Technologies International tak, abychom
odhalili pirátské přístupové body. Ale tento postup provádíme pouze v centrále
naší firmy. Rozpočet nestačí k tomu, abychom taková zařízení instalovali i do
vzdálených poboček společnosti, jako je právě středisko vývoje softwaru.
Zavolal jsem manažerovi IT v tomto středisku, podělil se s ním o svůj příběh a
zeptal se ho, zda se u nich nachází nějaký autorizovaný bezdrátový access
point. Sdělil mi, že před rokem zakoupili dva, ale po zavedení firemní směrnice
týkající se WLAN je odstranili. Souhlasil, že projde budovu a pokusí se
nepovolený přístupový bod najít.
Při prohlídce však nic neodhalil, takže jsem vzal svůj handheld iPaq se
softwarem AirMagnet a s Wi-Fi modulem zakoupeným od stejnojmenné společnosti a
poslal jsem mu jej kurýrem. O dva dny později jsem ho seznámil s tím, jak se
přístroj ovládá. Okamžitě zachytil jeden bezdrátový signál a pomocí měření jeho
síly se pokusil lokalizovat jeho zdroj. Bohužel se mu to však vzhledem ke
konstrukci budovy nezdařilo.

Pátrání
Dalším krokem se tudíž stal pokus o nalezení zařízení pomocí MAC adresy
přepínače, k němuž bylo připojeno. Každé síťové rozhraní (drátové či
bezdrátové) má svou unikátní hardwarovou adresu. Její první tři dvojčíslí
slouží k identifikaci výrobce a zbylá část je pak identifikačním číslem
zařízení.
Protože byl hledaný access point otevřený, což znamená, že komunikace nebyla
šifrována ani nebyl přístup jiným způsobem omezen, mohl se k němu manažer IT s
handheldem bez problémů připojit. A protože jsem znal MAC adresu zařízení
Compaq iPaq, vybaveného softwarem AirMagnet, mohli jsme jej vystopovat zpět
přes naši síťovou infrastrukturu.
Kontaktoval jsem pracovníka správy sítě odpovědného za daný přepínač, sdělil mu
MAC adresu iPaqu a požádal ho, aby prohledal porty na daném přepínači. O
několik hodin později jsem měl k dispozici požadovanou informaci: Cat switch
02, blade 4, port 8. Dozvěděl jsem se od něj i další MAC adresu, patřící onomu
bezdrátovému access pointu. Přístupový bod se k bezdrátovým zařízením chová
jako rozbočovač (hub), takže access point i zařízení sdílejí stejný port
přepínače.
IT manažer našeho střediska poté s pomocí správce budovy vystopoval
ethernetovou linku až k příslušné podezřelé síťové zásuvce. Nacházela se v kóji
patřící jednomu z našich vývojářů softwaru. A oním problematickým zařízením byl
access point značky Linksys, který zaměstnanec zakoupil ve Wal-Martu za 79
dolarů.

Nikdo za nic nemůže
Uživatel prý nevěděl o žádné směrnici týkající se bezdrátových zařízení, a
bohužel mu nebylo nic známo ani o bezpečné konfiguraci a důsledcích instalace
neautorizovaného, špatně nakonfigurovaného přístupového bodu. Jednoduše
zařízení zapojil pro svoje pohodlí. Správce budovy přístupový bod odpojil a
dotyčnému předal kopii firemní směrnice. Krom nahlášení incidentu jeho
nadřízenému se nedalo nic dalšího dělat.
Jedním z ponaučení, které jsem si z celého případu vzal, je nutnost pravidelně
připomínat bezpečnostní směrnice poté, co je naše firma vydá. Také jsme
provedli stručné proškolení zaměstnanců, v jehož rámci jsme s nimi
prodiskutovali stávající bezpečnostní směrnice (zejména týkající se
bezdrátových zařízení) a také pravidla pro používání firemní sítě.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.