Prověřili jsme zabezpečení 19 bezdrátových zařízení

Je možné s technologií, která je v současnosti k dispozici, vybudovat bezpečnou bezdrátovou síť? Tato otázka hlodá ...


Je možné s technologií, která je v současnosti k dispozici, vybudovat bezpečnou
bezdrátovou síť? Tato otázka hlodá v mozku vedoucích pracovníků zabývajících se
informačními technologiemi, kteří by chtěli instalovat podnikové bezdrátové
sítě, ale váhají kvůli obavám z nedostatečné bezpečnosti. Abychom získali
odpověď, shromáždili jsme 19 bezdrátových produktů od 12 dodavatelů a podrobili
je řadě zkoušek.
Z našich zkušeností během testování vyplynulo několik nezvratitelných faktů.
Šifrovací protokol WEP (Wired Equivalent Privacy) je u mnoha produktů velmi
slabý a doporučujeme jej proto používat pouze v opravdu zvláštních případech.
WPA (Wi--Fi Protected Access), který přišel po WEPu, má chyby, ale ve spojení s
autentizací v rámci 802.1X a při pečlivé instalaci, zajišťuje poměrně vysokou
bezpečnost. A pak je zde 802.11i standard, který nahrazuje WEP a WPA a
poskytuje veškeré nástroje potřebné k ochraně bezdrátových sítí LAN.
Výrobcům bezdrátových zařízení slouží ke cti, že nabízejí produkty s
agresivními cenami, které podporují funkce zajišťující bezpečnost na podnikové
úrovni. Dvě třetiny testovaných produktů podporují 802.1X a dodavatelé se snaží
rychle vyhovět i standardu 802.11i.

WEP: Snadno napadnutelný
Naše testy ukázaly, že někteří výrobci mají laxní přístup k odstraňování
nedostatků týkajících se WEP šifrování.
O WEPu je notoricky známo, že je špatný. Dali jsme si tedy za úkol zjistit, jak
moc je špatný. Nechvalně známou vlastností WEPu je absence systému řízení
přístupových klíčů. Zvolíte-li nějaký šifrovací klíč, předáte jej svým
uživatelům a pak zpravidla jej nikdy neměníte. Kdokoli, kdo tento klíč dokáže
rozluštit, pak může dešifrovat veškeré informace, které jste odeslali s jeho
použitím, narušovat soukromí vaší sítě a získat dobrý nástroj k manipulaci s
řízením přístupu k ní.
Na základě několikaletého testování produktů vybavených WEP šifrováním jsme
předpověděli, že způsoby dešifrování přístupových klíčů používané hackery,
jakými jsou např. WEPCrack a AirSnort budou dnes již překonané, protože
existuje široká škála metod, které je dokáží zastavit. Naše testování
prokázalo, že tento předpoklad je naprosto mylný. Kromě toho, že přes 40 %
produktů neuspělo v našem testu narušení WEPu, jsme zjistili, že někteří
dodavatelé udělali vlastně krok zpět, a sice v tom, že novější produkty mohou
být zranitelnější než ty starší.
Když jsme poukázali na výsledky testů, které prokázaly, že implementace WEPu
jsou zvenčí snadno napadnutelné, většina dodavatelů měla námitky a snažila se
to bagatelizovat. Své chatrné implementace WEPu nejčastěji ospravedlňovali
takovými slovy jako "Kdybyste to s bezpečností mysleli vážně, nepoužívali byste
WEP." Přesto jsme přesvědčeni, že je špatné nabízet snadno napadnutelné
produkty.
Ač jsme kontaktovali technickou podporu všech produktů, které neuspěly v našem
testu na odolnost vůči AirSnortu, ani jeden z dodavatelů si nedali tu práci a
neodstranil slabá místa pro opakovaný test.
AirSnort a WEPCrack nejsou jedinými nástroji používanými k napadání WEPu. Pokud
používáte 40bitové klíče, jsou zde takové nástroje jako například KisMAC,
kterými se klíč dá rozluštit s použitím hrubé síly.
