Menu

Region US

Grandmetric LLC
Brookfield Place Office
200 Vesey Street
New York, NY 10281
EIN: 98-1615498
Phone: +1 302 691 9410
info@grandmetric.com

Region EMEA

GRANDMETRIC Sp. z o.o.
ul. Metalowa 5, 60-118 Poznań, Poland
NIP 7792433527
+48 61 271 04 43
info@grandmetric.com

Popularne ataki na sieć Wi-Fi i sposoby, aby skutecznie się przed nimi bronić

Jak zabezpieczyć sieć Wi-Fi?

Autor:


23.03.2022

Mówiąc o sieciach, zarówno przewodowych jak i bezprzewodowych, nie możemy nie wspomnieć o temacie bezpieczeństwa. W przypadku sieci bezprzewodowych wielu użytkowników nie jest świadomych tego, jakie zagrożenia czają się na nich w momencie przełączania się pomiędzy sieciami i korzystania z niezabezpieczonych, niesprawdzonych sieci bezprzewodowych. Na pytanie, jak zabezpieczyć sieć Wi-Fi i co zrobić, by była odporna na nieautoryzowany dostęp, odpowiemy w tym artykule.

Rogue Access Point

Pierwsze z zagrożeń, o którym warto wiedzieć, związane jest z występowaniem tzw. Rogue Access Point, czyli punktu dostępowego niebędącego częścią danej infrastruktury. Atakujący może podstawić obcy access point a następnie rozgłaszać sieć SSID identyczną albo bardzo podobną do tej rozgłaszanej przez naszą firmę. Dzięki takiemu zabiegowi jest w stanie sprowokować nieświadomych użytkowników i urządzenia do podłączenia się do niezaufanego punktu dostępowego. Następnie umiejętnie analizując ruch przechodzący przez access point może wykonać atak typu Man in the Middle, w którym podsłucha konwersacje użytkownika końcowego.

Jak zabezpieczyć sieć WiFi przed atakiem typu RAP - Grandmetric
Rogue Access Point

Evil Twin

Bardzo podobnym zagrożeniem jest tzw. atak Evil Twin. Atakujący posługuje się obcym access pointem, aby upodobnić się do znanej sieci przy pomocy spreparowanego SSID lub podstawionej strony logowania np. HotSpot. Techniki wymuszania podłączenia urządzeń do takiego punktu są różne. Jedną z nich jest wprowadzenie celowych interferencji w bliskości znanych i autoryzowanych punktów AP a następnie rozpropagowanie silniejszego sygnału z urządzenia atakującego. 

Jak zabezpieczyć sieć Wi-Fi przed atakiem typu Evil Twin - Grandmetric
Evil Twin

Jak zabezpieczyć sieć Wi-Fi przed atakiem z wykorzystaniem Rogue Access Point? Warto zastosować mechanizmy typu RAPD (Rogue Access Point Detection), które analizują środowisko radiowe w pobliżu autoryzowanych AP. Wykrywają one wszystkie urządzenia emitujące podejrzane sieci WiFi.

Jak zabezpieczyć sieć Wi-Fi metodą RAPD - Grandmetric
Rogue AP detection

Dość często takie rozwiązania oparte są o współpracę punktów dostępowych z kontrolerem sieci bezprzewodowej. Dzięki niemu zdarzenia odnotowane przez access pointy rozlokowane w naszej sieci analizowane są centralnie, a następnie identyfikowane w sieci. Mechanizmy takie mogą wskazać lokalizację, a nawet automatycznie neutralizować obce access pointy.

Obejrzyj webinar: Jak projektować bezpieczne sieci bezprzewodowe klasy enterprise?

Na czym polega Wardriving?

Innym przykładem ataku na sieć bezprzewodową jest tzw. Wardriving. W tym przypadku atakujący zbliża się do sieci bezprzewodowej, wzmacnia sygnał i za pomocą narzędzi np. kart sieciowych w trybie promiscuous próbuje podłączyć się do sieci albo udostępnić dalej naszą sieć innym użytkownikom lub atakującym. Drogą do eliminacji tego typu praktyk jest odpowiednie wyszkolenie pracowników, czujność oraz system monitoringu z analizą obrazu. 

Jak zabezpieczyć sieć Wi-Fi przed atakiem typu wardriving - Grandmetric
Wardriving
Wardriving to atak na sieci, które stosują mechanizmy Open Authentication. 

