Securitate Wireless
3.1 Fundamentele securitatii
3.1.1 Definirea securitatii
Scopul primar al securitatii este acela de a împiedica intrusii sa aiba acces la resursele unei retele; acest lucru înseamna sa construim pereti de protectie puternici si sa lasam doar portite mici si foarte bine pazite, pentru a garanta accesul autorizat pentru un anumit grup de persoane. Aceasta strategie se poate aplica mult mai bine pentru retelele cu fir decât pentru retelele fara fir.
Securitatea înseamna de obicei ca utilizatorii sa nu poata executa decât task-urile pe care sunt autorizati sa le execute si sa obtina informatiile pe care sunt autorizati sa le aiba. Utilizatorii nu trebuie sa poata deteriora datele, aplicatiile sau sistemul de operare. Cuvântul securitate implica protectia împotriva atacurilor rau-voitoare; de asemenea implica controlul efectelor pe care le au erorile si defectiunile echipamentelor. Orice poate proteja împotriva unui atac wireless probabil va preveni si alte tipuri de probleme de asemenea.
3.1.2 Amenintari la adresa WLAN-urilor
Pentru securitatea wireless, sunt 4 mari clase de amenintari:
amenintari nestructurate
amenintari structurate
amenintari externe
amenintari interne
Cele nestructurate constau în atacurile unor indivizi mai putin experimentati care folosesc instrumente de "hacking", scripturi shell sau programe de spart parole destul de usor de gasit si de folosit.
Atacurile structurate vin din partea unor hackeri mult mai motivati si mai pregatiti din punct de vedere tehnic. Acesti oameni cunosc vulnerabilitatile sistemului wireless, pot întelege si dezvolta coduri sursa, scripturi si programe.
Amenintarile externe sunt reprezentate de indivizi din afara unei companii; ei nu au acces autorizat la reteaua wireless; accesul la retea este câstigat din afara cladirii, din parcari, cladiri apropiate. Pentru prevenirea acestor tipuri de atacuri oamenii investesc cel mai mult.
Amenintarile interne au loc atunci când cineva are acces la resursele retelei cu un cont pe server sau acces la mediul fizic. Sunt responsabile pentru 60-80 % din atacurile raportate.
3.1.3 Vulnerabilitati ale retelei
Retelele fara fir sunt vulnerabile la atacuri deoarece este dificil de prevenit accesul fizic la aceste retele. Singurul avantaj este acela ca atacatorul trebuie sa se afle în imediata apropiere a acestor retele, micsorîndu-se astfel lista de suspecti. Cu toate acestea, cu niste antene d 414f51e estul de ieftine, un atacator poate receptiona si trimite semnale de la cîtiva km. pentru a putea mentine securitatea unei retele fara fir, un administrator trebuie sa cunoasca bresele din securitate si tipurile de atacuri care ar putea profita de aceste brese.
Retelele fara fir reprezinta subiectul atât al atacurilor pasive, cât si al atacurilor active. Un atac pasiv este acel atac în care atacatorul doar captureaza semnale, în timp ce in cazul unui atac activ se si transmit semnale. Atacurile pasive sunt usor de realizat cu antene wireless si nu pot fi detectate. Orice mecanism bun de securitate trebuie sa plece de la ideea ca un atacator poate urmari tot traficul.
Atacatorii au mai multe motive pentru a lua în vizor o retea fara fir; de exemplu, pot dori sa acceseze resursele unei retele, cum ar fi date confidentiale; multe organizatii se concentreaza asupra securizarii perimetrului în care actioneaza reteaua, si ea ramâne total vulnerabila daca se patrunde în acest perimetru; daca nu sunt folosite metode de securitate eficiente, o retea locala fara fir este foarte usor de atacat.
Alti atacatori pur si simplu vor sa foloseasca mediul de acces; este ca si cum un user nu vrea sa plateasca pentru accesul la retea, sau poate fi un utilizator care face spam, si care nu vrea sa fie detectat, sau poate fi un programator care vrea sa lanseze de acolo ultimul tip de virus.