Řada přístupových bodů, které jsme testovali například Belkin, Linksys nebo
Netgear používá systém "hesla a klíče", kde se po zadání jednoho hesla vytvoří
veškeré klíče WEPu. Tato metoda činí velmi "nenáhodné" WEP klíče často ještě
zranitelnějšími, než je tomu u těch 40bitových.
Mnoho dodavatelů používá WEP, který nazývají "vysoce bezpečný". Tento je
založen na volbě klíčů, které jsou delší než běžných 104 bitů. Jde o skvělý
marketingový tah, který je z technického hlediska velmi diskutabilní, protože
rozluštění 104bitového klíče pomocí nástroje využívajícího hrubou sílu by
trvalo delší dobu, než po jakou ještě má existovat vesmír. Proto vůbec není
třeba klíč prodlužovat; tyto nestandardní delší klíče však způsobují problémy s
interoperabilitou.
Je tedy skutečně pravda, že WEP není vhodný nástroj, pokud to s bezpečností
bezdrátové komunikace myslíte vážně. Naštěstí většina produktů (až na
bezdrátový PCMCIA adaptér Linksys s WPC55AG Dual Band Notebook Adapter), které
jsme otestovali, disponuje lepším zabezpečením.

802.1X: Odrazový můstek
Zkratka 802.1X má jako autentizační standard pro sítě jednu velmi výhodnou
vlastnost. Pokud je používán pro bezdrátové sítě, poskytuje WEP klíče
samostatně pro jednotlivé uživatele a relace.
Existuje ještě mnoho dalších teoretických nesnází s WEPem, ale 802.1X řeší
největší praktický problém. Všichni již nemusejí používat stejný WEP klíč,
který zůstává neměnný několik měsíců, nebo dokonce let. Namísto toho každé
oprávněné spojení v rámci 802.1X získává vlastní WEP klíč, který lze měnit tak
často, jak si osoba odpovídající za řízení bezdrátové sítě přeje.
Další předností 802.1X je, že vždy víte, kdo je ve vaší síti. Uživatelé musejí
absolvovat skutečný autentizační dialog. Můžete tedy používat tak důkladnou
autentizační metodu, jak budete potřebovat od prostých kombinací jména
uživatele a hesla až po digitální certifikáty.
Při používání samotného 802.1X jsou téměř všechny požadavky přeneseny na
žadatele (bezdrátového klienta), přičemž přístupový bod má v celém procesu jen
velmi málo práce. U většiny zařízení, která jsme otestovali, je aktivace 802.1X
na přístupovém bodě obvykle otázkou zvolení jedné nebo dvou možností "umožnění"
802.1X nebo "vyžádání" 802.1X a pak označení přístupového bodu na serveru
RADIUS, jenž 802.1X podporuje.
Ne každý dodavatel nabízí produkty s podporou standardu 802.1X. Například
testovaný adaptér a přístupový bod společnosti Belkin nepodporoval samotný
802.1X, ale podporoval 802.1X v kombinaci s WPA. Testované produkty firem
Buffalo Technology a Linksys však nepodporovaly 802.1X vůbec.
Celkově lze říci, že klientské karty pro bezdrátovou komunikaci mají mnohem
širší podporu 802.1X, než jaká se ukázala při našem dřívějším testování. Kromě
toho Microsoft použil autentizaci v rámci 802.1X u Windows XP a Apple ji
včlenil do posledních verzí Mac OS X.
Obtížné je při používání 802.1X u bezdrátových klientů (ať již samostatně nebo
s částí WPA či 802.11i) nalézt kompatibilní autentizační metodu. Všichni na
síti sice nemusejí používat stejnou metodu, ale musejí mít podporu RADIUS
serveru.
Jediným společným jmenovatelem autentizace mezi testovanými produkty je podpora
pro PEAP (Protected Extensible Authentication Protocol) s MSCHAPv2 (Challenge
Handshake Authentication Protocol). Jde o metodu šifrované autentizace
Microsoftu založenou na protokolu s výzvou a odpovědí.
