Dziesięć przykazań bezpiecznego WLAN

2008-09-30 00:00:00 +0100

  1. Zmień ESSID sieci na nic nie mówiący ciąg znaków. ESSID jest rozgłaszany przez AP co sekundę i jest widoczny nawet do kilku kilometrów od Twojej lokalizacji. Zmień ESSID na przypadkowe słowo i powiedz o tym swoim użytkownikom. Dzięki temu przypadkowy podsłuchiwacz nie powiąże od razu nazwy sieci z nazwą Twojej firmy co odsieje przypadkowych ciekawskich. Całkowite wyłączenie rozgłąszania ESSID nie jest wskazane bo może mieć negatywny wpływ na wydajność sieci.

     

  2. Koniecznie włącz szyfrowanie. Najlepsze dla małej sieci będzie WPA2-PSK, wtedy każdy klient będzie musiał znać jedno wspólne hasło dostępu do sieci (PSK). Dla sieci z wieloma użytkownikami lepsze będzie WPA2 z zewnętrznym serwerem Radius, który umożliwia ustawienie każdemu innego hasła. Jeśli nie masz WPA2 to WPA też będzie dobrym zabezpieczeniem, pod warunkiem że nie wybierzesz słabego hasła.

  3.  

  4. WEP jest martwy - złamanie szyfrowania WEP przy pomocy współczesnych narzędzi zajmuje około 5 minut. Długość klucza (40 czy 128 bitów) nie ma tutaj znaczenia. Jedyne na co możesz liczyć korzystając z WEP to to, że podsłuchiwacz wybierze jednak sieć, która w ogóle nie ma zabezpieczeń.

     

  5. Włącz szyfrowanie dla WSZYSTKICH Access Pointów. Jedno niezabezpieczone połączenie może ujawnić włamywaczowi wiele informacji.

     

  6. Traktuj ESSID jak hasło. Nawet jeśli masz wyłączone rozgłaszanie ESSID, jest wiele programów błyskawicznie zgadujących prosty ESSID na podstawie słownika. Przypadkowy ESSID (np. "CyprMalajka") nie jest trudny do wpisania, a bardzo przedłuża zgadywanie albo w ogóle je uniemożliwia.

     

  7. Stosuj trudne do zgadnięcia hasła. Nawet w przypadku WPA i WEP jest możliwe zgadnięcie hasła. Automatyczne słowniki mogą zgadywać tysiące haseł na sekundę. Dla WPA stosuj bezpieczne hasła będące zbitkami kilku słów z cyframi i innymi znakami (kropka, kreska, plus). Dzięki temu będą i odporne na zgadnięcie i łatwe do wpisywania dla użytkowników. Jeśli używasz WEP - hasło dla 40-bitowego WEP powinno mieć około 20 znaków, a dla 128-bitowego - niemal 85 znaków (wiele urządzeń dopuszczan nawet hasła do 128 znaków).

     

  8. Nie zapomnij o zabezpieczeniu koncentratora WLAN. Większość AP przychodzi z domyślnymi hasłami lub w ogóle bez haseł na telnet, SNMP czy zarządzanie po WWW. Pozwala to włamywaczowi bez wysiłku poznać hasła WEP i konfigurację sieci. Zawsze zmieniaj domyślne hasła urządzeń dostępowych i ograniczaj dostęp do nich po adresach MAC lub adresach IP.

     

  9. Od czasu do czasu testuj bezpieczeństwo swojej sieci. Sprawdzaj czy nie pojawiły się nieautoryzowane stacje, czy w sieci nie pojawiają się nieszyfrowane pakiety i czy ESSID nie "wycieka" przez którąś ze stacji roboczych lub AP.

     

  10. Postaw AP za firewallem. Nie podłączaj AP bezpośrednio do okablowania strukturalnego lub serwera. Postaw go za firewallem, stosując choćby minimalne filtrowanie ruchu generowanego przez stacje, które - w razie włamania do WLAN - będą przecież należeć do włamywacza.

     

  11. Do ochrony poważnych danych stosuj poważne protokoły takie jak IPSec. WEP zawsze będzie zabezpieczeniem słabym, a do tego powoduje spadek wydajności WLAN. Jeśli w Twojej sieci przesyłane są ważne dane technologiczne lub biznesowe, rozważ skorzystanie z IPSec.

Rada na koniec: korzystaj ze wszystkich dostępnych zabezpieczeń na które możesz sobie pozwolić, choćby i najprostszych. Zabezpieczenie proste lub słabe jest zawsze lepsze niż żadne. Pamiętaj, że 90% skutecznych włamań do sieci WLAN jest rezultatem braku jakichkolwiek zabezpieczeń.

Polecamy także artykuł Sieć nie do ukrycia w Computer World.