Uporabniki poslovnega omrežja so vse bolj odvisni od storitev iz ali skozi internet. Zanimivo postane ob vprašanju Kaj od vašega poslovnega omrežje je vidno navzven v internet? Kako zagotoviti dostop do zanimivih storitev in obenem zmanjšati izpostavljenost svojega omrežja napadom iz interneta je izziv, s katerim se srečuje vsak skrbnik poslovnega omrežja. Varnost WLAN omrežij je zagotovo eden izmed njih.

 

Najbolj izpostavljena je tista Ethernet povezava skozi optično omrežje, s katero se poslovno omrežje povezuje z ISP (Internet Service Provider), saj lahko preko te povezave ves svet pride k vam. So pa tudi druge, manj izpostavljene povezave, ki na prvi pogled niso tako nevarne. Vsaka Wi-Fi dostopovna točka je potencialna točka, preko katere se lahko vzpostavi povezava z internetom. Še posebej, če je narejena ‘začasna konfiguracija’, ki je nato pozabljena.

 

Kako lahko enostavno preverimo, kaj v našem omrežju je vidno v internetu

Za to ne potrebujemo posebnih hekerskih veščin. Eden od načinov je uporaba storitev portala https://censys.io. V iskalnik lahko vpišete svojo domeno ali IP naslov in pojavi se vam izpis storitev ter portov, ki so odprti. V primeru, da ste v fazi nadgradnje omrežja, je smiselno preveriti, ali niso vaše nove naprave dostopne preko interneta. Kot zgled naj navedem primer, ko sem z vnosom besede ‘ruckus’ poiskal možne naprave tega proizvajalca dostopne preko interneta. Na sliki je prikaz iz daljne države tako da upam, da ne bo zamere. Je pa res, da na internetu ni nič daleč.

 

Naprava je povezana v internet in ima odprto storitev telnet. Nekdo je bil tako ‘preudaren’, da je zamenjal standardni telnet port z nepričakovanim portom 3000. Danes takšen prijem ni dovolj. Možnosti censys.io omogočajo detekcijo znanih storitev neodvisno od uporabljenih portov. Odprl sem aplikacijo Putty in ugotovil, da telnet deluje. Dlje nisem šel in tudi vam priporočam isto, saj bi si v nasprotnem primeru nadeli črn hekerski klobuk. Gleda na dejstvo, da je uporabljen nestandardni port, predvidevam, da je privzeto geslo zamenjano. Le predstavljamo si lahko, kako bi lahko pravi heker izkoristil takšno priložnost?

 

Slika 1: Odprti telnet port na napravi Ruckus-ICX dostopen preko interneta

 

Naj omenim besede Chrisa Inglesa, ki naj bi se spoznal na tematiko, saj je bil namestnik direktorja Ameriške agencije za nacionalno varnost (National Security Agency): ‘Networks can’t be secure but they can be defensible’, kar v prevodu zveni nekako takole: Omrežja ne morejo biti varna, se jih pa da braniti.

 

Varnost WLAN omrežij v sodobnih poslovnih omrežjih

V sodobnih poslovnih omrežjih je za zagotavljanje kibernetske varnosti potrebno funkcionalnosti porazdeliti na vse omrežne sisteme – naprave ter nadzirati vsako potencialno točko dostopa v omrežje.

 

Sodobni WLAN sistemi vsebujejo tudi funkcionalnost požarnih pregrad nove generacije (New Generation Firewall), ki zagotavljajo nadzor nad storitvami in aplikacijami na OSI sloju 7. Na ta način je možno prepoznati nepričakovano aplikacijo, ki uporablja porte, recimo HTTP in se tako lahko izogne starejšim požarnim pregradam za nadzor prometa do OSI sloja 4. Wi-Fi dostopovne točke Extreme Networks WiNG vsebujejo funkcionalnost požarne pregrade na OSI sloju 2 – 7 in omogočajo nadzor nad aplikacijami, ki lahko dostopajo v WLAN omrežje.

 

Je možno varnost WLAN omrežij dvigniti še na višji nivo?

Pri Extreme Networks so zasnovali AirDefensebrezžični celovit IPS sistem za preprečevanje vdorov v Wi-Fi in BLE dostopovne točke, ki natančno zazna brezžične ranljivosti in nenavadne omrežne dejavnosti. Deluje na obstoječih Extreme WiNG dostopovnih točkah ali na izbranih Extreme IQ dostopovnih točkah, ki delujejo kot Wi-Fi dostopovne točke v skladu z 802.11 standardi. AirDefence uporablja radijske antene za periodično skeniranje Wi-Fi radijskih kanalov in iskanje možnih poskusov vdora v omrežje. Uporablja se lahko tudi z WiNG dostopovnimi točkami, ki so konfigurirane kot senzorji in lahko neprekinjeno nadzorujejo dogajanje v radijskem spektru v WLAN okolju zgrajenim z Wi-Fi opremo drugega proizvajalca.

 

Skupaj z drugimi funkcionalnostmi AirDefense omogoča zagotavljanje varnosti omrežja v skladu z recimo regulativo HIPAA v zdravstvu ali PCI v trgovini.

 

V kolikor menite, da podatki v vašem WLAN omrežju potrebujejo dodatno zaščito, je AirDefense brezžični IPS sistem zagotovo ena izmed možnih rešitev. Oglasite se nam za podrobnejšo predstavitev.