Z kablem wciąż bezpieczniej
Sprzedaż sprzętu bezprzewodowego rośnie przynajmniej o kilkadziesiąt procent rocznie. Wciąż jednak nie może się on zadomowić w większych przedsiębiorstwach. Sytuację tę zmienią być może już wkrótce nowe standardy ochrony transmisji danych.
Urządzenia bezprzewodowe (punkty dostępowe, karty, mosty itp.) w wielkim stylu podbijają rynek SOHO i małych firm. Coraz częściej trafiają do domów nieco zamożniejszych Kowalskich. Jednak menedżerowie w średnich i dużych przedsiębiorstwach wciąż podchodzą do nich jak pies do jeża. Jedną z tego przyczyn jest mała przepustowość sieci WLAN, drugą – przekonanie, że bezprzewodówka jest znacznie mniej bezpieczna od rozwiązań kablowych. Korporacyjnych klientów nie zachęcają na pewno coraz częstsze publikacje w prasie tzw. testów terenowych. Wynika z nich niezbicie, że wystarczy przejechać się po mieście samochodem z włączonym notebookiem, wyposażonym w antenę i odpowiednie oprogramowanie, by dostać się do niemal każdej sieci firmowej. Producenci sprzętu WLAN odpowiadają na ten zarzut: dobrze zainstalowana sieć bezprzewodowa jest równie bezpieczna jak tradycyjna. Za brak odpowiedniej ochrony przesyłanych informacji winę ponoszą użytkownicy… Klienci korporacyjni odpowiadają spokojnie, że dopóki nie zostaną stworzone pewne mechanizmy szyfrujące transmisję radiową, dopóty nie będą na nią wydawać pieniędzy.
Na sąsiada wystarczy
Zdaniem przedstawicieli branży klienci nie chcą stosować funkcji zabezpieczających sieci WLAN, bo sądzą, że wyłącznie obniżają ich wydajność. Niektórzy po prostu nie wiedzą jak je uruchomić. Dystrybutorzy podkreślają, iż stosowanie podstawowych metod zabezpieczeń nie wymaga zdobycia głębokiej wiedzy na temat funkcjonowania sieci WLAN.
– Najprostszym sposobem ograniczenia ryzyka związanego z przechwyceniem transmisji jest ograniczenie mocy nadajnika – twierdzi Marek Jaszczuk, Product Manager Tech Daty. – Często wystarcza, aby urządzenie przesyłało dane na odległość 10 m. Przecież sygnał ma dochodzić tylko do sąsiedniego pokoju, a nie do budynku na drugim końcu osiedla.
Takie rozwiązanie nie chroni oczywiście w stu procentach przed przechwyceniem transmisji, może jedynie nieznacznie ograniczyć ryzyko. Większość producentów wprowadziła jednak funkcję ograniczenia mocy nadawania w swoich urządzeniach. Wystarczy z niej skorzystać. Poziom mocy ustawia się zwykle jako wartość procentową pełnych możliwości urządzenia nadajnika (np. w urządzeniach D-Linka) albo w decybelach (np. w sprzęcie 3Coma i Cisco Systems). Jeśli urządzenie nie ma tej funkcji, użytkownikowi pozostaje kilka innych opcji. Może podłączyć do anteny odpowiednio długi kabel, żeby stłumić jej sygnał. Metodą trochę bardziej skomplikowaną jest zainstalowanie w punkcie dostępowym anten kierunkowych. Dzięki nim również powinno się nieco zmniejszyć prawdopodobieństwo dotarcia sygnału tam, gdzie nie trzeba. Stosowanie anten dookolnych stwarza ryzyko przechwycenia sygnału z każdego miejsca w pobliżu.
– Anteny kierunkowe nadają za pomocą bardzo wąskiej wiązki – twierdzi Marek Jaszczuk. – Utrudnia to podsłuchanie transmisji, ale oczywiście nie eliminuje takiej możliwości.
Wymienione zabezpieczenia służą wyłącznie utrudnieniu przechwycenia transmisji. Wciąż możliwe jest jednak jej odczytanie. Dlatego przydatne są zabezpieczenia dodatkowe: filtrowanie adresów MAC, ukrywanie identyfikatora SSID (Service Set Identifier) oraz szyfrowanie WEP (Wireless Equivalent Privacy). Funkcje te są zaimplementowane w większości urządzeń bezprzewodowych, które można kupić na polskim rynku. Dystrybutorzy zalecają, by integratorzy nakłaniali klientów do stosowania ich równocześnie.
