Ochraňte si svou Wi-Fi síť!

Sítě s technologií WLAN už najdete ve velké řadě hotelů, v letištních halách, ale i na nádražích a nebo v hospodách. Jejich citlivým bodem je bezpečnost. Jak ji zaručit? Jak těžké je zajistit bezpečnost bezdrátové sítě?

Obchodní cestující využívají čekací dobu sbíráním informací na internetu a elektronickou poštovní komunikací pomocí internetu prostřednictvím přenosných počítačů. Také různé podniky poskytují stále častěji zaměstnancům pohodlnou síťovou komunikaci v kanceláři i v ostatních prostorách pokrytých sítí WLAN. Pro přístup k bezdrátové síti WLAN potřebuje mít uživatel ve svém notebooku nebo PDA (osobní digitální asistent) nainstalovánu příslušnou PC kartu pro systém WLAN.

Dále je nutné zabezpečit, ze strany provozovatele sítě, vhodný přístupový bod pro komunikaci se sítí. Tento přístupový bod je zpravidla tvořen řídící jednotkou WLAN, která má na starosti dohled nad veškerou komunikací mezi serverem v síti LAN nebo WAN, a bezdrátově připojeným počítačem uživatele.

Možnosti zabezpečení v síti WLAN

Výrobci zabezpečovací techniky pro sítě WLAN nabízí v současné době různá programová řešení zabezpečení provozu těchto systémů. Kromě nich se doporučuje použít i další opatření ke zvýšení bezpečnosti sítí. Podobně jako u klasických kabelových sítí se, k ochraně před možným útokem na bezpečnost provozu u těchto instalací, používá digitální podpis a šifrování uživatelských dat. Uživatel musí být vázán povinností neposkytovat registrované karty sítě WLAN dalším osobám. Případnou ztrátu těchto karet musí ohlásit na příslušném místě. Rovněž je nutné přistupovat k bezpečnostním informacím, např. konto, heslo nebo šifrovací klíč, jako k důvěrným informacím.

 


Legenda: Remote user – vnější uživatel, Anti-Virus Emergency Response-Team – Antivirová pracovní skupina, Desktop protection – ochrana PC, File-Server Protection – ochrana serveru, Management Solution – řízení ochrany, E-mail Server   Protection – ochrana poštovního serveru, Wireless Protection – ochrana bezdrátového připojení, AVERT – zábrana, Internet Gateway Protection – ochrana internetové brány  

Útoky na prolomení bezpečnosti zvenku jsou zatím poměrně časté. U sítí WLAN se v současnosti používá šifrovací technika WEP standard (Wired-Equivalent-Privacy) využívající algoritmus RC4 s proudovou šifrou pseudonáhodných čísel.

Nevýhodou technologie WEP je manuální správa klíčů, chybějící autentizace uživatelem a malá bezpečnost 40 bitových klíčů (WEP64). V současnosti již existuje klíč 104-bit (WEP 128). Tento klíč však není podporován u všech HW prvků. U nových systémů infrastruktury je proto třeba používat prvky kompatibilní se soustavami WEP64 a WEP 128. Jedinou výhodou techniky WEP je použitelnost v každém přístroji splňujícím standard 802.11b a její nezávislost na použitém programovém vybavení. Použití WEP je vždy lepší než vůbec žádné klíčování.

V budoucnosti je třeba počítat se standardem WEP2, který používá pokročilejší metodu klíčování. Kromě šifrovacího klíče přispívá ke zvýšení bezpečnosti i postup přístupu k síti. Pomocí identifikace SSID (Service-Set-Identifier) je bezdrátový síťový segment označen jménem uživatele. Podobně jako v případě hesla musí být pro přístup do sítě známé jméno uživatele. U velkých sítí se pak ale jedná spíše o veřejné tajemství. Dále lze testovat povolení přístupu jednotlivých klientů pomocí výběru adres systémem MAC Address Filtering. U systému MAC (Media-Access-Control – řízení přístupu na médium) je pevná adresa zadána příslušnému zařízení již při výrobě.

