Wi-Fi w pigułce
Standard Wi-Fi, zwany żartobliwie "Internetem w powietrzu", to doskonały sposób na
stworzenie sieci bez plątaniny kabli. Zdaniem jego twórców - szybki i stabilny. Zdaniem
CSO - niezbyt bezpieczny. Wciąż nie wszyscy są przekonani do tej technologii. Czy
słusznie?
Sieci bezprzewodowe Wi-Fi mają wiele zalet powodujących, że są często i chętnie
wykorzystywane jako suplement do tradycyjnej sieci kablowej. Są też miejsca, takie jak
zabytkowe budynki, w których zastosowanie tradycyjnego, kablowego systemu przesyłu
danych jest mocno utrudnione, a w niektórych przypadkach często po prostu niemożliwe.
W innych, takich jak uczelnie czy lotniska, sieć bezprzewodowa, ze względu na
nieuniknioną mobilność osób z niej korzystających, wydaje się naturalnym i najlepszym
rozwiązaniem. Również w sytuacji, gdy ze względu na charakter swych zadań
pracownicy przemieszczają się po terenie firmy, korzystając z przenośnego komputera,
dostęp do firmowej sieci bez konieczności uciążliwego manewrowania wtyczkami oraz
możliwość skorzystania z zasobów sieci w dowolnym miejscu i czasie jest zarówno dla
nich, jak i dla firmy dużym ułatwieniem.
Technologia
Wi-Fi (skrót od Wireless Fidelity) to standard bezprzewodowego przesyłu danych,
realizowanego drogą radiową. Szczegóły techniczne standardów przesyłu danych,
opracowanych przez Institute of Electrical and Electronic Engineers, znajdują się w
ramce. Budując sieć, warto wcześniej zastanowić się dokładnie nad wyborem
najodpowiedniejszego dla swojej organizacji rozwiązania.
Urządzenia radiowe, ze względu na specyfikę swej budowy i działania, narażone są na
znacznie większe zakłócenia transmisji niż w przypadku sieci
przewodowej, co powoduje, że część przesyłanych danych
stanowią informacje, które umożliwiają kontrolę błędów i
odtworzenie przesyłanych pakietów. Konieczność zapewnienia
odpowiedniego poziomu bezpieczeństwa, realizowanego
poprzez protokoły zabezpieczające (takie jak WEP czyli Wireless
Sieć lokalna
Equivalent Privacy), również wymaga kolejnej porcji danych,
wysyłanych wraz z informacją stanowiącą treść przekazu. Wszystko to powoduje, że
faktyczna przepustowość sieci będzie mniejsza od deklarowanej przez specyfikację.
Dlatego też należy pamiętać o stratach, decydując się na konkretny standard przesyłu
danych, aby nie okazało się wkrótce, że przesył danych znacząco odbiega od
oczekiwanego i jest zbyt niski jak na nasze potrzeby.
Ostatnią, choć nie mniej ważną kwestią, jest zasięg sieci Wi-Fi, jaki należy zapewnić.
1
Siła sygnału zależy od tego, jakie anteny i wzmacniacze zostały zastosowane. Przy
użyciu bardzo silnych wzmacniaczy sygnału i anten kierunkowych uzyskiwano zasięg
rzędu kilku kilometrów. Trzeba pamiętać, że zasięg fal radiowych zależy w dużej mierze
od tego, jakie przeszkody napotkają na swej drodze. Poza tym, jeśli w niewielkiej
odległości od siebie funkcjonuje kilka punktów dostępowych, pracujących na tym samym
kanale, mogą zakłócać się nawzajem, co grozi uniemożliwieniem komunikacji.
Sprzęt
Na rynku, ze względu na znaczną popularność sieci bezprzewodowych, znajduje się
wiele urządzeń, które zapewniają satysfakcjonujące parametry użytkowe i, co ważne, ich
ceny są już przystępne, więc instalacja Wi-Fi nie obciąży zanadto budżetu. Wszystko
zależy od tego, do jakich celów chcemy użyć Wi-Fi. Urządzenia umożliwiające
komunikację bezprzewodową występują zarówno w wersjach dedykowanych
komputerom stacjonarnym, jak i przenośnym, a także jako klucze wpinane do portu USB.
Oferowane są w różnych standardach przesyłu (najczęściej IEEE 802.11b i g), na co
należy zwrócić uwagę, decydując się na budowę sieci bezprzewodowej.
