ADVERTORIAL
Z siecią Wi-Fi możemy połączyć się prawie w każdym miejscu, bez względu na to, czy jest to hotel, dworzec, restauracja, galeria handlowa, uczelnia, czy biurowiec. Dostępne sieci mogą być publiczne i prywatne, otwarte i limitowane, a dzięki temu, że potrzebują minimalnej infrastruktury, nie wymagają kabli, dają swobodę przemieszczania się i pozwalają na dowolną aranżację wnętrza, są coraz powszechniej stosowane… i będzie ich coraz więcej.
Jak można się jednak domyślać – to co wygodne stoi w opozycji do tego co bezpieczne. Sieć radiowa, jak każda komunikacja rozsiewcza, jest łatwa do podsłuchania i to nawet z bardzo dużej odległości. Sieć radiowa zainstalowana w biurze obejmuje swoim zasięgiem również biura sąsiednie, a nawet obszary poza biurowcem, np. parking lub sąsiednie posesje. I na odwrót, sieci sąsiedzkie swoim zasięgiem obejmują również „nasz” obszar.
Z punktu widzenia bezpieczeństwa, sieci Wi-Fi są przedmiotem szczególnego starania, stąd za całkowicie słuszne można uznać hasło WatchGuard Technologies: „Wi-Fi to nic trudnego, ale bezpieczne Wi-Fi to wyzwanie”.
Jeszcze do niedawna można było wierzyć, że uruchomienie sieci Wi-Fi z WPA2 skutecznie zabezpiecza sieć i zapewnia poufność transmitowanych danych, a faktycznie wykorzystywane mechanizmy kryptograficzne i zmienność klucza skutecznie chronią przed odczytaniem przesyłanych informacji. Nie jest to jednak wystarczające, aby ochronić się przed nieuprawnionym dostępem. Cyberprzestępcy opracowali skuteczniejsze metody odgadywania haseł, a wraz ze wzrostem mocy obliczeniowych komputerów przenośnych oraz stosowania metod słownikowych mogą „zgadnąć” hasło do sieci zaledwie w ciągu kilkunastu minut. Szybkość i skuteczność tego procesu zależy od ilości zgromadzonych danych dotyczących zalogowanych użytkowników oraz stopnia komplikacji haseł. Tak „odgadnięte” hasło może posłużyć do skutecznego podłączenia nieuprawnionych użytkowników do sieci Wi-Fi.
Znacznie groźniejsze może być jednak uruchomienie tzw. oszukańczego punktu dostępowego (ang. rogue access point). Scenariusz takiego ataku może być następujący:
- Hacker skanuje otoczenie wyszukując dostępne sieci oraz podłączonych użytkowników.
- Hacker wybiera sieć, którą będzie chciał zaatakować i zaczyna gromadzić informacje wymieniane przez użytkowników dołączających się do sieci. Zbieranie tych informacji może przyspieszyć przez przeprowadzenie ataku DoS wymuszającego deautoryzację wszystkich użytkowników, którzy powtórnie uruchomią proces 4-etapowej negocjacji.
- Korzystając z oprogramowania Aircrack, słowników oraz zgromadzonych kluczy użytkowników hacker możne z łatwością „złamać” hasło, to znaczy odkryć jaki jest klucz dostępu do sieci.
- W bezpośrednim otoczeniu atakowanej sieci hacker umieszcza swój punkt dostępowy z SSID oraz BSSID identycznymi z siecią atakowaną, ustawiając maksymalną moc sygnału (często nawet powyżej poziomów dopuszczalnych przez przepisy).
- Teraz wystarczy tylko powtórny atak DoS, powodujący deautoryzację użytkowników z legalnej sieci. Urządzenia użytkowników spróbują ponownie połączyć się z siecią, a ponieważ w ich otoczeniu będzie podstawiony punkt dostępu z identyfikatorami i hasłami zgodnymi z siecią atakowaną część z nich połączy się z podstawionym punktem dostępu.
- Od tej chwili cała transmisja przechodząca przez oszukańczy punkt dostępu stanie się dla hackera jawna. W ten sposób może on obejść ochronę kryptograficzną nie łamiąc kluczy szyfrowania.
