Na redakční otázky odpovídá Tomáš Juppa, Managing Director, Fincom One a.s.

1) V čem se WiFi odlišuje od ostatních systémů? Vyžaduje nějaký specifický přístup? Pokud ano, v čem?

Moderní podnikové WiFi systémy dnes oproti „drátovým“ sítím pokud jde o funkční i bezpečnostní parametry v ničem nezaostávají. Naopak mohou nabídnout mobilitu, vetší flexibilitu a uživatelské pohodlí.

Specifikem WiFi sítí je jejich bezdrátovost a nehmotná povaha, čili nemožnost dotknout se jednotlivých kabelů a „zabezpečit“ je tím, že je schovám pod zámek. Tato skutečnost někdy IT manažery a správce sítí zbytečně děsí. V případě WiFi je potřeba v oblasti bezpečnosti postupovat stejně obezřetně jako u jakékoliv jiné informační technologie a její zabezpečení musí být prováděno s ohledem na systém jako celek.

2) Jak jsme v tom v Česku obecně se zabezpečením WiFi systémů?

Pokud jde o podnikové WiFi sítě, tak IT manažeři i správci sítí si jsou potřeby zabezpečení WiFi většinou dobře vědomi. Jelikož však jejich rozpočty bývají v této oblasti značně omezené a často staví své firemní WiFi systémy na technologiích, které vůbec nedisponují podnikovými parametry, zabezpečení podnikových WiFi sítí v ČR zůstává na základní úrovni WEP nebo WPA podporované i těmi nejlevnějšími WiFi systémy již ve výchozí konfiguraci, případně je rozšířeno o spolupráci s Radius serverem.

Pokročilejší metody perimetrové ochrany nebo přístupových práv odvozených od aktuální pozice uživatele jsou zatím užívány jen okrajově.

3) Kterých nejčastějších chyb se při zabezpečení WiFi dopouštíme?

Nejčastější chybou je podle mého názoru naprosté zavržení WiFi jako podnikové technologie z důvodu nízké vnímané úrovně jejího zabezpečení, vycházející z omezené informovanosti rozhodovatelů. Druhou související chybou jsou extrémní požadavky na zabezpečení WiFi sítě několikanásobně přesahující stávající zabezpečení ostatních používaných systémů.

Osoby zodpovědné za bezpečnost v organizaci mají utkvělou představu, že jakmile by spustili firemní WiFi síť (samozřejmě s odpovídajícími parametry), tak se jejich parkoviště před budovou firmy zaplní desítkami hackerů, kteří nebudou mít na práci nic lepšího, než se snažit proniknout do WiFi sítě společnosti.

Naprosto přitom opomíjí, že v jejich současném systému jsou desítky podstatně snadnějších a méně zabezpečených cest, kterými mohou informace unikat. Zaměstnanci mohou jakékoli důvěrné informace odesílat emailem nebo odnášet na flash discích, uklízečky se volně přehrabují papíry ležícími na stolech zaměstnanců nebo si dokonce zaměstnanci požadující ke své práci bezdrátovou LAN přinášejí vlastní Access pointy, připojují je do sítě společnosti a spouštějí své vlastní WiFi sítě často bez jakéhokoli zabezpečení.

Moderní podnikové WiFi systémy samozřejmě nabízí takové možnosti zabezpečení, které přístupu do WiFi sítě z onoho pověstného parkoviště dokáží zabránit a mohou jít ještě podstatně dál. Vždy je ale potřeba hledat rovnováhu mezi požadavky na zabezpečení sítě, dodatečnými náklady na toto zabezpečení a úrovní zabezpečení ostatních součástí systému.

4) Jsou stávající bezpečnostní prvky ve WiFi (např. WEP) dostatečné? A které prvky nebo postupy doporučujete?

Pro drtivou většinu aplikací samozřejmě ano, o čemž svědčí výrazný růst používání WiFi v nemocnicích nebo vládních úřadech, tedy provozech s vysokými požadavky na zabezpečení. Nad potenciálem využití WiFi se již zamýšlí i banky.

Kromě základní ochrany WiFi sítí pomocí hesel a šifrování a podnikových přístupů autorizovaných přes Radius server dnes existuje celá řada dalších technologií a postupů zvyšujících zabezpečení WiFi sítí na maximum. Například:

Detekce a mitigace pirátských Access Pointů – tato technologie dokáže ochránit éter pod kontrolou společnosti (budovu, patro, areál atd.) a nepustit do něj nikoho jiného, kdo by se v něm snažil ať už s jakýmikoli úmysly budovat vlastní bezdrátovou infrastrukturu. Jako extrémní případ lze uvést banku z Dubaje, která implementovala námi dodávaný WiFi systém Meru Networks jen jako rušičku ostatních WiFi sítí. Technologii WiFi banka ve svých prostorách nepovoluje, jako řešení však všechny své prostory pokryla WiFi systémem, který má za úkol jen detekovat a rušit jakékoli Access Pointy, které by se v jejím éteru objevily.

Perimetrová ochrana – výše uvedený příklad hackerů na parkovišti má své řešení. Námi dodávané systémy dokáží zvýšit zabezpečení WiFi sítě tím, že určité Access Pointy umístěné na obvodu pláště budovy pověří deformací signálu přesahujícího z budovy ven. Signál tedy přesahuje z budovy i nadále, ale pro nikoho není čitelný (ani pro uživatele s oprávněným přístupem do sítě).

Location based firewall – další krok ke smazání rozdílů mezi strukturovanou kabeláží a bezdrátem – řízení přístupů podle lokality klienta. Námi dodávané WiFi systémy Meru Networks dokáží pochopitelně pomocí síly signálu lokalizovat klientské zařízení. Navíc mu však jako jediné dokáží na základě této zjištěné lokality přiřadit i odpovídající přístupová práva. Stejný uživatel se stejným zařízením se proto například dostane ke všem firemním systémům ze své kanceláře, ze zasedací místnosti pak už však jen do Intranetu a z lobby u recepce jen na Internet nebo vůbec nikam. Zabezpečení WiFi se tak kombinuje s fyzickým zabezpečením budov a kanceláří a dále tak posiluje celkovou bezpečenost.

Celkově lze tedy konstatovat, že WiFi dokáže být tak bezpečná, jak zákazník požaduje. Vždy je potřeba požadavky formulovat s ohledem na zabezpečení ostatních informačních systémů a porovnávat je s dodatečnými náklady na požadované zabezpečení. V případě požadavků na vyšší formy zabezpečení pak zákazník musí sáhnout po systému se skutečně podnikovými parametry a v některých případech si i připlatit nad rámec pouhého pokrytí požadovaných prostor.

Firewally | Lidský faktor | Wi-Fi