Sieci bezprzewodowe muszą być dobrze zabezpieczone

Firmy chętnie decydują się na bezprzewodowy dostęp do Internetu (Wi-Fi). Już w 2009 r. sieci takich było więcej niż tradycyjnych. Łatwo się je instaluje, i to stosunkowo niewielkim kosztem.

Korzystanie z sieci bezprzewodowej jest wygodne, ale bez wielkiego problemu można się do niej dostać z zewnątrz, bez wchodzenia do budynku. Wystarczy do tego zwykły sprzęt seryjnej produkcji, a nawet tylko dobrej jakości karta WLAN (bezprzewodowa) i oprogramowanie, które można bezpłatnie pobrać z Internetu.

Atak na sieć bezprzewodową zazwyczaj jest robiony po to, by zdobyć dane i wykorzystać je w celach przestępczych, zainstalować i rozsyłać wirusy lub po prostu uzyskać darmowy dostęp do zasobów Internetu. Sieci Wi-Fi są też podatne na ataki zwane man-in-the-middle; cyberprzestępcy uzyskują wtedy pełen dostęp do przesyłanych informacji.

Aby taki atak był niemożliwy, należy przede wszystkim szyfrować dane. Wówczas są one trudne do odczytania i przechwycenia.

[srodtytul]Zalecane nowe standardy[/srodtytul]

Przy szyfrowaniu danych przesyłanych przez sieć bezprzewodową stosowane są takie standardy, jak WEP oraz WPA lub WPA2. Standard WEP jest już przestarzały i łatwy do złamania. W średnio obciążonej sieci klucze WEP można złamać w 90 proc. przypadków.

Dlatego polecane są standardy WPA i WPA2. Ten drugi wykorzystuje znacznie trudniejsze do złamania klucze 128-bitowe (w WEP są to klucze 40- lub 104-bitowe).

Specjaliści z Kaspersky Lab Polska w 2009 r. zbadali stopień zabezpieczenia lokalnych sieci bezprzewodowych, zarówno prywatnych, jak i firmowych, w największych polskich miastach. Okazało się, że aż 20 proc. przebadanych sieci Wi-Fi było zabezpieczonych standardem WEP. Sytuacja ta zmienia się dość powoli mimo zaleceń, by używać mechanizmów WPA i WPA2.

O bezpieczeństwo trzeba dbać także wewnątrz budynku. Klienci, kontrahenci, goście mogą bez problemu korzystać z firmowej sieci, jeśli dostęp do niej nie jest chroniony.

[srodtytul]Instalacja specjalnego oprogramowania[/srodtytul]

W małym lub średnim przedsiębiorstwie zatrudniającym do kilkudziesięciu osób sieć powinna być tak skonfigurowana, by możliwe było oddzielenie gości od użytkowników będących pracownikami firmy. W ten sposób można zapobiec przypadkowym wyciekom danych.

W większych firmach przydatne może być centralne uwierzytelnianie i zarządzanie użytkownikami. Warto też wprowadzić zasady dotyczące haseł. Na przykład można zobowiązać pracowników do zmiany hasła co trzy miesiące. Albo stosować bezpieczne hasła dostępu, zawierające małe i duże litery, znaki specjalne oraz cyfry.

Nie wolno też zapominać o instalacji oprogramowania zabezpieczającego. Oprócz standardowej ochrony przed szkodliwymi aplikacjami i funkcji zapory sieciowej oprogramowanie takie zawiera system zapobiegania włamaniom (HIPS – Host Intrusion Prevention System). Duży wpływ na ogólne bezpieczeństwo ma również aktualizacja systemu operacyjnego i zainstalowanych w nim programów.

Zabezpieczenie sieci bezprzewodowej nie jest drogą inwestycją. – Trudno określić, ile wynosi średni koszt rozwiązań chroniących firmową sieć, ponieważ wiele zależy od potrzeb danego przedsiębiorstwa. Na szczęście nawet urządzenia z dolnej półki cenowej, byleby stosunkowo nowe, spełniają teraz wymogi szyfrowania WPA2 – mówi Michał Iwan, dyrektor zarządzający F-Secure Polska.

– Przeciętny koszt podstawowych zabezpieczeń sieci Wi-Fi dla firmy zatrudniającej do 30 osób wynosi 1000 – 3000 zł. Jeśli przedsiębiorstwo jest szczególnie narażone na ataki związane np. ze szpiegostwem gospodarczym lub gromadzi tzw. dane wrażliwe, koszt rozwiązań ochronnych rośnie nawet kilkakrotnie.

[srodtytul]Ucierpi reputacja przedsiębiorstwa[/srodtytul]

Badania przeprowadzone z inicjatywy Motoroli pokazały, że 65 proc. dużych firm europejskich wykorzystuje te same środki bezpieczeństwa zarówno do sieci przewodowych, jak i bezprzewodowych, chociaż wymagają one odmiennej obsługi w tym zakresie.

Jedynie 30 proc. respondentów używało systemu zapobiegania wtargnięciom dla sieci bezprzewodowych. Zaskakuje też rzadkie stosowanie nowszych standardów szyfrowania, takich jak WPA2.

Według badań zrobionych przez Cisco Security Intelligence Operations do największych wyzwań dla działów bezpieczeństwa należy właśnie ograniczenie dostępu niepowołanych użytkowników do zasobów sieciowych.

– Firma, która nie uwzględnia tych czynników w swojej strategii, naraża sieć bezprzewodową na destabilizację lub całkowite wyłączenie z użytku. Może też dojść do kradzieży danych i innych incydentów z użyciem zasobów firmy oraz jej łącza internetowego.

W konsekwencji może to źle wpłynąć na reputację przedsiębiorstwa, a nawet doprowadzić do utraty zaufania na rynku – mówi Gaweł Mikołajczyk, ekspert ds. bezpieczeństwa w firmie Cisco.

[srodtytul]Kilkadziesiąt produktów na rynku[/srodtytul]

Zagrożeniem dla słabo zabezpieczonej sieci firmowej są też pracownicy, którzy próbują się z nią łączyć poprzez publiczne punkty dostępowe lub urządzenia Bluetooth. Według przeprowadzonego w 2009 r. badania Novella „Ocena zagrożeń” aż 90 proc. respondentów deklarowało, że pracownicy korzystają poza biurem z otwartych, niezabezpieczonych sieci bezprzewodowych (np. hot spotów w hotelach czy kawiarniach).

Gdy pracownik podczas podróży korzysta z sieci publicznej, powinien pamiętać, że zarówno przeglądanie poczty za pomocą przeglądarki internetowej, jak i używanie komunikatorów (np. GG) może być niebezpieczne. Konieczne jest stosowanie połączeń VPN (Virtual Private Network).

Wirtualna prywatna sieć komputerowa polega na połączeniu kilku sieci komputerowych bezpiecznym, szyfrowanym kanałem przesyłu danych za pośrednictwem sieci publicznej, np. Internetu. Rozwiązania oparte na VPN powinny być stosowane wszędzie tam, gdzie użytkownicy dosyć często pracują zdalnie na niezabezpieczonych łączach.

Na rynku dostępnych jest kilkadziesiąt różnych produktów. Własne oprogramowanie oferują producenci bramek VPN, firewalli i routerów. Istnieje też kilkanaście implementacji VPN w wersji open-source (darmowej).

Jako alternatywę można rozważyć dostęp do Internetu przy użyciu telefonu komórkowego. Będzie bezpieczniejszy niż za pośrednictwem publicznego hot spotu.

[ramka]Zobacz [link=http://www.rp.pl/galeria/6,1,547824.html]Szyfrowanie transmisji w sieciach bezprzewodowych w Polsce[/link][/ramka]

[ramka][b]Włamanie się jest bardzo proste

Komentuje Michał Iwan, dyrektor zarządzający F-Secure Polska[/b]

Podczas korzystania z sieci bezprzewodowej jesteśmy zdecydowanie bardziej narażeni na niebezpieczeństwa płynące z Internetu niż w przypadku sieci kablowej.

