Autor: Amit Sinha, Vedoucí technolog, AirDefense, Inc. - Motorola Enterprise Mobility ČR & SR

Příslib vše prostupujícího širokopásmového bezdrátového vysílání s použitím Wi-Fi bez nutnosti licence a založené na standardu IEEE 802.11 je vskutku lákavý. Je-li 802.11 standard pro lokální síť, inovativní bezdrátové sítě typu mesh s použitím bezdrátového backhaulu umožňují provést rozmístění tak, aby bylo pokryto celé město. Podle zprávy z výzkumu ABI publikované v březnu 2006 vzroste celosvětové pokrytí obecních bezdrátových sítí Wi-Fi z asi 1 500 čtverečních mil v roce 2005 na 126 000 čtverečních mil v roce 2010. Na podporu obecních sítí Wi-Fi bude v roce 2010 vynaložen více než milión směrovačů (routerů) mesh a výrobní výnosy z těchto dodávek přesáhnou 1,2 mld. USD.

Hrozby ohrožující poskytovatele obecního bezdrátového vysílání Wi-Fi

Dnes je pokryto nebo zvažuje pokrytí obecní bezdrátovou sítí Wi-Fi více než 300 amerických měst. Na většině těchto míst myslí i na bezpečnost. Představitelé měst chtějí mít klidné spaní a nechtějí nést nežádoucí náklady spojené s podporou nejednotných klientů a správou bezpečnostních protokolů. Philadelphia byla jedním z prvních měst, které zřídilo obecní bezdrátovou síť Wi-Fi. V obchodním plánu pro bezdrátovou síť města Philadelphia (Wireless Philadelphia Business Plan) se píše: "...čím bezpečnější má síť být, tím komplikovanější může být její zabezpečení. Veřejný přístup v parcích a veřejných prostorách by měl omezovat požadavky pro přístup na potvrzení pravidel pro používání a odmítnutí."

Tradiční slabiny protokolu IEEE 802.11 spolu s všudypřítomnou dostupností lokální sítě Wi-Fi z ní činí perfektní živnou půdu pro hackery. Útoky typu Evil Twin a Wi-Phishing, které se dosud omezovaly na hotspoty, se nyní mohou odehrávat kdekoliv ve městě. Hackeři mohou za pomoci volně a bezplatně dostupných nástrojů lákat nic netušící firemní laptopy, aby se připojily k měkkým přístupovým bodům (AP), které se tváří jako obecní Wi-Fi.

Bezpečnostní rizika pro uživatele a podniky v dosahu obecní sítě Wi-Fi

Stále více podniků a nezávislých operátorů zjišťuje, že je jejich ovzduší narušováno bezplatnou, nebezpečnou a všudypřítomnou bezdrátovou sítí Wi-Fi. Tradiční formy ochrany kabelových sítí, jako je filtrování obsahu a prosazování politiky přístupu na internet, se dostupností neomezené a všudypřítomné bezdrátové sítě hroutí. Představte si scénář, kdy kancelář se společnosti Fortune 1000, která je citlivá z hlediska bezpečnosti, nachází v oblasti pokryté lokální bezdrátovou sítí Wi-Fi. Zaměstnanec může obejít zabezpečení kabelové sítě a omezení tím, že se jednoduše připojí k internetu přes lehce dostupný uzel obecní sítě Wi-Fi. Zajišťování bezpečnosti se tak velmi komplikuje. Zaměstnanci mohou využívat externí e-mailové servery, posílat rychlé zprávy, navštěvovat zakázané stránky, obchodovat po síti, prodávat na internetových aukcích, apod. – spousta takových činností může odporovat politice společnosti stanovené pro přístup na internet a byly dříve regulovány prostřednictvím kontrolních mechanizmů kabelové sítě. Takový neomezený přístup firemních počítačů do veřejné bezdrátové sítě může znamenat nové bezpečnostní riziko, protože obchází standardní bezpečnostní mechanizmy kabelové sítě, např. firewall, IPS, UTM, blokování spamů a spyware, atd. Firemní laptopy mohou prostřednictvím těchto nebezpečných bezdrátových sítí nevědomky vyzradit hesla a další důvěrné informace. Bezpečnost společnosti je snížena na úroveň bezpečnosti nejslabšího počítače a jeho uživatele.

