Na redakční otázky odpovídá Petr Koudelka, Security Product Manager, ZyXEL

1) V čem se WiFi odlišuje od ostatních systémů? Vyžaduje nějaký specifický přístup? Pokud ano, v čem?

Hlavní výhodou WiFi, a proč byla vlastně tato technologie vyvinuta, je mobilita uživatele v dosahu signálu. Uživatel není odkázán na kabelovou infrastrukturu, je mu tedy zajištěn neomezený pohyb v dané lokalitě.

Specifickým přístupem k této technologii musí být hledisko bezpečnosti. Bezdrátovou technologii nejsme schopni omezit vysíláním na specifikovanou lokalitu přesně, byť se o to můžeme jen snažit. Pokud vysíláme, musíme zajistit kvalitní ochranu proti úniku dat nebo neoprávněnému připojení do firemní infrastruktury. Nikdy není vhodné kvalitu zabezpečení podceňovat, ale také je potřeba úroveň zvolit tak, aby zabezpečení nezpůsobovalo více problémů, nežli užitku.

2) Jak jsme v tom v Česku obecně se zabezpečením WiFi systémů?

V poslední době se úroveň rychle zvyšuje. Díky osvětě uživatelů, hlavně domácích sítí, se rychle snižuje podíl nezabezpečených sítí, anebo sítí s nízkou úrovní zabezpečení. Problém vidím v tom, že uživatelé ignorují periodické změny používaných hesel. Ve firemní struktuře je změna hesel spjata s periodickým vynucením změny systémem. Problematické jsou takové šifrované sítě, které jsou v běhu již dlouhou dobu a nikdy se úroveň šifry a heslo k síti neměnilo.

Starý mýtus o tom, že šifra zpomalí přenos dat, je již dlouho překonán. Dnešní moderní zařízení disponují tak vysokým výpočetním výkonem, že projev zpomalení s, nebo bez použití šifry je v podstatě neměřitelný.

3) Kterých nejčastějších chyb se při zabezpečení WiFi dopouštíme?

Hlavními chybami je nepoužití zabezpečení vůbec, slabá šifra, která není obměňována. Velkou chybou je také to, co dříve chybou nebylo = použití šifrování WEP.

Ochranou, je také omezení vysílacího výkonu tak, abychom zbytečně nepokrývali vysíláním lokality, kde se nepohybujeme, a kde se může pohybovat útočník.

4) Jsou stávající bezpečnostní prvky ve WiFi (např. WEP) dostatečné? A které prvky nebo postupy doporučujete?

V dřívějších letech šifra WEP byla dostačující, protože prolomit ji byli schopni jen odborníci. V dnešní době je možné zjistit 128 bitový WEP klíč řádově za cca 4 minuty a 30 sekund, kdy jsem si to po nevelkém úsilí také vyzkoušel. Uvědomme si ale to, že někomu musíme stát za to, aby se do sítě pokusil prolomit, nebo si to na nás bude chtít je vyzkoušet za tím účelem, že to dokázal.

V domácím prostředí je ideální používat dnešní maximální zabezpečení WPA2-PSK, kdy je použit algoritmus AES. Dále doporučuji kombinovat všechny další bezpečnostní doplňky, jako jsou: snížení vysílacího výkonu, skrytí SSID, filtrace MAC adres, vypnuté DHCP. Sice se jedná o nízkou bezpečnostní úroveň, ale i hodně slabých předvede sílu.

Ve firemní prostředí s provozem serverů volíme šifru WPA2, kdy se ověřuje zadávané jméno a heslo pro každého uživatele samostatně vůči radius serveru. Zde je zajištěna periodická změna hesla pro jednotlivé uživatele, kdy je přímo systém nutí hesla měnit.

Ve firemním prostředí většinou již zajišťuje bezpečnost dedikovaný profesionál, u kterého by se podcenění rizik nikdy nemělo stát.

Šifrování | Wi-Fi