În final, poate fi un atacator care vrea sa distruga o retea fara fir, ori cu scop pur vandalistic, din razbunare, sau pentru a face rau unui concurent în orice fel. Uneori aceste atacuri pot fi combinate; de exemplu, un atacator poate executa un atac DoS (Denial of Service) - refuzul serviciului - asupra unei infrastructuri wireless si sa redirectioneze clientii catre un AP controlat de atacator.
Atacatorii urmeaza o procedura când doresc sa atace o retea. De obicei exista o faza de recunoastere, urmata de atacul propriu-zis. În faza de recunoastere, atacatorul descopera prezenta retelei si încearca sa exploreze tintele potentiale.
3.2 Metode de atac
Metodele de atac asupra retelelor fara fir pot fi împartite în 3 categorii:
recunoasterea
accesul
DoS (Denial of Service) - refuzul serviciului
3.2.1 Recunoasterea.
Recunoasterea reprezinta descoperirea neautorizata si maparea sistemelor, serviciilor, vulnerabilitatilor. Mai este cunoscuta si ca o "colectare de informatii", precedând un atac de acces sau un atac DoS.
Utilitarele care sunt folosite pentru a scana retelele fara fir pot fi active sau pasive. Cele pasive, cum ar fi Kismet, nu transmit nimic cât timp detecteaza retelele. Cele active, cum ar fi NetStumbler, transmit cereri pentru informatii aditionale despre reteaua wireless, odata ce aceasta este descoperita. Sistemul de operare Windows XP face operatia de scanare activa; va încerca în mod automat sa se conecteze la o retea WLAN descoperita. Unele persoane care folosesc utilitare WLAN sunt interesate de colectarea de informatii despre securitatea wireless; altele sunt interesate în gasirea WLAN-urilor care ofera acces internet, etc.
3.2.2 Accesul la sistem
Acesul la sistem, în acest context, reprezinta abilitatea unui intrus neautorizat de a câstiga accesul asupra unui dispozitiv pentru care intrusul nu are un cont sau o parola. Acest lucru implica de obicei rularea unui script sau program care exploateaza o vulnerabilitate cunoscuta a sistemului sau aplicatiei care urmeaza a fi atacata. Iata câteva exemple: exploatarea unor parole slab criptate sau a unor parole inexistente, exploatarea unor servicii cum ar fi: HTTP, FTP, CDP, SNMP, Telnet.
Cea mai usoara metoda de a câstiga acesul este cea sociala; pentru aceasta metoda nu e nevoie de prea multe cunostinte tehnice. Daca intrusul poate obtine informatii referitoare la servere si parole de la un membru al unei organizatii, atunci atacul este realizat foarte facil.
Atacul folosind un AP intrus.
Majoritatea clientilor se vor asocia cu AP-ul care are cel mai puternic semnal. Daca un AP neautorizat, de obicei un AP intrus, are cel mai puternic semnal, clientii se vor asocia cu el. AP-ul intrus va avea astfel acces la traficul în retea de la toti clientii asociati; un astfel de AP poate fi folosit pentru atacuri împotriva traficului criptat precum SSL si SSH; AP-ul poate folosi si spoofing ARP si IP pentru a pacali clientii sa trimita parole si alte informatii secrete.
3.2.3 Denial of Service
DoS se realizeaza atunci când un atacator corupe reteaua wireless, sistemele sau serviciile, cu scopul de a nu mai permite accesul la servicii utilizatorilor autorizati; atacurile de tip DoS pot îmbraca mai multe forme. În cele mai multe din cazuri, un atac de acest tip presupune rularea unui script sau a unui program specializat; deoarece are un potential mare de distrugere, atacurile de tip DoS sunt cele mai temute, deoarece sunt si foarte greu de prevenit.
Multe atacuri DoS împotriva retelelor wireless au fost teoretizate. Un utilitar, numit WLAN Jack, trimite pachete false de dis-asociere, care deconeteaza clientii de la AP; cât timp acest utilitar ruleaza, clientii nu pot folosi WLAN-ul; de fapt, orice dispozitiv care opereaza în fecventa de 2,4 Ghz sau 5 Ghz poate fi folosit pentru un atac DoS.
