Či už surfovaním na internete z pohodlia domova alebo pripájaním sa k verejným Wi-Fi sieťam v kaviarňach a na letiskách, je dôležité uvedomiť si riziká spojené s nezabezpečenými sieťami. Tento článok vás prevedie rôznymi druhmi šifrovania, ktoré pomáhajú chrániť vaše osobné údaje, a poskytne praktické odporúčania pre bezpečné používanie verejných Wi-Fi sietí. Okrem toho predstavíme dôležitosť a funkcie virtuálnych privátnych sietí (VPN), ktoré ponúkajú dodatočnú vrstvu zabezpečenia, keď ste online.
Šifrovanie WiFi siete
V princípe je najčastejšie používaných iba pár druhov zabezpečenia.
Sú to:
- Nezabezpečená (Free WiFi)
- WEP
- WPA
- WPA2
- WPA3
Šifrovania na princípe WPA sa ešte delia na Personal a Enterprise.
Personal – takéto zabezpečenie už stretol asi každý, jedná sa o overenie iba heslom ktoré je pre všetkých užívateľov rovnaké. Nevýhoda je, že pri jeho zmene je potrebné nové heslo zadať na každom zariadení. Tak isto pokiaľ heslo unikne je nemožné odhaliť vinníka keďže všetci používajú rovnaké heslo.
Enterprise – ako sám názov napovedá takéto zabezpečenie používajú prevažne väčšie firmy. Pri pripojení zariadenie vyzve okrem zadania hesla aj na zadanie užívateľského mena. Takáto sieť však potrebuje viacej technických prostriedkov a jej nastavenie je zložitejšie. Typicky sa jedná o radius server ktorý zabezpečuje overenie správnosti prihlasovacích údajov. Výhoda pre firmy je v tom, že zamestnanec pri nástupe do zamestnania dostane „Firemnú identitu“ tj. Užívateľské meno a heslo ktoré si pri prvom prihlásení do firemného počítača zmení a následne svoje nové heslo používa na prihlásenie do všetkých firemných prostriedkov vrátane WiFi siete. V prípade, že zamestnanec pracovný pomer ukončí jeho firemné konto bude zablokované a okamžite stratí prístup aj k firemnej bezdrôtovej sieti. Bez ovplyvnenia ostatných účastníkov siete.
Teraz sa pozrime na jednotlivé spôsoby zabezpečenia.
- Nezabezpečená (Free WiFi)
V minulosti veľmi populárna hlavne na verejných miestach. Bohužiaľ okrem toho, že sa môže každý okamžite pripojiť dáta sa prenášajú vzduchom zo zariadenia na WiFi router nešifrované. Hrozí tak možnosť odpočúvania.
Dnes je už na ústupe a odporúčame sa jej vyhnúť.
- WEP
Veľmi staré šifrovanie z počiatkov WiFi. Dnes sa s ním už neoplatí zaoberať. V minulosti pri slabom hardware bola výhoda nízka náročnosť. Bohužiaľ došlo k odhaleniu závažných zraniteľností prostredníctvom ktorých bolo odhalenie hesla možné už v sekundách. Našťastie výrobcovia WiFi routrov/Access pointov sa dohodli a už pár rokov úplne vypúšťajú podporu pre toto šifrovanie zo svojich zariadení. Dnes už nekúpite nový WiFi router ani v najnižšom cenovom segmente ktorý by vám umožnil použiť takto jednoduché šifrovanie.
- WPA
WPA prešlo rokmi svojej existencie vývojom a dnes už máme verziu WPA3. Pokiaľ to vaše zariadenia umožňujú odporúčame použiť najnovšiu verziu. Bohužiaľ málokedy je možné použiť čisto iba WPA3 na ktoré sa jednoduché a staršie zariadenia nevedia pripojiť. Preto takmer všetky zariadenia umožňujú nastaviť kombinované WPA2/WPA3 šifrovania. V takom prípade sa vždy použije najsilnejšie možné. Je to síce kompromis na úkor bezpečnosti, ale nejako ten prechod na WPA3 musíme začať.
Používanie WPA1 (WPA) už v dnešnej dobe neodporúčame a tak isto ani kombinácie WPA/WPA2, WPA/WPA2/WPA3
Iné možnosti doplnkového „zabezpečenia“
Filtrácia MAC adries
Mac adresa je v princípe niečo ako sériové číslo WiFi antény v zariadení (notebook, mobilný telefón). Takmer každý WiFi Router/AP umožňuje povoliť pripojenie iba pre konkrétne zadané MAC adresy. V praxi sa tak užívateľ z iného zariadenia nepripojí ani keď vie správne heslo.