Seznam adres může být centrálně uložen na serveru RADIUS (Remote-Authentication-Dial-in-User-Service – vzdálená autentizace uživatele na komutované lince). Předpokladem je ovšem použití specifikovaných síťových karet. K RADIUS-serveru může být připojena i IPSec-brána zabezpečující přístup na internet pomocí bezpečného protokolu (IPSec). Doporučuje se rovněž nepovolit přístup v síti WLAN na disky jednotlivých klientů a zamezit tak případným počítačovým pirátům přístup k jejich datům.

Zabezpečení přechodu k síti IP

K zajištění bezpečnosti sítí WLAN jsou nabízena dvě doplňující řešení. Jedním z nich je analytický systém firmy Sniffer-Technologies určený pro monitorování provozu sítě s poplachovým hlášením zjištěných anomálií. V druhém případě se používá řešení pomocí systému Intrusion-Detection nebo Intrusion-Prevention u síťového rozhraní. Druhá varianta bude blíže popsána v následujících odstavcích.

Řešení nabízená firmou Sniffer-Technologies mohou být použita pro zvýšení bezpečnosti provozu sítí WLAN jak v síti podnikové, tak i veřejné. Zabezpečení bezdrátových sítí systémem Sniffer Portable Wireless nabízí v aktuální verzi, kromě analýzy a kontroly bezpečnosti sítí dle standardu 802.11b, též podporu topologie dle standardu 802.11a. Důraz je kladen na funkčnost zařízení ve smyslu kontroly sítě, analýzy kritických míst a výkon síťových aplikací jakož i na WEP. Kromě toho detekuje systém Sniffer-Portable-Wireless v reálném čase bezpečnostní rizika a účinně řeší správu bezdrátových sítí včetně zjišťování případných problémů. Všechna zmíněná kritéria pozitivně přispívají k plánování sítí a snižují jejich provozní náklady.

Lokalizace kritických míst v sítích WLAN

Jednou z funkcí systému Sniffer je například identifikace potenciálních bezpečnostních děr v reálném čase nebo automatické sledování jednotlivých kanálů (Channel-Surfmg). Identifikace v reálném čase odkrývá neautorizované přístupové body v bezdrátových sítích. Testování zahrnuje všechny mobilní přístroje. Provozovatel sítě získá všechny potřebné informace pro preventivní eliminaci bezpečnostních děr v síti. Pomocí funkce Channel-Surfing je získán přehled o provozu v síti i o všech klientech připojených k bezdrátové síti. Na základě diagramů Wireless-Matrix může administrátor bez problémů identifikovat nápadné Roaming-konfigurace a přetížené přístupové body. Současně lze tímto způsobem, při WEP dekódování v reálném čase, odstraňovat závady ve vyšších síťových vrstvách. Při analýze v reálném čase jsou shromažďována aktuální data. Na základě jejich zpracování je možno dosáhnout odstranění neautorizovaných přístupových bodů a interferenčního rušení na radiových frekvencích a tím i zrychlení datového přenosu.

Rychlé a jednoduché řešení bezpečnosti sítí

Firma Network Associates uvedla na trh svůj nový produkt pro analýzu počítačových sítí. Vývoj programového vybavení pro Netasyst Network Analyzer byl svěřen firmě Sniffer-Technologies. Malé a střední organizace i servisní firmy získaly přístup k  typu multifunkčního zařízení, jaký používají velké podniky pro plánování, správu a zabezpečení rozvíjejících se počítačových sítí.

Pomocí analyzátoru získají malé a střední firmy dostupné řešení sloužící ke sledování toku dat v síti a k ochraně sítě. Využitím volitelného modulu pro expertní analýzu (Experten-Analyse-System) mohou lokalizovat příčiny problémů v síti, účinným způsobem vzniklé potíže definovat a posléze eliminovat.

IT manažeři malých a středních firem mají sice velkou zodpovědnost, ale jejich rozpočty jsou bohužel často omezené. Rychlé zavádění výše uvedených prostředků pro ochranu a spolehlivý provoz sítí je proto velmi důležité. Síťový analyzátor Netasyst poskytuje jako multifunkční přístroj prostředky pro operativní řešení případných problémů, rozšíření současných bezpečnostních mechanizmů a zvýšení výkonu sítě. Programové vybavení zjišťuje požadavky síťových aplikací a pomáhá řešit případné problémy vzniklé na straně serveru nebo používaných programů. Odhaluje rovněž chybné konfigurace pracovních stanic, rozbočovačů nebo serverů. Netasyst doplňuje stávající bezpečnostní prvky jako je firewall, antivirový  software, VPN nebo Intrusion-Detection a Intrusion-Prevention.

