Bezpieczne sieci Wi-Fi część 1

Bezpieczne sieci Wi-Fi część 1

W dzisiejszych czasach dostępność do globalnej sieci i bycia „online” cały czas nie jest tylko przywilejem, ale coraz częściej obowiązkiem i koniecznością. Coraz większa ilość posiadanych przez użytkownika urządzeń, na których można sprawdzić np. pocztę email, czy zapisane w chmurze kalkulacje dla klienta powoduje, iż administratorzy działu IT muszą zapewnić dostęp do sieci Internetu nie tylko użytkownikom, pracującym w danej organizacji, ale również gościom i użytkownikom, korzystającym ze swoich urządzeń (ang. BYOD Bring Your Own Device) do pracy zawodowej.

Bezpieczne sieci Wi-Fi część 1

Ze względu na charakter urządzeń, tj. BYOD, laptopy, czy smartfony, stworzenie wydajnej i, przede wszystkim, bezpiecznej sieci bezprzewodowej w firmie to jedno z większych wyzwań, jakie są stawiane administratorom sieci. Najprostszym rozwiązaniem było by stworzenie otwartej, niezabezpieczonej sieci gościnnej. Ale czy chcielibyśmy zostawić szeroko otwarte drzwi do naszego domu dla każdego, kto będzie tylko przechodził obok? Odpowiedź jest jednoznaczna – oczywiście, że NIE! Dlatego też rozsądnym wydaje się sytuacja, w której administratorzy, tworząc sieci Wi-Fi, zabezpieczają je w taki sposób, aby można było z nich korzystać jedynie po podaniu przez użytkownika hasła/klucza dostępu PSK (ang. Pre Shared Key) lub na urządzeniu z danym adresem sprzętowym MAC (ang. Medium Access Control Address). Jednakże, czy takie podejście nie niesie ze sobą zagrożeń z perspektywy bezpieczeństwa IT?

Problemy związane z kluczami PSK to…

Ileż to razy administrator jest pytany o „hasło do WiFi”? Jeżeli często, to możliwe, że skonfigurował sieć tak, aby dostęp do niej był chroniony hasłem, a hasło to zostało przekazane każdemu, kto takiego dostępu potrzebuje. Co w takiej sytuacji?

Po pierwsze, mając jedno hasło Wi-Fi nie mamy żadnej kontroli nad tym, kto ma dostęp do naszej sieci. Użytkownicy mogą dzielić się hasłami z innymi osobami, które takiego dostępu uzyskać nie powinny.

Po drugie, co w sytuacji, gdy chcemy taki udzielony dostęp odwołać, zwłaszcza pojedynczemu użytkownika, który opuszcza daną firmę? Czy naprawdę chcemy, aby byli pracownicy mogli korzystać z naszej sieci po ich odejściu, czy zwolnieniu? Odpowiedź nasuwa się sama…Pamiętajmy, że zmiana hasła wiąże się z przerwą w dostępie do sieci dla wszystkich użytkowników z niej korzystających. Można ulec pokusie i nigdy raz ustawionego hasła nie zmieniać, ale czy to jest dobra polityka?

Może autentykacja w oparciu o adresy MAC?

Podczas autentykacji w oparciu o adresy MAC urządzeń, ruch użytkownika nie jest szyfrowany, a przez to łatwy do przechwycenia i podsłuchania. Dodatkowo należy pamiętać, że hakerzy potrafią przechwycić ruch sieciowy i wydobyć informacje niezbędne do tego, aby za pomocą narzędzi firm trzecich lub rejestru systemu Windows podszyć się pod akceptowalny przez administratora adres,
a tym samym uzyskać nieautoryzowany dostęp do zasobów.

A to jeszcze nie koniec…

Zarówno w przypadku haseł dostępu, jak i dostępu po adresie fizycznym, nie mamy możliwości łatwego powiązania danego urządzenia z danym użytkownikiem. Załóżmy, że wiemy, iż dane urządzenie marnuje naszą przepustowość przez pobieranie dużych ilości danych, np. ogromne pliki wideo, które mogą być również chronione prawem autorskim. W takiej sytuacji nie tylko tracimy na jakości naszej sieci, ale również możemy się stać stroną w postępowaniu karnym.

Należy również pamiętać, że w bezpiecznych środowiskach administratorzy udzielają dostępu do pewnych danych na zasadzie ról. Możemy sobie wyobrazić sytuację, w której cześć użytkowników ma dostęp do serwera, na którym przechowywane są dane szczególnie chronione (np. dane medyczne), do których dostęp powinna mieć jedynie ograniczona grupa użytkowników, a pozostali dostępu do tych danych mieć nie powinni.

