WLAN Wars: Třetí kolona

Zákaz provozu vlastních ilegálních bezdrátových přístupových bodů ve firmě se minul účinkem. Zaměstnanci firmy s...


Zákaz provozu vlastních ilegálních bezdrátových přístupových bodů ve firmě se
minul účinkem. Zaměstnanci firmy si dokonce ještě několik nových zařízení
čerstvě nainstalovali.
Otázkami bezpečnosti bezdrátových lokálních sítí (WLAN, Wireless LAN) se
zabývám již delší dobu, po pravdě však musím říci, že problémy s tímto
komunikačním médiem spíše narůstají, než že by mizely. Domníval jsem se, že
když pošlu po firmě e-mail, ve kterém jasně uvedu, že je zakázáno používat
vlastní bezdrátové přístupové body, bude to dostatečné pro to, aby byla všechna
neautorizovaná zařízení odpojena od sítě. Není.
Minulý týden jsem podnikl další průzkum v budově, kde sídlí vedení naší
společnosti, a objevil jsem šest nových neautorizovaných bezdrátových
přístupových bodů a také všechny ty, na které jsem upozorňoval již dříve. A
nebyl jsem nijak překvapen, že všechny opakuji, všechny byly špatně
nakonfigurovány. Neměly nastaveno žádné šifrování a naopak byly nakonfigurovány
tak, aby vysílaly (broadcastem) SSID (Service Set Identifier). Protože je
jednoduché získat SSID a není nastaveno šifrování, hackeři mohou velmi snadno
získat jejich prostřednictvím přístup do naší vnitrofiremní sítě.

Hledání průnikových bodů
Vysledovat, kde jsou přístupové body fyzicky umístěny, nebylo nijak jednoduché.
Síla signálu všech těchto zařízení s výjimkou jediného byla natolik vysoká, že
bylo možno se k nim připojit i z ulic před našimi budovami. Do svému Pocket PC
jsem zasunul PC card AirMagnet a nainstaloval detekční software stejnojmenné
společnosti. Doufal jsem, že s těmito nástroji zjistím, kde jsou přístupové
body umístěny. Bohužel ale nemám směrovou anténu, a záhy se ukázalo, že bez ní
je nelze s jistotou nalézt.
A tak jsem zvolil jinou metodu, pravda, časově podstatně náročnější. Všechny
nalezené přístupové body měly přiřazeny unikátní MAC (Media Access Control)
adresu v naší lokální síti. Používáme ethernetové přepínače Catalyst
společnosti Cisco Systems a jejich dotazováním lze zjistit, ke kterému portu je
který bezdrátový přístupový bod (resp. jeho adresa) připojen. Jakmile tedy
zjistím ty správné porty, mohu, teoreticky, sledovat připojený kabel do
nejbližší rozvodné skříně a odtud až k místu, kde se nachází nechtěný
přístupový bod.
Ve skutečnosti to ale takhle dobře nefungovalo. Celý proces byl příliš časově
náročný. A jak se později ukázalo, čekaly nás i další zádrhele. Na každém
podlaží máme čtyři přepínače a každá z našich šesti budov je čtyřpodlažní.
Protože nemáme žádný monitorovací nástroj typu CiscoWorks, museli jsme se ručně
jednotlivě přihlašovat ke každému z přepínačů a hledat požadovanou adresu.
Po nějaké době jsme byli schopni odtrasovat takřka všechny hledané MAC adresy k
rozvodným skříním ve specifické budově a na příslušném patře. Jakmile jsme se k
nim ale dostali, nastal další problém. Kvůli chybějícím podrobným plánům
rozvodů jsme totiž nebyli schopni poznat, do které kanceláře vedou jednotlivá
vedení. Bez dostatečného značení je takové trasování takřka nemožné jednotlivé
spoje totiž vedou ve zdech a pod podlahami.

Právní otázky
V tomto okamžiku tedy máme jakousi základní představu o tom, kde by
neautorizované přístupové body mohly být. A před námi stojí řešení některých
právních otázek. Máme právo nyní projít všechny kanceláře jednu po druhé a
prohledat pracoviště jednotlivých zaměstnanců? Právní řád země, ve které žiji a
pracuji, velmi chrání osobní soukromí zaměstnanců a jejich práva s ním spojená.
Nejsem právník a rozhodně nechci být příčinou žádných právních sporů mezi naší
firmou a jejími zaměstnanci, a tak jsem se obrátil na naši advokátní kancelář.
Než se nám dostane odpovědi, můžeme provést jedinou věc zakázat ty porty
přepínačů, ke kterým jsou neautorizované přístupové body připojeny. Chytrý
uživatel ale zase může prostě jen přepojit své zařízení do jiné zástrčky v
kanceláři, a to opět bude v provozu. Na druhou stranu je ale nutno poznamenat,
že v každé kanceláři jsou zpravidla jen dva aktivní porty, takže dříve nebo
později zůstane kancelář bez připojení. A zaměstnanec se bude muset sám
přihlásit tedy za předpokladu, že bude chtít nadále pracovat s počítačem
připojeným v síti.

Do budoucna
Teď už je zřejmé, že nemůžeme spoléhat na to, že se budou zaměstnanci chovat
ukázněně sami od sebe. A rozhodně nechceme v budoucnosti pokaždé, když se
objeví podobný problém, procházet stejným náročným vyšetřovacím procesem. Proto
si budeme muset buď koupit nějaký vhodný softwarový nástroj, jako např. již
zmíněné CiscoWorks, nebo najít nějakou efektivnější metodu pro automatickou
detekci neautorizovaných přístupových bodů a uživatelů, kteří se jejich
prostřednictvím připojují k naší síti.
Jsou tu zřejmě jen dvě cesty, jak toho dosáhnout. První z nich je metoda,
kterou bych nazval "drátovou". Při ní kontrolujete provoz v kabelové síti. Když
víte, co máte hledat, můžete detekovat pakety 802.11b WLAN nebo identifikovat
MAC adresu bezdrátového přístupového bodu. Druhou metodou je nasazení vlastních
přístupových bodů, sloužících mj. jako sniffery. Proto musejí být vybaveny
softwarem, který detekuje frekvence, na kterých pracují nelegálně připojené
přístupové body. Myslím si, že druhá zmíněná metoda je vhodnější. Hledání
nelegálních přístupových bodů prostřednictvím detekce jejich signálů je
efektivnější prostě proto, že je třeba monitorovat podstatně menší objem dat
síťového provozu. Zatímco u "drátové" varianty je třeba monitorovat a filtrovat
veškerý provoz a potom ho podrobit příslušné analýze.
Abychom mohli požít bezdrátovou metodu, budeme muset významně investovat do
svého hardwaru i softwaru. Naše vlastní bezdrátové přístupové body pokrývají
pouze omezené území; abychom zajistili dostatečnou bezpečnost, bude třeba
pokrýt celý prostor firmy. Pokud se nám to podaří, můžeme poté koupit software,
jako je např. AirWave Management Platform od AirWave Wireless. To nám umožní
efektivně využít naši bezdrátovou komunikační infrastrukturu ke dvěma účelům
jednak k podpoře legálních bezdrátových uživatelů a jednak k vysledování
případných nelegálních přístupových bodů.
Navzdory pokračujícím problémům s bezdrátovými sítěmi mám pocit, že už vidím
světlo na konci tunelu. Snad není moc daleko.
Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.