Dlatego należy unikać ustawiania sieci Wi-Fi w trybie Open Authentication. Wyjątkiem może być sytuacja, gdy przemawia za tym np. pożądana funkcjonalność typu Guest Access i udostępnienie dostępu do Internetu konkretnej grupie użytkowników. Natomiast nawet wtedy warto pamiętać o innych metodach zabezpieczeń takich jak np. Guest Portal, czy Captive Portal z funkcją logowania.

Wykorzystanie wektora inicjalizacji 

Jeszcze innym atakiem bezpośrednio ukierunkowanym na kompromitację zabezpieczeń sieci bezprzewodowej jest atak z wykorzystaniem wektora inicjalizacji, występujący np. w sieciach wciąż wykorzystujących WEP. Standard ten jest już coraz rzadziej wykorzystywany, a metoda ataku bazująca na nim może doprowadzić do złamania klucza zabezpieczeń nawet w ciągu kilku minut. Właśnie dlatego od pewnego czasu nie jest rekomendowane użycie standardów opartych o klucz współdzielony i WEP. Dodatkowo rozwiązania niektórych producentów wyłączają nawet taką możliwość jako opcję zabezpieczenia sieci bezprzewodowej.

Jak zabezpieczyć sieć Wi-Fi – sposoby

Mechanizm 802.1x

Warto zastanowić się nad zabezpieczeniem dostępu do sieci bezprzewodowych bardziej zaawansowanymi mechanizmami niż klucz współdzielony. Przykładem takiego mechanizmu jest np. 802.1x. Sieć wykorzystuje fakt uwierzytelnienia użytkownika końcowego i jego urządzenia w oparciu o centralny serwer uwierzytelniania i autoryzacji. Serwer uwierzytelniający np. Server Radius jest w stanie odpytać nasze Active Directory o poprawne dane użytkownika i hasła, a nawet o przynależność do konkretnej grupy funkcyjnej w organizacji. Na tej podstawie Radius często też nazywany serwerem NAC (Network Admission Control) może autoryzować użytkownika, czyli przydzielić mu odpowiednie prawa dostępu zdefiniowane przez naszą politykę bezpieczeństwa.

Jak zabezpieczyć sieć Wi-Fi mechanizmem 802.1x - Grandmetric
802.1x

Uwierzytelnienie za pomocą 802.1x rekomendowane jest w sieciach o dużej skali, ponieważ  działa bardzo granularnie uwierzytelniając każdego użytkownika oddzielnie za pomocą jego indywidualnego hasła. Zupełnie inne podejście do zabezpieczenia spotykamy w rozwiązaniach typu PSK (z kluczem współdzielonym), w których jak sama nazwa wskazuje, klucz współdzielony jest znany wszystkim użytkownikom danej sieci bezprzewodowej. W przypadku PSK kwestią czasu jest to, kiedy klucz wpadnie w ręce osób niepożądanych, pozwalając im na podłączenie się do sieci korporacyjnej.

Szyfrowanie i weryfikacja integralności komunikacji

Kolejne wyzwania to problemy wynikające z charakteru medium, czyli Evesdropping i Packet Sniffing. Możliwość podsłuchiwania ruchu jest potencjalnym niebezpieczeństwem dla danych firmowych. Jednak, aby zminimalizować skutek takich ataków prowadzących do Man in the Middle, powinniśmy zapewnić bezpieczeństwo komunikacji także na innym poziomie. Rozwiązaniem może być szyfrowanie i weryfikacja integralności komunikacji w warstwie wyższej. Takie działanie zapobiega wspomnianemu atakowi.

Stabilność sieci WiFi

Kolejnym ważnym aspektem jest stabilność samej sieci radiowej, o której zawsze warto pamiętać. W prowadzonych przez nas projektach częstym problemem jest niestabilność Wi-Fi. W dużej mierze wynika to z obecności interferencji radiowych, zbyt dużego tłumienia sygnału w środowisku trudnym, czy powstawania kolizji. Bardzo często są to również zjawiska bezpośrednio związane z charakterem medium transmisyjnego, jakim jest radio. W tym przypadku możemy mieć do czynienia z działaniem intencjonalnym i ma to swoją nazwę – jest to tzw. jamming. To zjawisko celowego interferowania i zagłuszenia fal radiowych przez atakującego lub powstałe nieintencjonalnie np. w wyniku nieumiejętnie zaplanowanej sieci, złego skonfigurowania wielu punktów dostępowych, wzajemnego zakłócania i działania na tym samym kanale. Powody mogą być przeróżne, zdarza się też, że są nimi zakłócenia częstotliwości spowodowane przez urządzenia Bluetooth, takie jak myszki czy klawiatury działające na kanale 2.4GHz.