Podobnie jak przy sieciach przewodowych, samo wyposażenie komputerów w karty
sieciowe, czyli w naszym przypadku Wi-Fi, nie umożliwia jeszcze korzystania z pełnych
zasobów sieci oraz Internetu. Potrzebny jest jeszcze tzw. punkt dostępowy, który
umożliwia komputerom komunikację z innymi urządzeniami i
steruje przepływem danych. Urządzeniem łączącym w sobie
zalety zarówno punktu dostepowego, jak i modemu,
umożliwiającym komunikacje pomiędzy urządzeniami i
połączenie z Internetem, jest tzw. router. Niektóre routery
umożliwiają pracę w paśmie 2,4 oraz 5 Ghz, nadają się więc do
pracy w sieci praktycznie każdego standardu IEEE. A co zrobić w
sytuacji, gdy użytkownicy muszą korzystać z wielu drukarek?
Lokalna sieć Wi-Fi
Jeśli kupiony router posiada opcję serwera druku, wtedy każdy
komputer w sieci Wi-Fi może wysyłać dane do wydruków
bezpośrednio do niego, a ten, segregując i zarządzając odpowiednio przydzielonymi
zadaniami, umożliwi użytkownikom korzystanie z wielu zainstalowanych drukarek.
Serwer druku można też dokupić oddzielnie.
Ważne, aby w miarę możliwości starać się dobierać urządzenia pracujące w tej samej
technologii i wytworzone przez jednego producenta. Usprawni to ich pózniejszy serwis
oraz pozwoli na łatwiejszą konfigurację. Wideomonitoring, drukarki, projektory oraz
multimedia są tym, co producenci mogą już teraz w łatwy sposób uniezależnić od
wszechobecnych dziś kabli sieciowych. Przeglądając internetowe oferty producentów,
łatwo natrafić na sprzęt zaprojektowany przede wszystkim dla łączności
bezprzewodowej. Wydawać by się mogło, że Wi-Fi ma przed sobą świetlaną przyszłość.
Jest tylko jedno "ale", spędzające sen z powiek menedżerom ds. bezpieczeństwa, gdy
2
firma wdraża rozwiązania bezprzewodowego dostępu do firmowej sieci. Tym czymś, jak
łatwo można się domyślić, jest....
Bezpieczeństwo transmisji
Które, z racji samej konstrukcji Wi-Fi (łącze radiowe), nie jest, i zapewne długo jeszcze
nie będzie, mocną strona tego standardu. Co nie oznacza, że zapewnienie
satysfakcjonującego nas poziomu bezpieczeństwa jest niemożliwe. Wręcz przeciwnie,
zarówno producenci, jak i niezależny od nich rynek oferują wiele rozwiązań
zapewniających bezpieczeństwo transmisji danych, które mogą okazać się, w przypadku
naszej sieci, zupełnie wystarczające. Przyjrzyjmy się zatem bliżej kilku z nich.
SSID - powiedz, kim jesteś
Czytając artykuły o ulocie elektromagnetycz-nym (CSO 1/05 oraz aktualny numer),
dowiedzieć się można, że możliwe jest przechwycenie sygnału radiowego nawet o
bardzo małej mocy. W sieciach Wi-Fi nadajniki są silne, więc nie ma potrzeby
stosowania w tym celu skomplikowanych urządzeń. Aby komputery należące do jednej
sieci mogły ją prawidłowo rozpoznać, karty sieciowe oraz punkty dostępowe wysyłają w
eter tzw. nagłówek SSID (skrót od Service Set Identifier), czyli nazwę sieci, której
używamy. Nazwa ta jest zwykle domyślnie przydzielona przez producenta sprzętu, co
bardzo ułatwia intruzowi odszukanie sieci i wejście do niej. Należy ją zatem
bezwzględnie zmienić na własną. Naturalnie, najprościej byłoby całkowicie wyłączyć
rozgłaszanie SSID, jednakże nie zawsze, szczególnie w dużych i rozległych sieciach,
jest to możliwe.
Kryptografia
Kolejnym punktem, na który bezwzględnie należy zwrócić uwagę, jest prawidłowe
zabezpieczenie transmisji poprzez jej zaszyfrowanie. Zostało ono wprowadzone przez
IEEE, jako standard, w każdą specyfikację 802.11, tak więc z pomocą przychodzą tu
sami producenci sprzętu, wbudowując w niego odpowiednie mechanizmy szyfrujące.
