Na redakční otázky odpovídá Milan Petrásek, ředitel produktového managementu, atlantis datacom s.r.o.

1) V čem se WiFi odlišuje od ostatních systémů? Vyžaduje nějaký specifický přístup? Pokud ano, v čem?

Hlavní odlišností wifi, která plyne z principu šíření bezdrátového signálu, je že musíme více dbát na zabezpečení už od začátku. U „klasické“ drátové sítě mi zjednodušeně stačí ochranka na vstupu budovy a nikdo nepovolaný se k mé síti nedostane. To samozřejmě v případě wifi neplatí a útočník má zjednodušenou možnost se k signálu dostat bez průniku do objektu. Je tedy nutné už od návrhu počítat se zabezpečením. Také jsou jednodušší útoky odepřením služby (DoS) a rušení (s tím mohou pomoci sofistikované bezdrátové IPS – 3Com).

2) Jak jsme v tom v Česku obecně se zabezpečením WiFi systémů?

Krátká odpověď je špatně! V korporacích, které mají vlastní IT oddělení nebo kvalitní outsourcing IT je to o dost lepší než v domácnostech a SMB sektoru. Obecně je trochu problém mít konzistentní zabezpečení pro větší instalace. Proto je výhodné budovat sítě s bezdrátovými kontroléry (např. Ruckus Wireless), které mi správu včetně zabezpečení a následný centrální dohled výrazně zjednodušší.

3) Kterých nejčastějších chyb se při zabezpečení WiFi dopouštíme?

WEP, filtrace dle MAC, skrývání SSID apod. jsou nedostatečné a to i pro domácnosti, přitom dnes už prakticky každý přístupový bod (např. oblíbené WA od Zcomax) podporuje WPA2, tak proč to nevyužít.  Když už se nebojíte krádeže dat, tak určitě nechcete sdílet internetovou přípojku se sousedy.

Ve firmách potom živelné nasazování různých nekonzistentních adhoc řešení, často s důrazem na nízkou cenu a nikoliv budoucí potřeby. A v neposlední řadě nedostačující seznámení se s možnostmi daného zařízení, nevyškolení správci, nedostatečné testování …

4) Jsou stávající bezpečnostní prvky ve WiFi (např. WEP) dostatečné? A které prvky nebo postupy doporučujete?

Do WPA2 viz odpověď na třetí otázku. Pro firmy doporučujeme jednoznačně komplexní systém s 802.1x RADIUS autentizací s kontrolérem (Ruckus Wireless), detekcí cizích AP v kombinaci s IPS (3Com Wireless IPS) jako dostatečně robustní zabezpečené bezdrátové řešení. Nesmíme v tomto případě zapomenout ani na zbytek sítě a chránit perimetr pomocí UTM (Cyberoam), síť kvalitně dohledovat a mít proškolené správce.

Wi-Fi