Wi-Fi - w pigułce.pdf - WiFi - Diagonalny

Wi-Fi w pigułce

Standard Wi-Fi, zwany żartobliwie "Internetem w powietrzu", to doskonały sposób na

stworzenie sieci bez plątaniny kabli. Zdaniem jego twórców - szybki i stabilny. Zdaniem

CSO - niezbyt bezpieczny. Wciąż nie wszyscy są przekonani do tej technologii. Czy

słusznie?

Sieci bezprzewodowe Wi-Fi mają wiele zalet powodujących, że są często i chętnie

wykorzystywane jako suplement do tradycyjnej sieci kablowej. Są też miejsca, takie jak

zabytkowe budynki, w których zastosowanie tradycyjnego, kablowego systemu przesyłu

danych jest mocno utrudnione, a w niektórych przypadkach często po prostu niemożliwe.

W innych, takich jak uczelnie czy lotniska, sieć bezprzewodowa, ze względu na

nieuniknioną mobilność osób z niej korzystających, wydaje się naturalnym i najlepszym

rozwiązaniem. Również w sytuacji, gdy ze względu na charakter swych zadań

pracownicy przemieszczają się po terenie firmy, korzystając z przenośnego komputera,

dostęp do firmowej sieci bez konieczności uciążliwego manewrowania wtyczkami oraz

możliwość skorzystania z zasobów sieci w dowolnym miejscu i czasie jest zarówno dla

nich, jak i dla firmy dużym ułatwieniem.

Technologia

Wi-Fi (skrót od Wireless Fidelity) to standard bezprzewodowego przesyłu danych,

realizowanego drogą radiową. Szczegóły techniczne standardów przesyłu danych,

opracowanych przez Institute of Electrical and Electronic Engineers, znajdują się w

ramce. Budując sieć, warto wcześniej zastanowić się dokładnie nad wyborem

najodpowiedniejszego dla swojej organizacji rozwiązania.

Urządzenia radiowe, ze względu na specyfikę swej budowy i działania, narażone są na

znacznie większe zakłócenia transmisji niż w przypadku sieci

przewodowej, co powoduje, że część przesyłanych danych

stanowią informacje, które umożliwiają kontrolę błędów i

odtworzenie przesyłanych pakietów. Konieczność zapewnienia

odpowiedniego poziomu bezpieczeństwa, realizowanego

poprzez protokoły zabezpieczające (takie jak WEP czyli Wireless

Equivalent Privacy), również wymaga kolejnej porcji danych,

wysyłanych wraz z informacją stanowiącą treść przekazu. Wszystko to powoduje, że

faktyczna przepustowość sieci będzie mniejsza od deklarowanej przez specyfikację.

Dlatego też należy pamiętać o stratach, decydując się na konkretny standard przesyłu

danych, aby nie okazało się wkrótce, że przesył danych znacząco odbiega od

oczekiwanego i jest zbyt niski jak na nasze potrzeby.

Sieć lokalna

Ostatnią, choć nie mniej ważną kwestią, jest zasięg sieci Wi-Fi, jaki należy zapewnić.

Siła sygnału zależy od tego, jakie anteny i wzmacniacze zostały zastosowane. Przy

użyciu bardzo silnych wzmacniaczy sygnału i anten kierunkowych uzyskiwano zasięg

rzędu kilku kilometrów. Trzeba pamiętać, że zasięg fal radiowych zależy w dużej mierze

od tego, jakie przeszkody napotkają na swej drodze. Poza tym, jeśli w niewielkiej

odległości od siebie funkcjonuje kilka punktów dostępowych, pracujących na tym samym

kanale, mogą zakłócać się nawzajem, co grozi uniemożliwieniem komunikacji.

Sprzęt

Na rynku, ze względu na znaczną popularność sieci bezprzewodowych, znajduje się

wiele urządzeń, które zapewniają satysfakcjonujące parametry użytkowe i, co ważne, ich

ceny są już przystępne, więc instalacja Wi-Fi nie obciąży zanadto budżetu. Wszystko

zależy od tego, do jakich celów chcemy użyć Wi-Fi. Urządzenia umożliwiające

komunikację bezprzewodową występują zarówno w wersjach dedykowanych

komputerom stacjonarnym, jak i przenośnym, a także jako klucze wpinane do portu USB.