3.2.3.1 Detectarea unui atac de tip DoS
Monitorizarea retelei wireless pentru atacuri de tip DoS ar trebui sa faca parte din politica de securitate; se pot cauta scaderi ale semnalului, AP-uri neautorizate, adrese MAC necunoscute.
Acest tip de atac poate fi foarte distructiv; daca unele companii îsi pot permite sa treaca cu vederea aceste atacuri deoarece nu pun în pericol date confidentiale, pentru altele aceste atacuri pot însemna pierderi de milioane de dolari/euro, cum ar fi cazul magazinelor virtuale.
La nivelul Internetului, aest atac poate fi devastator, însa la nivelul unei retele wireless, nu este chiar atât de tragic; cea mai mare pierdere suferita ar putea fi lipsa activitatii. Existenta unei retele LAN pe cablu poate reduce riscurile unui astfel de atac, însa cum majoritatea companiilor se îndrepta spre wireless, este putin probabil dezvoltarea unei astfel de configuratii pe viitor.
În retelele pe fir, pentru un astfel de atac e nevoie de accesul fizic la retea, ceea ce nu e atât de usor; din acest motiv, retelele wireless sunt mai supuse unor astfel de riscuri.
Exista mai multe metode pentru a efectua un astfel de atac; prima metoda este cea traditionala: odata conectati la retea, se va încerca blocarea serverelor principale: DNS, WEB, poate un router. A doua metoda nici nu necesita un o placa de retea wireless, e suficient sa cunosti cum functioneaza aceasta tehnologie; un atacator folosind un dispozitiv cunoscut ca provocator de interferente poate cauza nefunctionalitatea retelei. O a treia metoda este de a reusi sa plasezi în retea un AP similar ca si configuratie cu cel initial, dar sa nu fie conectat la reteaua principala; daca va avea semnalul cel mai puternic, atunci clientii se vor conecta la el.
O metoda pentru evitarea unei astfel de situatii este înregistrarea adreselor MAC a diferitelor AP-uri din retea si monitorizarea apoi a retelei pentru AP-uri ce au o adresa MAC necunoscuta.
3.3 Prima generatie în securitatea wireless
Securitatea nu reprezenta una din preocupari pentru WLAN-urile timpurii; echipamentele folosite erau proprietare, scumpe, si greu de gasit. Multe WLAN-uri foloseau SSID (Service Set Identifier) ca forma primara de securitate. Unele retele controlau accesul prin introducerea adreselor MAC ale fiecarui client în AP. Nici o optiune nu prezenta siguranta, deoarece un atac putea descoperi atât adrese MAC valabile, cât si SSID-ul.
3.3.1 SSID
SSID-ul este de fapt un string ASCII (American Standard Code for Information Interchange) de maxim 32 caractere, care poate fi introdus atât în clienti cât si în AP-uri. Majoritatea AP-urilor au optiuni ca "SSID broadcast" si "Allow any SSID". De obicei aceste optiuni sunt active default pentru a usura configurarea initiala a unui WLAN. Optiunea "Allow any SSID" permite AP-ului sa dea acces unui client care nu are setat câmpul SSID. Daca este activata optiunea "SSID Broadcast", se trimit pachete care anunta SSID-ul. Chiar daca aceste 2 optiuni vor fi dezactivate, reteaua nu va deveni mai sigura, deoarece un "sniffer" poate captura cu usurinta SSID-uri valide din trafic. Din acest motiv, SSID-ul nu ar trebui sa fie considerat un element de securitate.
Autentificarea pe baza adreselor MAC nu este specificata în standardul 802.11. Cu toate acestea, multi producatori au implementat în produsele lor acest tip de autentificare; pur si simplu se cere unui AP sa detina o lista de adrese MAC valabile; o alta metoda este aceea de a stoca o baza de date cu aceste adrese pe un server centralizat.
Aceasta metoda de autentificare nu este nici ea un mecanism real de securitate, deoarece adresele MAC nu sut criptate în momentul transmiterii; tot ce trebuie sa faca un atacator este sa captureze a adresa MAC valida pentru a accesa reteaua.