– Za ich pomocą można ochronić sieci klientów przed ponad 90 proc. ataków – zapewnia Marek Jaszczuk. – A już na pewno przed wścibskim sąsiadem, który najprawdopodobniej nie potrafi złamać takich zabezpieczeń.
Metody te sprawdzają się w sieciach domowych, osiedlowych i w niewielkich firmach. Jednak co dobre w domu, nie zawsze spełni swą rolę w dużym przedsiębiorstwie. Tam algorytm WEP ani filtrowanie adresów MAC nie wystarczą.
Korporacja na widelcu
Złamanie klucza WEP za pomocą komputera z procesorem Pentium II oraz aplikacji ściągniętych z Internetu zajmuje doświadczonemu hakerowi kilka minut. Niewiele więcej czasu musi poświęcić na 'podsłuchanie’ adresów MAC. To między innymi dlatego korporacje tak niechętnie patrzą na rozwiązania bezprzewodowe. Kto weźmie na siebie odpowiedzialność za utratę cennych danych finansowych?
– Żaden rozsądny menedżer IT w dużej firmie nie kupi bezprzewodówki np. do zastosowań na zewnątrz budynku – utrzymuje Karol Wielecki, handlowiec z firmy resellerskiej IMComputer. – WLAN w większych przedsiębiorstwach jest używany w biurach, gabinetach prezesów i dyrektorów lub w magazynach, gdzie nie opłaca się kłaść kabli. Bezprzewodówka w niedoświadczonych rękach to niebezpieczna zabawka.
Aby zdobyć klientów w segmencie korporacyjnym, producenci urządzeń WLAN zostali zmuszeni do wprowadzenia skuteczniejszych algorytmów zabezpieczających transmisję danych.
– Medium transmisyjnym dla sieci WLAN jest powietrze – mówi Piotr Szołkowski, Product Manager z 3Coma. – Pakiety można łatwo przechwycić, stąd troska o zaawansowane algorytmy zabezpieczeń.
Jednym z nich jest protokół 802.1X, którego działanie polega na bezpiecznym uwierzytelnieniu haseł użytkowników oraz przesyłaniu kluczy. Dzięki niemu użytkownik może – jak zapewniają dostawcy sprzętu – zalogować się w sieci bez obawy, że ktoś przechwyci jego hasło lub klucz. Wykorzystano go m.in. w RADIUS-ie (Remote Authentication Dial-In User Service) oraz EAP (Extensible Authentication Protocol). Zaletą RADIUS-a jest to, że służy do uwierzytelniania nie tylko osób i komputerów, ale też np. samych punktów dostępowych. Dzięki temu użytkownik ma pewność, że zalogował się we właściwej sieci.
Znacznie wyższy poziom bezpieczeństwa zapewnia specyfikacja 802.11i. Zdefiniowano w niej nie tylko obowiązkowe uwierzytelnianie typu EAP, ale także protokół dynamicznej zmiany klucza szyfrującego TKIP (Temporal Key Integrity Protocol) oraz nowy algorytm szyfrowania AES (Advanced Encryption Standard), który wykorzystuje klucze o długości 128, 192 lub 256 bitów. Jego wadą są wysokie wymagania sprzętowe – wszystkie urządzenia zgodne z normą IEEE 802.11i muszą mieć wydajne procesory. Druga niedogodność – to brak kompatybilności z wieloma starszymi produktami bezprzewodowymi, oferowanymi na rynku.
Najbardziej wybredni klienci mogą korzystać z kanałów VPN (Virtual Private Networks). Sieci wirtualnych, stworzonych w standardzie IP Sec, nie udało się do tej pory złamać (przynajmniej nic o tym oficjalnie nie wiadomo). Mogą być wykorzystywane zarówno w sieciach przewodowych, jak i bezprzewodowych. Jednocześnie szyfrują dane i uwierzytelniają użytkowników bądź komputery. Dzięki temu można ustanowić na czas połączenia 'tunel’, nawet jeśli pozostała część sieci jest niezabezpieczona.
Jednym z rozwiązań, które zapewniają tworzenie bezprzewodowych kanałów VPN, są przełączniki bezprzewodowe.
– Urządzenia te wykorzystują np. protokół IP Sec. – mówi Tomasz Widuch, Product Manager z Symbol Technologies. – W naszym przypadku jest to WTLS, zabezpieczenie pewne, wydajne, które umożliwia roaming.