Najczęściej spotykany jest WEP, który, niestety, ze względu na łatwość rozszyfrowania,
nie stanowi najlepszego zabezpieczenia. Dlatego też zalecane jest korzystanie z innych
rozwiązań, jeśli są dostępne, takich jak WPA (Wi-Fi Protected Access), które, zmieniając
sposób szyfrowania każdego pakietu danych, zapewniają znacznie większe
bezpieczeństwo danym płynącym w sieci czy też poprzez użycie tzw. serwera RADIUS
(Remote Authentication Dial-in User Service), który zapobiega przepływowi danych do
nieautoryzowanego użytkownika, jeśli ten nie posiada właściwego klucza
uwierzytelniającego.
3
Dodatkowe zabezpieczenia
By zwiększyć bezpieczeństwo, należy także przemyśleć rozlokowanie punktów
dostępowych, które trzeba umieścić w miarę możliwości z dala od otwartych okien i
drzwi. Aby przekonać się, czy wszystko zostało wykonane zgodnie z planem, można
wykonać łatwy do przeprowadzenia test. Polegać będzie na spacerze wokół budynku z
włączonym laptopem wyposażonym w Wi-Fi i sprawdzeniu, z jakiej odległości można
nawiązać połączenie. W ten sposób można stosunkowo prosto sprawdzić zasięg fal
radiowych wydostających się na zewnątrz firmy.
Włączenie takich mechanizmów, jak SSL czy hasła zabezpieczające współdzielone
katalogi, podniesie zarówno poziom bezpieczeństwa przy korzystaniu z wewnętrznej
sieci oraz Internetu, jak i spiętrzy przeszkody przed intruzem. Jeśli mamy
zaimplementowaną technologię VPN (Virtual Private Network), jesteśmy na dobrej
pozycji. Pozwala ona stworzyć, mówiąc obrazowo, mur praktycznie nie do przejścia dla
potencjalnego włamywacza. Jeśli nie mamy VPN, może warto o tym pomyśleć już teraz?
(Technologię VPN opisywaliśmy w CSO 1/06).
Testy, testy
Działalność intruza w sieci Wi-Fi może stanowić duży problem, szczególnie gdy
zaatakowany w porę nie dostrzeże jego działalności. Dane, które wydostaną się na
zewnątrz z powodu złego lub zbyt słabego zabezpieczenia sieci to konkretne, wymierne
straty, również finansowe. Dlatego zaleca się okresowe badanie skuteczności
posiadanych zabezpieczeń i ich stałą aktualizację, a także bieżące aktualizowanie
oprogramowania, tak aby zawsze posiadać jak najnowszą jego wersję. W tym celu
można pójść dwiema drogami. Próbować dokonać audytu sieci samodzielnie, co nie
powoduje dodatkowych kosztów, jednakże nie jest do końca obiektywne (zwykle znamy
jakieś słabe punkty tego, co sami stworzyliśmy, a na inne możemy nie zwrócić uwagi),
lub też zlecić to zadanie zewnętrznej firmie, która specjalizuje się w testowaniu
bezpieczeństwa sieci bezprzewodowych i jest w stanie skuteczniej wyszukać potencjalne
luki, niż moglibyśmy zrobić to sami. Minusem drugiego rozwiązania jest konieczność
poniesienia kosztu takiej operacji, jednakże w ostatecznym rachunku może on być o
wiele niższy niż wtedy, gdy cenne dane z naszej sieci znajdą się w posiadaniu intruzów.
4
Dekalog bezpiecznej sieci WLAN
1. Zmień ESSID sieci na nic niemówiący ciąg znaków. ESSID jest rozgłaszany
przez AP co sekundę i jest widoczny nawet do kilku kilometrów od twojej
lokalizacji. Zmień ESSID na przypadkowe słowo i powiedz o tym swoim
użytkownikom. Dzięki temu przypadkowy podsłuchiwacz nie skojarzy od razu
nazwy sieci z nazwą firmy, co odsieje większość ciekawskich. Całkowite
wyłączenie rozgłaszania ESSID nie jest wskazane, bo może mieć negatywny
wpływ na wydajność sieci.
