WiFi: Průniky do sítí a připojení k Internetu

WiFi: Průniky do sítí a připojení k Internetu | Kapitola 3

Seznam kapitol

1. TT - trocha teorie 2. Hack - co budete potřebovat 3. Na závěr - jak se bránit

Existuje mnoho standardů pro přenášení dat bezdrátovou technologií. Tento článek se vztahuje k dnes nejrozšířenější technologii, popsané standardem IEEE 802.11b, k tzv. "mikrovlně" pracující ve volném (avšak regulovaném) frekvenčním pásmu 2.4GHz. Během posledních dvou let prodělala tato technologie obrovský prodejní rozmach a ve většině našich měst, bez ohledu na velikost, je již doprava v tomto pásmu značně hustá. Navíc se může stát, že přístupový bod (AP) umístěný v budově, kde běžní mobilní uživatelé vybavení WLAN kartou v notebooku mohou mít problém kvalitně přijímat signál již ve vzdálenosti 25metrů od AP, bude za použití antény s velkým ziskem možné provádět "odposlech" ze vzdálenosti třeba 500 metrů od budovy. Je pouze na správci sítě, jestli tento "odposlech" bude zároveň i průnikem do vnitřní sítě. Doplněno: praktická ukázka.

Reklama

Než mne úplně zavrhnete s konstatováním, že jsem právě poskytl mnoha warperům, návod jak získat neautorizovaný přístup do Vašich bezdrátových sítí, přečtěte si prosím několik následujících bodů, které by Vás měli před podobnými útoky ochránit.

Spravujte SSID. Ihned po zapojení nového bezdrátového zařízení přejmenujte továrně zadaný název bezdrátově obsluhované oblasti v AP na hodnotu, která nebude moci být spojena s Vaším podnikem. Dále, pokud to AP umožňuje, zakažte
brodcast
SSID.
Použijte filtrování MAC adres. Seznam povolených MAC adres sice není řešením, které 100% ochrání vaši bezdrátovou síť před průnikem do LAN části, ale působí jako jeden ze zámků na dveřích.
Použijte WEP. Není úplně zbytečný a v případě, že jej v pravidelných intervalech budete modifikovat, můžete útočníkovi velmi zkomplikovat život.
Pamatujte slabých míst technologie WEP. Zase, WEP je jen jeden ze zámků, který na dveře svojí sítě stavíte a sám o sobě není dostatečný.
VPN je dnes nejvýhodnější dostupný mechanismus. V případě, že máte možnost použít VPN, vždy je nejvýhodnější bezdrátovou síť vysunout před perimetr firewallu a nechat bezdrátové klienty vstupovat do vnitřní sítě stejným způsobem, jako přistupují vaši zaměstnanci z internetu.
Použijte RADIUS pro autorizaci vašich bezdrátových uživatelů. Sjednoťte bezpečnostní politiky ve vaší firmě a používejte RADIUS pro autorizaci přístupu ke všem zdrojům ve vaší síti.
Ne všechny 802.11a/b/g zařízení jsou stejné. WIFI certifikace garantuje pouze plnou kompatibilitu v základních parametrech. Pouze někteří výrobci kladou vyšší důraz na bezpečnost bezdrátových zařízení.
A na konec, pozor na aktivní amatéry. Cenová dostupnost bezdrátových zařízení může vést k jejich instalaci v podnikové síti bez přímého vědomí administrátora sítě. Navíc základní připojení AP do lokální sítě je celkem snadno realizovatelné i pracovníkem účtárny, který jen ví, že Ethernet není levná střešní krytina. Proto pravidelně monitorujte nejen činnost firewallu vaší firmy, ale občas si i nástrojem na správu sítě zkontrolujte, zdali se neobjevilo několik zařízení, jejich původ nejste schopni přesně určit. Vždyť vše, co je potom potřeba pro průnik do vaší počítačové sítě je na tomto obrázku.