Menu

Region US

Grandmetric LLC
Lewes DE 19958
16192 Coastal Hwy USA
EIN: 98-1615498
+1 302 691 94 10
info@grandmetric.com

Region EMEA

GRANDMETRIC Sp. z o.o.
ul. Metalowa 5, 60-118 Poznań, Poland
NIP 7792433527
+48 61 271 04 43
info@grandmetric.com

UK

Grandmetric LTD
Office 584b
182-184 High Street North
London
E6 2JA
+44 20 3321 5276
info@grandmetric.com

  • en
  • pl
  • Jak zabezpieczyć sieć Wi-Fi?

    Popularne ataki na sieć Wi-Fi i sposoby, aby skutecznie się przed nimi bronić

    Jak zabezpieczyć sieć Wi-Fi?

    Date: 23.03.2022

    Autor:


    Mówiąc o sieciach, zarówno przewodowych jak i bezprzewodowych, nie możemy nie wspomnieć o temacie bezpieczeństwa. W przypadku sieci bezprzewodowych wielu użytkowników nie jest świadomych tego, jakie zagrożenia czają się na nich w momencie przełączania się pomiędzy sieciami i korzystania z niezabezpieczonych, niesprawdzonych sieci bezprzewodowych. Na pytanie, jak zabezpieczyć sieć Wi-Fi i co zrobić, by była odporna na nieautoryzowany dostęp, odpowiemy w tym artykule.

    Wpis powstał na podstawie cyklu Próba Połączenia, podcastu, w którym inżynierowie rozmawiają z inżynierami na tematy związane z sieciami, bezpieczeństwem i DevOps.

    Rogue Access Point

    Pierwsze z zagrożeń, o którym warto wiedzieć, związane jest z występowaniem tzw. Rogue Access Point, czyli punktu dostępowego niebędącego częścią danej infrastruktury. Atakujący może podstawić obcy access point a następnie rozgłaszać sieć SSID identyczną albo bardzo podobną do tej rozgłaszanej przez naszą firmę. Dzięki takiemu zabiegowi jest w stanie sprowokować nieświadomych użytkowników i urządzenia do podłączenia się do niezaufanego punktu dostępowego. Następnie umiejętnie analizując ruch przechodzący przez access point może wykonać atak typu Man in the Middle, w którym podsłucha konwersacje użytkownika końcowego.

    Jak zabezpieczyć sieć WiFi przed atakiem typu RAP - Grandmetric
    Rogue Access Point

    Evil Twin

    Bardzo podobnym zagrożeniem jest tzw. atak Evil Twin. Atakujący posługuje się obcym access pointem, aby upodobnić się do znanej sieci przy pomocy spreparowanego SSID lub podstawionej strony logowania np. HotSpot. Techniki wymuszania podłączenia urządzeń do takiego punktu są różne. Jedną z nich jest wprowadzenie celowych interferencji w bliskości znanych i autoryzowanych punktów AP a następnie rozpropagowanie silniejszego sygnału z urządzenia atakującego. 

    Jak zabezpieczyć sieć Wi-Fi przed atakiem typu Evil Twin - Grandmetric
    Evil Twin

    Jak zabezpieczyć sieć Wi-Fi przed atakiem z wykorzystaniem Rogue Access Point? Warto zastosować mechanizmy typu RAPD (Rogue Access Point Detection), które analizują środowisko radiowe w pobliżu autoryzowanych AP. Wykrywają one wszystkie urządzenia emitujące podejrzane sieci WiFi.

    Jak zabezpieczyć sieć Wi-Fi metodą RAPD - Grandmetric
    Rogue AP detection

    Dość często takie rozwiązania oparte są o współpracę punktów dostępowych z kontrolerem sieci bezprzewodowej. Dzięki niemu zdarzenia odnotowane przez access pointy rozlokowane w naszej sieci analizowane są centralnie, a następnie identyfikowane w sieci. Mechanizmy takie mogą wskazać lokalizację, a nawet automatycznie neutralizować obce access pointy.

    Więcej wiedzy: Jak projektować bezpieczne sieci bezprzewodowe klasy enterprise?

    Na czym polega Wardriving?

    Innym przykładem ataku na sieć bezprzewodową jest tzw. Wardriving. W tym przypadku atakujący zbliża się do sieci bezprzewodowej, wzmacnia sygnał i za pomocą narzędzi np. kart sieciowych w trybie promiscuous próbuje podłączyć się do sieci albo udostępnić dalej naszą sieć innym użytkownikom lub atakującym. Drogą do eliminacji tego typu praktyk jest odpowiednie wyszkolenie pracowników, czujność oraz system monitoringu z analizą obrazu. 