Bohužel, PEAP a MSCHAPv2 nefungují v sítích, v nichž se používají zašifrovaná
hesla uživatelů. Například pokud svá hesla vedete na unixovém serveru ve
formátu /etc/heslo, nemůžete používat MSCHAPv2. Řešením je buď používat takový
autentizační mechanismus, jakým je Tunneled Transport Layer Security/Password
Authentication Password (TTLS/PAP), který funguje se zašifrovanými hesly, nebo
přejít na jinou autentizační metodu, například digitální certifikáty. Ty jsou
podporovány všemi klienty 802.1X.
Přestože TTLS/PAP neměl mezi testovanými produkty širokou podporu mimo klientů
společností 3Com a Apple, existují dodatky pro klienty Microsoft Windows, jako
např. klient Odyssey 802.1X od Funk Software nebo Aegis od Meetinghouse Data
Communications, jenž tuto podporu zajišťují.
Přestože standard 802.1X je sám o sobě dosti bezpečný, nejvyššího zajištění
dosáhnete, když zkombinujete 802.1X se šifrovacím systémem, který je účinnější
než obyčejný WEP. Ostatní bezpečnostní mechanismy jako WPA a 802.11i stavějí na
šifrování v rámci 802.1X jako na jednom článku většího systému zajišťujícího
bezpečnost bezdrátového připojení.

WPA bezprostřední ohrožení
WPA je specifikace, jejíž přijetí prosadilo sdružení Wi-Fi Alliance. Toto
sdružení výrobců bezdrátových zařízení v obavě, že WEP bude brzdit odbyt těchto
produktů, vzalo návrh standardu bezpečnosti bezdrátových sítí IEEE 802.11i,
odstranilo některé obtížněji implementovatelné části (jako např. šifrování AES)
a vytvořilo WPA. Dodavatelé pak nabídli certifikované produkty s WPA již za pět
měsíců po ohlášení specifikace.
Standard WPA zvyšuje bezpečnost bezdrátových prvků několika způsoby.
Nejzřetelnějším je šifrovací protokol TKIP. Přestože v TKIP je použit stejný
základní šifrovací algoritmus (RC4) jako u WEPu, způsob, jakým jsou voleny a
měněny klíče, řeší řadu problémů právě kolem WEPu. WPA přináší také zlepšení v
oblasti integrity 802.11 tím, že fakticky znemožňuje vpašování zprávy do
bezdrátové konverzace nebo změnu odesílané zprávy.
Hlavním zdokonalením ve WPA je použití různých šifrovacích klíčů pro jednotlivé
relace. Pokaždé, když stanice naváže spojení, vytvoří se pro danou relaci nový
šifrovací klíč na základě určitých náhodných čísel, adres stanice pro řízení
přístupu (Media Access Control, MAC) a přístupového bodu. WPA by tedy měl být
velkým přínosem v zabezpečené bezdrátové komunikaci a skutečně jím je, pokud je
správně používán.
Bohužel ale při nejjednodušším způsobu používání je WPA vlastně zranitelnější
než WEP. Pokud ve WPA není používáno autentizace v rámci 802.1X, používá se
jednodušší systém zvaný PSK (Pre-Shared Key, sdílený klíč). PSK nabízí
dlouhodobé heslo, které musí znát každý, kdo se chce připojovat k bezdrátové
sítí. WPA s PSK podporují všechna bezdrátová zařízení, která jsme otestovali,
kromě PCMCIA adaptéru Linksys.
Používáte-li WPA s PSK a nemáte dlouhé heslo, jste vhodným terčem tzv. off-line
slovníkového útoku, kdy se útočník zmocní několika paketů v době připojování
oprávněné stanice k bezdrátové síti a pak z nich dokáže rozluštit používaný
PSK. Útočník navíc dokáže získat co potřebuje k odhalení PSK, aniž by to někdo
zaznamenal. Může k tomu dojít proto, že útočník nemusí být v blízkosti
bezdrátové sítě déle než pár vteřin a navíc síť přitom nemusí příliš zatížit.
Tento typ útoku je samozřejmě zapříčiněn lidmi, kteří volí špatná hesla. Takže
když uživatele při konfiguraci bezdrátového připojení přinutíte použít 64místné
hexadecimální číslo, budete mít klid. Avšak většina z nich volí mechanismus
tvorby hesla obsažený ve WPA, jenž převádí osmi až 63znakový řetězec na
64místný klíč. Více než polovina produktů, které jsme otestovali, vás nechá
napsat jen heslo a 64místný hexadecimální klíč nemůžete zadat, i kdybyste
chtěli.
