Autor: Tomáš Přibyl, externí odborný redaktor ICTsecurity

Bezdrátové technologie jsou „in“, neboť oproti klasické „metalice“ přinášejí celou řadu výhod. Jejich aplikací totiž šetříme prostor, čas potřebný na údržbu či překonfiguraci, získávají vysokou flexibilitu apod. Jenomže obliba rozvoje bezdrátových sítí s sebou nese nejedno nebezpečí: třeba to, že díky ní nestačily „dozrát“ správné bezpečnostní návyky u uživatelů nebo správců.

Výhody pro útočníka

Nejdůležitější je si uvědomit, že bezdrátové technologie jsou na jedné straně pohodlnější, ale na straně druhé i zranitelnější vůči útokům. Důvodem je právě ona bezdrátovost, kdy útočník už nemusí získávat fyzický přístup k zařízením, ale teoreticky může získávat data i z bezpečné vzdálenosti (na ulici před firmou, na chodbě úřadu apod.).
Tímto ovšem neříkáme, že bezdrátové technologie jsou automaticky nebezpečné! Chceme jen upozornit, že v případě jejich nesprávného použití může útočník získat nemalou výhodu.

Bezpečnostní rizika bezdrátových sítí jsou jednak v tom, že bezdrátové technologie jen spojují jiný hardware či aplikace, takže se na ně často neklade odpovídající důraz nebo přímo jsou velmi špatně konfigurovatelné. A jednak v tom, že útoky jsou odolné vůči mnoha klasickým způsobům kontroly (pasivní „odposlouchávací“ zařízení je prakticky nemožné detekovat). Právě snadnost přístupu je nepřítelem číslo jedna. Jinými slovy: výhody bezdrátového světa jsou i jeho velkými bezpečnostními riziky.

Nekonečný příběh

Více než kde jinde přitom platí, že správa bezpečných bezdrátových sítí je kontinuální proces, který vyžaduje větší pozornost, než ostatní komponenty. Stejně tak je důležité, aby organizace prováděly vyhodnocení rizik a testování bezpečnosti v jejich případě častěji než u jiných prvků.

V současné době jsou tři základní technologie bezdrátového přístupu, které můžeme najít v počítačových sítích a které vyžadují různé způsoby ochrany před vznikem bezpečnostního incidentu. Jsou to připojení pomocí 802.11, bluetooth a mobilních zařízení. Každá z těchto technologií vyžaduje určité specifické přístupy k zabezpečení, nicméně některá základní pravidla jsou pro všechny stejná.

Především je nutné mít stále dokonalý přehled o topologii sítě. Jen tak lze zabránit vzniku chaosu a především zamezit útočníků v nepozorovaném připojení vlastních zařízení. Je zapotřebí si uvědomit, že „útočníkem“ může být v daném případě i vlastní zaměstnanec, který se pokusí do lokální sítě připojit své soukromé mobilní zařízení. V žádném případě mu sice nepodsouváme zlý úmysl (ačkoliv jej ani stoprocentně nevylučujeme), ale rozhodně se jedná o bezpečnostní riziko, protože do sítě přichází neautorizovaný (nekontrolovaný) prvek. Navíc připojení podobného zařízení ukazuje, že něco podobného je snadné i pro případného externího útočníka (kde jsou zlé úmysly rozhodně pravděpodobnější).

Dále je nutné mít přesný přehled o používaném hardware – jen tak je možný audit a kontrola, zdali splňuje aktuální požadavky. A také zdali používaný hardware souhlasí s výše zmíněnou topologií. Je nutné periodicky provádět testování a hodnocení bezpečnosti, protože jen tak lze odhalit slabá místa sítě. Na to samozřejmě navazují bezpečnostní audity a kontroly.

Kontrolujte přístup!

Důležitý je také důraz na přístupové body (Access Points), neboť ty jsou velmi slabými místy – resp. místy, na která bude útočník zaměřovat v prvé řadě svoji pozornost. Snadný přístup k nim společně se snadnou dostupností standardizovaného vybavení znamená, že se útočník může připojit téměř bez odporu.

Důraz je též třeba klást na kontrolu přístupu – byť u bezdrátových technologií není tak přesně vymezena jako jinde, stále se jedná o účinný prvek ochrany. Nemá smysl používat zbytečně výkonné antény a další prvky, které výrazně přesahují nutnou oblast (tedy kromě kanceláří a pracovišť zahrnují i další přilehlá místa jako jsou chodby, okolní restaurace apod.). Namísto toho jsou striktně doporučovány směrové antény či tzv. panýlky. A ideální je, když dotyčné zařízení ještě umožňuje regulovat vysílací výkon, čímž optimalizuje pokrytí signálem.

Autentizace je v daném případě více než účinná, protože chrání před interními i externími hrozbami. Umožňuje totiž zjistit nejen, KDO přistupuje do sítě, ale také JAK ji používá. Ruku v ruce s tím lze nastavit celkovou úroveň bezpečnosti včetně toho, kam se dotyčný subjekt dostane (k jakým zdrojům dat, jak bude moci ovlivnit chod sítě apod.).

Šifrování pak přináší jinou úroveň bezpečnosti než je kontrola přístupu či autentizace. Pokud je pohyb dat v síti šifrovaný, tak je samozřejmě pro nepovolanou osobu (i kdyby mělo jít o vlastního zaměstnance) velmi obtížné provést jejich dešifrování. Nasazení šifrování vychází z předpokladu, že žádný systém není stoprocentní a že k nějakému úniku přece jen dojít může. Právě šifrování má svoji mimořádnou cenu v případě bezdrátových technologií, protože kromě snadno představitelných zvědavců umožňuje ochranu před pokročilejšími technikami jako je spoofing, únos relace nebo externí neautorizované monitorování sítě.

Opatrně v kritických systémech!

Organizace by pak také neměly přistupovat k implementaci bezdrátových technologií v kritických systémech (datových, provozních aj.) pokud na toto nejsou dostatečně připraveny a pokud toto nemají vhodným způsobem odzkoušené. Je lepší se poučovat z chyb druhých, než z chyb vlastních. Proto by implementaci „bezdrátů“ mělo předcházet zvážení rizika a vytvoření odpovídajících úprav v bezpečnostní politice.