E-mailTen adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. telefon: +48226466873

5 Mitów dotyczących bezpieczeństwa Wi-Fi

.

Mit nr 1. Nie należy rozgłaszać SSID

Każde urządzenie dostępowe Wi-Fi (ruter, AP) ma przypisany co najmniej jeden identyfikator sieci o technicznej  nazwie SSID (Service Set Identifier). Domyślnie ruter rozgłasza SSID w specjalnych  ramkach sieciowych (komunikatach) o nazwie „Beacon” – dzięki temu znajdujące się w jego pobliżu urządzenia klienckie mogą wykryć i podłączyć się do sieci bezprzewodowej. Programowe wyłączenie rozgłaszania SSID (teoretycznie) podwoduje, że tylko urządzenia „wiedzące” o znajdującej się w ich zasiegu sieci będą w stanie się do niej podłączyć. Pozostali użytkownicy nie będą świadomi istnienia naszej sieci, nie będzie więc ona podatna na próby skanowania, włamania itp.  W praktyce wyłączenie rozgłaszania SSID nie powoduje, że sieć staje się niewidoczna, nie będzie tylko wykrywana przez niektóre urządzenia. Hakerzy bez problemu są w stanie wykryć obecność „ukrytej” sieci – co więcj, fakt, że jest ona ukryta może być zachętą do włamania (skoro została ukryta, to może znajduje się w niej coś ciekawego?). Ukrycie sieci nie ma wpływu na możliwość podsłuchania wszystkich pozostałych komunikatów, w tym związanych z podłączeniem i odłączeniem urządzeń do/od sieci, pakietów z danymi, itp.. Skanery Wi-Fi, takie jak Kismet lub CommView for WiFi  będą w stanie wykryć ukryty SSID błyskawicznie. Podsumowując: stosując tę technikę można ukryć sieć WiFi przed sąsiadem, ale nie przed nastoletnim włamywaczem-amatorem.

Mit nr 2. Należy włączyć filtrowanie adresów MAC

Każde urządzenie sieciowe, w tym także urządzenia Wi-Fi posiadają unikalny adres sprzętowy – MAC (Media Access Control). Adres MAC ma postać ciągu cyfr szesnastkowych, np:  00:02:D1:1A:2D:12. MAC używany jest do określania nadawcy i odbiorcy pakietu danych (ramki). Popularny mit głosi, że filtrując ruch sieciowy poprzez dopuszczenie tylko znanych adresów MAC (tj. tylko znanych nam urzadzeń) eliminujemy niechcianych i potencjalnie niebezpiecznych użytkowników. Użytkownik korzystający z urządzenia o adresie nie znajdującym się na liście dozwolonych, nie zostanie dopuszczony do sieci, nawet jeśli zna hasła.

Ustanowienie filtracji MAC jest proste, lecz pracochłonne – musimy dopisać do listy adresy MAC wszystkich znanych i dozwolonych nam urzadzeń (komputerów PC, telefonów, tabletów, itp.) i co najbardziej kłopotliwe - dbać o stałą aktualizację listy!

Filtracja MAC jest nieprzydatna z jednego powodu: adres MAC łatwo zmienić programowo, hacker może bez problemu podsłuchać ruch sieci Wi-Fi, ustalić adresy dopuszczonych urządzeń, a następnie zmienić adres swojego komputera na adres znany i dopuszczony. Podsumowując: filtrowanie MAC uniemożliwi dostęp użytkownikowi, który przypadkiem poznał hasło, nie powstrzyma jednak przeciętnego włamywacza. Tak więc czarna lista adresów MAC nie wnosi nic do bezpieczeństwa, jest tylko dodatkowym obciążeniem i stratą czasu dla administratorów.

Mit nr 3. Należy ograniczyć wielkość puli adresów IP

Każde urządzenie sieciowe posiada unikalny adres sieciowy – IP (od „Internet Protcol”). W przeciwieństwie do adresu MAC, który (przynajmniej teoretycznie) jest niezmienny i przyznany przez producenta, adres IP jest określany przez administratora na dłuższy okres czasu, lub też przydzielony dynamicznie – tak dzieje się najczęściej w sieciach Wi-Fi, w których adres IP przydzielany jest przez  ruter. Ruter używa wbudowanego serwera protokołu DHCP (Dynamic Host Control Protocol) do przydziału adresów IP z określonej puli każdemu urządzeniu, które poprawnie przejdzie proces autoryzacji i zostanie włączone do sieci. Popularny mit głosi, że dostępna pula adresów powinna być minimalna, tj. liczyć jak najmniej adresów IP. Jest to nieprawda, a powód podany będzie w następnym punkcie.

