Na redakční otázky odpovídá Pavel Soukup, WISP a WiFi specialista firmy AVG a Vladimír Sedláček, WISP, systémový a bezpečnostní architekt firmy AVG

1) V čem se WiFi odlišuje od ostatních systémů? Vyžaduje nějaký specifický přístup? Pokud ano, v čem?

Asi největší rozdíl bezdrátového propojení WiFi (Wireless Fidelity) od ostatních systémů přenosu dat spočívá v jeho principu a rozšířenosti. Jedná se o široce standardizovaný systém pro vytváření sítí propojených zařízení a jejich spojování s dalšími sítěmi s komutací paketů. Tedy součást toho, co můžeme chápeme slovy LAN-WAN-Internet, ale bez drátu. Logické sítě jsou vytvářeny buď jako vzájemně spolupracující zařízení bez centrálního uzlu („Ad-Hoc“), nebo jako infrastruktura s využitím ústředního bodu („Access Point“ a „Clients“, analogie se switchem a počítači). Další provozní konfigurace jsou určeny pro použití v distribučních sítích. WiFi rozhraní dnes najdeme v GSM a VoIP telefonech, DSL routerech, domácích úložištích dat, herních konzolách, tiskárnách, televizorech, datových projektorech a multimediálních centrech.

Na rozdíl od klasické drátové sítě, kde přítomnost jakýchkoliv signálů mimo pevný rámec zařízení a vodičů je spíše nezamýšleným vedlejším projevem a důkazem energetické nehospodárnosti, bezdrátový přenosový systém WiFi přímo využívá modulovaného rádiového signálu pro přenos informace. Rádiový signál obecně prochází nebo obchází pevné překážky, šíří se od zdroje všemi směry a v běžné budově nelze zcela potlačit jeho průchod do okolí. Použití kmitočtových pásem dostupných bez jakékoliv speciální licence a ohlašovací povinnosti při využití pro vlastní účely uživatele usnadňuje zavádění této technologie. Každý si tak zakoupené zařízení může okamžitě po donesení z obchodu zapojit a spustit, zatímco k jeho skutečně správnému nasazení jsou třeba nejen znalosti počítačových sítí, ale principů šíření elektromagnetických vln – spojařina či rozhlas.

Zde je nutno upozornit, že i pro osobní použití je nutné dodržovat hygienické limity na intenzitu vysílaného signálu a preferovat zařízení schopná vysílaný výkon regulovat podle aktuálních podmínek. Zejména u přenosných zařízení se může projevovat pohlcování signálu předměty a tělem operátora i jeho odrážení a obtékání. Vždy platí, že silnější signál není vždy lepší a že antén se nedotýkáme a pokud možno se k nim ani nepřibližujeme.

Kmitočtová pásma pro WiFi jsou až na některé místní vyjímky či různé počty kanálů téměř celosvětově dostupná. Provoz probíhá ve starším pásmu 2,4 GHz (ISM), které je sdílené například s technologií Bluetooth a ZigBee a blízké pracovnímu kmitočtu mikrovlnné trouby, a v novějších pásmech 5,2-5,3 GHz (u nás jen uvnitř budov) a 5,5-5,8 GHz, kde může docházet k nežádoucímu ovlivňování meteorologických radarů. Zejména poslední skutečnost vyžaduje zvláštní pozornost při plánování a výstavbě sítě.

V souvislosti s WiFi se často hovoří o standardech přenosu informací 802.11, z nichž zejména stojí za zmínku nejstarší 802.11b, definující modulaci s maximální přenosovou rychlostí 11 megabitů za sekundu v pásmu 2,4 GHz, jeho vylepšení 802.11g s maximální rychlostí 54Mb/s a 802.11a se shodnou maximální rychlostí v pásmech 5 GHz. Obecně platí, že čím vyšší přenosová rychlost má být dosažena, tím silnější (odstup od šumu) a kvalitnější (méně zkreslený) signál musí mít zařízení k dispozici. Standard 802.11n jde cestou využití více kanálů současně k metě 600Mb/s.

Velké rozšíření, volné použití, nízký počet kanálů ve srovnání s jejich potřebou a jejich částečné překrývání spolu s velkým dosahem citlivých zařízení znamenají riziko vzájemného rušení prostorově blízkých sítí a snižování dosažené přenosové rychlosti. Na rozdíl od pevné sítě, kde nedostatek přenosové kapacity vyřešíme přidáním dalšího kabelu do svazku nebo výměnou kovového vedení za optické, v prostředí bezdrátové sítě nelze navýšit rychlost libovolně dle potřeby a spíše lze očekávat její postupnou degradaci.