V minulosti veľa ľudí verilo, že môžu sieť prevádzkovať úplne bez hesla pokiaľ obsahuje filter mac adries. Ako sme si spomenuli je to nevhodné minimálne kvôli tomu, že dáta v takom prípade letia vzduchom nešifrované. Druhý problém je, že takmer každé zariadenie umožňuje použiť virtuálnu (sfalšovanú) mac adresu a vydávať sa tak za niekoho iného. S použitím správneho nástroja sa dá behom pár sekúnd zistiť mac adresy aktívnych zariadení v okolí a odhaliť tie ktoré sa k takejto sieti pripájajú. Pokiaľ je sieť využívaná pripojiť sa teda stále nieje problém.
Napriek tomu všetkému sme našli využitie pre takéto filtrovanie u našich zákazníkov. Jedná sa konkrétne o základné školy. Slabá konektivita k internetu v kombinácii s nezodpovedným učiteľom ktorý vyzradí heslá aj len pár žiakom spôsobuje také vyťaženie internetu, že na prácu sa stáva nepoužiteľným. Po zmene hesla sa behom mesiaca na sieti objavilo znovu okolo 80 mobilných telefónov. Nízky rozpočet však neumožňuje nasadenie pokročilejších prvkov a radius servera. Nastavenie filtra na mac adresy iba školských zariadení spoľahlivo odstrihlo záškodníkov. Áno je to prekonateľné, ale detmi kvôli sociálnym sieťam je riziko minimálne. Následne po upovedomení zamestnancov o takomto zabezpečení prestávajú aj úniky hesiel.
Skrytie SSID
SSID teda názov siete ktorý sa zobrazuje pri vyhľadaní sietí v okoli sa dá aj skryť. Na zariadeniach ho treba potom vyplniť tak isto ako aj heslo. Bohužiaľ zariadenia nám začali zobrazovať prítomnosť skrytých sietí v okolí. Následne sa teda dá okolie preskenovať monitorovacím nástrojom a zistiť ho.
Aké zabezpečenie teda zvoliť?
V domácom prostredí bohato postačí minimálne WPA2-Personal (prípadne WPA3) s dostatočne zložitým heslom. Vo firemnom prostredí stojí za zváženie verzia Enterprise.
Zložité heslo je obzvlášť pri WPA2 naozaj nutné. Existuje možnosť odchytenia takzvaného WPA Handshake. Jedná sa v princípe o zašifrované heslo ktoré zariadenia vysielajú počas nadväzovania spojenia. Toto heslo síce nie je možné spätne dešifrovať, ale je možné zašifrovať akékoľvek slovo a porovnať ho so šifrou či náhodou nesedí. Útočníkovi tak stačí iba minimálne fyzické zdržanie sa v dosahu vašej siete na odchytenie tohto údaju. Následne tak môže hrubou silou skúšať rôzne kombinácie hesiel a porovnávať ich s odchytením údajom automaticky v teple domova. Odhaliť jednoduché iba číselné heslo tak na priemernom stolnom pc trvá zhruba do 20 minút. Bežné jednoduché slová ktoré sa nachádzajú v slovníkoch potom pár hodín. Zložité heslo obsahujúce neexistujúce slová, čísla aj znaky môže trvať stovky rokov.
Čo keď musím použiť „verejnú WiFi sieť“ ?
Vďaka príchodu https takmer na každý web už nieje riziko tak vysoké ako v minulosti. V každom prípade je vhodné pripájať sa iba na siete obsahujúce zabezpečenie (napriek tomu, že heslo je verejnosti známe) ako sme si už vysvetlili. Pozor – v prípade, že sa na akejkoľvek cudzej sieti pri návšteve ľubovoľnej webstránky s adresou začínajúcou https (s Skom na začiatku) zobrazí varovanie o neplatnom certifikáte odporúčam danú sieť okamžite prestať používať. Znamená to totiž, že komunikáciu niekto prerušil a namiesto pôvodného webu sa snaží podvrhnúť Vám upravenú verziu.
