60 % Wi-Fi tīklu nav aizsargāti
60% WiFi tīklu nav aizsargāti
Lai gan Wi-Fi tīkliem
piemīt daudzas priekšrocības, tiem ir arī daudz trūkumu, proti,
drošības problēmas. Tomēr pat uzņēmumu tīkla
administratori bieži ignorē šo faktu. Šodien ir
pierādīts, ka bezvadu tīkli paši par sevi ir nedroši,
tādēļ tiem vairāk nekā kabeļtīkliem ir
nepieciešama papildu aizsardzība.
Panda Software ir
publicējusi PandaLabs ziņojumu Drošība Wi-Fi tīklos. Tā atklāj būtiskus
drošības trūkumus WEP (visplašāk izmantotais protokols
Wi-Fi vidē), WPA vai WPA-PSK vidē. Pēc aptaujas
rezultātiem, gandrīz 60 procentiem tīklu vispār nebija
savas drošības sistēmas. Izpētē tiek minēti
dažādi bezvadu tīkli un pamatkoncepcijas, kā arī
negatīvās īpašības saistībā ar
populārākajiem drošības protokoliem (piemēram, WEP un
WPA). Tiek apskatīta arī drošība portālos, kas
regulē pieslēgumus atvērtajos tīklos, piemēram,
lidostās, viesnīcās un citās sabiedriskajās
vietās. Pilnu izpētes dokumentu var izlasīt http://www.pandasoftware.com/Wi-Fi/
Aptaujas rezultāti liecina, ka drošība Wi-Fi
tīklos ir nepietiekama. Lai gan visplašāk izmantotajam
tīkla drošības protokolam WEP ir daudz ievainojamību,
visdrošākie protokoli, piemēram, WPA vai WPA-PSK, tiek izmantoti
ļoti reti. PandaLabs to pierādīja, veicot vairākas
starptautiskas aptaujas tādās valstīs kā Zviedrija,
Slovēnija un Kanāda, un atklājās, ka gandrīz 60 %
tīklu trūkst aizsardzības. Šāda veida izpēte
ietver bezvadu tīklu atklāšanu noteiktā maršrutā,
izmantojot portatīvo datoru ar Wi-Fi, kā arī
īpašu programmu šo tīklu atklāšanai.
WEP (Wired
Equivalent Privacy) ir ievērojami
nedrošāki par kabeļtīkliem, jo datu pārraidei tiek
izmantoti elektromagnētiskie viļņi. Lai aizsargātu datu
pārraidi bezvadu tīklos, standarts 802.11b nosaka izmantoto WEP
protokolu. Tas cenšas nodrošināt bezvadu tīkla
drošību, šifrējot pa radioviļņiem
pārraidītos datus. Kā jau minējām, WEP kā
šifrēšanas sistēma ir nedrošāka salīdzinājumā
ar alternatīvām sistēmām, piemēram, WPA (Wi-Fi Protected Access) vai WPA PSK (Wi-Fi Protected Access Pree Shared Key). Pirms pāris gadiem WEP
bija vienīgā kaut cik efektīva sistēma, kuru bezvadu
tīklu aizsardzībai izmantoja sistēmu administratori. Lai gan
pirmās ievainojamības parādījās jau sen,
šādi uzbrukumi notika ļoti reti. WEP piedāvā tikai
virtuālu aizsardzību, uz laiku aizturot ielaušanos
sistēmā, bet nebloķējot to, tādēļ ieteicams
kā šifrēšanas sistēmu ieviest WPA vai WPA PSK, bet
paturot prātā, ka labāk vismaz izmantot pareizi konfigurētu
WEP, nevis atstāt tīklu vispār bez aizsardzības.