Velkým problémem je ale to, že heslo se dá snadno odhalit. Komise IEEE, která
vytvořila 802.11i, upozornila, že heslo složené z osmi až 10 znaků je méně
bezpečné než 40bitové zabezpečení, které nabízí nejzákladnější verze WEPu, a
také že heslo "s méně než 20 znaky nemá naději odradit útočníky".
Podobně jako existují nástroje pro luštění přístupových WEP klíčů, jsou k
dispozici i ty, které si poradí s odhalením PSK klíče používaného sítí
chráněnou WPA. My jsme k našemu testování zvolili nástroj KisMAC, abychom
demonstrovali, že k rozluštění osmiznakového PSK klíče u každého produktu s
takovýmto krátkým heslem stačí pouze pár dní práce.
WPA s autentizací v rámci 802.1X (WPA-Enterprise) zajišťuje dobrou ochranu
sítě. 802.1X nabízí důkladnou autentizaci jak pro stanici, tak pro
infrastrukturu bezdrátové sítě LAN, přičemž vznikají různé bezpečné šifrovací
klíče pro jednotlivé relace, které nejsou zranitelné žádným příležitostným
útokem. Tato bezpečnost si však žádá určité vícenáklady, protože k autentizaci
v rámci 802.1X je nutná celkem rozsáhlá infrastruktura včetně RADIUS serveru
kompatibilního s 802.1X a klientský software pro každého uživatele, který
podporuje 802.1X a používanou autentizační metodu.
Pokud hledáte nejvyšší zabezpečení pro bezdrátovou síť, jakou lze v současnosti
zajistit, ideálnímu řešení se nejvíce přibližuje autentizace v rámci 802.1X,
použitá společně se zdokonaleným WPA šifrováním. Nalézt kvalitní produkty na
všech možných cenových úrovních obsahující kombinaci 802.1X a WPA není těžké,
avšak produkty na bázi WPA zřejmě rychle vyklidí cestu produktům vybavených
protokolem 802.11i, které tento podzim již ve větším množství pronikly na trh.

802.11i: Nová skvělá věc
Produkty standardu 802.11i se začaly objevovat na trhu hned po svém schválení v
červenci. Přestože jsme materiál pro testy obdrželi ještě před tím, než byl
schválen poslední návrh tohoto standardu, firmy 3Com, Belkin, Buffalo, Proxim a
SMC již měly některé části 802.11i včleněny do námi testovaného hardwaru.
Základním rozdílem mezi konečnou verzí 802.11i a WPA navrženou Wi-Fi Alliancí
je absence některých součástí, jakou je například AES šifrování (Advanced
Encryption Standard). RC4 jako kontinuální šifrovací algoritmus (používaný u
WEPu a WPA) nebyl určen pro ethernetová prostředí, protože paketově orientovaný
přenos dat musí na začátku každého paketu "restartovat" RC4, což může vést k
nejrůznějším útokům. Metoda šifrování AES použitá v rámci 802.11i je právě
řešením těchto potíží.
Wi-Fi Aliance program WPA rozšířila vydáním dílčí části 802.11i jako WPA2 a již
na počátku září oznámila, že produkty šesti výrobců byly pro tento standard
certifikovány. Jsou mezi nimi Atheros, Broadcom, Intel a Realtek, čtyři
nejvýznamnější producenti bezdrátových čipů, kteří vyrábějí karty a přístupové
body. Vzhledem k tomuto rychlému uplatnění můžeme očekávat explozi produktů
kompatibilních s 802.11i, jelikož dodavatelé, kteří v současných produktech již
mají moderní čipy od těchto výrobců, budou schopni zajistit kompatibilitu s
802.11i beze změny hardwaru.
802.11i má stejně jako WPA hlavní funkci autentizaci v rámci 802.1X. Je zde
ovšem nutno mít stejnou námitku jako proti autentizaci u WPA; ověřování s
použitím PSK je z hlediska zajištění bezpečnosti sítě špatnou volbou, která
přináší velkou zranitelnost, jestliže PSK klíč není dlouhý a dostatečně často
měněn.