Nie wdając się w analizy matematyczne można przyjąć, że minimalna długość hasła, mogącego skutecznie oprzeć się atakom to 32 znaki i dobrze jeśli nie są to wyłącznie litery.
Dodatkowo należy mieć świadomość, że skutecznie zabezpieczona mechanizmami WPA2 firmowa sieć Wi-Fi nie gwarantuje bezpieczeństwa. Należy bowiem wziąć pod uwagę fakt, że urządzenia podłączone do firmowej sieci kablowej mogą być jednocześnie podłączone do zewnętrznych sieci Wi-Fi, stanowiąc potencjalne miejsce ataku lub wycieku informacji. Myśląc o bezpieczeństwie w kontekście Wi-Fi należy wziąć pod uwagę nie tylko stronę infrastruktury ale, z nie mniejszym zaangażowaniem, należy zabezpieczyć stronę urządzeń końcowych oraz zachowania użytkowników.
WatchGuard Technologies dostarcza rozwiązanie stanowiące odpowiedź na wyzwanie bezpieczeństwa dla Wi-Fi – Wireless Intrusion Prevention System (WIPS). WIPS został zaprojektowany jako narzędzie umożliwiające ochronę sieci Wi-Fi przed: nieautoryzowanym dostępem, atakami typu Denial-of-Service, oszukańczymi punktami dostępowymi itp. Na skuteczną ochronę składają się 3 podstawowe funkcje:
- Detekcja – zdolność wykrywania wszystkich urządzeń radiowych (punktów dostępowych, urządzeń końcowych, smartfonów, tabletów, komputerów, drukarek, i wielu innych) w otaczającej przestrzeni radiowej
- Klasyfikacja – zdolność szybkiej i precyzyjnej oceny czy wykryte urządzenie radiowe jest autoryzowane do pracy w chronionej sieci, czy jest to urządzenie zewnętrzne, nie wchodzące w interakcję z chronioną siecią, czy też jest to urządzenie stanowiące potencjalne zagrożenia (np. rogue access point)
- Prewencja – zdolność natychmiastowej kwarantanny urządzeń usiłujących realizować podejrzane działania tak, aby je zatrzymać.
Na obecnym poziomie rozwoju technik radiowych wykrycie urządzeń nie jest zadaniem trudnym, w przeciwieństwie do klasyfikacji. Precyzyjne określenie jaki jest charakter wykrytego urządzenia i czy nie jest ono potencjalnie niebezpieczne to podstawa skutecznej mitygacji. Błędna klasyfikacja mogłaby spowodować zakłócenie działania urządzeń obcych, zewnętrznych, a to byłoby niepożądane.
Rozwiązanie WatchGuard Wi-Fi Cloud wykorzystuje opatentowaną metodę identyfikacji urządzeń nazwaną Market Packet, która w sposób jednoznaczny klasyfikuje urządzenia na Autoryzowane, Zewnętrzne i Oszukańcze. W rezultacie można podjąć skuteczne działania uniemożliwiające ataki. gwarantując jednocześnie, że WIPS nie zakłóci sieci sąsiadujących. Działania mitygacyjne nie ograniczają się wyłącznie do zablokowania ataku, podejrzane urządzenie jest również lokalizowane przestrzennie zatem możliwe jest fizyczne usunięcie urządzenia lub podjęcie innych działań śledczych. Dodatkowo WatchGuard WIPS kontroluje działania użytkowników sieci wymuszając zachowania zgodne z obowiązującymi polisami i regułami.
Rozwiązanie WIPS może być zastosowane w dowolnym środowisku sieci Wi-Fi, niezależnie od jego struktury, standardów, topologii czy producenta. Sensory systemu WIPS są instalowane niezależnie od punktów transmisyjnych, co pozwala na skuteczne zabezpieczenie dowolnej sieci Wi-Fi.
Więcej informacji o rozwiązaniach WatchGuard.
Jerzy Trzepla, Territory Sales Manager, Poland, WatchGuard Technologies