Jak zabezpieczyć sieć WiFi przed atakiem typu jamming by Grandmetric
Jamming / Interferences

Kontroler sieci WiFi

W zależności od producenta kontrolery mogą być zlokalizowane na urządzeniu fizycznym jak Cisco Catalyst c9800-L, pracować w trybie virtual appliance jak Catalyst 9800-CL lub nawet na samym punkcie dostępowym. W dużych sieciach bezprzewodowych kontroler jest bardzo istotnym elementem.

Pełni on dwie zasadnicze i najważniejsze funkcje w sieciach zbudowanych na bazie dobrych praktyk.

Jak zabezpieczyć sieć WiFi i zarządzać siecią by Grandmetric
Kontroler sieci WiFi – fizyczny czy wirtualny?

Pierwszą funkcją jest tzw. Radio Resource Management albo RRM. 

Jest to funkcja, dzięki której opisane powyżej problemy radiowe są automatycznie minimalizowane.

Przykładem może być praca na konkretnych kanałach radiowych wielu access pointów rozlokowanych np. w open space lub na piętrze budynku z dużą gęstością użytkowników. Kontroler sieci bezprzewodowej jest w stanie zebrać informacje radiowe podłączonych do niego punktów dostępowych. Następnie ustawi ich parametry radiowe, w szczególności numery kanałów tak, aby nie dochodziło do nakładania się kanałów tzw. channel overlapping.

Innym przykładem działania radio Resource Management jest dopasowywanie mocy AP w sposób automatyczny.  Dzięki temu sygnał rozpropagowany z access pointa nie wychodzi poza konkretny obszar środowiska radiowego lub jest na tyle znikomy,  że pozwala na płynną pracę użytkowników podłączonych do sąsiedniego access pointa.

Drugim istotnym zadaniem kontrolera sieci bezprzewodowej jest centralizacja konfiguracji całej sieci bezprzewodowej oraz wymiana informacji z systemami zewnętrznymi takimi jak serwery Radius.

Dzięki takiemu podejściu możliwe staje się zarządzanie dużą ilością punktów dostępowych w różnych lokalizacjach firmy.  W warunkach, które nie pozwoliłyby na opanowanie sieci radiowej ręcznie.

Należy podkreślić, że sieć bezprzewodowa jest siecią dynamiczną, podatną na zmieniające się warunki radiowe. Wpływ na jej funkcjonowanie mogą mieć np. urządzenia AGD, urządzenia peryferyjne, przemieszczanie terminali i użytkowników, a także inne zjawiska.

Podsumowanie

Jak wynika z badania Grandmetric przeprowadzonego w 2021r. wśród firm produkcyjnych, stabilność i szybkość sieci Wi-Fi ma kluczowe znaczenie dla funkcjonowania przedsiębiorstwa. Na drugim miejscu plasują się skalowalność i zabezpieczenia. Jak wiemy z powyższego artykułu, stabilność i bezpieczeństwo są ze sobą ściśle powiązane.

Nowoczesne mechanizmy kontroli dostępu do sieci w połączeniu z łatwo zarządzalnym kontrolerem do sterowania punktami dostępowymi to duet niezbędny w stabilnych i skalowalnych sieciach Wi-Fi.

Pobierz raport: Infrastruktura IT przedsiębiorstw produkcyjnych w dobie pandemii Covid-19

Autor

Marcin Bialy

Architekt systemów sieciowych i bezpieczeństwa IT. Prowadził duże projekty transformacyjne u klientów z branży bankowości, sektora enterprise, produkcji oraz instytucji państwowych. Spędził setki godzin przy konfiguracji, diagnostyce i projektowaniu sieci IP. Jest autorem kursów, workbook’ów do szkoleń autorskich Grandmetric i organizatorem inicjatyw takich jak Network & Wireless meetup zrzeszających społeczność specjalistów sieciowych. Jego specjalizacje obejmują obszar Network Security, Routing & Switching. Marcin posiada certyfikaty Cisco CCSI#35269, CCNP, CCNA. Był także był jednym z pierwszych inżynierów w Polsce uzyskując certyfikat FCNSP#7207 (dzisiejsza ścieżka NSE).

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

Sign up to our newsletter!


Grandmetric