Autor: Tomáš Přibyl, externí odborný redaktor ICTsecurity

Kdekdo miluje bezdrátové technologie, zvláště pak WiFi (Wireless Fidelity). Jsou pohodlné. Jsou jednoduché na nasazení i na provoz. Jsou skladné a nepřekáží. Jsou levné, neboť šetří náklady – když už ne na pořízení, tak na údržbu rozhodně. Jsou škálovatelné a konfigurovatelné. Jsou bezpečné…

Stop! Aby bylo nasazení WiFi skutečně bezpečné, musíte přiložit ruku k dílu. Samo od sebe totiž bude vším možným, jen ne bezpečným. Přinášíme deset kroků „jak na to“.

Krok první: kontrolujte AP

Možná bude následující rada znít jako přitažená za vlasy, ale: buďte si jistí, že znáte všechny AP ve vaší síti! Oblíbeným trikem útočníků je umístit falešný AP a odchytávat informace od zařízení, která se k němu pokoušejí přihlásit. Tyto informace pak mohou použít pro přihlašování ke skutečnému AP a k cestě dále do sítě… A to je jen jeden z možných scénářů podstrčení AP – dalším je třeba útok man-in-middle, kdy prostřednictvím nastrčeného AP předává hacker informace na legitimní AP, čímž slouží jako retranslační stanice, přes kterou „teče“ veškerý provoz.

Pokusy o instalaci neoprávněných AP můžete odhalit pomocí speciálních nástrojů (jako je např. AirSnort) nebo prostě tím, že si projdete kanceláře s notebookem v módu skenování WiFi připojení. Tuto kontrolu se pochopitelně doporučuje opakovat. Čím častěji, tím lépe.

Krok druhý: řiďte své AP

Nezapomeňte si nakonfigurovat své AP, protože defaultní nastavení rovná se nezabezpečené nastavení. Hlavní účet by se neměl jmenovat „administrator“ – a hlavně nepoužívejte přednastavené heslo. Zná ho každý! Např. pro Linksys AP je to „Linksys“ nebo pro Netgear AP je to „Netgear“.

Je také dobré změnit SSID (Service Set IDentifier). V mnoha případech totiž jen znalost SSID umožňuje navázání základního spojení. To samozřejmě není plnohodnotné, ale navazuje na něj možnost zneužití bezpečnostních nedostatků v software nebo zařízeních.

Krok třetí: vypněte SSID

Pokud je to jen trochu možné (neprovozujete veřejný přístupový bod apod.), pak vysílání SSID rovnou vypněte. Síť, která není vidět, je odolnější proti útokům.

Defaultně má většina zařízení SSID zapnuté. To znamená, že AP vysílá své jméno a každý jej může detekovat. Obecně je bráno, že takovéto AP dokážou oprávnění klienti najít. Ale stejně tak dobře je naleznou i hackeři!

Pokud vypnete SSID, tak každý, kdo se chce spojit, jej musí znát (a tedy i případný hacker!). Jinak stačí jen „odkliknout okýnko“. V síti by neznalost neměla být problémem, protože instalace má probíhat s vědomím administrátora nebo pomocí instalačních balíčků (administrátorem dodaných). Což je ostatně ošetření i pro případ instalace neoprávněných zařízení.

Samozřejmě, že existují specializované nástroje na odhalení informací o AP. Ale drtivá většina útočníků spoléhá právě na výše zmíněné veřejné údaje.

Krok čtvrtý: regulujte výkon

Řiďte dosah vysílání svých AP! Prakticky všechny AP dnes umožňují regulovat intenzitu vysílání – v lepším případě i jeho směr (třeba tzv. panýlky). Regulovat intenzitu i pokrytí je vhodné (či spíše nutné) třeba v kancelářské budově s mnoha dalšími firmami nebo v oblasti, kde je snadný přístup (blízký park, jiné veřejné místo…). Samozřejmě, že se těžko podaří zastavit signál přesně u kliky od dveří – ale regulací vyzařování rozhodně útočníkovi komplikujete práci. A to je hlavní cíl: znesnadnit ji, ne usnadnit.