Netasyst rovněž zjišťuje veškeré počítače napadené viry nebo červy, čímž snižuje případné náklady a časové ztráty vzniklé jejich škodlivým působením. Administrátorovi sítě poskytuje informace o chování uživatelů sítě, případných aplikacích příliš zatěžujících síť a tudíž snižujících její propustnost.

Dosavadní účinné postupy poskytované firmou Sniffer-Technologies mohou nyní spolu se systémem Netasyst poskytnout servisním pracovníkům výkonný prostředek pro zvyšování výkonnosti a spolehlivosti počítačových sítí. K dispozici je řešení umožňující zpřístupnit každému technikovi cenově výhodný přístroj minimalizující náklady na případná školení. Kombinace bezdrátové sítě Sniffer-Portable-Wireless a nového analyzátoru Netasyst-Network-Analyzer poskytuje provozovatelům sítě okamžité efektivní řešení problémů spojených s plánováním, provozem a údržbou bezdrátových sítí včetně analýzy případných bezpečnostních rizik. Takto provozovaná síť umožňuje účinnou preventivní ochranu před případnými poruchami. Celkové náklady na provoz sítě značně klesnou při současném zachování bezpečnosti provozu.

Primární blokovací ochrana Intrusion-Prevention

Ochrana Intrusion-Prevention poskytuje dodatečné zabezpečení internetového rozhraní, pro poskytovatele služeb pak kompletní ochranu sítě  WLAN. Pomocí IntruShield-Appliance od společnosti Network Associates lze včas rozpoznat a eliminovat závadná data nebo plán útoku na síť.

Architektura IntruShield-Appliance zabezpečuje síťové prvky i servery. Odpadá zdlouhavé extrahování identifikovaných událostí a následné vytváření vzorových aktualizovaných souborů. Systémy Intrusion-Prevention jsou na rozdíl od systémů Intrusion-Detection přímo uvnitř sítě spolu se všemi síťovými komponenty. Mohou lépe sledovat tok datových bloků. Celkové fungování sítě, včetně vazby na probíhající akce, se stává transparentní. Bloky dat, detekované systémem jako nepodezřelé, jsou předávány dále jako ve známé dvou nebo třívrstvové architektuře.

Je-li naopak datový tok podezřelý, mohou být spuštěny nejrůznější volně definované akce sloužící k ochraně sítě a k zachování všech jejích požadovaných funkcí.

IntruShield-Appliance zabraňuje jako Intrusion-Prevention systém internímu i externímu napadení

Intrusion-Prevention blokuje v reálném čase útoky na síť

Intrusion-Prevention-System (IPS) nesmí ovlivňovat zdroje v síti a tok dat. Běh programů nesmí být zatěžován případnými latentními časy. Veškerá blokování nežádoucích aktivit musí probíhat v reálném čase. Provoz sítě z hlediska rychlosti nemá negativní vliv na její výkon a disponibilitu.

Výše uvedené požadavky mohou být splněny použitím rychlých procesorů ve všech kritických obvodech sloužících pro zabezpečení provozu sítě a její bezpečnosti. Metoda Intrusion-Detection je založena na použití speciálního programového vybavení. U síťového systému IPS se často používá řešení pomocí technického vybavení.

Systém Intrusion-Prevention blokuje nebezpečné a škodlivé síťové aktivity pomocí různých algoritmů. K ochraně před napadením sítě, využitím šablony popisového vzoru jako u systému Intrusion-Detection, slouží rovněž dodatečně inteligentní algoritmy založené na rozpoznání různých anomálií.

Systém Intrusion-Prevention musí být navíc schopen rozlišit reálné napadení sítě od normálních síťových aktivit. Problém je možné řešit nasazením systému Intrusion-Detection jako vstupního filtru pro detekci abnormálních aktivit.

