Na redakční otázky odpovídá Ing. Vladimír Janečka, specialista – sítě a telekomunikace, Security & Netwotking Business Unit, Autocont CZ a.s.

1) V čem se WiFi odlišuje od ostatních systémů? Vyžaduje nějaký specifický přístup? Pokud ano, v čem?

Hlavním důvodem nasazování WiFi systémů v podnikových sítích, ale i v domácnostech, je možnost připojení k síti bez ohledu na dostupné datové zásuvky a možnost mobility. Tyto uživatelské výhody mohou bohužel stejně dobře posloužit i útočníkovi. S využitím směrové antény se může útočník nacházet daleko za hranicemi objektu. Je tedy nutné věnovat zvýšenou pozornost zabezpečení bezdrátové sítě.

Bezdrátové sítě zpravidla pracují v bezlicicenčních pásmech a přenosové médium je sdíleno s jinými uživateli tohoto pásma. Navíc nejsou současné WiFi řešení odolné proti DOS útokům. Provozování kritických aplikací vyžadujících vysokou dostupnost, nelze s klidným svědomím na WiFi doporučit.
 
2) Jak jsme v tom v Česku obecně se zabezpečením WiFi systémů?

Obecně lze říci, že poměr nezabezpečených sítí vůči těm zabezpečeným rok od roku klesá. Krom Free WiFi HotSpotů lze na nezabezpečenou bezdrátovou síť dnes narazit spíše výjimečně.

3) Kterých nejčastějších chyb se při zabezpečení WiFi dopouštíme?

Uživatelé si často nechávají nakonfigurované profily s automatickým připojením i pro sítě které použili pouze jednou (často se jedná o nezabezpečené sítě HotSpotů). Tyto profily mohou snadno posloužit útočníkovi.

Vysoká pozornost zabezpečení bezdrátové sítě se věnuje v době její implementace, později však zájem zpravidla upadá. Příkladem mohou být podnikové sítě využívající stále zabezpečení založené na WEP. Použití zabezpečovacích metod založených na sdíleném klíči v podnikovém prostředí. S počtem uživatelů roste nebezpečí jeho vyzrazení a problémy při jeho změně.

4) Jsou stávající bezpečnostní prvky ve WiFi (např. WEP) dostatečné? A které prvky nebo postupy doporučujete?

Ano současné bezpečnostní prvky lze považovat za dostatečné, nelze však mezi ně počítat zastaralý WEP. Dnešní zařízení vždy podporují modernější metody zabezpečení na výrazně vyšší úrovni.

Pro domácí požití si vystačíme se zabezpečením WPA-PSK s šifrou TKIP, nebo lépe AES. Bezpečnost potom závisí především na použitém PSK klíči. PSK klíč je vhodné volit tak, aby neumožňoval použití slovníkových útoků.

V podnikovém prostředí nevyhoví metody založené na sdíleném klíči a je nutno použít některou z metod využívající protokol 802.1x pro ověření uživatele a vygenerování dočasných klíčů.  V současné době bez problémů vyhoví zabezpečení WPA2 (standard 802.11i) v kombinaci s EAP-TLS (uživatel se prokazuje certifikátem), nebo EAP-PEAP (uživatel se prokazuje jménem a heslem).

Samostatnou kapitolou jsou bezdrátové IDS a IPS systémy, které dokážou včas detekovat útoky a bezpečnostní hrozby na úrovni bezdrátových sítí.

Samozřejmostí je detekce tzv. “rogue AP“, ale i detekce podezřelého chování bezdrátových klientů. Některým subjektům neumožňuje firemní bezpečnostní politika použití bezdrátových sítí, přesto nasazují bezdrátové IPS/IDS systémy, právě pro detekci tzv. “rogue AP“ a klientů.

Současné bezdrátové sítě nejsou odolné proti DOS útokům. Řídící rámce na rozdíl od datové komunikace nejsou zabezpečeny a lze podvrženými řídícími rámci odpojit všechny klienty. Někteří výrobci podporují podepisování těchto řídících rámců. I v případě, že není podporováno na straně klientů, lze tuto metodu použít aspoň pro detekci útoku.

Závěrem si dovolím poznámku, že samotné požití nejmodernějších metod zabezpečení bezdrátové sítě nestačí a na bezpečnost je třeba vždy pohlížet komplexně.

IDS/IPS | Šifrování | Wi-Fi