Obchodní cestující využívají čekací dobu sbíráním informací na internetu a elektronickou poštovní komunikací pomocí internetu prostřednictvím přenosných počítačů. Také různé podniky poskytují stále častěji zaměstnancům pohodlnou síťovou komunikaci v kanceláři i v ostatních prostorách pokrytých sítí WLAN. Pro přístup k bezdrátové síti WLAN potřebuje mít uživatel ve svém notebooku nebo PDA (osobní digitální asistent) nainstalovánu příslušnou PC kartu pro systém WLAN.
Dále je nutné zabezpečit, ze strany provozovatele sítě, vhodný přístupový bod pro komunikaci se sítí. Tento přístupový bod je zpravidla tvořen řídící jednotkou WLAN, která má na starosti dohled nad veškerou komunikací mezi serverem v síti LAN nebo WAN, a bezdrátově připojeným počítačem uživatele.
Možnosti zabezpečení v síti WLAN
Výrobci zabezpečovací techniky pro sítě WLAN nabízí v současné době různá programová řešení zabezpečení provozu těchto systémů. Kromě nich se doporučuje použít i další opatření ke zvýšení bezpečnosti sítí. Podobně jako u klasických kabelových sítí se, k ochraně před možným útokem na bezpečnost provozu u těchto instalací, používá digitální podpis a šifrování uživatelských dat. Uživatel musí být vázán povinností neposkytovat registrované karty sítě WLAN dalším osobám. Případnou ztrátu těchto karet musí ohlásit na příslušném místě. Rovněž je nutné přistupovat k bezpečnostním informacím, např. konto, heslo nebo šifrovací klíč, jako k důvěrným informacím.
Legenda: Remote user – vnější uživatel, Anti-Virus Emergency Response-Team – Antivirová pracovní skupina, Desktop protection – ochrana PC, File-Server Protection – ochrana serveru, Management Solution – řízení ochrany, E-mail Server Protection – ochrana poštovního serveru, Wireless Protection – ochrana bezdrátového připojení, AVERT – zábrana, Internet Gateway Protection – ochrana internetové brány
Útoky na prolomení bezpečnosti zvenku jsou zatím poměrně časté. U sítí WLAN se v současnosti používá šifrovací technika WEP standard (Wired-Equivalent-Privacy) využívající algoritmus RC4 s proudovou šifrou pseudonáhodných čísel.
Nevýhodou technologie WEP je manuální správa klíčů, chybějící autentizace uživatelem a malá bezpečnost 40 bitových klíčů (WEP64). V současnosti již existuje klíč 104-bit (WEP 128). Tento klíč však není podporován u všech HW prvků. U nových systémů infrastruktury je proto třeba používat prvky kompatibilní se soustavami WEP64 a WEP 128. Jedinou výhodou techniky WEP je použitelnost v každém přístroji splňujícím standard 802.11b a její nezávislost na použitém programovém vybavení. Použití WEP je vždy lepší než vůbec žádné klíčování.
V budoucnosti je třeba počítat se standardem WEP2, který používá pokročilejší metodu klíčování. Kromě šifrovacího klíče přispívá ke zvýšení bezpečnosti i postup přístupu k síti. Pomocí identifikace SSID (Service-Set-Identifier) je bezdrátový síťový segment označen jménem uživatele. Podobně jako v případě hesla musí být pro přístup do sítě známé jméno uživatele. U velkých sítí se pak ale jedná spíše o veřejné tajemství. Dále lze testovat povolení přístupu jednotlivých klientů pomocí výběru adres systémem MAC Address Filtering. U systému MAC (Media-Access-Control – řízení přístupu na médium) je pevná adresa zadána příslušnému zařízení již při výrobě.
Seznam adres může být centrálně uložen na serveru RADIUS (Remote-Authentication-Dial-in-User-Service – vzdálená autentizace uživatele na komutované lince). Předpokladem je ovšem použití specifikovaných síťových karet. K RADIUS-serveru může být připojena i IPSec-brána zabezpečující přístup na internet pomocí bezpečného protokolu (IPSec). Doporučuje se rovněž nepovolit přístup v síti WLAN na disky jednotlivých klientů a zamezit tak případným počítačovým pirátům přístup k jejich datům.