3.3.2 WEP (Wired Equivalent Privacy)
Standardul IEEE 802.11 include WEP pentru a autoriza utilizatorii; el specifica o cheie de 40 de biti, pentru a putea fi folosit si exportat în toata lumea. Multi producatori au extins cheia la 128 biti sau chiar mai mult; când se folosesste WEP, atât clientii cât si AP-ul trebuie sâ aiba o cheie comuna; WEP se bazeaza pe un algoritm de criptare cunoscut, RC4 (Rivest Cipher 4)
Standardul 802.11 implementeaza 2 metode pentru a defini cheile WEP ce vor fi folosite într-un WLAN. În prima metoda, un set de pâna la 4 chei default sunt împartite între toate statiile, incluzând aici clientii si AP-ul, dintr-un subsistem wireless. Problema cu cheile default este ca pot fi compromise, cu cât sunt distribuite la scara mai larga.
Prin cea de-a doua metoda, fiecare client are o relatie de mapare a cheilor cu o alta statie. Este o forma mai sigura, deoarece mai putine statii detin cheile; cu toate acestea, aceasta actiune de a distribui chei de tip unicast devine mai dificila când numarul statiilor este foarte mare.
3.3.3 Autentifiare si asociere
Autentificarea deschisa si autentificarea cu cheie publica reprezinta 2 metode definite de standardul 802.11 cu privire la clientii care se conecteaza la un AP; procesul de asociere poate fi împartit în 3 elemente: proba, autentificarea si asocierea propriu-zisa.
3.3.3.1 Autentificarea deschisa
Aceasta metoda realizeaza întregul proces de autentificare în text clar; nu se face în nici un fel verificarea userului sau a masinii; se folosesste o cheie WEP; un client se poate asocia cu un AP folosind o cheie WEP incorecta sau chiar fara nici o cheie; un client care foloseste o cheie WEP incorecta nu va putea sa transmita sau sa receptioneze date, deoarece traficul este criptat; de retinut ca headerul nu este criptat, ci doar datele.
3.3.3.2 Autentificarea cu cheie publica
Aceasta metoda seamana cu autentificarea deschisa, cu deosebirea ca foloseste criptarea WEP la toti pasii. Daca se folosesc cheile publice, atunci clientii si AP-ul trebuie sa foloseasca aceeasi cheie; AP-ul trimite un text de verifiare clientului; daca acesta are o cheie gresita sau nu are nici o cheie, autentificarea se va opri în aceasta faza; clientul nu se va asocia cu AP-ul.
3.4 Implementarea unei retele wireless nesigure
Implementarea unei astfel de retele este foarte usor de realizat. Testele efectuate arata ca în unele retele metropolitane mai putin de 35% din WLAN-uri folosesc WEP. În continuare voi arata cât de usor se face instalarea unui WLAN care nu tine cont de securitate; cea mai simpla metoda de a instala un AP este de a-l scoate din ambalaj, îl alimentam, dupa care îl plasam în interiorul retelei. Nu se va vedea o mare diferenta, conectivitatea este realizata, utilizatorii sunt multumiti; cu toate acestea, fiind realizata si conexiunea, reteaua poate fi acum accesata si de publicul larg.
Multe AP-uri se livreaza configurate cu foarte putine mecanisme de securitate activate. Daca un AP are ESSID-ul (Extended Service Set Identifier) si numele standard, aceste doua date sunt foarte usor de gasit de un eventual atacator. Producatorii încearca sa faca instalarea acestor echipamente cât mai facila, asa ca majoritatea AP-urilor fac broadcast si permite oricarui client cu orice ESSID sa se conecteze. De asemenea, pe majoritatea AP-urilor, WEP nu este configurat default; securitatea vine si ea cu un pret, este mult mai simplu doar sa conectam un AP la o retea existenta, fara a-l mai asigura cu un firewall; de aici încolo, mai sunt foarte putine lucruri de configurat, deoarece DHCP va aloca adrese IP pentru potentiali utilizatori.
