IT Business Online

Kevés olyan vállalkozás, szervezet, iskola – vagy akár internetet használó otthon – van ma már, amelyik ne használna vezeték nélküli hálózatot. Kiépítése sokkal olcsóbb, a hálózat rugalmasabban alakítható, a sebessége pedig érzékelhetően nem marad el a vezetékes változattól.

Egy valamiben azért mégis erőteljesen különböznek: a vezeték nélküli hálózat forgalma adott hatókörön belül mindenki számára fogható, nem csak a címzett láthatja. Ennek pedig a hálózat biztonságára és biztonságossá tételére nézve is vannak következményei. A vezeték nélküli hálózatok azonban alapvetően nem kevésbé biztonságosak, csak éppen figyelembe kell venni ezeket a különbségeket. A következő öt lépés segíthet a wlan-ok biztonságának garantálásában.

Biztonsági politika

Addig nem lehet garantálni a biztonságot, amíg nem definiáljuk, hogy mit is értünk biztonság alatt: milyen viselkedést várunk el a felhasználóktól és a rendszergazdáktól, milyen intézkedésekkel védjük hálózatunkat a fizikai és a virtuális behatolókkal szemben.

Az írott szabályzatot sok helyen elfelejtik elkészíteni, vagy legfeljebb az íróasztal számára gyártják le.

Pedig egy ilyen sorvezető – különösen akkor, ha alaposan átgondolják és rendszeresen frissítik – nagymértékben megkönnyíti az informatikusok életét. A biztonság is olyan lánc, amely csak annyira tud erős lenni, mint a leggyengébb láncszeme: nagyon sok incidenst lehet visszavezetni a rossz vagy rosszul alkalmazott szabályozásra.

Mert hiába használjuk a legmodernebb hálózatbiztonsági eszközöket, ha a támadó egyszerűen besétálhat az épületbe és minden további nélkül csatlakoztathatja laptopját az első Ethernet-aljzatba.

Biztonságos hozzáférés

A biztonságos hozzáférés kialakítása egy vezeték nélküli hálózat esetén az egyik legfontosabb feladat. A wlan jeleit szabadon lehet fogni, ezért nem – pontosabban csak részben – lehet a fizikai hozzáférés korlátozásával élni, ami olyan jól működik a vezetékes hálózatoknál. Emiatt aztán más módszerekre van szükség:

• Jelszavas védelem
  Bármennyire is triviálisnak hangzik, nem lehet elégszer hangsúlyozni: a hálózati eszközök gyárilag beállított jelszavát meg kell változtatni, hogy sem belülről, sem kívülről ne lehessen hozzáférni a konfigurációs lehetőségekhez, és ezzel esetleg utat nyitni egy behatoló előtt.

• Fizikai biztosítás
  Egy vezeték nélküli hálózati infrastruktúra több eleme is a nyílt térben található. Míg egy vezetékes hálózatnál a kapcsolók többnyire a szerverteremben (de legalábbis zárt szekrényben) vannak, addig a wlan-ok hozzáférési pontjait falakon, mennyezeteken és ehhez hasonló, szem előtt lévő helyeken szerelik fel. Fontos, hogy ezek fizikailag minél kevésbé legyenek hozzáférhetők: trükkös belsőépítészeti módszerekkel úgy takarjuk el őket, hogy a jelek vétele még zavartalan legyen, vagy gondoskodjunk arról, hogy a biztonsági kamerák látóterébe essenek, és így azonnal észlelni lehessen, ha valaki piszkálja azokat.

• Felhasználóhitelesítés
  Magától értetődő rendszabálynak kell lennie, hogy a vezeték nélküli hálózatra csak engedélyezett felhasználók léphetnek be, a megfelelő azonosító/jelszó páros megadása után. Hitelesítésre ma már gyakorlatilag csak a wpa2 technológiát használják; a korábbi módszerek (wep, wpa) elvéreztek a csatamezőn. A wpa2 már az aes (advanced encryption standard) algoritmust használja a titkosításra, ami a legtöbb támadó távoltartására elegendő lehet.

Rejtőzködjünk

Az alapbeállítások szerint minden vezeték nélküli hálózat közzéteszi saját nevét, egyedi ssid-azonosítóját. Ez ugyan kényelmessé teszi a használatát, de egyúttal minden hálózati eszköz számára láthatóvá teszi a wlan-t.

Ezért aztán nem csupán el kell rejteni az ssid-t (vagyis kikapcsolni annak automatikus sugárzását), hanem a jelszóhoz hasonlóan meg is kell változtatni az alapértelmezés szerinti ssid-t. Egy igazán elszánt hackernek ugyan nincs szüksége a szabadon közzétett ssid-re, de a könnyen kiaknázható hálózati kapcsolatot kereső, kevésbé kifinomult támadót elriaszthatja.

További óvintézkedések is segíthetnek, hogy minél kisebb körben lehessen fogni a hálózat jeleit. A hozzáférési pontok megtervezett elhelyezése, a jelerősség beállítása, esetleg irányított antennák használata mind hozzájárulhat ahhoz, hogy a wlan csak a kívánt területen működjön.

Virtuális hálózatok létrehozásával tovább tudjuk szegmentálni a felhasználói csoportokat: különválaszthatjuk a megbízható és a nem megbízható forgalmat és felhasználókat vagy csoportokat. Ha azonosítójuk szerint különbséget tudunk tenni az egyes felhasználói csoportok között, akkor azt is szabályozhatjuk, hogy milyen adatokhoz, erőforrásokhoz férhessenek hozzá, és milyenekhez nem. Ezáltal válik lehetővé az is, hogy külsősöknek (vendégeknek, ügyfeleknek) is elérhetővé tegyük az internetet a wlan-on keresztül, anélkül, hogy a belső rendszerbe belépést nyernének.

Folyamatos frissítés

De nemcsak felhasználókat és csoportokat, hanem a forgalmat is különböző típusokba lehet osztani. Ha bizonyos forgalomfajtákat (például az ip-telefóniát) virtuális hálózatra terelünk, azzal nem csupán elrejtjük az általános adatforgalom elől, hanem például sávszélességet is garantálhatunk neki.

Végül, de messze nem utolsósorban: egyetlen rendszert és hálózatot sem lehet pusztán felépíteni, aztán magára hagyva működtetni. A hálózatot folyamatosan ellenőrizni kell, majd az adatokat kiértékelve rendszeresen felül kell vizsgálni a biztonsági szabályzatot, és az egyes rendszabályokat ennek megfelelően kell módosítani.

Eközben a felhasználókat is folyamatosan képezni kell; a biztonsági incidensek nem kis hányada az ő hibájukból következik be. Ha tudatosítjuk bennük, hogy bizonyos dolgokat miért nem szabad megtenni, és milyen veszélyekkel járhatnak látszólag ártalmatlan lépések is, nagyobb biztonságban tudhatjuk szervezetünket és információinkat.