Razumijevanje pretnji i zaštita vaše mreže od njih
Pogodnost po ceni
Povoljnost bežičnih mreža dolazi s cijenom. Žičan mrežni pristup se može kontrolisati jer se podaci nalaze u kablovima koji povezuju računar sa prekidačem. Sa bežičnom mrežom, "kablovanje" između računara i prekidača se zove "vazduh", koji svaki uređaj u dometu potencijalno može pristupiti. Ako korisnik može da se poveže sa bežičnom pristupnom tačkom od 300 metara dalje, onda u teoriji tako može i bilo ko drugi unutar radijusa od 300 stopa bežične pristupne tačke.
Pretnje Bezbednosnoj mreži
- Rogue WLAN - Da li vaše preduzeće ima zvanično sankcionisanu bežičnu mrežu ili ne, bežični ruteri su relativno jeftini, a ambiciozni korisnici mogu priključiti neovlašćenu opremu u mrežu. Ove bežične mreže mogu biti nesigurne ili nepropisno osigurane i predstavljaju opasnost za mrežu uopšte.
- Spoofing interne komunikacije - Napadi van mreže mogu se obično identificirati kao takvi. Ako napadač može da se poveže sa vašom WLAN mrežom, oni mogu prevariti komunikacije koje izgledaju da dolaze iz internih domena. Korisnici mnogo verovatnije vjeruju i djeluju na omalovaženim internim komunikacijama.
- Krađa mrežnih resursa - Čak i ako napadač ne napada vaše računare ili ne ugrozi vaše podatke, oni se mogu povezati sa WLAN-om i ugroziti vašu mrežnu propusnost da surfuju putem Interneta. Oni mogu iskoristiti veći propusni opseg na većini mreža preduzeća za preuzimanje muzičkih i video klipova koristeći svoje dragocene mrežne resurse i uticaj na performanse mreže za vaše legitimne korisnike.
Zaštitite mrežu sa svoje WLAN mreže
Poboljšana sigurnost je odličan razlog za postavljanje WLAN mreže na vlastitu VLAN. Možete da dozvolite svim bežičnim uređajima da se povežu na WLAN, ali da ostatak vaše unutrašnje mreže zaštitite od bilo kog problema ili napada koji mogu doći na bežičnoj mreži.
Pomoću zaštitnog zida ili ACL rutera (kontrole pristupa) možete ograničiti komunikaciju između WLAN mreže i ostatka mreže. Ako povežete WLAN sa unutrašnjom mrežom putem web proxy-a ili VPN-a, čak možete ograničiti pristup bežičnim uređajima tako da oni mogu surfovati samo na Vebu ili su dozvoljeni samo za pristup određenim fasciklama ili aplikacijama.
Bezbedan WLAN pristup
Bežično šifrovanje
Jedan od načina za osiguranje neovlašćenih korisnika ne prisluškuje vašu bežičnu mrežu je šifrovanje vaših bežičnih podataka. Prvobitni metod šifriranja, WEP (privatna ekvivalentnost žičanim mrežama), u osnovi je pogrešan. WEP se oslanja na deljeni ključ ili lozinku, kako bi ograničio pristup. Svako ko zna WEP ključ može se pridružiti bežičnoj mreži. U WEP-u nije bilo mehanizama za automatsko mijenjanje ključa, a postoje dostupni alati koji mogu propustiti WEP ključ za nekoliko minuta, tako da neće trajati dugo za napadača da pristupi WEP-encrypted bežičnoj mreži.
Dok koristite WEP može biti nešto bolji nego što uopšte ne koristi enkripciju, nije dovoljno za zaštitu poslovne mreže. Sledeća generacija šifrovanja, WPA (Wi-Fi Protect Access), dizajnirana je za korištenje servera za potvrdu kompatibilnosti usaglašenosti 802.1X, ali se može pokrenuti slično WEP-u u PSK (Pre-Shared Key) režimu. Glavno poboljšanje od WEP-a do WPA-a je korištenje TKIP-a (Temporal Key Integrity Protocol), koji dinamički menja ključ kako bi spriječio vrste tehnike pucanja koje se koriste za prekidanje WEP šifriranja.
Čak i WPA je bio pristup pomoći grupaciji. WPA je bio pokušaj proizvođača bežičnih hardvera i softvera da sprovedu dovoljnu zaštitu dok čekaju zvanični 802.11i standard. Najnoviji oblik šifriranja je WPA2. WPA2 enkripcija pruža još složenije i sigurnije mehanizme uključujući CCMP, koji se zasniva na AES enkripcijskom algoritmu.
Kako biste zaštitili bežične podatke od presretanja i kako biste sprečili neovlašćeni pristup vašoj bežičnoj mreži, WLAN treba postaviti sa najmanje WPA šifriranjem, a poželjno WPA2 enkripcijom.
Bežična autentikacija
Pored šifriranja bežičnih podataka, WPA može da se povezuje sa 802.1X ili RADIUS serverima za potvrđivanje kako bi obezbedio sigurniji način kontrole pristupa WLAN-u. Tamo gde WEP ili WPA u PSK režimu omogućava virtuelno anoniman pristup svakom ko ima tačan ključ ili lozinku, 802.1X ili RADIUS autentikacija zahtijeva korisnicima da imaju validne akreditive za korisničko ime i lozinku ili važeći sertifikat za prijavljivanje u bežičnu mrežu.
Zahtevana provjera autentičnosti na WLAN-u obezbeđuje povećanu sigurnost ograničavajući pristup, ali takođe omogućava i evidenciju i forenzički trag za ispitivanje da li se nešto sumnjiči nastavlja. Dok bežična mreža zasnovana na deljenom ključu može prijaviti MAC ili IP adrese, te informacije nisu vrlo korisne kada je u pitanju određivanje osnovnog uzroka problema. Povećana poverljivost i integritet se takođe preporučuju, ukoliko nije potrebno, za mnoge mandate za usklađivanje sa bezbednošću.
Sa WPA / WPA2 i 802.1X ili RADIUS serverom za autentifikaciju, organizacije mogu koristiti različite protokole za potvrdu identiteta, kao što su Kerberos, MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) ili TLS (Security Layer Security) i koriste niz metode ovjeravanja vjerodostojnosti kao što su korisnička imena / lozinke, sertifikati, biometrijska autentikacija ili jednokratne lozinke.
Bežične mreže mogu povećati efikasnost, poboljšati produktivnost i učiniti umrežavanje efikasnijom, ali ako se ne primjenjuju pravilno, oni mogu biti i Achillesova štitnost vaše mrežne sigurnosti i izložiti celu organizaciju kompromisu. Odložite vreme da biste razumeli rizike i kako osigurati svoju bežičnu mrežu tako da vaša organizacija može iskoristiti pogodnost bežične veze bez stvaranja mogućnosti za kršenje bezbednosti.