Iata un exemplu concret: angajatii unei firme au considerat ca deconectarea laptopurilor de la retea, si apoi reconectarea lor, în cazul unei sedinte, reprezinta un incovenient. Au decis sa stocheze informatiile necesare la calculatorul de birou si sa implementeze o retea wireless pentru cazul în care vor participa la sedinte, prezentari, etc. dupa achizitionarea echipamentelor (AP-uri, placi de retea), având ceva cunostinte în domeniu, au schimbat, pentru sporirea sigurantei, SSID-ul si numele AP-ului. Nu s-a folosit WEP, pentru ca nu au dorit sa ajute pe toata lumea sa îsi configureze clientul software. Acest lucru s-ar putea sa îi coste destul de mult, în ceea ce priveste securitatea retelei.
3.5 Implementarea unei retele ultra-sigure
Bazându-ne pe varietatea de masuri de securitate existente, voi încerca sa încorporez câteva dintre ele într-o instalare a unei retele wireless tipice, de la faza de informare asupra locului unde va avea loc instalarea, alegerea producatorilor, pâna la a rula programe de monitorizare si detectie. De asemenea, voi încera mai departe sa încorporez o retea virtuala privata (VPN), cu protocoale de securitate testate precum IPSec.
Folosind ca si contraexemplu reteaua nesigura descrisa mai sus, voi descrie câteva aspecte care trebuie urmarite în cazul implementarii unei retele wireless sigure:
locatia si acesul fizic
configurarea AP-ului
designul retelei sigure
politica de securitate
3.5.1 Locatia si accesul fizic
Plasamentul unui AP este critic pentru securitatea unei retele wireless. Doua lucruri care trebuie luate în seama sunt accesibilitatea si puterea semnalului; AP-ul ar trebui plasat într-o locatie greu acesibila unui atacator, pentru ca acesta sa nu îl poata modifica cu propriile setari. Pâna si cel mai sigur AP poate fi compromis daca cineva reuseste sa se conecteze cu ajutorul unui laptop, prin intermediul unui port USB, si sa poata schimba configuratia si cheile WEP. De asemenea trebuie sa ne asiguram ca AP-ul nu va putea fi reconfigurat nici prin adaptorul sau wireless.
Celalalt aspect care trebuie discutat este puterea semnalului. Semnalele folosite de retelele wireless sunt semnale radio, care pot trece prin pereti si ferestre, si de obicei ofera o raza mai mare de acoperire decât cea furnizata de producatori. Ideal ar fi sa facem o analiza a locatiei si sa instalam AP-ul într-o pozitie de unde sa acopere doar clientii avizati. Semnalul trebuie sa fie puternic în limitele zonei de acoperire aceptate si foarte slab, sau cât mai slab, în afara ei.
3.5.2 Configurarea AP-ului
Urmatorul aspect de are trebuie tinut cont în implementarea unei retele sigure este configurarea propriu-zisa a AP-ului. Fiecare producator foloseste o interfata de configurare diferita, însa conceptele de baza ramân aceleasi. Înainte de a introduce dispozitivul în retea, este crucial sa fie schimbate setarile default. În exemplul anterior au fost schimbate câteva setari, însa reteaua a ramas nesigura; au fost schimbate ESSID-ul si numele AP-ului, însa acestea se pot afla foarte usor cu ajutorul unui utilitar de tip sniffer.
O alta optiune care ar trebui sa fie activata este aceea de a forta clientii sa se conecteze doar folosind anumite ESSID-uri specificate în configuratie; fortând utilizarea acestor ESSID-uri specificate, se mai face înca un pas pentru a ne asigura ca reteaua este accesata doar de utilizatori autorizati.
Cheile WEP de 128 biti ar trebui de asemenea sa fie activate; desi un atacator le poate sparge în câteva ore, reprezinta un pas important în evolutia catre o retea securizata; recomandabil este ca aceste chei sa fie schimbate periodic, în cazul în care au fost deja compromise, sa fie mai dificil pentru cineva care încearca sa le descopere si sa le foloseasca.
