Mind az üzleti élet résztvevői, mind pedig az otthoni felhasználók viszonylag gyorsan megtalálták a vezeték nélküli technológia alkalmazási lehetőségeit. Népszerű lett, hiszen roppant kényelmes és az ára is baráti.

Ennek a nagy kényelemnek azért vannak kényes pontjai is. Például legtöbb esetben egy ilyen hálózatnak a térereje házon kívül is érzékelhető még, így aztán különféle biztonsági intézkedések nélkül könnyen csatlakozhatnak hozzánk "potyautasok". Ehhez nincs szükség másra, mint egy jó minőségű, távolra sugárzó wifi kártyára (hogy a sugárzott jelek a házba is bejuthassanak az Access Pointhoz), s néhány trükkös hackerprogramra. Ezekkel az eszközökkel akár úgy is csatlakozhatnak hálózatunkhoz, hogy semmilyen visszajelzést nem kapunk róla, s ugyanakkor "lehallgathatják" teljes adatforgalmunkat. Ennek elkerülése érdekében álljon itt most egy 10 lépésből álló védelmi eszközgyűjtemény!

1. Állítsuk be a hálózatunk hatósugarát!

Számos vezeték nélküli adó (WAP, Wireless Access Point) térerőssége változtatható. Azáltal, hogy a térerősséget lecsökkentjük a számunkra éppen elégséges szintre, elég nagy kockázati tényezőt szűrünk ki. Egyes esetekben még a sugárzás iránya is befolyásolható a készülék beállításán keresztül.  Az erre nem alkalmas készülékek hatósugara is befolyásolható némi mértékben például azzal, hogy távol tesszük a külső falaktól és az ablakoktól. Ez nem minden esetben elégséges lépés. Léteznek rendkívül érzékeny "kémeszközök" is, amik a nagyon gyenge jelet is képesek fogni. Éppen ezért itt még nem fejeződött be biztonsági lépéseink sorozata.

2. Zároljunk minden hozzáférési pontot!

Ha nem változtatjuk meg WAP-unk gyári beállításait, akkor az nagy eséllyel be fog engedni illetékteleneket is. Ugyanígy ha nem változtatjuk meg az alapértelmezett adminisztrátori jelszót a készülékben, akkor ne számítsunk túl nagy védettségre. A jó jelszó létrehozása kulcsfontosságú. Segítségünkre lehet ebben az alábbi weboldal: http://www.pcmag.com/passwords

3. "Rúgjuk ki" az illetéktelenek!

Mit is értünk ezalatt? További AP-k csatlakozhatnak saját hálózatunkhoz megtoldva annak hatósugarát. Bizonyosodjunk meg róla, hogy az egymással kapcsolatban álló AP-k egytől-egyik saját "fennhatóságunk" alá tartoznak-e? Ha találunk olyat, amit nem mi konfiguráltunk be, akkor egyszerűen tiltsuk ki az engedélyezettek listájából! Hogyan derítsük ki, vannak-e ilyen AP-k a környezetünkben? Látogassunk el ide: http://www.netstumbler.com

4. Használjunk 128-bites WEP protokollt!

A WEP a vezeték nélküli technológia titkosító protokollja (Wireless Encryption Protocol). Habár egy gyakorlott támadónak egy ilyen "kapun" nem túl nagy kihívás belépni például ezzel a linux alapú eszközzel: http://airsnort.shmoo.com, azért mégiscsak egy újabb réteget állítunk a támadó elé, késleltetve ezzel -gyakran időtől függő- sikerességét.

Megjegyzés: Egyik kedves olvasónk észrevétele kapcsán utalnék a cikksorozat 1. részére, melyben említést teszünk a WEP elavultságáról.
"K: Na és hogyan lehet rávenni az embereket, hogy tegyék biztonságossá a kapcsolatukat? Elsőként be kell állítani a WEP, vagy WPA funkciókat, igaz?
V: Vagy jobb esetben a WPA2-t. A WEP és a WPA 10 perc alatt feltörhető. Régebben órákig, napokig tartott. Ma már percek kérdése."
A WPA2-vel kapcsolatban, melyet lehetőség szerint inkább ajánlunk használatra, itt olvashattok bővebben.