Systém Intrusion-Prevention pak převezme funkci inteligentního zpracování dalšího datového procesu. Firma Network Associates vyvinula pro oba klíčové body sítě vhodná bezpečnostní řešení: pro síť McAfee IntruShield, pro hostitelský počítač pakMcAfee Entercept. Systém Intrusion-Prevention musí rovněž poskytovat prostředky pro obsáhlý záznam veškeré činnosti včetně poplašné signalizace. Signalizace poplachu může být například vyvedena současně i na zvláštní rozhraní pro okamžitou analýzu.

Průběžné monitorování datového toku pomocí systému Intrusion-Prevention může být velice užitečné pro diagnostiku sítě.

Více se dočtete na serveru Telnet.cz

Autor:
  • Nejčtenější

V květnu se zřejmě vrátí ikonická Nokia 3210, kdysi to byl přelomový model

24. března 2024  8:01

Současný vlastník značky Nokia na poli mobilních telefonů, firma HMD (Human Mobile Devices –...

Banka spustila mobilní datové balíčky. Funguje to i zákazníkům z Česka

26. března 2024  12:06

Virtuální banka Revolut spouští virtuálního celosvětového operátora. Zákazníci si mohou kupovat...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Z bídného začátku roku se radují. Vypadá to na velký návrat

21. března 2024  7:02

Zřejmě to vypadá na velký návrat. Huawei začíná drtit své domácí konkurenty, přitom jeho produkty...

Trvalo to. Nový nejlepší fotomobil světa konečně koupíte i v Česku

26. března 2024  7:02

Konečně nastává situace, že nejlepší fotomobil v žebříčku DxO Mark je dostupný i na našem trhu....

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Pochlubili se, že se pochlubí. Značky ze sebe dělají slibotechny

25. března 2024  7:02

Jedním z trochu nečekaných trendů veletrhu MWC v Barceloně se stala oznámení o tom, že firmy nějaké...

Nová cenově dostupná stylovka vás může dostat na fotbalové Euro

29. března 2024

Vivo má nový smartphone střední třídy, který má velké ambice. Za rozumnou cenu nabídne nejen dobrou...

Toho telefonu je pouze pro Čínu škoda. Udělal by parádu i u nás

28. března 2024  12:06

Xiaomi má nový trhák. Model Civi 4 Pro trhá předprodejní rekordy, ale jen na domácím čínském trhu....

U foťáků se blýská na lepší časy, naznačuje výsledek testu nového xiaomi

28. března 2024  7:02

Čínská značka Xiaomi trochu na poli fotomobilů v uplynulých letech tápala. Ukazuje to mimo jiné...

Kartónek Steva Jobse se vydražil za neuvěřitelnou sumu

28. března 2024

Vizitku slavného ředitele společnosti Apple si někdo pořídil za pořádný balík peněz. Přidanou...

FOR KIDS by měl být zážitkem pro celou rodinu, říká Monika
FOR KIDS by měl být zážitkem pro celou rodinu, říká Monika

Monika Pavlíčková (35 let) je maminkou dvou dcer, sedmileté Terezy a čtyřleté Laury, a zároveň také manažerkou obchodního týmu společnosti ABF,...

Smoljak nechtěl Sobotu v Jáchymovi. Zničil jsi nám film, řekl mu

Příběh naivního vesnického mladíka Františka, který získá v Praze díky kondiciogramu nejen pracovní místo, ale i...

Rejžo, jdu do naha! Balzerová vzpomínala na nahou scénu v Zlatých úhořích

Eliška Balzerová (74) v 7 pádech Honzy Dědka přiznala, že dodnes neví, ve který den se narodila. Kromě toho, že...

Pliveme vám do piva. Centrum Málagy zaplavily nenávistné vzkazy turistům

Mezi turisticky oblíbené destinace se dlouhá léta řadí i španělská Málaga. Přístavní město na jihu země láká na...

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo divadelních...

Stále víc hráčů dobrovolně opouští Survivor. Je znamením doby zhýčkanost?

Letošní ročník reality show Survivor je zatím nejkritizovanějším v celé historii soutěže. Může za to fakt, že už...