Zabezpečení přechodu k síti IP
K zajištění bezpečnosti sítí WLAN jsou nabízena dvě doplňující řešení. Jedním z nich je analytický systém firmy Sniffer-Technologies určený pro monitorování provozu sítě s poplachovým hlášením zjištěných anomálií. V druhém případě se používá řešení pomocí systému Intrusion-Detection nebo Intrusion-Prevention u síťového rozhraní. Druhá varianta bude blíže popsána v následujících odstavcích.
Řešení nabízená firmou Sniffer-Technologies mohou být použita pro zvýšení bezpečnosti provozu sítí WLAN jak v síti podnikové, tak i veřejné. Zabezpečení bezdrátových sítí systémem Sniffer Portable Wireless nabízí v aktuální verzi, kromě analýzy a kontroly bezpečnosti sítí dle standardu 802.11b, též podporu topologie dle standardu 802.11a. Důraz je kladen na funkčnost zařízení ve smyslu kontroly sítě, analýzy kritických míst a výkon síťových aplikací jakož i na WEP. Kromě toho detekuje systém Sniffer-Portable-Wireless v reálném čase bezpečnostní rizika a účinně řeší správu bezdrátových sítí včetně zjišťování případných problémů. Všechna zmíněná kritéria pozitivně přispívají k plánování sítí a snižují jejich provozní náklady.
Lokalizace kritických míst v sítích WLAN
Jednou z funkcí systému Sniffer je například identifikace potenciálních bezpečnostních děr v reálném čase nebo automatické sledování jednotlivých kanálů (Channel-Surfmg). Identifikace v reálném čase odkrývá neautorizované přístupové body v bezdrátových sítích. Testování zahrnuje všechny mobilní přístroje. Provozovatel sítě získá všechny potřebné informace pro preventivní eliminaci bezpečnostních děr v síti. Pomocí funkce Channel-Surfing je získán přehled o provozu v síti i o všech klientech připojených k bezdrátové síti. Na základě diagramů Wireless-Matrix může administrátor bez problémů identifikovat nápadné Roaming-konfigurace a přetížené přístupové body. Současně lze tímto způsobem, při WEP dekódování v reálném čase, odstraňovat závady ve vyšších síťových vrstvách. Při analýze v reálném čase jsou shromažďována aktuální data. Na základě jejich zpracování je možno dosáhnout odstranění neautorizovaných přístupových bodů a interferenčního rušení na radiových frekvencích a tím i zrychlení datového přenosu.
Rychlé a jednoduché řešení bezpečnosti sítí
Firma Network Associates uvedla na trh svůj nový produkt pro analýzu počítačových sítí. Vývoj programového vybavení pro Netasyst Network Analyzer byl svěřen firmě Sniffer-Technologies. Malé a střední organizace i servisní firmy získaly přístup k typu multifunkčního zařízení, jaký používají velké podniky pro plánování, správu a zabezpečení rozvíjejících se počítačových sítí.
Pomocí analyzátoru získají malé a střední firmy dostupné řešení sloužící ke sledování toku dat v síti a k ochraně sítě. Využitím volitelného modulu pro expertní analýzu (Experten-Analyse-System) mohou lokalizovat příčiny problémů v síti, účinným způsobem vzniklé potíže definovat a posléze eliminovat.
IT manažeři malých a středních firem mají sice velkou zodpovědnost, ale jejich rozpočty jsou bohužel často omezené. Rychlé zavádění výše uvedených prostředků pro ochranu a spolehlivý provoz sítí je proto velmi důležité. Síťový analyzátor Netasyst poskytuje jako multifunkční přístroj prostředky pro operativní řešení případných problémů, rozšíření současných bezpečnostních mechanizmů a zvýšení výkonu sítě. Programové vybavení zjišťuje požadavky síťových aplikací a pomáhá řešit případné problémy vzniklé na straně serveru nebo používaných programů. Odhaluje rovněž chybné konfigurace pracovních stanic, rozbočovačů nebo serverů. Netasyst doplňuje stávající bezpečnostní prvky jako je firewall, antivirový software, VPN nebo Intrusion-Detection a Intrusion-Prevention.
Netasyst rovněž zjišťuje veškeré počítače napadené viry nebo červy, čímž snižuje případné náklady a časové ztráty vzniklé jejich škodlivým působením. Administrátorovi sítě poskytuje informace o chování uživatelů sítě, případných aplikacích příliš zatěžujících síť a tudíž snižujících její propustnost.
