Razumijevanje prijetnji i kako zaštititi mrežu od njih
Praktičnost po cijeni
Ugodnost bežičnih mreža ipak dolazi s cijenom. Pristup žičanom mrežu može se kontrolirati jer se podaci nalaze unutar kablova koji povezuje računalo s prekidačem. Sa bežičnom mrežom, "kabliranje" između računala i prekidača naziva se "zrak", što je svaki uređaj unutar dometa moguće pristupiti. Ako se korisnik može povezati s bežičnom pristupnom točkom od udaljenosti od 300 stopa, onda u teoriji može netko drugi unutar radijusa od 300 stopa bežične pristupne točke.
Prijetnje sigurnosti bežične mreže
- Rogue WLAN-a - da li vaše poduzeće ima službeno sankcioniranu bežičnu mrežu ili ne, bežični usmjerivači su relativno jeftini, a ambiciozni korisnici mogu uključiti neovlaštenu opremu u mrežu. Te skrivene bežične mreže mogu biti nesigurne ili nepropisno osigurane i predstavljaju rizik za mrežu u cjelini.
- Uništavanje internih komunikacija - Napad izvan mreže obično se može identificirati kao takav. Ako se napadač može povezati s vašim WLAN mrežama, oni mogu prevariti komunikaciju koja izgleda kao da dolazi od internih domena. Vjerojatnije je da će korisnici vjerovati i djelovati na spoofed interne komunikacije.
- Krađa mrežnih resursa - Čak i ako uljez ne napada vaše računalo ili kompromitira vaše podatke, oni se mogu povezati s vašim WLAN mrežama i oteti mrežnu širinu mreže kako bi surfali webom. Oni mogu iskoristiti veću propusnost koja se nalazi na većini mreža poduzeća za preuzimanje glazbe i videoisječaka, pomoću dragocjenih mrežnih resursa i utječući na performanse mreže vašim legitimnim korisnicima.
Zaštita vaše mreže od WLAN-a
Poboljšana sigurnost odličan je razlog postavljanja WLAN-a na vlastiti VLAN. Možete dopustiti svim bežičnim uređajima da se povežu s WLAN-om, ali štititi ostatak vaše unutarnje mreže od bilo kakvih problema ili napada koji se mogu pojaviti na bežičnoj mreži.
Pomoću vatrozida ili usmjerivača ACL (popisi kontrole pristupa) možete ograničiti komunikaciju između WLAN-a i ostatka mreže. Ako WLAN-u povezujete s unutarnjom mrežom putem web proxya ili VPN-a, čak možete ograničiti pristup bežičnim uređajima tako da mogu samo surfati webom ili imati pristup samo određenim mapama ili aplikacijama.
Siguran WLAN pristup
Bežično šifriranje
Jedan od načina da neovlašteni korisnici ne prisluškuju vašu bežičnu mrežu jest šifriranje vaših bežičnih podataka. Izvorna metoda šifriranja, WEP (žičana ekvivalentna privatnost), bila je u osnovi pogrešna. WEP se oslanja na zajednički ključ ili lozinku kako bi ograničio pristup. Svatko tko zna WEP ključ može se pridružiti bežičnoj mreži. WEP nije bio ugrađen za automatsko mijenjanje ključa, a dostupni su alati koji mogu ispucati WEP ključ u nekoliko minuta, tako da neće potrajati dugo da napadač pristupi bežičnoj mreži koja se šifrira WEP.
Prilikom upotrebe WEP-a može biti nešto bolja od one koja uopće ne koristi šifriranje, nedovoljno je za zaštitu mreže poduzeća. Sljedeća generacija šifriranja, WPA (Wi-Fi Protect Access), osmišljena je za iskorištavanje poslužitelja za provjeru autentičnosti sukladnih s 802.1X, ali može se pokrenuti i sličan način rada WEP u načinu PSK (pre-dijeljeni ključ). Glavni napredak od WEP-a do WPA-ja je korištenje TKIP-a (Temporal Key Integrity Protocol) koji dinamički mijenja ključ kako bi se spriječilo vrsta tehnika krekiranja koja se koristi za prekidanje WEP enkripcije.
Čak je i WPA bio pristup za band-aid. WPA je pokušaj bežičnih dobavljača hardvera i softvera da implementiraju dovoljnu zaštitu dok čekaju službeni standard 802.11i. Najnoviji oblik šifriranja je WPA2. WPA2 enkripcija pruža još složenije i sigurnije mehanizme, uključujući CCMP, koji se temelji na algoritmu AES enkripcije.
Da biste zaštitili bežične podatke od presretanja i da biste spriječili neovlašteni pristup bežičnoj mreži, WLAN mora biti postavljen barem WPA enkripcijom, a po mogućnosti WPA2 enkripcijom.
Bežična autentifikacija
Osim samo šifriranja bežičnih podataka, WPA može sučelje s poslužiteljima 802.1X ili RADIUS autentifikacije kako bi osigurao sigurniji način kontrole pristupa WLAN-u. Gdje WEP ili WPA u PSK načinu omogućava gotovo anonimni pristup svima koji imaju ispravnu ključ ili lozinku, 802.1X ili RADIUS autentičnost zahtijeva od korisnika da imaju valjane vjerodajnice za korisničko ime i zaporku ili važeći certifikat za prijavu na bežičnu mrežu.
Zahtjev za provjerom autentičnosti WLAN-u pruža povećanu sigurnost ograničavanjem pristupa, ali također osigurava bilježenje i sudsku praksu kako bi se utvrdilo hoće li se nešto sumnjati. Dok bežična mreža koja se temelji na zajedničkom ključu može zapisivati MAC ili IP adrese, te informacije nisu korisne kada je riječ o određivanju uzroka problema. Povećana povjerljivost i integritet također se preporučuju, ako to nije potrebno, za mnoge mandate vezane uz sigurnost.
S WPA / WPA2 i 802.1X ili RADIUS autentifikacijskim poslužiteljem, organizacije mogu iskoristiti čitav niz protokola za provjeru autentičnosti, kao što su Kerberos, MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) ili TLS (Transport Layer Security) i koristiti niz metode vjerodostojnosti autentifikacije kao što su korisnička imena / lozinke, potvrde, biometrijska provjera autentičnosti ili jednokratne lozinke.
Beľične mreľe mogu povećati učinkovitost, povećati produktivnost i učiniti mreľu troškovno učinkovitije, ali ako nisu ispravno implementirani, mogu biti i Ahilova peta mrežne sigurnosti i izložiti vašoj organizaciji kompromis. Potrošite vrijeme da biste razumjeli rizike i kako osigurati bežičnu mrežu kako bi vaša organizacija mogla iskoristiti praktičnost bežične povezanosti bez stvaranja prilike za kršenje sigurnosti.