Należy pamiętać o tym, że samo uwierzytelnianie dostępu urządzenia zewnętrznego do naszej sieci za pomocą hasła, czy adresu, nie daje nam możliwości sprawdzenia, czy owo urządzenie nie jest zainfekowane przez np. jakiś wirus, który w konsekwencji zainfekuje całą sieć. Dobrą praktyką w takim wypadku jest sytuacja, w której dostęp do naszych zasobów będzie możliwy jedynie z urządzeń, które będą spełniały określone przez nas wymagania dotyczące np. aktualności antywirusa, aktualności systemu operacyjnego, zabezpieczenia przed dostępem osób niepożądanych, np. hasłem/hasło ekranu blokady. Możemy przecież wyobrazić sobie sytuację, w której komputer naszego pracownika zostanie skradziony, a brak zabezpieczenia dostępu hasłem lub hasłem niezaktualizowanym od dłuższego czasu, spowoduje nieuprawniony dostęp do naszych danych osób niepożądanych i narazi naszą organizację na ogromne straty, w tym finansowe.

Na szczęście są rozwiązania, które zapewniają bezpieczny dostęp do sieci oparty o role i dedykowane polityki, przypisywane do dowolnego użytkownika lub urządzenia, w których wszystkie powyższe sytuacje zostały wyeliminowane.

Chcesz dowiedzieć się więcej na temat bezpiecznej sieci bezprzewodowej w Twojej firmie, skontaktuj się z nami, bo my wiemy, jak uchronić Twoja firmę przed niepotrzebnymi i nieprzyjemnymi incydentami.

Podziel się nim ze znajomymi

Zobacz co warto jeszcze przeczytać

M.E.R.A.K.I.

M.E.R.A.K.I.– Każdy kolejny punkt dostępu, to kolejne zmartwienie dla administratora sieci. O tyle, o ile przy małej ilości access pointów rozproszonych niedaleko siebie, nie jest dużym problem, to zarządzanie dziesiątkami...

Czytaj dalej

Mysz spuszczona z łańcucha, czyli o Logitech Flow

Logitech, producent cieszący się nietuzinkową grupą zwolenników, kilka miesięcy temu swój repertuar urządzeń peryferyjnych wzbogacił o nową technologię – Logitech Flow. Jakoby tytuł sugeruje, że mowa o myszkach pozbawionych kabli...

Czytaj dalej

O Chmurze: Chmura prywatna – ile to kosztuje

Chciałbym zaprosić wszystkich na mały (lub i większy) cykl artykułów, przybliżających temat Chmury. Na wstępie nie będzie definicji, różnic, wyjaśnień. Na wstępie zaczniemy od tego, co jest zwykle najważniejsze dla...

Czytaj dalej

Dlaczego Digital Signage?

Dlaczego Digital Signage? Czym są rozwiązania klasy digital signage, czym różnią się od tradycyjnych form reklamy i rozpowszechniania informacji oraz dlaczego rozwiązania te nieprzerwanie zyskują na popularności? Użytkownicy systemów digital...

Czytaj dalej

Bezpieczne sieci Wi-Fi część 2

Prawdopodobnie pamiętasz nasz poprzedni blog, w którym po krótce omówiliśmy zagrożenia i konsekwencje, wynikające z wykorzystywania uwierzytelniania w sieciach bezprzewodowych za pomocą adresów MAC lub konwencjonalnych kluczy dostępowych (ang. Pre...

Czytaj dalej

Monitor Interaktywny jako nowoczesne narzędzie w pracy nauczyciela

Technologie przyszłości stały się nieodłącznym elementem naszej codzienności. Ciężko nam żyć bez smartfona, choć jeszcze kilkanaście lat temu korzystali z niego tylko nieliczni. Rewolucja cyfrowa rozpoczęła się i tak naprawdę...

Czytaj dalej

RODO – nie taki diabeł straszny… ?

Gdybym miała odpowiedzieć jednym zdaniem, powiedziałabym „i tak i nie”. Odpowiedź trochę jak „pomidor”, ale, w moim przekonaniu, rzeczywiście tak jest. Wyjaśnienia zacznę od „…i nie”. Najpierw jednak nieco wstępu....

Czytaj dalej

Wpisz swoje dane a skontaktujemy się z Tobą

Politykę prywatności *