Dosavadní účinné postupy poskytované firmou Sniffer-Technologies mohou nyní spolu se systémem Netasyst poskytnout servisním pracovníkům výkonný prostředek pro zvyšování výkonnosti a spolehlivosti počítačových sítí. K dispozici je řešení umožňující zpřístupnit každému technikovi cenově výhodný přístroj minimalizující náklady na případná školení. Kombinace bezdrátové sítě Sniffer-Portable-Wireless a nového analyzátoru Netasyst-Network-Analyzer poskytuje provozovatelům sítě okamžité efektivní řešení problémů spojených s plánováním, provozem a údržbou bezdrátových sítí včetně analýzy případných bezpečnostních rizik. Takto provozovaná síť umožňuje účinnou preventivní ochranu před případnými poruchami. Celkové náklady na provoz sítě značně klesnou při současném zachování bezpečnosti provozu.
Primární blokovací ochrana Intrusion-Prevention
Ochrana Intrusion-Prevention poskytuje dodatečné zabezpečení internetového rozhraní, pro poskytovatele služeb pak kompletní ochranu sítě WLAN. Pomocí IntruShield-Appliance od společnosti Network Associates lze včas rozpoznat a eliminovat závadná data nebo plán útoku na síť.
Architektura IntruShield-Appliance zabezpečuje síťové prvky i servery. Odpadá zdlouhavé extrahování identifikovaných událostí a následné vytváření vzorových aktualizovaných souborů. Systémy Intrusion-Prevention jsou na rozdíl od systémů Intrusion-Detection přímo uvnitř sítě spolu se všemi síťovými komponenty. Mohou lépe sledovat tok datových bloků. Celkové fungování sítě, včetně vazby na probíhající akce, se stává transparentní. Bloky dat, detekované systémem jako nepodezřelé, jsou předávány dále jako ve známé dvou nebo třívrstvové architektuře.
Je-li naopak datový tok podezřelý, mohou být spuštěny nejrůznější volně definované akce sloužící k ochraně sítě a k zachování všech jejích požadovaných funkcí.
IntruShield-Appliance zabraňuje jako Intrusion-Prevention systém internímu i externímu napadení
Intrusion-Prevention blokuje v reálném čase útoky na síť
Intrusion-Prevention-System (IPS) nesmí ovlivňovat zdroje v síti a tok dat. Běh programů nesmí být zatěžován případnými latentními časy. Veškerá blokování nežádoucích aktivit musí probíhat v reálném čase. Provoz sítě z hlediska rychlosti nemá negativní vliv na její výkon a disponibilitu.
Výše uvedené požadavky mohou být splněny použitím rychlých procesorů ve všech kritických obvodech sloužících pro zabezpečení provozu sítě a její bezpečnosti. Metoda Intrusion-Detection je založena na použití speciálního programového vybavení. U síťového systému IPS se často používá řešení pomocí technického vybavení.
Systém Intrusion-Prevention blokuje nebezpečné a škodlivé síťové aktivity pomocí různých algoritmů. K ochraně před napadením sítě, využitím šablony popisového vzoru jako u systému Intrusion-Detection, slouží rovněž dodatečně inteligentní algoritmy založené na rozpoznání různých anomálií.
Systém Intrusion-Prevention musí být navíc schopen rozlišit reálné napadení sítě od normálních síťových aktivit. Problém je možné řešit nasazením systému Intrusion-Detection jako vstupního filtru pro detekci abnormálních aktivit.
Systém Intrusion-Prevention pak převezme funkci inteligentního zpracování dalšího datového procesu. Firma Network Associates vyvinula pro oba klíčové body sítě vhodná bezpečnostní řešení: pro síť McAfee IntruShield, pro hostitelský počítač pakMcAfee Entercept. Systém Intrusion-Prevention musí rovněž poskytovat prostředky pro obsáhlý záznam veškeré činnosti včetně poplašné signalizace. Signalizace poplachu může být například vyvedena současně i na zvláštní rozhraní pro okamžitou analýzu.
Průběžné monitorování datového toku pomocí systému Intrusion-Prevention může být velice užitečné pro diagnostiku sítě.
Více se dočtete na serveru Telnet.cz