Ačkoliv většina běžných zařízení je schopná dosáhnout vysokých rychlostí jen na krátké vzdálenosti a indikuje pouze dostatečně silný signál, detekce a příjem WiFi provozu je možný i na velké vzdálenosti. Při užití šifrování stačí, podobně jako u jiných šifrovaných přenosů, dostatek času a získaných dat k prolomení šifrovacího klíče. Za dobrých podmínek lze nepozorovaně odposlouchávat datové přenosy až na několik kilometrů. V případě horších podmínek lze velmi snadno zamaskovat a nenápadně dopravit záznamník WiFi provozu velmi blízko sledovanému objektu. Zblízka není problém do komunikace vstoupit a vyvolat opakovanou inicializaci spojení za účelem vstupu do chráněné sítě. To je největší rozdíl od tradiční drátové a optické sítě, kdy je nezbytný přístup k volné aktivní zásuvce nebo nepříliš dobře hlídanému vláknu.

WiFi lze rovněž zneužít - bezdrátové zařízení lze snadno dopravit do firmy, zapojit do sítě a následně využít pro přístup k chráněným systémům a datům. Typickým nosičem takové infiltrace mohou být přenosné počítače s vestavěným bezdrátovým adaptérem. Rovněž zaměstnanci, často na vyšších pozicích, kterým se nechce zapojovat kabel do jejich přenosného počítače, případně chtějí být dostatečne mobilní i v kanceláři, mohou vnést vlastní bezdrátové zařízení a vytvořit tak vhodné zadní brány do jinak zvnějšku zabezpečené sítě.

2) Jak jsme v tom v Česku obecně se zabezpečením WiFi systémů?

Ponechejme stranou záměrně otevřené přístupové systémy – hotspoty, komunitní sítě a distribuční sítě provozované poskytovateli připojení k Internetu. Ty bývají nastavovány lidmi s větší mírou znalostí a jejich cílem je poskytování veřejných služeb bez zvýšené ochrany soukromí a systémů. Není bez zajímavosti, že díky rozpačitějšímu nástupu DSL technologií jsme se stali světovou špičkou ve využití bezdrátových technologií pro přístup k internetu a naši přední odborníci jezdí budovat tyto bezdrátové sítě do celého světa.

Domácí sítě jsou často konfigurovány stylem „přinesu, nějak to zapojím podle návodu a jede to“. V mnoha případech nepotřebné rozhraní zůstává zapnuté. Taková síť nebývá zabezpečená a vyznačuje se výchozím továrním identifikátorem zařízení. Pokud nastavení provede osoba znalejší, obvykle zapne režim zaheslovaného přístupu a šifrování dat. Mnoho takových osob už disponuje informaci, že WEP není vhodným způsobem ochrany přenášených dat a nastavují WPA-PSK případně WPA2-PSK. Běžnou chybou je ale volba slabého či slovníkového hesla pro přístup k síti. Hesla často zůstávají beze změny po celou dobu používání zařízení nebo do přeinstalování klíčového zařízení, například notebooku po nějaké infekci. Dalším zdrojem potíží jsou zařízení nedovolující snadné zadávání a ukládání přístupových hesel a klíčů, kvůli nimž je třeba snížit úroveň ochrany vypnutím šifrování dat a nedostačujícím omezením vstupu do sítě na základě MAC adresy přistupujícího zařízení. Podobně jsou na tom některé sítě menších firem.

Specifickou oblastí jsou některé menší podniky nabízející přístup k internetu s pomocí WiFi svým klientům v rámci jiných služeb – občerstvení, ubytování, obchod. Jako vybavení zde můžeme najít DSL router s bezdrátovou částí zabezpečenou veřejně známým heslem. K zásuvce místní sítě routeru je pak připojené provozní zázemí, sestávající z jednoho či více počítačů včetně pokladny. Samozřejmě zde dochází k nežádoucímu spojení provozní a návštěvnické části do jediné místní sítě a výsledkem je otevřená cesta k útokům všeho druhu.