    Jak zabezpieczyć sieć Wi-Fi przed atakiem typu wardriving - Grandmetric
    Wardriving
    Wardriving to atak na sieci, które stosują mechanizmy Open Authentication. 

    Dlatego należy unikać ustawiania sieci Wi-Fi w trybie Open Authentication. Wyjątkiem może być sytuacja, gdy przemawia za tym np. pożądana funkcjonalność typu Guest Access i udostępnienie dostępu do Internetu konkretnej grupie użytkowników. Natomiast nawet wtedy warto pamiętać o innych metodach zabezpieczeń takich jak np. Guest Portal, czy Captive Portal z funkcją logowania.

    Wykorzystanie wektora inicjalizacji 

    Jeszcze innym atakiem bezpośrednio ukierunkowanym na kompromitację zabezpieczeń sieci bezprzewodowej jest atak z wykorzystaniem wektora inicjalizacji, występujący np. w sieciach wciąż wykorzystujących WEP. Standard ten jest już coraz rzadziej wykorzystywany, a metoda ataku bazująca na nim może doprowadzić do złamania klucza zabezpieczeń nawet w ciągu kilku minut. Właśnie dlatego od pewnego czasu nie jest rekomendowane użycie standardów opartych o klucz współdzielony i WEP. Dodatkowo rozwiązania niektórych producentów wyłączają nawet taką możliwość jako opcję zabezpieczenia sieci bezprzewodowej.

    Jak zabezpieczyć sieć Wi-Fi – sposoby

    Mechanizm 802.1x

    Warto zastanowić się nad zabezpieczeniem dostępu do sieci bezprzewodowych bardziej zaawansowanymi mechanizmami niż klucz współdzielony. Przykładem takiego mechanizmu jest np. 802.1x. Sieć wykorzystuje fakt uwierzytelnienia użytkownika końcowego i jego urządzenia w oparciu o centralny serwer uwierzytelniania i autoryzacji. Serwer uwierzytelniający np. Server Radius jest w stanie odpytać nasze Active Directory o poprawne dane użytkownika i hasła, a nawet o przynależność do konkretnej grupy funkcyjnej w organizacji. Na tej podstawie Radius często też nazywany serwerem NAC (Network Admission Control) może autoryzować użytkownika, czyli przydzielić mu odpowiednie prawa dostępu zdefiniowane przez naszą politykę bezpieczeństwa.

    Jak zabezpieczyć sieć Wi-Fi mechanizmem 802.1x - Grandmetric
    802.1x

    Uwierzytelnienie za pomocą 802.1x rekomendowane jest w sieciach o dużej skali, ponieważ  działa bardzo granularnie uwierzytelniając każdego użytkownika oddzielnie za pomocą jego indywidualnego hasła. Zupełnie inne podejście do zabezpieczenia spotykamy w rozwiązaniach typu PSK (z kluczem współdzielonym), w których jak sama nazwa wskazuje, klucz współdzielony jest znany wszystkim użytkownikom danej sieci bezprzewodowej. W przypadku PSK kwestią czasu jest to, kiedy klucz wpadnie w ręce osób niepożądanych, pozwalając im na podłączenie się do sieci korporacyjnej.

    Szyfrowanie i weryfikacja integralności komunikacji

    Kolejne wyzwania to problemy wynikające z charakteru medium, czyli Evesdropping i Packet Sniffing. Możliwość podsłuchiwania ruchu jest potencjalnym niebezpieczeństwem dla danych firmowych. Jednak, aby zminimalizować skutek takich ataków prowadzących do Man in the Middle, powinniśmy zapewnić bezpieczeństwo komunikacji także na innym poziomie. Rozwiązaniem może być szyfrowanie i weryfikacja integralności komunikacji w warstwie wyższej. Takie działanie zapobiega wspomnianemu atakowi.

    Stabilność sieci WiFi

    Kolejnym ważnym aspektem jest stabilność samej sieci radiowej, o której zawsze warto pamiętać. W prowadzonych przez nas projektach częstym problemem jest niestabilność Wi-Fi. W dużej mierze wynika to z obecności interferencji radiowych, zbyt dużego tłumienia sygnału w środowisku trudnym, czy powstawania kolizji. Bardzo często są to również zjawiska bezpośrednio związane z charakterem medium transmisyjnego, jakim jest radio. W tym przypadku możemy mieć do czynienia z działaniem intencjonalnym i ma to swoją nazwę – jest to tzw. jamming. To zjawisko celowego interferowania i zagłuszenia fal radiowych przez atakującego lub powstałe nieintencjonalnie np. w wyniku nieumiejętnie zaplanowanej sieci, złego skonfigurowania wielu punktów dostępowych, wzajemnego zakłócania i działania na tym samym kanale. Powody mogą być przeróżne, zdarza się też, że są nimi zakłócenia częstotliwości spowodowane przez urządzenia Bluetooth, takie jak myszki czy klawiatury działające na kanale 2.4GHz.

