Kaip užtikrinti bevielio tinklo saugumą?
XXI amžiuje internetas tapo kasdienybe, o naršymas interneto tinkle jau galimas ne tik namie ar biure, bet ir viešosiose vietose, pavyzdžiui, viešbutyje ar kavinėje, pasinaudojant įdiegtomis bevielio tinklo WLAN (angl. Wireless Local Area Network) technologijomis.
Pastaruoju metu įmonėse bei organizacijose plačiai paplito vidinių duomenų perdavimo tinklų organizavimas pasinaudojant WLAN, kadangi bevieliams tinklams reikalingos mažesnės investicijos, be to, bevieliai tinklai suteikia mobilumo galimybę vartotojams. Tačiau, šalia privalumų, bevieliai tinklai kelia naujas grėsmes tinklų ir informacijos saugumui. Duomenų perdavimas bevieliu tinklu vyksta, signalus skleidžiant radijo bangomis, o tai suteikia įsibrovėliams daugiau galimybių perimti duomenis iš bevielių tinklų ir juos valdyti, palyginus su tokiomis galimybėmis laidiniuose tinkluose.
RRT atkreipia tinklų savininkų bei tinklų administratorių dėmesį į bevielių tinklų saugumo problematiką ir teikia rekomendacijas, kurių įgyvendinimas padidintų bevielių tinklų ir informacijos juose saugumą. Tinklų ir informacijos saugumo specialistai eksperimentais yra įrodę, kad naudojantis gana nesudėtinga įranga ir pritaikant specifines žinias, netinkamai nustatyto bevielio tinklo saugumas gali būti pažeistas, įvykdant neautorizuotą prisijungimą prie tinklo. Tokiu būdu įsibrovėliai gauna prieigą prie tinklo išteklių, perimti tinklo valdymą bei laisvai naudotis bevieliame tinkle esančia informacija, dažnai savininkui to net nepastebint.
Bendrosios vykdomų nusikaltimų elektroninėje erdvėje tendencijos rodo, jog įsibrovėliai siekia savo veiksmais gauti materialinę naudą, todėl dažnas įsibrovimo į tinklą tikslas– konfidenciali informacija, cirkuliuojanti tinkle, pavyzdžiui, prisijungimo prie informacinių sistemų slaptažodžiai, finansinė-komercinė informacija ir pan. Vėliau perimtos informacijos pagrindu yra vykdomi ekonominiai nusikaltimai arba šantažas.
Bevielių tinklų savininkai turėtų įvertinti realią grėsmę, atsirandančią dėl galimo duomenų praradimo, pasisavinimo, paviešinimo ir adekvačiai pasirūpinti bevielio tinklo saugumu, atsižvelgdami į egzistuojančias rizikas. RRT rekomenduoja įgyvendinti šiuos minimalius bevielio tinklo saugumo nustatymo reikalavimus:
1. Pakeiskite gamintojo pradinius nustatymus
Jūsų bevielio tinklo įrangoje esantis maršrutizatorius turi prisijungimo valdymui reikalingą slaptažodį. Būtinai jį panaudokite ir pakeiskite nustatytą pradinį gamintojo slaptažodį, nes įsilaužėlis, žinodamas gamintojų slaptažodžius, gali juos panaudoti neautorizuotam prisijungimui.
Be to, pakeiskite pradinį SSID (angl. Service Set IDentifier) į tokį, kuris suteiktų kuo mažiau informacijos apie jus ar jūsų organizaciją: tai neturėtų būti vardas, adresas ar organizacijos pavadinimas.
Be to, pakeiskite pradinį SSID (angl. Service Set IDentifier) į tokį, kuris suteiktų kuo mažiau informacijos apie jus ar jūsų organizaciją: tai neturėtų būti vardas, adresas ar organizacijos pavadinimas.
2. Įjunkite WEP kodavimą, o geriausia – pakeiskite jį į WPA
WEP (angl. Wireless Encryption Protocol) duomenų kodavimo technologija naudoja 40, 64 ar 128 bitų raktą, kuriuo užkoduojami siunčiami duomenys. Šis raktas, kaip ir kiekvienas slaptažodis, turi būti sunkiai atspėjamas, nieko nereiškiantis, sudarytas iš įvairių simbolių bei skaitmenų. Tik vienodą raktą turintys įrenginiai gali būti susieti/sujungti tarpusavyje.
WEP protokolo trūkumai ir tam tikros iššifravimo technologijos leidžia WEP raktą ir visus tinklu siųstus duomenis iššifruoti, todėl šis metodas neužtikrina absoliutaus saugumo.
Jei yra galimybė (ji yra numatyta įrangoje), rekomenduojama naudoti WPA technologiją vietoje nesaugios WEP.
WEP protokolo trūkumai ir tam tikros iššifravimo technologijos leidžia WEP raktą ir visus tinklu siųstus duomenis iššifruoti, todėl šis metodas neužtikrina absoliutaus saugumo.
Jei yra galimybė (ji yra numatyta įrangoje), rekomenduojama naudoti WPA technologiją vietoje nesaugios WEP.
3. Naudokite MAC filtravimą
Kaip ir kiekvienas tinklo įrenginys, taip ir prie bevielio tinklo prisijungiantis įrenginys (pavyzdžiui, WLAN plokštė nešiojamame kompiuteryje) turi savo unikalų MAC (angl. Medium Access Control) adresą. Bevielio tinklo prieigos (angl. Access Point) įrenginyje sudarykite fiksuotą MAC adresų sąrašą, kuriais galima jungtis į tinklą.