Oferowane są w różnych standardach przesyłu (najczęściej IEEE 802.11b i g), na co

należy zwrócić uwagę, decydując się na budowę sieci bezprzewodowej.

Podobnie jak przy sieciach przewodowych, samo wyposażenie komputerów w karty

sieciowe, czyli w naszym przypadku Wi-Fi, nie umożliwia jeszcze korzystania z pełnych

zasobów sieci oraz Internetu. Potrzebny jest jeszcze tzw. punkt dostępowy, który

umożliwia komputerom komunikację z innymi urządzeniami i

steruje przepływem danych. Urządzeniem łączącym w sobie

zalety zarówno punktu dostepowego, jak i modemu,

umożliwiającym komunikacje pomiędzy urządzeniami i

połączenie z Internetem, jest tzw. router. Niektóre routery

umożliwiają pracę w paśmie 2,4 oraz 5 Ghz, nadają się więc do

pracy w sieci praktycznie każdego standardu IEEE. A co zrobić w

sytuacji, gdy użytkownicy muszą korzystać z wielu drukarek?

Jeśli kupiony router posiada opcję serwera druku, wtedy każdy

komputer w sieci Wi-Fi może wysyłać dane do wydruków

bezpośrednio do niego, a ten, segregując i zarządzając odpowiednio przydzielonymi

zadaniami, umożliwi użytkownikom korzystanie z wielu zainstalowanych drukarek.

Serwer druku można też dokupić oddzielnie.

Lokalna sieć Wi-Fi

Ważne, aby w miarę możliwości starać się dobierać urządzenia pracujące w tej samej

technologii i wytworzone przez jednego producenta. Usprawni to ich późniejszy serwis

oraz pozwoli na łatwiejszą konfigurację. Wideomonitoring, drukarki, projektory oraz

multimedia są tym, co producenci mogą już teraz w łatwy sposób uniezależnić od

wszechobecnych dziś kabli sieciowych. Przeglądając internetowe oferty producentów,

łatwo natrafić na sprzęt zaprojektowany przede wszystkim dla łączności

bezprzewodowej. Wydawać by się mogło, że Wi-Fi ma przed sobą świetlaną przyszłość.

Jest tylko jedno "ale", spędzające sen z powiek menedżerom ds. bezpieczeństwa, gdy

firma wdraża rozwiązania bezprzewodowego dostępu do firmowej sieci. Tym czymś, jak

łatwo można się domyślić, jest....

Bezpieczeństwo transmisji

Które, z racji samej konstrukcji Wi-Fi (łącze radiowe), nie jest, i zapewne długo jeszcze

nie będzie, mocną strona tego standardu. Co nie oznacza, że zapewnienie

satysfakcjonującego nas poziomu bezpieczeństwa jest niemożliwe. Wręcz przeciwnie,

zarówno producenci, jak i niezależny od nich rynek oferują wiele rozwiązań

zapewniających bezpieczeństwo transmisji danych, które mogą okazać się, w przypadku

naszej sieci, zupełnie wystarczające. Przyjrzyjmy się zatem bliżej kilku z nich.

SSID - powiedz, kim jesteś

Czytając artykuły o ulocie elektromagnetycz-nym (CSO 1/05 oraz aktualny numer),

dowiedzieć się można, że możliwe jest przechwycenie sygnału radiowego nawet o

bardzo małej mocy. W sieciach Wi-Fi nadajniki są silne, więc nie ma potrzeby

stosowania w tym celu skomplikowanych urządzeń. Aby komputery należące do jednej

sieci mogły ją prawidłowo rozpoznać, karty sieciowe oraz punkty dostępowe wysyłają w

eter tzw. nagłówek SSID (skrót od Service Set Identifier), czyli nazwę sieci, której

używamy. Nazwa ta jest zwykle domyślnie przydzielona przez producenta sprzętu, co

bardzo ułatwia intruzowi odszukanie sieci i wejście do niej. Należy ją zatem

bezwzględnie zmienić na własną. Naturalnie, najprościej byłoby całkowicie wyłączyć

rozgłaszanie SSID, jednakże nie zawsze, szczególnie w dużych i rozległych sieciach,

jest to możliwe.