2. Koniecznie włącz szyfrowanie. Najlepsze dla małej sieci będzie WPA-PSK,
wtedy każdy klient będzie musiał ustawić hasło dostępu (PSK). Dla sieci z
wieloma użytkownikami lepsze będzie WPA z zewnętrznym serwerem Radius,
który umożliwia ustawienie innego hasła dla każdej osoby. Jeśli nie masz WPA,
to nawet stary WEP będzie jakimś zabezpieczeniem. Zmusi to włamywacza do
spędzenia od kilku do kilkuset godzin na łamaniu klucza i powstrzyma 99%
przypadkowych podsłuchiwaczy przed grzebaniem w sieci.
3. Jeśli używasz WEP, korzystaj choćby z kluczy 40-bitowych, kiedy z powodów
technicznych albo organizacyjnych nie możesz używać kluczy 128-bitowych.
Rezultat będzie podobny, bo podsłuchiwacz nie wie, czy używany jest długi czy
krótki klucz. Jeśli korzystasz z WPA, nie musisz się tym przejmować, ponieważ
długość klucza jest automatycznie ustawiana.
4. Włącz szyfrowanie dla WSZYSTKICH Access Pointów. Jedno niezabezpieczone
połączenie może ujawnić włamywaczowi wiele informacji.
5. Traktuj ESSID jak hasło. Nawet jeśli masz wyłączone rozgłaszanie ESSID, jest
wiele programów błyskawicznie zgadujących prosty ESSID na podstawie
słownika. Przypadkowy ESSID (np. "Iey2ohgu") nie jest trudny do wpisania, a
bardzo przedłuża zgadywanie albo w ogóle je uniemożliwia.
6. Stosuj trudne do zgadnięcia hasła. Nawet w przypadku WPA i WEP jest możliwe
odgadnięcie hasła. Automatyczne słowniki mogą zgadywać tysiące haseł na
sekundę. Dla WPA stosuj hasła będące zbitkami kilku słów z cyframi i innymi
znakami (kropka, kreska, plus). Dzięki temu będą i trudne do zgadnięcia, i łatwe
do wpisywania dla użytkowników. Jeśli używasz WEP, hasło dla 40-bitowego
WEP powinno mieć około 20 znaków, a dla 128-bitowego - niemal 85 znaków
(wiele urządzeń dopuszcza nawet hasła do 128 znaków).
7. Nie zapomnij o zabezpieczeniu koncentratora WLAN. Większość AP przychodzi
z domyślnymi hasłami lub w ogóle bez haseł na telnet, SNMP czy zarządzanie
po WWW. Pozwala to włamywaczowi bez wysiłku poznać hasła WEP i
konfigurację sieci. Zawsze zmieniaj domyślne hasła urządzeń dostępowych i
ograniczaj dostęp do nich po adresach MAC lub adresach IP.
8. Od czasu do czasu testuj bezpieczeństwo swojej sieci. Sprawdzaj, czy nie
pojawiły się nieautoryzowane stacje, czy w sieci nie pojawiają się nieszyfrowane
pakiety i czy ESSID nie "wycieka" przez którąś ze stacji roboczych lub AP.
9. Postaw AP za firewallem. Nie podłączaj AP bezpośrednio do okablowania
strukturalnego lub serwera. Postaw go za firewallem, stosując choćby minimalne
filtrowanie ruchu generowanego przez stacje, które w razie włamania do WLAN
5
6
Wyszukiwarka
Podobne podstrony:
wi fi opis XP158 161 wi fiWi Fi BestPracticesTP konfiguracja połączenia Wi Fi,bezpieczeństwo sieci komputerowych, Zagrozenia i typy sieci Wi FIWi Fi pod linuksemSieci bezprzewodowe Przewodnik po sieciach Wi Fi i szerokopasmowych sieciach bezprzewodowych WydanBezpieczeństwo sieci Wi FiKonfiguracja sieci Wi Fi w Windows XPKONFIGURUJEMY WI FI POD LINUKSEMSocket Communications Wi Fi Companion v2 10 4Wi Fi Domowe sieci bezprzewodowe Ilustrowany przewodnik wifiipAntena Wi Fi Budowa od podstawInstrukcja instalacji Adapter Wi Fi Ferguson USB W02 IEEE 802 11bgn 150Mbps2008 07 08?zpieczeństwo sieci Wi Fi [Bezpieczenstwo]Sieci Wi Fi pod osłonąkanały wi fiBudowa anteny WI FI 3więcej podobnych podstron