Jak jsme testovali
Při testování bezdrátových produktů použili naši kolegové z amerického
NetworkWorldu v laboratořích společnosti Opus One v Tucsonu dvě testovací sady.
Jedna byla určena pro stanice (klienty používající karty bezdrátových sítí) a
druhá pro prověřování přístupových bodů. Obě monitorovaly WLAN provoz pomocí
notebooků Dell s nainstalovaným Red Hat Linuxem 9 a upravenou verzí AirSnortu,
open source nástroje pro luštění šifrovacího WEP klíče. Hodně používali také
kapesní počítač s aplikací AirMagnet, a to k diagnostikování menších problémů s
interoperabilitou mezi různými bezdrátovými zařízeními.
Zmíněný nástroj AirSnort je určen k co nejrychlejšímu rozluštění šifrovacích
WEP klíčů v jakékoli síti, což provádí shromažďováním paketů ze všech stanic a
přístupových bodů. Používanou verzi tohoto open source nástroje přitom upravili
tak, aby zkoumala pouze pakety odeslané z testovaných zařízení. Tato změna
umožnila zjistit, zda tím, co bylo napadnutelné AirSnortem, byla stanice nebo
přístupový bod. AirSnort pak taktéž upravili tak, aby vytiskl "slabé"
inicializační vektory, které používal k odhalení klíče.
Každou PCMCIA kartu pro bezdrátovou komunikaci testovali s použitím notebooku
IBM ThinkPad osazeného 1,2GHz procesorem, 512 MB RAM, na který vždy znovu
instalovali Windows 2000 SP4 a připojili přístupový bod Cisco Aironet 350.
Přístupové body byly rovněž testovány se stejným notebookem a přístupovým bodem.
Pro každý test použili inicializační příkaz ping s funkcí velkého zatížení
provozu flood, aby vytvořili velmi intenzivní bezdrátový obousměrný provoz.
Poté nechali notebook vybavený nástrojem AirSnort sledovat provoz v objemu
nejméně 50 milionů paketů, tzn. při silném provozu, který se tvořil většinou
kolem 12 hodin.
Aby AirSnort objevil každý možný inicializační vektor, bylo mu nutné dát co
největší možnost rozluštit šifrovací WEP klíč. Protože šlo o 16 milionů
inicializačních vektorů, museli vytvořit dostatek paketů k tomu, aby bylo
zaručeno, že každý vektor bude objeven nejméně jednou. (AirSnortu nijak
nepomáhá, když se setká dvakrát se stejným inicializačním vektorem.)
Ve většině bezdrátových zařízení jsou sice ke tvorbě inicializačních vektorů
použita jednoduchá počítadla (což je v podstatě nejbezpečnější způsob), ale v
některých testovaných zařízeních byl použit generátor náhodných čísel. Jako
rozsah bezpečně zaručující, že u jednotlivých produktů dostatečně vyhodnotí
fungování WEP šifrování, zvolili 32 až 50 milionů paketů. Tvorba tolika paketů
trvala velmi dlouho a tvrzení, že šifrovací WEP klíče se dají rozluštit za 15
minut, byly, jak kolegové zjistili, značně nadsazená. Je nutno ještě
podotknout, že tak vysoká úroveň zatížení provozu je v běžné podnikové
bezdrátové síti velmi neobvyklá. Primární bezdrátová síť v budově, kde
probíhalo testování, musela být na tuto dobu vypnuta, protože provoz, který
vytvářeli "pohlcoval" frekvenční rozsah 802.11b/g.
Naši kolegové k testování zabezpečení bezdrátových prvků použili také open
source nástroj KisMac k ověření existence a úspěšnosti fungování metod luštění
šifrovacích klíčů s použitím off-line slovníkových útoků na LEAP a pro WPA s
použitím sdílených klíčů. Při testování 802.1X jsme jako autentizační server
používali Odyssey RADIUS od společnosti Funk Software.
Jakmile jsme ukončili testování bezdrátové "části" produktů, použili jsme k
dalším útokům nejrůznější nástroje včetně open source aplikací Nmap, wget,
Nessus a IP Stack Integrity Checker (ISIC) sloužících k objevování volně
použitelných služeb, odhalování hesel apod. Tyto nástroje byly používány ve
virtuálním stroji VMware, což umožnilo jejich snadný přesun mezi našimi
laboratořemi.

Pozor na pravidla!
K vybudování bezpečné bezdrátové sítě nestačí hlídat vlny šířící se vzduchem.
Musíte také chránit přípojná místa a totéž platí pro zbytek infrastruktury vaší
sítě.
Provedli jsme proto rovněž test možnosti průniku do bezdrátových
infrastrukturních zařízení (přístupových bodů a přepínačů), jež jsme testovali.
Zaměřili jsme se přitom zejména na to, jak dodavatelé chrání místo, kde
bezdrátové zařízení zasahuje do sítě s vedením. Zařízení jsme ponechali ve
stavu co nejbližším doporučené základní konfiguraci.
Z tohoto testování jasně vyplývá, že většina zařízení je dodávána s
nevyhovujícím základním nastavením z hlediska bezpečnosti. Řada přístupových
bodů neumožňuje deaktivovat služby s nízkou bezpečností, jako např. telnet a
HTTP, a naopak aktivovat služby s vyšší bezpečností, jako např. Secure Shell a
HTTPS.
Bohužel většina dodavatelů se rozhoduje pro jednoduchá základní nastavení
namísto těch bezpečných. Například zatímco jen nemnoho lidí řídí přístupové
body prostřednictvím rozhraní příkazové linky, Actiontec dodává své produkty s
telnetem aktivovaným pomocí hesla s takovým základním nastavením, které může
kdokoli snadno odhalit (je stejné jako jméno uživatele) a prostřednictvím
uživatelského rozhraní nelze provést jeho změnu ani deaktivaci. A to je pěkně
velká bezpečnostní mezera.
Při testech jsme se více zaměřili na přístupové body podnikové úrovně vystavěné
na sofistikovanějších platformách, jakými byly v našem testu například produkty
společností HP nebo SMC. Ty mají ladicí porty přístupné z operačních systémů
Wind River a VxWorks pracujících v reálném čase. Jestliže zatím není známo
žádné významnější využití VxWorks, neznamená to, že se v brzké době neobjeví.

Výběr z hlediska bezpečnosti
V případě našeho přehledu nešlo o běžný test produktů, při kterém bychom
vybrali vítěze podle řady kritérií. V tomto případě jsme se plně zaměřili na
zabezpečení bezdrátových karet a přístupových bodů a na základě výsledků
testování jsme dospěli k určitým závěrům o tom, které produkty by byly
nejbezpečnějším rozšířením vaší sítě.
Pokud jde o klienty, doporučujeme bezdrátové karty od společností 3Com a Cisco,
protože ty nabízejí mnoho bezpečnostních funkcí, mají spolehlivé implementace
WEP šifrování a umožňují snadné přeorientování se na 802.11i.
U přístupových bodů je rozhodnutí obtížnější. Naším testováním úspěšně prošly
produkty společností 3Com a SMC, ale myslíme si, že Cisco, HP a Proxim, které v
testech zabezpečení pomocí WEPu neobstály, by měly být v každém výběru kvůli
dalším obsaženým bezpečnostním funkcím. Rovněž Compex se svým malým přístupovým
bodem pro kancelář nebo domácnost byl schopen připojovat uživatele k různým
virtuálním sítím, což je velmi cenná bezpečnostní funkce.

Jak zabezpečit WLAN síť
Nabízí se spíše otázka, jak vhodně zabezpečit bezdrátovou síť.
Pokud začínáte od nuly a nemáte žádné zastaralé produkty, s nimiž byste se
museli potýkat, řešením je použít WPA s autentizací v rámci 802.1X a počítat s
přechodem na 802.11i, až bude k dispozici.
Za používání 802.1X byste neplatili žádný poplatek. Jde o bezplatnou součást
Windows XP a Mac OS/X od Applu. Výběr systému, který podporuje 802.1X a WPA
vyžaduje pouze vyhledat zařízení s označením WPA-Enterprise, označení vydávané
sdružením Wi-Fi Alliance. Budete také potřebovat RADIUS server, který podporuje
autentizaci v rámci 802.1X.