Kryptografia

Kolejnym punktem, na który bezwzględnie należy zwrócić uwagę, jest prawidłowe

zabezpieczenie transmisji poprzez jej zaszyfrowanie. Zostało ono wprowadzone przez

IEEE, jako standard, w każdą specyfikację 802.11, tak więc z pomocą przychodzą tu

sami producenci sprzętu, wbudowując w niego odpowiednie mechanizmy szyfrujące.

Najczęściej spotykany jest WEP, który, niestety, ze względu na łatwość rozszyfrowania,

nie stanowi najlepszego zabezpieczenia. Dlatego też zalecane jest korzystanie z innych

rozwiązań, jeśli są dostępne, takich jak WPA (Wi-Fi Protected Access), które, zmieniając

sposób szyfrowania każdego pakietu danych, zapewniają znacznie większe

bezpieczeństwo danym płynącym w sieci czy też poprzez użycie tzw. serwera RADIUS

(Remote Authentication Dial-in User Service), który zapobiega przepływowi danych do

nieautoryzowanego użytkownika, jeśli ten nie posiada właściwego klucza

uwierzytelniającego.

Dodatkowe zabezpieczenia

By zwiększyć bezpieczeństwo, należy także przemyśleć rozlokowanie punktów

dostępowych, które trzeba umieścić w miarę możliwości z dala od otwartych okien i

drzwi. Aby przekonać się, czy wszystko zostało wykonane zgodnie z planem, można

wykonać łatwy do przeprowadzenia test. Polegać będzie na spacerze wokół budynku z

włączonym laptopem wyposażonym w Wi-Fi i sprawdzeniu, z jakiej odległości można

nawiązać połączenie. W ten sposób można stosunkowo prosto sprawdzić zasięg fal

radiowych wydostających się na zewnątrz firmy.

Włączenie takich mechanizmów, jak SSL czy hasła zabezpieczające współdzielone

katalogi, podniesie zarówno poziom bezpieczeństwa przy korzystaniu z wewnętrznej

sieci oraz Internetu, jak i spiętrzy przeszkody przed intruzem. Jeśli mamy

zaimplementowaną technologię VPN (Virtual Private Network), jesteśmy na dobrej

pozycji. Pozwala ona stworzyć, mówiąc obrazowo, mur praktycznie nie do przejścia dla

potencjalnego włamywacza. Jeśli nie mamy VPN, może warto o tym pomyśleć już teraz?

(Technologię VPN opisywaliśmy w CSO 1/06).

Testy, testy

Działalność intruza w sieci Wi-Fi może stanowić duży problem, szczególnie gdy

zaatakowany w porę nie dostrzeże jego działalności. Dane, które wydostaną się na

zewnątrz z powodu złego lub zbyt słabego zabezpieczenia sieci to konkretne, wymierne

straty, również finansowe. Dlatego zaleca się okresowe badanie skuteczności

posiadanych zabezpieczeń i ich stałą aktualizację, a także bieżące aktualizowanie

oprogramowania, tak aby zawsze posiadać jak najnowszą jego wersję. W tym celu

można pójść dwiema drogami. Próbować dokonać audytu sieci samodzielnie, co nie

powoduje dodatkowych kosztów, jednakże nie jest do końca obiektywne (zwykle znamy

jakieś słabe punkty tego, co sami stworzyliśmy, a na inne możemy nie zwrócić uwagi),

lub też zlecić to zadanie zewnętrznej firmie, która specjalizuje się w testowaniu

bezpieczeństwa sieci bezprzewodowych i jest w stanie skuteczniej wyszukać potencjalne

luki, niż moglibyśmy zrobić to sami. Minusem drugiego rozwiązania jest konieczność

poniesienia kosztu takiej operacji, jednakże w ostatecznym rachunku może on być o

wiele niższy niż wtedy, gdy cenne dane z naszej sieci znajdą się w posiadaniu intruzów.