    Jak zabezpieczyć sieć WiFi przed atakiem typu jamming by Grandmetric
    Jamming / Interferences

    Kontroler sieci WiFi

    W zależności od producenta kontrolery mogą być zlokalizowane na urządzeniu fizycznym jak Cisco Catalyst c9800-L, pracować w trybie virtual appliance jak Catalyst 9800-CL lub nawet na samym punkcie dostępowym. W dużych sieciach bezprzewodowych kontroler jest bardzo istotnym elementem.

    Pełni on dwie zasadnicze i najważniejsze funkcje w sieciach zbudowanych na bazie dobrych praktyk.

    Kontroler sieci WiFi – fizyczny czy wirtualny?

    Pierwszą funkcją jest tzw. Radio Resource Management albo RRM. 

    Jest to funkcja, dzięki której opisane powyżej problemy radiowe są automatycznie minimalizowane.

    Przykładem może być praca na konkretnych kanałach radiowych wielu access pointów rozlokowanych np. w open space lub na piętrze budynku z dużą gęstością użytkowników. Kontroler sieci bezprzewodowej jest w stanie zebrać informacje radiowe podłączonych do niego punktów dostępowych. Następnie ustawi ich parametry radiowe, w szczególności numery kanałów tak, aby nie dochodziło do nakładania się kanałów tzw. channel overlapping.

    Innym przykładem działania radio Resource Management jest dopasowywanie mocy AP w sposób automatyczny.  Dzięki temu sygnał rozpropagowany z access pointa nie wychodzi poza konkretny obszar środowiska radiowego lub jest na tyle znikomy,  że pozwala na płynną pracę użytkowników podłączonych do sąsiedniego access pointa.

    Drugim istotnym zadaniem kontrolera sieci bezprzewodowej jest centralizacja konfiguracji całej sieci bezprzewodowej oraz wymiana informacji z systemami zewnętrznymi takimi jak serwery Radius.

    Dzięki takiemu podejściu możliwe staje się zarządzanie dużą ilością punktów dostępowych w różnych lokalizacjach firmy.  W warunkach, które nie pozwoliłyby na opanowanie sieci radiowej ręcznie.

    Należy podkreślić, że sieć bezprzewodowa jest siecią dynamiczną, podatną na zmieniające się warunki radiowe. Wpływ na jej funkcjonowanie mogą mieć np. urządzenia AGD, urządzenia peryferyjne, przemieszczanie terminali i użytkowników, a także inne zjawiska.

    Podsumowanie

    Jak wynika z badania Grandmetric przeprowadzonego w 2021r. wśród firm produkcyjnych, stabilność i szybkość sieci Wi-Fi ma kluczowe znaczenie dla funkcjonowania przedsiębiorstwa. Na drugim miejscu plasują się skalowalność i zabezpieczenia. Jak wiemy z powyższego artykułu, stabilność i bezpieczeństwo są ze sobą ściśle powiązane.

    Nowoczesne mechanizmy kontroli dostępu do sieci w połączeniu z łatwo zarządzalnym kontrolerem do sterowania punktami dostępowymi to duet niezbędny w stabilnych i skalowalnych sieciach Wi-Fi.

    Autor

    Marcin Bialy

    Architekt systemów sieciowych i bezpieczeństwa IT. Prowadził duże projekty transformacyjne u klientów z branży bankowości, sektora enterprise, produkcji oraz instytucji państwowych. Spędził setki godzin przy konfiguracji, diagnostyce i projektowaniu sieci IP. Jest autorem kursów, workbook’ów do szkoleń autorskich Grandmetric i organizatorem inicjatyw takich jak Network & Wireless meetup zrzeszających społeczność specjalistów sieciowych. Jego specjalizacje obejmują obszar Network Security, Routing & Switching. Marcin posiada certyfikaty Cisco CCSI#35269, CCNP, CCNA. Był także był jednym z pierwszych inżynierów w Polsce uzyskując certyfikat FCNSP#7207 (dzisiejsza ścieżka NSE).

    Dodaj komentarz

    Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *


    Grandmetric: Network & Security