Větší a firemní sítě zpravidla nastavují lidé znalí počítačových technologií. Ti se dovedou rozumně bránit zavádění WiFi do chráněných částí sítě a spíše je nechávají pro připojování návštěvnických počítačů. V této oblasti se rovněž častěji setkáváme s nasazením produktů včlenitelných do centrální autentizace, dohledu, vyhodnocování provozu a vynucování politik ochrany. I zde však dochází k  přeceňování základních mechanizmů autentizace přístupu a základní ochrany dat šířených vzduchem všemi směry. V jedné technické síti pak procházejí datové pakety z bezdrátové sítě i chráněná interní data. Dále zde můžeme jako součást infrastruktury najít jednodušší zařízení, pro jejichž připojení je třeba snížit úroveň šifrování nebo ochrany vstupu do sítě.

3) Kterých nejčastějších chyb se při zabezpečení WiFi dopouštíme?

Prakticky všechny závažné chyby vyplývají z nedocenění nebezpečí a neznalosti či ignorování základních pravidel opatrnosti a rozumného používání síťových technologií. K nim se přidává i neznalost či ignorance fyzikálních principů. Je těžké stanovit nějaké pořadí, ale jako nejčastější chyby při nasazování WiFi můžeme uvést:
- Ignorování principů šíření radiového signálu, zbytečně výkonné antény s nevhodným ozařovacím diagramem, často nevhodně umístěné, zbytečně silný signál, pronikající stovky až tisíce metrů mimo zamýšlený prostor
- Záměna základních a doplňkových ochran přístupu do sítě a soukromí přenášených dat – MAC filtr je snadno překonatelný způsob povolování přístupu do sítě a šifrování WEP se statickým klíčem o délce 56 či 64 bitů je prakticky vzato shodný s přenášením dat otevřeným způsobem
- Užívání slabých hesel, ať už slovníkových nebo krátkých, a jejich ponechávání po dlouhou dobu beze změny
- Spolehnutí jen na jednu úroveň ochrany bez kombinování ochran na různých úrovních
- Zapojování WiFi do jedné sítě se servery a aplikacemi, vyžadujícími ochranu svých dat (účetnictví, mzdy, sklady)
- Používání aplikací nechránících svá data nativně (sdílení souborů a přístup k  databázím, http, basic autentikace http, FTP, telnet, SMTP, POP a IMAP)
- Obecně nepovažování WiFi za možný a snadný směr průniku do chráněné sítě
- Absence sledování provozu a vyhodnocování jeho průběhu a obsahu přenosu a správností relací
- Absence aktivního vyhledávání neschválených přístupových bodů v prostoru vlastního objektu a sítě
- Nedostatečné nebo žádné proškolení uživatelů o možných rizicích a důsledcích rizikového chování

4) Jsou stávající bezpečnostní prvky ve WiFi (např. WEP) dostatečné? A které prvky nebo postupy doporučujete?

„Dostatečné“ znamená, že nám právě takovéhle řešení stačí. To nebude v oblasti bezpečnosti asi nikdy. Dnešní systémy používající pouze MAC+WEP jsou stejně zranitelné jako motorkář bez přilby. Stačí mírný štěrk.

V současné době v enterprise řešních považujeme za uspokojivé tříbodové řešení ochrany:
1.  WPA2 spolu se zabezpečeným RADIUS serverem jako primární ochranu před násilným útokem a dostatečně silná hesla a klíče.
2.  IPS/IDS sytém který dokáže odhalit útok na přístupový bod i nedovolené chování uživatele již autentifikovaného do WiFi sítě.
3. Centrální dohled nad chováním Wifi sítě a rádiového prostoru kolem a vně prostoru pokrytého WiFi signálem.

Dolňkové zabezpečovací mechanizmy ve formě filtrace MAC adres, silných hesel, zákazu zařízení užívajících slabou autentizaci a slabé šifrování provozu, zákazu provozu aplikací přenášejících otevřená data a čitelnou autentikaci, SMS ověřování transakcí, fyzického oddělení provozu v chráněné a nechránitelné části sítě a dalších opatření rozhodně neuškodí. Bezpečnost není o pohodlí, ale o zamezení ztráty, kterou lze v mnoha případech vyčíslit nejen náklady na pořízení zcizených údajů, ale i jejich tržní kapitalizaci.

I v této oblasti platí, že nejhorším nepřítelem je nepoučený uživatel. Takže závěrem doporučujeme osvětu – školení správců i uživatelů, praktické ukázky, přísné bezpečnostní směrnice, jejich vysvětlování a prosazování.

A protože každé bezpečnostní opatření je nezbytné prověřovat, nezapomínejte, že pravidelná i namátková prověrka skutečnými hackerskými nástroji patří do arzenálu pracovníka zodpovědného za bezpečnost sítě.

Autentizace | IDS/IPS | Monitoring | Šifrování | Wi-Fi