Dekalog bezpiecznej sieci WLAN

1. Zmień ESSID sieci na nic niemówiący ciąg znaków. ESSID jest rozgłaszany

przez AP co sekundę i jest widoczny nawet do kilku kilometrów od twojej

lokalizacji. Zmień ESSID na przypadkowe słowo i powiedz o tym swoim

użytkownikom. Dzięki temu przypadkowy podsłuchiwacz nie skojarzy od razu

nazwy sieci z nazwą firmy, co odsieje większość ciekawskich. Całkowite

wyłączenie rozgłaszania ESSID nie jest wskazane, bo może mieć negatywny

wpływ na wydajność sieci.

2. Koniecznie włącz szyfrowanie. Najlepsze dla małej sieci będzie WPA-PSK,

wtedy każdy klient będzie musiał ustawić hasło dostępu (PSK). Dla sieci z

wieloma użytkownikami lepsze będzie WPA z zewnętrznym serwerem Radius,

który umożliwia ustawienie innego hasła dla każdej osoby. Jeśli nie masz WPA,

to nawet stary WEP będzie jakimś zabezpieczeniem. Zmusi to włamywacza do

spędzenia od kilku do kilkuset godzin na łamaniu klucza i powstrzyma 99%

przypadkowych podsłuchiwaczy przed grzebaniem w sieci.

3. Jeśli używasz WEP, korzystaj choćby z kluczy 40-bitowych, kiedy z powodów

technicznych albo organizacyjnych nie możesz używać kluczy 128-bitowych.

Rezultat będzie podobny, bo podsłuchiwacz nie wie, czy używany jest długi czy

krótki klucz. Jeśli korzystasz z WPA, nie musisz się tym przejmować, ponieważ

długość klucza jest automatycznie ustawiana.

4. Włącz szyfrowanie dla WSZYSTKICH Access Pointów. Jedno niezabezpieczone

połączenie może ujawnić włamywaczowi wiele informacji.

5. Traktuj ESSID jak hasło. Nawet jeśli masz wyłączone rozgłaszanie ESSID, jest

wiele programów błyskawicznie zgadujących prosty ESSID na podstawie

słownika. Przypadkowy ESSID (np. "Iey2ohgu") nie jest trudny do wpisania, a

bardzo przedłuża zgadywanie albo w ogóle je uniemożliwia.

6. Stosuj trudne do zgadnięcia hasła. Nawet w przypadku WPA i WEP jest możliwe

odgadnięcie hasła. Automatyczne słowniki mogą zgadywać tysiące haseł na

sekundę. Dla WPA stosuj hasła będące zbitkami kilku słów z cyframi i innymi

znakami (kropka, kreska, plus). Dzięki temu będą i trudne do zgadnięcia, i łatwe

do wpisywania dla użytkowników. Jeśli używasz WEP, hasło dla 40-bitowego

WEP powinno mieć około 20 znaków, a dla 128-bitowego - niemal 85 znaków

(wiele urządzeń dopuszcza nawet hasła do 128 znaków).

7. Nie zapomnij o zabezpieczeniu koncentratora WLAN. Większość AP przychodzi

z domyślnymi hasłami lub w ogóle bez haseł na telnet, SNMP czy zarządzanie

po WWW. Pozwala to włamywaczowi bez wysiłku poznać hasła WEP i

konfigurację sieci. Zawsze zmieniaj domyślne hasła urządzeń dostępowych i

ograniczaj dostęp do nich po adresach MAC lub adresach IP.

8. Od czasu do czasu testuj bezpieczeństwo swojej sieci. Sprawdzaj, czy nie

pojawiły się nieautoryzowane stacje, czy w sieci nie pojawiają się nieszyfrowane

pakiety i czy ESSID nie "wycieka" przez którąś ze stacji roboczych lub AP.

9. Postaw AP za firewallem. Nie podłączaj AP bezpośrednio do okablowania

strukturalnego lub serwera. Postaw go za firewallem, stosując choćby minimalne

filtrowanie ruchu generowanego przez stacje, które w razie włamania do WLAN

Wi-Fi - w pigułce.pdf

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: