Zvyšujeme bezpečnost bezdrátové sítě

Je to podivná situace. Naše společnost dosud oficiálně nepřijala koncept bezdrátové komunikace a přesto se zdá, že ...


Je to podivná situace. Naše společnost dosud oficiálně nepřijala koncept
bezdrátové komunikace a přesto se zdá, že se každých několik měsíců
zdvojnásobuje počet našich přístupových bodů. Může to takto pokračovat?
Před nedávnem mi volal jeden z manažerů naší laboratoře. Chtěl nasadit systém
čárových kódů pro sledování pohybu majetku. Čtečka čárového kódu by vysílala
informace přes Bluetooth do HP iPaq, který disponuje vestavěnou bezdrátovou
kartou. Chtěl rovněž nainstalovat několik přístupových bodů, aby mohl iPaq
sdělovat údaje ze štítků jednotlivých kusů majetku do back-endové databáze, jež
je uložena na firemní síti. Takřka vzápětí následoval další telefon z jednoho z
našich školicích středisek, kde chtěl manažer zřídit několik přístupových bodů,
aby se mohli návštěvníci připojovat ke svým e-mailům, provádět rezervace
letenek, tisknout si itineráře nebo brouzdat po internetu. Také jsem zjistil,
že vyšší management schválil instalaci bezdrátových přístupových bodů v každé
budově, která je připojena k internetu. To je velká spousta přístupových bodů,
protože expandujeme v Indii, v Singapuru a v Číně a otevřeli jsme nové
kanceláře ve Virginii a na dalších místech. Ale navzdory tomuto nárůstu v
používání bezdrátových technologií dosud nemáme oficiální pravidla pro nasazení
bezdrátové komunikace nebo manažera projektu, který by na rozšiřování
přístupových bodů dohlížel. Místo toho celý proces řídím já a síťoví inženýři.

PEAP místo LEAP
Minulý týden jsme se rozhodli, že zastavíme implementaci protokolu LEAP na
produktech od společnosti Cisco, a to z důvodu zjištěných zranitelností
týkajících se způsobu, jakým tento protokol pracuje s hesly. Nepoužije-li se
silné heslo, dokáží hackeři jednoduše narušit bezdrátové spojení a získat
přístup do naší sítě. Dospěli jsme k závěru, že nezáleží na tom, pro jaký
produkt se rozhodneme pravděpodobnost publikování podobné slabiny není nikdy
zanedbatelná. Proto jsme se rozhodli nasadit dvoufaktorovou autentizaci
přinutíme lidi používat token SecurID od RSA ještě předtím, než se budou moci
připojit k přístupovému bodu. Vkládáme naděje v to, že i když bude nějaký
protokol narušen, bude nás dvoufaktorový proces autentizace chránit i nadále.
Prozkoumali jsme několik možností a zjistili jsme, že jediným způsobem, jak
využít naše existující nasazení SecurID tokenů od RSA při zachování
dvoufaktorové autentizace spočívá v nasazení protokolu PEAP. PEAP což je
zkratka slov Protected Extensible Authentication Protocol byl společně vyvinut
Microsoftem, RSA Security a Ciscem pro přenos autentizačních dat včetně hesel
přes bezdrátové sítě. Co odlišuje PEAP od LEAP je to, že komunikace mezi
bezdrátovým klientem a autentizačním serverem (u nás Cisco ACS) jsou
tunelované. LEAP přenáší autentizační informace v nezašifrovaném textu. U PEAP
jsou autentizační data přenášena až po vytvoření zašifrovaného tunelu.

Vyřešení otázek
Zpočátku jsme měli několik problémů. Naši uživatelé mají notebooky Dell, které
jsou vybaveny vestavěnými bezdrátovými kartami a klientským softwarem nazvaným
Dell TruMobile, kterým se karty ovládají. Klient musí vygenerovat digitální
certifikát pro usnadnění tunelování, a ten musí být kompatibilní s Cisco
Compatible Extensions Version 2 (CCE-2), aby mohl fungovat s verzí PEAP od
Cisca. Údajně měl být klient Dell TruMobile s CCE-2 kompatibilní, ale
implementace nebyla tak jednoduchá, jak se zdálo. Chyběla dokumentace. Po
značné dávce úsilí jsme přiměli notebooky Dell spolupracovat s přístupovými
body Cisca a požádat nás o kód tokenu SecurID. Musíme sice ještě dořešit
několik problémů, ale myslím si, že nakonec budeme mít fungující bezdrátovou
infrastrukturu ochráněnou SecurID od RSA. Jednou z věcí, se kterou nám ale
dodavatelé stále ještě pomáhají, je zbavit se 60 až 90sekundového zpoždění před
zobrazením dialogového okna SecurID; zaměstnanci musejí čekat příliš dlouho.

Virtuální sítě
Jedním bezvadným aspektem našeho řešení je to, že budeme používat tagging pro
virtuální LAN k segregaci různých úrovní přístupu do naší bezdrátové
infrastruktury. To znamená, že nemusíme kupovat a instalovat samostatné
přístupové body pro zaměstnance chráněné SecurID, kteří potřebují získat
přístup do naší vnitřní sítě, a pro hosty, kterým bude povolen přístup pouze k
vnějším internetovým prostředkům. Díky VLAN (označované rovněž jako síť 802.1Q)
můžeme konfigurovat dvě samostatné sítě, každou se svým vlastním bezdrátovým
SSID (Service Set Identifier sekvence znaků, která jedinečně identifikuje
bezdrátovou LAN) pro vytváření připojení k přístupovému bodu. Jen pro příklad:
Zaměstnanec používající SSID řekněme "emp" bude vyzván, aby uvedl token SecurID
předtím, než mu bude povoleno připojit se k přístupovému bodu a získat přístup
k interním firemním prostředkům, jako například k MS Exchange, sdíleným
složkám, firemnímu intranetu a stránkám oddělení lidských zdrojů. Mezitím host
používající SSID "guest" nebude vyzván, aby zadal token SecurID, aby se mohl
dostat na intranet. Zaměstnanec a host jsou připojeni ke stejnému přístupovému
bodu, ale díky odlišným SSID, která používají, mají odlišná přístupová práva.
Nejlepší ale je, že nám Cisco umožní používat tagging VLAN pro vytvoření až 16
samostatných VLAN. To nám poskytuje hodně flexibility ve způsobu, kterým
uživatelům poskytujeme bezdrátové sítě podniku. Abychom pomohli našemu
manažerovi laboratoře, který chce provádět sledování majetku, vytvoříme možná
třetí VLAN, jež bude přístupná z HP iPaqů pro sledování, možná se SSID "track".
Ke správě všech těchto přístupových bodů, SSID a VLAN budeme i nadále používat
Cisco Wireless LAN Solutions Engine, protože nám pomáhá i v našem trvajícím
úsilí detekovat nelegální přístupové body v síti.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.