Współczesne sieci bezprzewodowe to jednak nie tylko zaawansowane algorytmy szyfrowania i uwierzytelniania. To także rozbudowane narzędzia programowe do zarządzania. Administrator może w taki sposób zaprojektować strukturę WLAN, aby ograniczyć transmisję radiową w miejscach, w których mogłaby stanowić zagrożenie dla sieci korporacyjnej (np. na jej obrzeżach). System umożliwia wykrycie dzikich punktów dostępowych. Takim punktem może być urządzenie zainstalowane przez pracowników firmy, bez wiedzy administratora. Administrator wyposażony w oprogramowanie może również prowadzić nasłuch, aby wykryć obcy sygnał.
Wciąż niebezpiecznie
Metody zabezpieczeń stosowane w rozwiązaniach przeznaczonych dla korporacji są skuteczniejsze, co jednak nie znaczy, że skuteczne w stu procentach.
– Nie ma systemów nie do złamania – mówi Maciej Szeptycki, inżynier systemowy w Cisco Systems. – Są tylko takie, których nie opłaca się łamać. Koszt ich naruszenia jest niewspółmiernie wysoki do efektu. Za kilka tysięcy dolarów są do nabycia punkty dostępowe, które można z powodzeniem zaproponować nawet dużemu przedsiębiorstwu.
Standard 802.11i (opracowany częściowo na bazie technologii Cisco Systems) zawiera m.in. mechanizmy uwierzytelniania z rodziny EAP, oparte na 802.1x, współpracujące z serwerami RADIUS do autoryzacji użytkowników. Oprócz starszego mechanizmu szyfrowania TKIP wykorzystują one także szyfrowanie AES (Advanced Encryption Standard). Dzięki temu można budować sieci bezprzewodowe o bardzo wysokim poziomie bezpieczeństwa transmisji, wystarczającym w większości zastosowań komercyjnych.
Liczba i jakość wprowadzanych ostatnio metod zabezpieczeń może prowadzić do wniosku, że sieci bezprzewodowe są lepiej chronione od przewodowych, a to nieprawda. Przewaga sieci kablowych polega m.in. na tym, że są zabezpieczone fizycznie. Jeśli w firmie obowiązuje sensowna (przemyślana i przestrzegana) polityka bezpieczeństwa, nikt niepowołany do jej siedziby się nie dostanie i nie zdoła podłączyć analizatora do gniazdka. Jeśli takiej polityki nie ma, bądź jest nieprzestrzegana, sieć kablowa może być równie niebezpieczna, co bezprzewodowa.
Producenci i dystrybutorzy są zgodni, że nawet najlepsze mechanizmy i urządzenia zawiodą, jeśli zostaną źle skonfigurowane. Dlatego, instalując sieci WLAN w przedsiębiorstwie, należy pamiętać o wprowadzeniu polityki bezpieczeństwa i wykorzystywaniu wszelkich dostępnych metod ochrony sieci. Tego zdania jest Aleksander Czarnowski, prezes firmy konsultingowej Avet INS. Według niego ostatnie ataki DoS na sieci bezprzewodowe kolejny raz dowiodły prawdziwości twierdzenia, że sieć jest tak bezpieczna, jak bezpieczny jest jej najsłabszy punkt.
Podobne artykuły
Mongo DB: zarządzanie bazą danych w chmurze
Tradycyjne podejście do przetwarzania danych w przypadku systemów zarządzania relacyjną bazą danych nie we wszystkich przypadkach jest najbardziej optymalne. Konieczność przechowywania coraz bardziej rozbudowanych i skomplikowanych danych, oraz próba ich opisania w postaci tabel i relacji może prowadzić do wolnych wielotabelowych zapytań i rozrośniętych indeksów. W niektórych przypadkach, zamiast korzystać z narzędzia uniwersalnego, warto sięgnąć po system specjalistyczny. Jednym z takich systemów oferowanych w CloudPortal jest nierelacyjny system zarządzania bazą danych MongoDB.
Mechanizmy wysokiej dostępności relacyjnych baz danych w CoudPortal.pl
Wszystkie aplikacje udostępnianie w CloudPortal ze względu na elastyczną architekturę platformy w dużym stopniu wykorzystują dodatkowe usługi. Rozproszone systemy plików, bazy SQL i NOSQL, usługi kolejkowania, pamięci podręczne sesji i wiele innych mają zagwarantować szeroką gamę możliwości dla tworzonych i udostępnianych przez platformę rozwiązań.
Aplikacje Ruby na platformie CloudPortal
CloudPortal jest elastyczną platformą PaaS, która umożliwia tworzenie i utrzymywanie w jednym środowisku aplikacji przygotowanych w najpopularniejszych językach programowania i korzystających z szerokiej gamy usług. Jednym ze wspieranych środowisk uruchomieniowych jest konfiguracja wspierająca aplikacje Ruby, Rack, Rails i Sinatra.