Neraugoties uz to, ka WPA PSK ir iespējas
uzlauzt, izmantojot brutālu spēku, tas tomēr ir
pietiekoši drošs, jo īsā laika sprīdī ir
sarežģīti iegūt šifrēšanas atslēgu,
ņemot vērā faktu, ka kodu ir grūti uzminēt. Tomēr,
lai cik laba būtu drošības sistēma, atslēga ar zemu
drošības līmeni padara to ievainojamu. Tādēļ
būtu ieteicams veikt papildu pasākumus, kas ļauj
paaugstināt drošību, izmantojot bezvadu tīklus:
- mainot ESSID vērtību (Extended Service Set Identifier),
mainot noklusējuma lietotāju vārdus un paroles piekļuves
punktā (Access Point),
definējot jaunas un sarežģītākas ESSID un paroles;
- atslēgt vai bloķēt
bāksignāla kadrus (Beacon
Frames) un citus nevajadzīgus ziņojumus;
- šifrēt ziņojumus, izmantojot
visaugstāko pieejamo šifrēšanas līmeni,
vienmēr dodot priekšroku WPA pār WEP un neatstājot
tīklu atvērtu;
- filtrēt pieslēgumus, izmantojot MAC un
IP adrešu balto sarakstu. Iespējams, to būs grūti
izdarīt un saglabāt, bet šāda opcija noteikti
paaugstinās drošības līmeni;
- atslēgt IP adrešu automātisku
piešķiršanu caur DHCP;
- izmainot pēc noklusēšanas
konfigurēto IP adrešu sarakstu piekļuves punktā (Access Point).
Visi iepriekš minētie pasākumi
nodrošinās to, ka bezvada tīklu neatļauti neizmantos
trešās puses. Turklāt ir svarīgi arī ievērot
termināla drošību. Termināla aizsardzībai būtu ieteicams
ieviest šāda veida drošību:
·
instalēt
datorā antivīrusa programmu, kas regulāri veic jauninājumus;
·
izmantot
terminālā personisko ugunsmūri. To ieteicams darīt, neņemot
vērā esošos sistēmas perimetra drošības elementus;
·
instalēt
datorā programmu, kas atklāj ielaušanās
mēģinājumus (IDS, HIPS).
Vairāk informācijas: www.pandasoftware.com un www.pandasoftware.lv
Andrejs
MAZJĀNIS,
SIA Management Information System Latvia
ģenerālmenedžeris
Lai gan Wi-Fi tīkliem piemīt daudzas priekšrocības, tiem ir arī daudz trūkumu, proti, drošības problēmas. Tomēr pat uzņēmumu tīkla administratori bieži ignorē šo faktu. Šodien ir pierādīts, ka bezvadu tīkli paši par sevi ir nedroši, tādēļ tiem vairāk nekā kabeļtīkliem ir nepieciešama papildu aizsardzība.
Panda Software ir publicējusi PandaLabs ziņojumu Drošība Wi-Fi tīklos. Tā atklāj būtiskus drošības trūkumus WEP (visplašāk izmantotais protokols Wi-Fi vidē), WPA vai WPA-PSK vidē. Pēc aptaujas rezultātiem, gandrīz 60 procentiem tīklu vispār nebija savas drošības sistēmas. Izpētē tiek minēti dažādi bezvadu tīkli un pamatkoncepcijas, kā arī negatīvās īpašības saistībā ar populārākajiem drošības protokoliem (piemēram, WEP un WPA). Tiek apskatīta arī drošība portālos, kas regulē pieslēgumus atvērtajos tīklos, piemēram, lidostās, viesnīcās un citās sabiedriskajās vietās. Pilnu izpētes dokumentu var izlasīt http://www.pandasoftware.com/Wi-Fi/
Aptaujas rezultāti liecina, ka drošība Wi-Fi tīklos ir nepietiekama. Lai gan visplašāk izmantotajam tīkla drošības protokolam WEP ir daudz ievainojamību, visdrošākie protokoli, piemēram, WPA vai WPA-PSK, tiek izmantoti ļoti reti. PandaLabs to pierādīja, veicot vairākas starptautiskas aptaujas tādās valstīs kā Zviedrija, Slovēnija un Kanāda, un atklājās, ka gandrīz 60 % tīklu trūkst aizsardzības. Šāda veida izpēte ietver bezvadu tīklu atklāšanu noteiktā maršrutā, izmantojot portatīvo datoru ar Wi-Fi, kā arī īpašu programmu šo tīklu atklāšanai.
