Kod Biznesu

Bezpieczeństwo sieci publicznych bezprzewodowych

 Sieć bezprzewodowa jest siecią bardzo elastyczną umożliwiającą łatwy i szybki dostęp do Internetu prawie z każdego miejsca na ziemi. Taka sytuacja, z punktu widzenia przeciętnego użytkownika, jest bardzo wygodna i powoduje nierzadko brak indywidualnej ochrony swojego bezpieczeństwa w sieci podczas łączenia się z publicznym punktem dostępowym.

Publiczny punkt dostępowy umożliwia darmowy dostęp do Internetu, który jest często niechroniony hasłem, dla każdego użytkownika komputera znajdującego się w zasięgu bezprzewodowego punktu dostępowego. Sytuacja taka jest bardzo często w miejscach publicznych typu lotniska, kawiarnie, urzędy, biura i inne.

Niebezpieczeństwa
Publiczny dostęp do Internetu umożliwia generowanie sytuacji niebezpiecznych zagrażających utratą lub przechwyceniem danych przesyłanych w takiej sieci za pomocą sniffera lub nawet przejęciem kontroli nad podłączonym urządzeniem do sieci publicznej. Sniffery umożliwiają analizę ruchu sieciowego w przechwyconych pakietach danych w celu odczytania ich zawartości w sieci bezprzewodowej. Taka analiza umożliwia atakującemu odczytanie poufnych danych przesyłanych w sieci łącznie z hasłami, loginami oraz adresami odwiedzanych stron w sieci. W przypadku sieci bezprzewodowych bardzo często atakujący konfigurują fałszywe punkty dostępowe sieci Wi-Fi i stosują je jako przynętę dla nieświadomych użytkowników do przechwytywania poufnych danych. Aby nie doprowadzać do tak niebezpiecznych sytuacji należy zadbać o swoje bezpieczeństwo na kilka sposobów.

Jak zadbać o bezpieczeństwo?
Najbardziej podstawowym działaniem mającym na celu zabezpieczenie dostępu do sieci bezprzewodowej zarówno z punktu widzenia usługodawcy i usługobiorcy jest możliwość filtrowania adresów MAC urządzeń zaufanych podłączających się do punktu dostępowego. W naturalny sposób ogranicza to jednak pulę urządzeń mogących podłączyć się do punktu dostępowego więc można tu mówić już o niepublicznym dostępie do Internetu. Z drugiej zaś strony istnieje możliwość sklonowania adresu MAC urządzenia znajdującego się na „białej” liście punktu dostępowego sieci bezprzewodowej.
Podstawowym działaniem mającym na celu ochronę przesyłanych danych w sieci jest kodowanie informacji przesyłanych w sieci bezprzewodowej. Istnieje kilka podstawowych standardów kodowania danych w sieci bezprzewodowej począwszy od standardu WEP (ang. Wired Equivalent Privacy) oraz WPA (Wi-Fi Protected Access), które są praktycznie bezużyteczne ponieważ są bardzo łatwe do rozszyfrowania.
Kolejnym standardem będącym wynikiem rozwoju techniki kodowania danych jest standard WPA2 (ang. Wi-Fi Protected Access II). Podstawową zaletą w tym rozwiązaniu jest zaprzestanie użycia protokołu TKIP, mającego bardzo wiele wad i wykorzystywanego w pierwszych standardach, i włączenie protokołu CCMP opartego na szyfrowaniu AES. Ewentualna próba włamania się do sieci zabezpieczonej standardem WPA2 wymaga wcześniejszego dostępu do tej sieci przez atakującego w celu przejęcia odpowiednich kluczy szyfrujących co znacząco zabezpiecza tę sieć przed włamaniem.
Najbardziej zaawansowanym standardem szyfrującym i zarazem najbardziej bezpiecznym jest standard WPA3 (ang. Wi-Fi Protected Access III). Standard ten uniemożliwia użycia przestarzałych protokołów połączeniowych w postaci TKIP oraz WEP. Dodatkowo zrezygnowano z metody Preshared Key podatnej na siłowe ataki słownikowe do łamania klucza szyfrującego a zamiast tego zastąpiono metodą SAE (ang. Simultaneous Authentication of Equals ) implementującą algorytm szyfrujący Dragonfly Key Exchange. Dodatkowo podczas wymiany danych w sieci publicznej istnieje możliwość wymuszenia połączenia szyfrowanego standardem SSL (ang. Secure Socket Layer)  podczas korzystania z aplikacji łączącej się z siecią bezprzewodową oraz standardem HTTPS podczas połączenia ze stronami internetowymi w trakcie ich przeglądania. Większość certyfikatów SSL jest zdolnych do bardzo silnego szyfrowania połączenia kluczem szyfrującym na poziomie 256-bitów. Celem stosowania certyfikatu SSL jest zapewnienie poufności wszystkim danym przesyłanym od nadawcy do odbiorcy i odwrotnie. Szczególnie ważne jest to w przypadku sklepów internetowych, banków czy innych serwisów umożliwiających płatności w Internecie. Podczas przesyłania poufnych danych w sieciach publicznych zaleca się stosowanie wirtualnych sieci prywatnych VPN (ang. Virtual Private Network). Zaletą takich sieci jest kierowanie całego ruchu sieciowego przez odrębną wydzieloną wirtualną sieć prywatną zestawianą bezpośrednio do ustanowienia tego konkretnego połączenia sieciowego.

Jak widać bezpieczeństwo w sieci jest bardzo ważne i należy zawsze pamiętać o zachowaniu podstawowych zasad bezpieczeństwa i zdrowego rozsądku.  Nie należy używać publicznych sieci bezprzewodowych do przesyłania poufnych danych w postaci logowania na pocztę elektroniczną lub korzystania z bankowości internetowej.

 

Autor: Zbigniew Kasprzyk, dr inż. Rozwiązań Technicznych w PDAserwis