Krok pátý: filtruje MAC adresy

Nastavte si ve své WiFi síti filtrování MAC adres. Tím získáte jasná pravidla, které MAC adresy je možné akceptovat. Pro úplnost: MAC (Media Access Control) je unikátní číslo přidělené v továrně třeba motherboardům, síťovým rozhraním apod. Prostě jednotlivým kusům hardware.

Pokud vytvoříte seznam povolených MAC adres, tak AP se nebude s ostatním (nepovoleným) hardwarem vůbec vybavovat. Jistě, i MAC adresy se dají klonovat. Ale jednak to vyžaduje speciální vybavení a nadstandardní znalosti. A jednak se k použitelným MAC adresám musí útočník nejprve dostat (nebo je odposlechnout). Samozřejmě, že to jde – ale jednoduché to rozhodně není.

Krok šestý: konfigurujte DHCP server

Nezapomeňte se zaměřit na DHCP server! Mnoho firem jen jednoduše umožní DHCP a následně jej nechají být. Ale tyto mají v praxi mnohem více možností nastavení než pouhé „zapnuto/vypnuto“. Jen doplňujeme, že mnohé DHCP servery jsou přidané do aplikací jako sdílené směrovače.

Důležitou možností v nich je třeba přidělení adres specifickým úkolům, a to včetně WiFi přístupu. Můžete třeba limitovat počet adres ošetřovaných spojením, čímž provoz omezíte toliko na žádoucí zařízení.

Krok sedmý: používejte šifrování

Snažte se nasadit jiné šifrování než WEP. Na druhé straně: lepší alespoň toto šifrování než žádné. Ovšem je-li to jenom trošičku možné, rychle přejděte na jiný standard. Mnoho administrátorů ho ale stále používá především z pohodlnosti, neb je to nejjednodušší bezpečnostní mechanismus k nastavení.

Používejte třeba WPA2. Na paměti přitom mějte, že tento nový standard může potřebovat nový software (zpravidla aktualizaci knihoven) a ne vždy je kompatibilní se starými zařízeními. To často bývá problém třeba ve chvíli, kdy se firma rozšiřuje. WEP a WPA/WPA2 nelze provozovat na stejné infrastruktuře, takže často jsou i modernější zařízení nucena používat jen WEP…

Krok osmý: co třeba VPN?

Výrazného zvýšení bezpečnosti dosáhnete použitím VPN. Ostatně, v mnohých sítích je záměrně vypnuté šifrování WEP/WPA(2) a je nahrazeno právě vytvořením virtuální privátní sítě. Tím se WiFi odsouvá do role média sloužícího k přenosu dat a jakékoliv jeho napadení nevede k ohrožení přenášeného provozu.

Hacker také v konečném důsledku musí překonávat několik překážek. Pokud napadne WiFi, musí ještě napadnout VPN. A pokud jste dostatečně zodpovědní a často měníte hesla, tak než dokáže překonat překážku druhou, už zase stojí před branami první.

Nasazení VPN se doporučuje i z toho důvodu, že používání prostého šifrování není dostatečné, protože jde stále o jednu technologii WiFi. Pro překonání tohoto šifrování i WiFi zabezpečení tak může stačit jeden útok.

Krok devátý: RADIUS server

Aktivujte RADIUS server! Dříve to znamenalo přidání produktu třetí strany do sítě, teď Microsoft doplnil RADIUS do Active Directory (takže pokud máte Windows Server 2003 Standard nebo Small Business Server 2003, máte už RADIUS). Pro úplnost: RADIUS server je silný autentizační server, který používá AAA autentizaci a je standardem pro pokročilé bezpečnostní produkty.

Krok desátý: bezpečnost nekončí

Pamatujte si (a ve WiFi to platí obzvláště), že bezpečnost je nikdy nekončícím příběhem. Ustrnout na současném stavu znamená dát šanci a čas hackerům. Prověřujte čas od času funkčnost nastavených pravidel a jejich dodržování. Prověřte, zdali nedochází k pokusům o neoprávněný průnik, zdali se někde neobjevil falešný AP…

Můžete také zkusit nasadit ještě další specializovaný software či nějak jinak svoji síť odlišit – prostě připravte pro hackera překvapení… Pokud možno nemilé, pochopitelně.