Na redakční otázky odpovídal Jaroslav Čížek, Cisco Systems Engineer

7. Pravděpodobně nejméně bezpečné z hlediska bezpečnosti přenosu dat jsou bezdrátové sítě. Jak lze jejich bezpečn

Tvrzení, že bezdrátové sítě jsou méně bezpečné než ty drátové, není v případě WiFi LAN sítí až tak moc přesné. Ano, z principu jejich fungování lze samozřejmě provoz v bezdrátové síti velice jednoduše odchytit nebo naopak celé pásmo zarušit (DoS), na druhou stranu právě ve firemních WiFi LAN sítích je již naprosto běžné používat 802.1x/EAP pro autentizaci a šifrování, které se v drátových sítích vyskytuje jen velmi zřídka.

A co lze tedy doporučit pro další zvýšení bezpečnosti? Pokud se jedná o větší firemní síť, neměla by být v žádném případě celá bezpečnost bezdrátové sítě postavena jen na vlastní autentizaci a zašifrování přenášených dat. Naprosto běžné jsou dnes L2 IDS mechanizmy pro detekci útoků na druhé vrstvě (nejčastěji deauth/deassoc flood attack), detekce a lokalizace podvržených AP atd. Tyto služby zajišťuje většinou přímo wireless kontroler. Vhodná je také integrace s klasickými L3-7 IDS/IPS systémy pro zastavení útoku na vyšších vrstvách nebo provozování jednoduché webové aplikace pro přidávání účtů návštěv a následná naprostá separace jejich provozu.

Určitě jednu z nejvyšších příček dle priority bude zabírat také osvěta interních uživatelů, ať už se jedná o hesla (formát, perioda změny, uchování) nebo o dodržování jistých pravidel při práci na Internetu.  

8. Který produkt či řešení nabízí Vaše firma k zabezpečení bezdrátových přenosů firemních dat?

Funkce související se zabezpečením mají v podstatě všechny produkty pro bezdrátové sítě v Cisco portfoliu. Chtěl bych ale upozornit na dvě zajímavé, ale přesto ojedinělé, vlastnosti.

První z nich je možnost šifrovat provoz nejen klasicky mezi klientem a AP (tzn. přenos “vzduchem“), ale také mezi AP a kontrolerem (tzn. “po drátě“). K čemu je to dobré? Access Pointy jsou velice často rozmisťovány na chodbách, veřejných prostorách firem nebo dokonce na venkovních skladovacích plochách, parkovištích atd. V těchto případech je ale velice jednoduché dostat se k ethernetovému kabelu, který tyto AP připojuje a získat tak přístup k naprosto otevřeným datům. V případě použití wireless kontrolerů řady 5508 a všech novějších AP můžete ale, jak už bylo uvedeno, řídící i datový kanál mezi AP a kontrolerem šifrovat (bez jakéhokoliv omezení propustnosti) a zabránit tak tomuto typu útoku. Stejná vlastnost se dá použít i pro mobilní nebo domácí kanceláře, kdy firma zapůjčí zaměstnanci nakonfigurované AP, které se po připojení k domácímu směrovači automaticky připojí do firemní sítě, vytvoří šifrovaný tunel a nabídne tak stejné SSID a zabezpečení, jako je dostupné v rámci firmy.    

Druhá vlastnost, kterou bych zde rád vyzdvihl, není primárně s bezpečností svázána, přesto může odhalit některé typy útoků. Jedná se o Cisco CleanAir, konkrétně o schopnost nových AP řady 3500 provádět detailní spektrální analýzu 2,4 a 5 GHz pásma a SW na kontrolerech, který získané informace dále zpracovává a zobrazuje. Kromě detekce, klasifikace a reakce na rušení (Bluetooth, mikrovlné trouby, DECT, analogové kamery atd.) jsou zde předpřipravené bezpečnostní alarmy pro WiFi Jammer (rušičky) nebo Inverted WiFi (úprava kódování) a WiFi Invalid channel (posunutí středové frekvence WiFi kanálu), což jsou metody, které útočníkovi umožní použít jinak nedetekovatelný kanál pro vynášení interních firemních dat.