Un alt serviciu disponibil pe majoritatea AP-urilor este DHCP (Dynamic Host Configuration Protocol), care asigneaza adrese IP clientilor dintr-o retea. Dupa ce primeste o cerere de tip broadcast, serverul DHCP asigneaza adrese IP, se configureaza rutarea si DNS-ul (Domain Name System). Daca nu este configurat cu atentie, serverul DHCP va asigna adrese IP oricarui client disponibil; de aceea este recomandabil ca acest serviciu sa fie oprit, si fiecare client sa fie configurat manual; în acest fel este mult mai usor sa urmarim atacuri, deoarece fiecare utilizator este asociat cu o adresa IP.
Unele AP-uri si routere pot filtra pachetele luând decizii pe baza adresei MAC (Media Acces Control); acest lucru înseamna ca se vor putea conecta la retea doar clientii care apar într-o lista de adrese MAC specificata de administratorul de retea.
3.5.3 Designul retelei sigure
Este important de stiut ca nu doar reteaua wireless ar trebui securizata. Întreaga retea este supusa riscului atunci când este activ un AP wireless. Un AP nesecurizat sau insuficient securizat poate compromite întreaga retea; orice AP ar trebui tratat ca un dispozitiv nesecurizat, si plasat ca atare, într-un segment propriu.
Pentru designul unei retele super-sigure, AP-ul va fi separat de restul retelei de un firewall configurat cu reguli stricte; asadar, clientii wireless se vor conecta la o subretea separata de restul retelei, si un atacator nu va avea acces la datele companiei, chiar daca reuseste sa gaseasca reteaua si sa sparga cheile WEP.
Conectivitatea catre reteaua interna va fi asigurata folosindu-se o retea virtuala privata; folosirea unei asemenea conexiuni ofera 2 avantaje: în primul rând toti userii vor fi autentificati; odata autentificati, vor face parte din reteaua interna a companiei. Al doilea avantaj este confidentialitatea unui VPN. Majoritatea conexiunilor de tip VPN folosesc IPSec, cu sisteme de criptare puternice.
Sunt mai multe metode de a implementa o astfel de conexiune: cu un singur firewall sau cu dublu firewall.
În prima varianta reteaua interna este separata de internet printr-un singur firewall. Resursele internet cum ar fi Web sau serverele de mail se vor afla în reteaua interna, ca si serverul VPN. Aceasta implementare nu este si cea mai sigura, deoarece orice compromitere a serverului VPN va afecta întreaga retea interna.
Pentru a putea realiza un tunel VPN, mai trebuie instalata o placa de retea pe firewall, la care va fi conectat AP-ul wireless. O singura politica va fi necesara pe firewall, aceea de a permite numai traficul de la reteaua wireless la serverul VPN. Orice alt pachet venit de la reteaua wireless va fi refuzat.
 |
Solutia implementata cu un singur firewall respecta anumite cerinte cu privire la autentificare si criptare, însa nu reprezinta solutia ideala deoarece toata securitatea retelei interne se bazeaza doar pe serverul VPN.
Daca un atacator reuseste sa compromita aceasta masina, atunci ar avea acces direct la oricare dispozitiv din retea.
Pentru a mari securitatea acestei retele, vom plasa serverul VPN într-o zona numita DMZ (Demilitarized Zone); aceasta zona este de fapt o retea adaugata între reteaua care trebuie protejata si reteaua externa, pentru un plus de securitate.
În figura 3.3 este prezentata implementarea
retelei folosind 2 firewall, unul protejând reteaua interna, iar
celalalt îndreptat înspre internet. Între ele se afla DMZ, unde se va
afla si serverul VPN.
De asemenea, ar trebui sa mai fie adaugate echipamente pentru detectarea intrusilor (Intrusion Detection System) - IDS. La urma urmei, nu ar fi rau sa stim în fiecare clipa ce se petrece în retea. IDS-ul ar trebui amplasat în aceeasi retea în care se afla si AP-ul.
3.5.4 Politica de securitate
Având reteaua configurata, o putem deschide acum pentru utilizare. Înainte de a face acest lucru însa trebuie verificata politica de securitate a companiei; de exemplu ar trebui sa se interzica plasarea AP-urilor în reteaua interna a unei companii; trebuie sa se explice utilizatorilor riscul la care este supusa compania daca nu se respecta aceasta politica de securitate.
Un alt factor demn de luat în considerare este updatarea si schimbarea cheilor WEP; acestea se pot configura manual pe fiecare statie sau trimise criptat.