Mit nr 4. Należy całkowicie wyłączyć usługę serwera DHCP

Mit ten wiąże się z poprzednim i jest jego logiczną konsekwencją – według tego twierdzenia należy całkowicie zrezygnować z dynamicznej alokacji adresów IP i przypisywać je statycznie do każdego urządzenia. Argumentacja jest podobna jak w przypadku mitu nr 2 dotyczącego adresów MAC – poprzez statyczne adresy IP będziemy mogli kontrolować dostęp urządzeń do sieci i nie dopuścimy urządzeń nam nieznanych. Powód, dla którego twierdzenie to, jak i i poprzedni mit nr 3 są fałszywe jest analogiczny jak w przypadku filtracji MAC – włamywacz bez problemu może poznać wykorzystywane adresy IP i podszyć się pod legalny – statycznie przyznany adres. W przypadku „kolizji” adresów urządzenia „legalnego” i włamywacza, włamywacz bez problemu może doprowadzić do deaktywacji  interfejsu sieciowego urządzenia legalnego. Podsumowując: ograniczenie puli adresów dynamicznych, lub też całkowie wyłączenie usługi DHCP bardziej utrudni życie administratorowi niż włamywaczom.

Mit nr 5. Małe sieci są trudniejsze do spenetrowania

Twierdzenie to sugeruje, że redukcja mocy nadajnika Wi-Fi spowoduje, że sieć stanie się trudniejsza do wykrycia, a tym samym do przeprowadzenia włamania. Mniejsza moc nadajnika fizycznie ograniczy zakres działania hackerów. Jest to najbardziej bezpodstawny sąd ze wszystkich wcześniej przytoczonych – włamywacz może posłużyć się anteną kierunkową, lub sprzętem nieco wyższej klasy. Redukcja siły sygnału utrudni wyłącznie życie legalnym użytownikom sieci, którzy będą borykać się ze słabym lub zanikającym sygnałem. Działanie takie nie zwiększy w żaden sposób bezpieczeństwa naszej infrastruktury.


Zamiast Mitu – Fakt – tylko poprawnie zrealizowane szyfrowanie zapewni bezpieczeństwo sieci Wi-Fi

Po obaleniu popularnych mitów pora na fakty – jak skutecznie zabezpieczyć sieć bezprzewodową? Poprawne rozwiązanie polega na implementacji kryptograficznego zabezpieczenia transmisji, popularnie określanego „szyfrowaniem danych” – w rzeczywistości opisane dalej zabezpieczenia polegają nie tylko na szyfrowaniu danych, ale także na zabezpieczaniu ich przed modyfikacją (kontrola integralności) oraz na kontroli tożsamości użytkowników.

Sieci Wi-Fi obsługują kilka trybów ochrony kryptograficznej: WEP, WPA, oraz WPA2 – każdy z nich w kilku pododmianach. Obecnie jako jedyny zapewniający bezpieczeństwo tryb należy uznać WPA2.  Jeśli dane urządzenie nie obsługuje WPA2 (obecnie sytuacja już dość rzadka), należy rozważyć jego wymianę. W sieciach domowych wykorzystuje się WPA2 w trybie PSK (Pre-Shared Key) – czyli z ustalonym statycznym hasłem. W środowiskach sieci biurowych lub przemysłowych PSK nie jest zalecane – hasło znane zbyt wielu użytkownikom przestaje być hasłem. Zamiast PSK zaleca się użycie trybu WPA2/Enterprise wykorzystującego dodatkowy zewnętrzny serwer autoryzacyjny – może być on zintegrowany z domeną Microsoft Windows lub innym systemem weryfikującym tożsamość użytkowników, np. kartami chipowymi, tokenami sprzętowymi, itp. W sieci firmowej tryb PSK powinien być zarezerwowany tylko do obsługi gości.

Opracowano na podstawie artykułu „5 Wi-Fi security myths you must abandon now” http://www.pcworld.com/article/2052158/5-wi-fi-security-myths-you-must-abandon-now.html


Tags: Wi-Fi 6E bezpieczeństwo 802.1X Adres MAC

Kontakt

sprzedaż:

e-mail: sales@cc.com.pl

 


pomoc techniczna:

e-mail: support@cc.com.pl

 

CC Otwarte Systemy Komputerowe Sp. z o.o.

Dostarczamy bezpieczne rozwiązania sieciowe oraz oprogramowanie od 2001 roku. Projektujemy i wdrażamy infrastrukturę bezpieczeństwa sieciowego: systemy firewall, content security oraz systemy autoryzacji; wdrażamy infrastrukturę sieci LAN, WAN i WiFi. Nasi inżynierowie posiadają certyfikację producentów takich jak: Check Point, HPE / Aruba Networks, Juniper Networks, Palo Alto Networks, Ruckus Networks (Arris), Arista, Fortinet, Flowmon, Fudo Security, Gemalto, Sophos, Vasco, i innych a także certyfikaty CISSP i PRINCE2.

Oferta

  • Dostawa i wdrożenia sieci WiFi
  • Dostawa i wdrożenia sieci LAN i WAN
  • Dostawa i wdrożenie systemów bezpieczeństwa
  • Wsparcie techniczne
  • Outsouring w zakresie administracji systemów IT
  • Oprogramowanie na zamówienie: portale internetowe, aplikacje biznesowe, aplikacje naukowe, aplikacje specjalizowane

Lokalizacja

world-map

Rakowiecka 36, 02-532 Warszawa

tel. +48 22 646-68-73

faks. +48 22 6063780

sprzedaż - e-mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.

pomoc techniczna - e-mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.