Místo šifrování v bezdrátové síti, které nabízí WPA a 802.11i, můžete použít
IPsec, obzvláště pokud je součástí vaší sítě řešení dálkového přístupu
prostřednictvím tohoto protokolu.
Z hlediska bezpečnosti nabízí IPsec dokonalejší model než WPA; IPsec také
vyžaduje zvláštní náklady. Ve vysokorychlostním prostředí pak může způsobovat
problémy především tunelovací režie.
Pro bezpečné připojení svého bezdrátového spoje můžete použít také jednoduchý
protokol VPN, např. PPTP (Point-to-Point Tunneling Protocol). Výhodou PPTP
(nebo jakéhokoli protokolu VPN) oproti jednoduchému WEP šifrování je možnost
autentizace a šifrování druhé vrstvy. PPTP má mnohem méně dokonalý bezpečnostní
model než IPsec, ale již více než pět let má velmi dobrou podporu ve všech PC
operačních systémech. Pravděpodobnost, že naleznete zařízení, které se nehodí
pro WEP plus PPTP, je dosti nízká. Alternativy jako samotný IPsec nebo IPsec s
Layer 2 Tunneling Protocol (L2TP) jsou výhodné z hlediska bezpečnosti, ale již
ne z hlediska interoperability a snadnosti používání.
Společným problémem šifrování v bezdrátových v sítích a VPN je potřeba
podporovat zastaralé vybavení. Existují miliony karet pro bezdrátovou
komunikaci, které nabízejí pouze WEP, a není téměř žádná naděje, že by mohly
podporovat vyspělejší autentizační protokol, jako např. 802.1X. Negativní vliv
mají také určité technické nesrovnalosti mezi standardy WEP a WPA.
Pokud plánujete menší instalaci například s pouze asi šesti přístupovými body,
budete muset buď nalézt produkt, který zvládne více bezpečnostních profilů na
stejném přijímači, nebo použít takové, které má dva samostatné přijímače, jako
např. námi testované zařízení HP ProCurve 520wl. Anebo v nejhorším případě
všude použít dva přístupové body.
V zahraničí jsou již dokonce na trhu některé špičkové produkty, například
přepínače pro bezdrátové sítě LAN od společností Airespace, Aruba a Trapeze,
které zvládají WEP, 802.11i, a dokonce nezašifrované zprávy, aniž by bylo v
síti třeba instalovat dva bezdrátovépřístupné body.
Pokud máte ve své síti jeden nebo dva zastaralé přístroje, které musejí mít
přístup do bezdrátové sítě, např. tiskárnu nebo zařízení ke sběru dat, a
nestačí na nic složitějšího než WEP, měli byste zvážit jejich připojení k
samostatné bezdrátové síti a umožnění opravňování autentizace v rámci MAC
(Media Access Control).
Poslední problém při instalaci může nastat při připojení uživatelů-návštěvníků.
Zpravidla jde o osoby, které se nacházejí ve vaší budově a potřebují
bezdrátovou komunikaci, ale nechcete je obtěžovat bezpečnostními pravidly. Řada
bezdrátových zařízení podporuje přístup návštěvníků odsunujíce neautentizovaný
nebo nešifrovaný provoz do zvláštní virtuální sítě; zřejmě dobře oddělíte od
své podnikové sítě. Touto funkcí přístupu uživatelů-návštěvníků v našem testu
disponovaly přístupové body 3Comu, Cisca, Compexu, HP a Proximu.
Přístup uživatelů-návštěvníků do bezdrátové sítě můžete také řídit jednoduchým
autentizačním procesem na internetu, který vám pomůže rozlišovat mezi řádnými
návštěvníky a například lidmi pohybujícími se kolem vašeho parkoviště. Podle
toho, pro jak složitý bezpečnostní model potřebujete zajistit podporu, se
můžete rozhodnout použít jednoduchý firewall, který podporuje autentizaci na
internetu, nebo jeden ze složitějších přihlašovacích systémů od takových
dodavatelů, jako jsou ty nabízené společnostmi ReefEdge Networks nebo Vernier
Software.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.