Wynika to ze sposobu działania tego typu transmisji danych. Każdy może się dostać do niezabezpieczonej sieci bezprzewodowej, jeśli tylko znajdzie się w jej zasięgu. Może się do niej włamać średnio zaawansowany użytkownik komputera. Wystarczy, że wykorzysta oprogramowanie dostępne w Internecie i silne anteny, dzięki którym nie musi się znajdować w pobliżu źródła sieci Wi-Fi.

Takie włamanie zajmuje zaledwie kilkanaście minut. Zazwyczaj włamania do sieci bezprzewodowych robione są po to, by ukraść dane albo podsłuchać hasła dostępowe. Czasami jest to wynik zwykłego wandalizmu. Zdarza się również,

że przestępcy szukają słabo zabezpieczonych sieci, aby taką infrastrukturę wykorzystać do dalszych włamań. Nieodpowiednio zabezpieczając sieć bezprzewodową, firma naraża się nie tylko na utratę wrażliwych danych, ale również na niebezpieczeństwo, że posłuży ona jako narzędzie przestępstwa. [/ramka]

[ramka][b]Dostęp do Internetu dla gości

Komentuje Gaweł Mikołajczyk, ekspert ds. bezpieczeństwa w firmie Cisco[/b]

Dodanie bezprzewodowej sieci WLAN nie oznacza rezygnacji z istniejącej sieci przewodowej. Firmy często zwiększają zasięg swoich sieci, tworząc hybrydową sieć przewodowo-bezprzewodową.

Przy tworzeniu sieci bezprzewodowej jedną z podstawowych kwestii, które należy rozważyć, jest bezpieczeństwo. Zabezpieczenia powinny obejmować szyfrowanie danych, tak aby dostęp do informacji mieli wyłącznie autoryzowani użytkownicy. Poza tym przydatne jest uwierzytelnianie użytkowników pozwalające identyfikować komputery próbujące uzyskać dostęp do sieci.

Systemy bezpieczeństwa sieci WLAN powinny też zawierać mechanizmy umożliwiające bezpieczny dostęp do Internetu dla gości. Potrzebny jest ponadto system kontroli do ochrony komputerów i innych urządzeń korzystających z sieci oraz mechanizm ochrony przed destabilizacją warstwy radiowej

przez celowe i losowe zakłócenia. Uzasadniona jest również ochrona przed potencjalnymi atakami pochodzącymi z sieci WLAN skierowanymi w zasoby sieci przewodowej. Konieczna jest zatem separacja sieci bezprzewodowej od przewodowej za pomocą ściany ogniowej (firewall) i systemu wykrywania włamań.[/ramka]

[ramka][b]Koszty nie są wysokie

Komentuje Piotr Nogaś Symantec Polska[/b]

Zabezpieczenia sieci bezprzewodowej powinny się skupiać na dwóch głównych obszarach: zapewnieniu poufności przesyłanych danych (ochrona przed podsłuchem) oraz blokowaniu dostępu do zasobów sieci lub Internetu osobie nieupoważnionej (ochrona przed wyciekiem danych lub użyciem sieci do ataku na innych użytkowników).

Konsekwencją zlekceważenia tych dwóch obszarów może być utrata wiarygodności i wytoczenie firmie sprawy sądowej.

Jeśli przedsiębiorstwo nie udostępnia Internetu swoim gościom, należy skorzystać z silnego szyfrowania, np. WPA2/PSK, i tym samym ograniczyć dostęp wyłącznie do grupy uprawnionych osób.

Zapewnienie bezpieczeństwa sieci WLAN nie jest kosztowne. Przy zastosowaniu narzędzi wbudowanych w sprzęt i system operacyjny największym kosztem jest wdrożenie i utrzymanie zabezpieczeń. Jeśli używany sprzęt jest przestarzały, należy się liczyć z wydatkiem od 200 zł w górę.[/ramka]