5. Legyünk bölcsebbek, használjuk az SSID-ket!

AP-nk alapértelmezett SSID-jét (Service Set Indentifier) változtassuk meg és ne használjunk olyan beszédes azonosítókat, mint otthoni címünk, munkahelyünk neve, telefonszámunk, egyéb személyes adatunk. Hivatalos, munkahelyi felhasználás céljából olyan AP-t vegyünk, amiben letiltható, hogy SSID-jét sugározza (SSID broadcast). A betolakodók a Kismet-hez hasonló programokkal képesek megállapítani SSID-nket. Például meg tudják figyelni, hogy a 802.11x adatátviteli keretek miként vannak megcímezve az AP-k felé. Az ehhez hasonló kémkedés elleni védelem minden megtévesztő bitje, amely megnehezíti a támadó dolgát, hasznunkra lehet.

6. Korlátozzuk a hozzáférési jogokat!

A környezetünkben megforduló emberek közül nincs mindenkinek szüksége wifi kártyára a feladata elvégzéséhez. Csak azoknak a kártyáknak a MAC címét engedélyezzük AP-nkben, akinek feltétlen szüksége van a kapcsolatra. Persze a jogosultak MAC címeit meg is lehet szpúfolni  (spoof). Ezzel aztán vissza lehet élni oly módon, hogy a támadó beállít magának egy MAC címet a jogosultak köréből. Ennek meggátlására olvassuk el a következő lépést!

7. Korlátozzuk le a felhasználók számát!

Igaz ugyan, hogyha egyszerre két ugyanolyan MAC címmel rendelkező kártya is IP címet kér a DHCP kiszolgálótól, akkor címütközés miatt időlegesen jobb esetben csak az új kérelmező, rosszabb esetben pedig mindkét fél kitiltásra kerül az IP lízing procedúrából, mégis segíthet a felhasználók létszámának korlátozása! Ha például csak 10-12 ember és a hozzájuk tartozó kártyák MAC címe van engedélyezve a DHCP kiszolgálónak, s ily módon az IP címeket csak egy nagyon szűk tartományból oszthatja ki, akkor ha ezen a létszámon felül valaki még megpróbálkozik csatlakozni, akkor annak elég észrevehető nyoma van a naplófájlokban, mint sikertelen csatlakozási kísérlet.

Megjegyzés.: Az eredeti cikk ugyan nem tér ki rá, de egyes AP-k esetében a különböző MAC címekhez hozzárendelhetők hitelesítési időszakok is. Ez azt jelenti, hogy ha a munkaidő például 8-16-ig tart, akkor a MAC címeknek elég erre az időszakra elérést biztosítani, aki ezen az intervallumon kívül próbálkozik, azt szintén nem engedi be a rendszer, még ha sikerült is egy hitelesített MAC címet megszereznie korábban.

8. Felhasználó hitelesítés

Telepítsünk egy olyan tűzfalat, ami kezelni tudja a virtuális magánhálózatokat (VPN). Kényszerítsük rá a felhasználókat, hogy hitelesítsék magukat kapcsolódáskor, akárcsak egy betárcsázós kapcsolat esetén. Korlátozzuk le a felhasználók jogait az elégséges szintre. Mellékhatásként egyébként ez a módszer segít megakadályozni azt a támadási formát is, ami a megtévesztésen alapul. A támadó felállít egy olyan hozzáférési pontot, ami hitelesített AP-nek adja ki magát annak reményében, hogy valaki bedől a cselnek és megpróbál csatlakozni hozzá. Ha azt tapasztaljuk, hogy a megszokott belepéskori hitelesítő ablak nem jelenik meg és mégis beengedett a rendszer, joggal gyanakodhatunk rá, hogy étvertek minket, bontsuk a kapcsolatot azonnal!

9. Használjuk a RADIUS-t

A RADIUS kiszolgáló egyéb más hitelesítési metódusokat is biztosít. Az egyébként drága RADIUS kiszolgálóknak léteznek nyílt forráskódú változataik is, mint például a FreeRADIUS, ami egy UNIX szimpatizáns adminisztrátor számára maga a Kánaán lehet.

10. Hívd a "verőlegényeket"!

Ha billió dolláros nagyságrendben őrizgetünk céges titkokat, adatokat, mint például a Coca-Cola Co., ne sajnáljuk a pénzt egy vezeték nélküli dedikált hardveres biztonsági csomagra, amihez biztonsági rendészeti szervek szolgálata párosul! Ilyen például az AirDefense szerver megoldása, ami érzékelőket telepít AP-ink közelébe. A rendszer monitorozza az aktivitást és védi az adatforgalmat. Persze nem két pengőbe kerül, de megéri! Alsóhangon 10.000 dollárról indul, de az érzékelők számától függően kiadásunk elérheti a 100.000 dollárt is.

 
(Forrás: ITport.hu )

 Feliratkozás

A bejegyzés trackback címe:

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.