Biztonság kábelek nélkül Magyar Dénes május 19.
Vezetékes hálózatok Fő biztonsági elem a fizikai hozzáférés szabályozása A hozzáférés kontrollja miatt a titkosítás nem elterjedt Authentikációs megoldások (NAC, NAP, TNC) IPS / tűzfal rendszerek általában vezetékes hálózatokat védenek. Nagy sebességű, fix kiépítésű
Wireless hálózatok Az átviteli közeg a levegő – rádiófrekvenciás jelek használata (2.4Ghz, 5Ghz) A hullámterjedés tulajdonságai miatt a hozzáférés nem korlátozódik az épületre Elterjedt a titkositás, jelszavas védelem Általában a vezetékes hálózat „meghosszabbítása” azonos biztonsági paraméterekkel. Közepes sebességű, osztott elérésű média (lehallgathatóság)
Tévhit 1. „Az én wirelessem biztonságos mert a rejtett az SSID és MAC cím szűrést is alkalmazunk” Sajnos a technológiából adódóan az SSID felfedezhető még akkor is ha a rendszerben ezt rejtettként definiáljuk. Látszanak továbbá a felcsatlakozott MAC címek is – igy könnyen választható egy legitim MAC cím a támadás kivitelezéséhez. Hogyan védekezhetek a lehallgatás ellen? A módszer egyszerű – titkosítással. A technológia kiválasztása magában kulcsfontosságú, több elterjedt biztonsági protokollban vannak implementációs hibák.
Tévhit 2. „Az én wirelessem biztonságos mert a WPA-TKIP titkosítást használok” A WPA-TKIP titkosítás az elavult WEP után a legelterjedtebb módszer. A gyakorlatban egy ilyen titkosítás perceken belül törhető egy átlagos laptoppal. Ha váltok WPA2-AES titkosításra akkor biztonságossá válik a rendszer? Maga a titkosítás igen – bár számtalan egyéb módja van a megosztott kulcs megszerzésének. A korszerű megoldás a többfaktoros authentikáció – tanusítvány, token, egyszer használatos jelszó.
Tévhit 3. „Az én wirelessem biztonságos mert a teljesítmények szabályozva vannak – nem sugárzunk az épületen határain túl” Hibás biztonságérzet mert attól hogy a jelek nem jutnak ki egy támadó még „bejuthat”. (Nagy érzékenységű, adóteljesítményű wireless berendezéssel) Igen, de ezek a berendezések drágák, üzemeltetésük nagy szakértelmet igényel A tapasztalat azt mutatja, hogy alacsony költségen és viszonylag egyszerű módszerekkel ez megvalósítható
A méret a lényeg Az alábbi hazánkban megvásárolható 6835 forintos eszközzel megfelelő rálátás esetén akár 6-8 kilométerről is lehallgatható egy hálózat.
Kalóz Access Point A laptopokon található kliensek nem azonosítják a hozzáférési pontokat – pusztán az SSID alapján döntik el hogy csatlakoznak vagy nem Ha egy támadó nagyobb adóteljesitménnyel tud jelen lenni a kliens közelében akkor azok arra fognak kapcsolódni és igy lehallgathatóvá illetve módosíthatóvá válik annak forgalma Modern infrastruktúrákban van mód ezek észlelésére és blokkolására Cégünknél ne használjunk egyszerű otthoni felhasználású eszközöket, ezekben nincs ilyen védelem
Támadások védelme A vezetékes hálózatokat tűzfalakkal, IPS eszközökkel védjük és monitorozzuk, a wireless hálózatokon általában nincsen ilyenfajta védelem Elterjedőben vannak az un. Wireless IPS eszközök illetve érdemes a vezetékmentes zónát külön tűzfalszegmensként definiálni. A lehallgatásoktól legjobban pont-pont titkositással (IPSec, EAPoL kiterjesztések) védekezhetünk.
Összefoglalás Megfelelő titkosítás kiválasztása Több faktoros authentikáció Wireless IPS alkalmazása Vállalati szintű infrastruktúra – olcsó otthon használatos eszközök helyett Felhasználók oktatása (Security Awareness)
Kérdések és Válaszok