Tačiau bevielio tinklo įrangoje esantį MAC adresą galima keisti. Todėl yra stebimas tinklas ir nustačius, kurie iš adresų realiai naudojami tinkle, įsibrovėlių įrangoje imituojami svetimi MAC adresai ir taip pavyksta prisijungti prie tinklo. Todėl MAC filtravimo metodas irgi negarantuoja visiško saugumo.
Tačiau bevielio tinklo įrangoje esantį MAC adresą galima keisti. Todėl yra stebimas tinklas ir nustačius, kurie iš adresų realiai naudojami tinkle, įsibrovėlių įrangoje imituojami svetimi MAC adresai ir taip pavyksta prisijungti prie tinklo. Todėl MAC filtravimo metodas irgi negarantuoja visiško saugumo.
4. Išjunkite SSID skleidimą (angl. broadcasts)
Kiekvienas bevielio tinko prieigos įrenginys turi SSID, skirtą skleisti „švyturio“ tipo signalą, kad tinklą galėtų aptikti naudotojo įranga. Jeigu nenorite, kad tinklą matytų kiti, taip pat ir potencialūs įsibrovėliai, SSID skleidimą išjunkite.
Pažymėtina, kad ne visų gamintojų įranga atlieka šią funkciją.
Pažymėtina, kad ne visų gamintojų įranga atlieka šią funkciją.
5. Nenaudokite bylų ir spausdintuvų bendro naudojimosi (angl. file and printer sharing) funkcijos
Bevielio tinklo prieigos įrenginys dažniausiai būna prijungtas prie vietinio tinklo, todėl įsilaužėlis, net ir prisijungęs prie Jūsų bevielio tinklo, esant išjungtai bylų ir spausdintuvų bendro naudojimosi funkcijai, negalės pasinaudoti informacija, esančia vietiniame tinkle. Prireikus bendrai naudoti tinklo resursus, reikėtų pasitelkti papildomas duomenų srauto apsaugos priemones, pavyzdžiui, koduotą VPN tunelį.
Bevielio tinklo prieigos įrenginys dažniausiai būna prijungtas prie vietinio tinklo, todėl įsilaužėlis, net ir prisijungęs prie Jūsų bevielio tinklo, esant išjungtai bylų ir spausdintuvų bendro naudojimosi funkcijai, negalės pasinaudoti informacija, esančia vietiniame tinkle. Prireikus bendrai naudoti tinklo resursus, reikėtų pasitelkti papildomas duomenų srauto apsaugos priemones, pavyzdžiui, koduotą VPN tunelį.
6. Uždrauskite bevielio tinklo kelvedžio (maršrutizaroriaus) administravimą per bevielį tinklą
Tai pašalins dar vieną galimybę įsilaužti į Jūsų tinklą. Deja, ne visi įrenginiai atlieka/vykdo tokią funkciją.
7. Uždrauskite prisijungimus su SSID „ANY“
Tai sumažins galimybę prisijungti svetimiems naudotojams arba įsilaužėliams, be to, esant išjungtam SSID signalui, galės prisijungti tik tie klientai, kurie iš anksto žinos Jūsų tinklo SSID.
8. Naudokite VPN
Kadangi bevielį tinklą galima laikyti viešai prieinamu/viešu, galima panaudoti koduotą VPN (angl. Virtual Private Network) tunelį duomenų siuntimui bevieliu tinklu. VPN tuneliuose naudojamos tokios saugumo technologijos, kaip IPSEC, SSL ir kitos priemonės, ženkliai padidinančias saugumą.
9. Bevielio tinklo įrenginį junkite išorinėje užkardos pusėje
Bevielio tinklo prieigos įrenginiai turėtų būti jungiami išorinėje užkardos pusėje, naudojant atskirą tinklo adresų bloką. Toks jungimo būdas leidžia visiškai kontroliuoti bevieliu tinklu besinaudojančių naudotojų srautą arba visai atriboti bevielį tinklą nuo vidinio įmonės tinklo, paliekant tik interneto prieigą.
10. Naudokite WPA protokolų rinkinį
Šiuo metu moderniausios bevielio tinklo apsaugos priemonės yra WPA bei WPA2 (angl. WiFi Protected Access) bevielio tinklo saugumo protokolų rinkiniai, kuriuos palaiko naujesnė bevielio ryšio įranga arba tiesiog naujesnė šios įrangos tvarkyklių versija. Naudojant vieną iš šių rinkinių, galima užtikrinti tiek naudotojų prisijungimo kontrolę, tiek radijo bangomis siunčiamų duomenų kodavimą. WPA protokolų rinkinys leidžia pasirinkti keletą naudotojų prisijungimo kontrolės būdų – 802.1x bei EAP (įmonės aplinkai pritaikytas variantas) arba iš anksto nustatomas slaptažodis (angl. prie-shared key) (individualiems naudotojams tinkantis sprendimas). Duomenų srauto kodavimui WPA2 naudoja AES (angl. Advanced Encryption Standart) šifravimo algoritmą, o WPA – TKIP (angl. Temporal Key Integrity Protocol ).