NEXT 12/2008 - Sieć odporna na włamania

Standardowe zabezpieczenie sieci bezprzewodowych zapewnia jedynie pozorne bezpieczeństwo. Na szczęście niewielkim nakładem środków i własnej pracy można zredukować ryzyko płynące z większości zagrożeń. Poniżej przedstawiamy wskazówki, jak profesjonalnie się zabezpieczyć.

Sieci bezprzewodowe od początku uchodzą za mniej bezpieczne od lokalnych. Ich wadą jest medium – otwarte i dostępne dla potencjalnego włamywacza.

Bezpieczeństwo na poziomie

Podstawowe reguły bezpieczeństwa pozwalają na bezpieczną pracę jedynie w oparciu o protokół WPA2. Tylko on jest wystarczająco silnym mechanizmem, by oprzeć się działaniu początkujących i średnio zaawansowanych włamywaczy. Zmiany klucza WEP, filtrowanie MAC czy blokada rozgłaszania SSID lepiej wyszkolonym jedynie opóźnią dostęp do WLAN-u.

Dlatego w firmach potrzebne są bardziej wyrafinowane mechanizmy kontroli dostępu. Jednym z takich mechanizmów jest RADIUS. Jest to protokół klient-serwer pozwalający centralnie zarządzać uwierzytelnianiem i autoryzacją dostępu. Stworzony oryginalnie dla dostępu komutowanego, został zaadaptowany także do zarządzania sieciami bezprzewodowymi. Serwer zawiera centralną bazę danych użytkowników oraz usług, do których mają prawo dostępu. Zadaniem RADIUS-a jest świadczenie usług uwierzytelniania, autoryzacji i rozliczania (AAA – Authentication, Authorization,  Accounting). Klientem jest serwer dostępowy (NAS – Network Access Server).

Zasada działania RADIUS-a jest prosta. Klient przesyła serwerowi dostępowemu dane do uwierzytelniania. Ten przekazuje do centralnego serwera dane autoryzacyjne. Serwer RADIUS sprawdza wiarygodność klienta dzięki wspólnemu, tajnemu kluczowi (nigdy nieprzesyłanemu przez sieć), następnie sprawdza uprawnienia użytkownika. Wysyła klientowi odpowiedź potwierdzającą prawo użytkownika do połączenia, odmowę lub żądanie podania dodatkowych danych autoryzacyjnych.

Najważniejszą zaletą RADIUS-a jest możliwość zgromadzenia danych autoryzacyjnych w jednym miejscu. Przy większej liczbie punktów dostępowych, do których klient podłączany jest dynamicznie, RADIUS zwalnia administratora sieci z konieczności zarządzania bazą autoryzacyjną we wszystkich punktach dostępowych. Umożliwia też skonfigurowanie dodatkowych uprawnień użytkownika, takich jak przynależność do określonej grupy czy elementy polityki bezpieczeństwa.

Więcej sieci w jednej przestrzeni

Korzystnym rozwiązaniem w przypadku bardziej złożonych środowisk użytkowników jest możliwość rozgłaszania wielu SSID, a zatem budowy wielu logicznych sieci bezprzewodowych w oparciu o te same punkty dostępowe. Pozwala to na oddzielenie ruchu w różnych sieciach, przypisanie rozmaitych sieci, a więc i różnych polityk bezpieczeństwa, rozmaitym grupom użytkowników, a także przedłużenie tej separacji w oparciu o mechanizm VLAN sieci lokalnych, a więc dalszego odseparowania ruchu na poziomie warstwy łącza danych aż do rutera brzegowego włącznie. Można rozdzielić użytkowników uprzywilejowanych (w sieci z nierozgłaszanym SSID i zaawansowanymi mechanizmami bezpieczeństwa) od gości (w sieci z prostą autoryzacją), nawet przydzielając im różne podsieci IP. Mechanizmy takie stosuje większość firm, np. można oddzielać hotspoty od sieci wewnętrznej, sieci pracowników od gości czy sieci tworzonych na potrzeby np. konferencji. Sieciom można np. przypisać limity liczby użytkowników, czy też zarządzać ruchem poprzez mechanizmy Quality of Service.

Mechanizm VLAN można wykorzystać także do wydzielenia podsieci na potrzeby innych klas ruchu, np. związanego z multimediami czy VoIP. Jeśli w sieci funkcjonują np. telefony bezprzewodowe VoIP, można przypisać im sieć wyłącznie z szyfrowaniem WEP, które nie jest kosztowne i nie generuje opóźnień ze szkodą dla połączeń głosowych.