Daca se respecta o politica de securitate bine formulata nu înseamna ca reteaua este impenetrabila, dar înseamna ca ne-am luat unele masuri suplimentare de protectie.
3.6 Alcatuirea unei liste de prioritati pentru o retea wireless
3.6.1 Nivel minim de securitate
Obiectivul acestui tip de retea este sa confere un nivel minim de securitate pentru reteaua de acasa sau pentru o firma mai mica.
Determinarea cerintelor: numarul aproximativ de utilizatori, mediul în care va functiona reteaua, largimea de banda necesara; de asemenea trebuie definite norme de securitate minime.
Maparea locatiei; trebuie descoperit cel mai potrivit loc pentru amplasarea AP-ului.
Alegerea tipului de AP; ar trebui sa suporte criptare pe 128 biti.
Activarea cheilor WEP, schimbarea SSID-ului, reconfigurarea AP-ului.
Schimbarea cheilor WEP pe statiile clientilor.
Testarea vulnerabilitatilor; descoperirea potentialilor atacatori.
Se da în folosinta reteaua; de retinut ca un atacator o poate compromite în scurt timp cu unelte uzuale.
3.6.2 Securitate moderata
O astfel de retea este o buna alegere pentru o companie ceva mai mare care doreste o retea wireless controlabila; se presupune ca este suficienta criptarea de 128 biti din cheile WEP; aceasta solutie nu este însa recomandata daca se transfera date cruciale.
Determinarea cerintelor: numarul aproximativ de utilizatori, mediul în care va functiona reteaua, largimea de banda necesara; de asemenea trebuie definite norme de securitate minime.
Maparea locatiei; trebuie descoperit cel mai potrivit loc pentru amplasarea AP-ului; a se evita am plasarea lui în apropierea ferestrelor sia geamurilor.
Alegerea AP-ului; ar trebui sa suporte filtrarea pe baza adreselor MAC.
Activarea cheilor WEP, schimbarea SSID-ului, reconfigurarea AP-ului.
Schimbarea cheilor WEP pe statiile clientilor si gasirea unei metode sigure pentru redistribuire.
Testarea vulnerabilitatilor; descoperirea potentialilor atacatori.
Se da în folosinta reteaua; este ceva mai sigura decât prima varianta, însa nu este de nepatruns.
3.6.3 Securitate optima
Obiectivul este de a oferi o protectie maxima pentru reteaua wireless; aceasta configuratie se preteaza companiilor mari, care au nevoie de siguranta ca datele transmise nu vor fi compromise.
Determinarea cerintelor: numarul aproximativ de utilizatori, mediul în care va functiona reteaua, largimea de banda necesara; de asemenea trebuie definite norme de securitate minime.
Maparea locatiei; trebuie descoperit cel mai potrivit loc pentru amplasarea AP-ului; a se evita am plasarea lui în apropierea ferestrelor sia geamurilor; ar trebui sa se cunoasca cu exactitate puterea semnalului, deci pâna unde ajunge, de la ce distanta poate fi capturat.
Alegerea AP-ului; trebuie sa fie cel mai bun de pe piata; este critic sa aiba criptare WEP pe 128 biti, eventual sa suporte si filtrarea MAC, desi acest lucru se poate transforma într-un incovenient în cazul unei baze de date cu useri mare.
Reconfigurarea tuturor setarilor: folosirea unui nou SSID, unei noi parole, dezactivarea serviciului SSID broadcast, activarea WEP; activarea filtrarii pe baza adreselor MAC si filtrarea pe protocol.
Construirea retelei; AP-ul trebuie plasat în spatele propriului firewall.
Instalarea si configurarea serverului VPN; ar trebui sa fie amplasat în reteaua DMZ.
Instalarea cheilor WEP pe clienti, gasirea unei metode sigure pentru distribuirea lor.
Testarea vulnerabilitatilor; descoperirea potentialilor atacatori.
Angajarea eventual a unor hackeri profesionisti pentru a testa reteaua.
Se da reteaua în folosinta; este dificil de compromis, însa nu imposibil.
|