Návšteva webu s neplatným certifikátom
Pri používaní cudzích sietí môžete výrazne vylepšiť zabezpečenie používaním vpn. Nie však hocijakej. Väčšina podnikových VPN prístupov „preposiela“ cez VPN iba komunikáciu smerujúcu do vlastnej firemnej siete. Na tento účel požiadajte Vášho správcu o vygenerovanie VPN profilu preposielajúceho všetku komunikáciu cez VPN. Vo výsledku sa tak bude všetok internetový traffic šifrovať a preposielať cez firmu a až odtiaľ do internetu. Prevádzkovateľ verejnej WiFi sa tak nedozvie čo na internete robíte a kam pristupujete, uvidí iba jedno veľké spojenie do vašej firmy.
Alternatívne môžete použiť verejné VPN služby ktoré sú stvorené presne na tento účel. Ceny sú rôzne. Väčšina takýchto služieb sa pohybuje od 20 do 100€ za rok. Treba však zvážiť výber kvalitného poskytovateľa tejto služby a nenechať sa nalákať výhodnou ponukou. V realite síce zabezpečia komunikáciu pred providerom, alebo prevádzkovateľom verejnej WiFi, ale tak isto ako on môže nepoctivý provider sledovať a upravovať Vašu komunikáciu.
Ako na profesionálnu WiFi sieť?
V prípade, že potrebujete pokryť celú firmu, alebo väčšiu domácnosť skôr či neskôr si uvedomíte, že jeden malý routrík na to nepostačuje. V prvom rade odporúčam vyhnúť sa repeatrom ktoré nájdete v každom elektre. Veľa z nich má iba jedno rádio ktoré používa na pripojenie sa k sieti a zároveň na vysielanie. To samozrejme znižuje rýchlosť. Zároveň majú často staršie pomalšie verzie WiFi čo je ďalšie spomalenie. Áno existujú miesta kde to bude postačovať, ale so stále rozširujúcou sa optikou je škoda takto si spomalovať pripojenie. Tak isto je veľká rýchlosť potrebná pri práci po lokálnej sieti s Vašimi servermi/NASmi.
Ako staviame WiFi siete u nás v COMTECU ?
WiFi siete staviame na profesionálnych centralizovaných riešeniach. Po priestoroch je rozmiestnených viacero prístupových bodov od toho istého výrobcu, pričom všetky riadi len jeden kontrolér ktorý sa zároveň používa na ich konfiguráciu. V praxi tak po celej budove (alebo aj viacerých pobočkách) máte všade prístupné rovnaké siete. Zariadenia ako notebook/mobilný telefón sa vždy automaticky pripoja na najbližší prístupový bod. Oddelená WiFi sieť pre hostí je samozrejmosť, tak isto aj viaceré samostatné siete napríklad pre podnájomníkov. V kontroléri tak vieme sledovať stav všetkých prístupových bodov, počet pripojených klientov, kto sa nachádza v akej časti budovy a kde by bolo potrebné signál rozšíriť. Operatívne tak vieme na diaľku meniť nastavenia, heslá, prípadne blokovať záškodníkov.
Najčastejšie používame AP od firmy Sophos. V prípade, že máte na firme firewall rovnakej značky poskytujú pridanú hodnotu v zabezpečení. Firewall môže zároveň fungovať ako kontrolér na riadenie týchto AP a získate tak možnosť konfigurácie všetkých prvkov siete z jedného rozhrania. V prípade, že Sophos firewall na firme nemáte, stále ich môžete použiť ako profesionálne AP a riadiť všetko z cloudu.
Medzi lacnejšiu, ale medzi nami stále populárnu alternatívu patria zariadenia od firmy Ubiquiti. Tie obsahujú veľa možností konfigurácie. Rovnako ako pri Sophose môžu byť riadené z firewallu od rovnakej značky. Vyrábajú však aj samostatný hw kontrolér na riadenie vo formáte malej krabičky ktorú však tak isto nemusíte mať. Môžete použiť aj softwarovú verziu na vlastnom serveri/nas. V neposlednej rade môžeme aj Vaše AP pripojiť do nášho comtecom prevádzkovaného kontroléru v prípade, že budú spravované nami.
Ukážka kontroléra v malej sieti
Nech už sa rozhodnete pre akékoľvek riešenie, dôležité je nepodceniť počet prístupových bodov v budove.
Ak ste sa dočítali až sem tak ďakujeme za pozornosť. Dúfam, že ste sa dozvedeli niečo nové a užitočné. V prípade, že potrebujete pomôcť s Vašou WiFi sieťou neváhajte nás kontaktovať.
Autor: Miloš Harmady, IT & Security Support v COMTEC s.r.o.