Podniky, které mají vlastní bezdrátovou síť LAN, mohou narazit na problém interference s obecní bezdrátovou sítí Wi-Fi. Výkon takové sítě by se pak snížil, protože neexistuje centralizované přidělování frekvencí ani správa rádiových frekvencí. Náhodné nebo záměrné připojení firemních laptopů k uzlu obecní bezdrátové sítě výrazně rozšiřuje prostor pro útoky, které mohou ohrozit bezpečnost podnikové sítě.

Řešení pro uživatele podnikové a obecní bezdrátové sítě Wi-Fi

Mobilní bezdrátová zařízení jsou často nejslabším článkem podnikové bezpečnostní infrastruktury. Je nutné si uvědomit, že laptopy a mobilní pracovníci posouvají hranice podnikové sítě. Všudypřítomné bezdrátové sítě, jako je obecní bezdrátová síť Wi-Fi, napadají hranice podniku jako takové. Firewall a VPN poskytují bezdrátovým zařízením jen omezenou ochranu před rostoucím rizikem bezdrátového útoku na vrstvu 2. Je potřeba monitorovat ovzduší a prosazovat centrální politiku pro bezdrátový přístup. AirDefense, špička na trhu v oblasti ochrany bezdrátových sítí kdykoliv a kdekoliv, má komplexní řešení na zmírnění takových hrozeb. AirDefense Enterprise je výrobek, který poskytuje celkovou ochranu bezdrátové sítě, a to tak, že sleduje ovzduší 24 hodin denně 7 dní v týdnu za pomocí speciálních senzorů schopných zachytit a eliminovat nebezpečná zařízení, neautorizovanou komunikaci/spojení, útoky a centrálně prosazovat politiku používání bezdrátové sítě. AirDefense Personal spolupracuje na laptopech s firewallem a VPN a zabraňuje útokům na vrstvu 2 a snižuje zranitelnost, ale zároveň umožňuje podnikům centrálně monitorovat a prosazovat běžnou politiku pro používání bezdrátové sítě na laptopech patřících organizaci. Za předpokladu použití AirDefense Personal mohou podniky bezpečně povolit použití hotspotů a obecní bezdrátové sítě Wi-Fi. Nezávislí uživatelé obecní bezdrátové sítě Wi-Fi se mohou chránit před útoky typu Evil Twin a Wi-Phishing sami použitím produktu AirDefense Personal.

Řešení pro poskytovatele obecní bezdrátové sítě Wi-Fi

Pro sledování a ochranu území pokrytého uzly obecní sítě Wi-Fi lze použít senzory AirDefense Enterprise. Tyto senzory jsou schopny odhalit aktivity konané se zlým úmyslem, nebezpečná zařízení, krádeže identity, problémy s výkonem a připojením, atd. Pomocí senzorů lze ukončit činnost nebezpečných zařízení a neoprávněný přístup na obecní bezdrátovou síť Wi-Fi, aniž by došlo k narušení standardně poskytovaných služeb. Lze je použít i pro odstavení Evil Twins a nebezpečných AP, které se vydávají za uzly obecní sítě Wi-Fi. Forenzní schopnosti AirDefense lze při řešení dodržování předpisů a odpovědnosti využít i pro řešení problémů týkajících se výkonu a bezpečnosti s ohledem na jejich historii. Navíc mohou poskytovatelé obecní bezdrátové sítě Wi-Fi motivovat své odběratele, aby používali na svých laptopech AirDefense Personal jako firewall vrstvy 2 pro ochranu před útoky Evil Twin a Wi-Phishing. To sníží jejich nároky na podporu a problémy s právní odpovědností.