WEP (Wired Equivalent Privacy) ir ievērojami nedrošāki par kabeļtīkliem, jo datu pārraidei tiek izmantoti elektromagnētiskie viļņi. Lai aizsargātu datu pārraidi bezvadu tīklos, standarts 802.11b nosaka izmantoto WEP protokolu. Tas cenšas nodrošināt bezvadu tīkla drošību, šifrējot pa radioviļņiem pārraidītos datus. Kā jau minējām, WEP kā šifrēšanas sistēma ir nedrošāka salīdzinājumā ar alternatīvām sistēmām, piemēram, WPA (Wi-Fi Protected Access) vai WPA PSK (Wi-Fi Protected Access Pree Shared Key). Pirms pāris gadiem WEP bija vienīgā kaut cik efektīva sistēma, kuru bezvadu tīklu aizsardzībai izmantoja sistēmu administratori. Lai gan pirmās ievainojamības parādījās jau sen, šādi uzbrukumi notika ļoti reti. WEP piedāvā tikai virtuālu aizsardzību, uz laiku aizturot ielaušanos sistēmā, bet nebloķējot to, tādēļ ieteicams kā šifrēšanas sistēmu ieviest WPA vai WPA PSK, bet paturot prātā, ka labāk vismaz izmantot pareizi konfigurētu WEP, nevis atstāt tīklu vispār bez aizsardzības.
Neraugoties uz to, ka WPA PSK ir iespējas uzlauzt, izmantojot brutālu spēku, tas tomēr ir pietiekoši drošs, jo īsā laika sprīdī ir sarežģīti iegūt šifrēšanas atslēgu, ņemot vērā faktu, ka kodu ir grūti uzminēt. Tomēr, lai cik laba būtu drošības sistēma, atslēga ar zemu drošības līmeni padara to ievainojamu. Tādēļ būtu ieteicams veikt papildu pasākumus, kas ļauj paaugstināt drošību, izmantojot bezvadu tīklus:
- mainot ESSID vērtību (Extended Service Set Identifier), mainot noklusējuma lietotāju vārdus un paroles piekļuves punktā (Access Point), definējot jaunas un sarežģītākas ESSID un paroles;
- atslēgt vai bloķēt bāksignāla kadrus (Beacon Frames) un citus nevajadzīgus ziņojumus;
- šifrēt ziņojumus, izmantojot visaugstāko pieejamo šifrēšanas līmeni, vienmēr dodot priekšroku WPA pār WEP un neatstājot tīklu atvērtu;
- filtrēt pieslēgumus, izmantojot MAC un IP adrešu balto sarakstu. Iespējams, to būs grūti izdarīt un saglabāt, bet šāda opcija noteikti paaugstinās drošības līmeni;
- atslēgt IP adrešu automātisku piešķiršanu caur DHCP;
- izmainot pēc noklusēšanas konfigurēto IP adrešu sarakstu piekļuves punktā (Access Point).
Visi iepriekš minētie pasākumi nodrošinās to, ka bezvada tīklu neatļauti neizmantos trešās puses. Turklāt ir svarīgi arī ievērot termināla drošību. Termināla aizsardzībai būtu ieteicams ieviest šāda veida drošību:
· instalēt datorā antivīrusa programmu, kas regulāri veic jauninājumus;
· izmantot terminālā personisko ugunsmūri. To ieteicams darīt, neņemot vērā esošos sistēmas perimetra drošības elementus;
· instalēt datorā programmu, kas atklāj ielaušanās mēģinājumus (IDS, HIPS).
Vairāk informācijas: www.pandasoftware.com un www.pandasoftware.lv
Andrejs MAZJĀNIS,
SIA Management Information System Latvia ģenerālmenedžeris