Dla wymagających

W przypadku większych sieci zarządzanie konfiguracją czy regułami bezpieczeństwa staje się mocno utrudnione. By zapanować nad większą liczbą punktów dostępu, wymagane są bardziej wyrafinowane metody. Np. firma Cisco oferuje kompleksowe rozwiązanie pod nazwą Cisco Unified Wireless Network – do zarządzania bezpieczeństwem w sieci hybrydowej (przewodowej i bezprzewodowej). Rozwiązanie dostarcza standardowych mechanizmów bezpieczeństwa (SSID, kontrola MAC, WEP, WPA2) oraz silnego uwierzytelniania 802.1X i szyfrowania AES. W pakiecie rozwiązań Cisco są m.in. punkty dostępowe serii Aironet 1000 – lekkie punkty dostępowe standardu 802.11a/b/g, konfigurowane zdalnie ze specjalnego kontrolera sieci WiFi. Mechanizm dostarcza pełnej konfiguracji sieci z kontrolera dostępowego w momencie uruchomienia lub restartu punktu, co umożliwia konfigurowanie całej sieci w jednym miejscu. Kradzież kontrolera nie oznacza utraty danych konfiguracyjnych. Dane identyfikacyjne i konfiguracyjne punktu dostępowego wymieniane są z kontrolerem w postaci zaszyfrowanej.

Rozwiązaniem na mniejszą skalę są rutery firmy Edimax AC--M1000 i AC-M3000, z kontrolerem dostępu do sieci. Ruter pozwala na łatwą budowę kilku sieci WiFi, umożliwia centralne zarządzanie do 12 punktów dostępowych Edimax EW-7206APg lub EW-7209APg, zarządzanie tożsamością użytkowników i uwierzytelnianie (mechanizmy: konto lokalne i na żądanie, POP3, LDAP, RADIUS, domena NT) wraz z przydzielaniem uprawnień.

Centralne zarządzanie

Zgromadzić w jednym miejscu można nie tylko dane służące do autoryzacji użytkowników, lecz także komunikaty i informacje o stanie urządzeń, tak aby łatwo je można było zapisać, zabezpieczyć, przejrzeć i ewentualnie wykryć informacje o incydentach, zmianach stanu sieci czy problemach technicznych.

Zbieranie i zapis komunikatów z urządzeń sieci WiFi ma większe znaczenie niż w sieciach LAN – tu poszczególne urządzenia aktywne występują jako urządzenia dostępowe dla otwartego środowiska klientów. W logach mogą więc się pojawić ślady prób nielegalnego dostępu.

Najprostszym mechanizmem jest syslog – pochodząca z systemów Unix/Linux usługa zbierania i przekierowania komunikatów systemowych. Poszczególne aplikacje mogą kierować swoje komunikaty do usługi, skąd trafiają one do plików, na konsolę administratora lub na zdalny host – serwer logów. Tę ostatnią własność można wykorzystać, kierując komunikaty z rozproszonych urządzeń bezprzewodowych do zabezpieczonej stacji lub wydzielonego serwera administratora, gdzie przechowywane są one w osobnych plikach. Tam można je przejrzeć, przefiltrować lub nawet zaprogramować powiadamianie o bardziej krytycznych komunikatach. Przesłanie komunikatów do innej maszyny poważnie utrudnia włamywaczowi ewentualne zatarcie śladów włamania np. do punktu dostępowego. By je usunąć, musiałby opanować także serwer logów.

Drugą możliwość centralnego zarządzania zdalnego udostępnia protokół SNMP. Oprócz możliwości odczytu zaprogramowanych wartości z urządzeń sieciowych umożliwia on zdalną zmianę niektórych ustawień. Zaletą rozwiązania jest prostota wdrożenia i niewielki narzut ruchu wynikający z zastosowania protokołu SNMP. Zalecane jest używanie najnowszej wersji – SNMP3, gdyż ma ona wbudowane najlepsze mechanizmy uwierzytelniania.

Ocena:    (aby ocenić, musisz się zalogować w serwisie)

 del.icio.us |  Wykop mnie |  Digg this story |  dodajdo.com

• Wygodnie czy bezpiecznie? »
  PLC versus WiFi
• Bezpieczne WiFi »
  ZABEZPIECZENIE SIECI I UKRYWANIE ADRESU IP HOTSPOT
• Zanim się włamią »
  testujemy bezpieczeństwo komputera
• Niezawodne WiFi »
  poprawiamy zasięg sieci WiFi
• W firmowej sieci LAN »
  raport: IT w MSP firmowa sieć LAN