Firemní Wi-Fi sítě mohou být pro útočníky snadným terčem. Z podstaty věci nelze Wi-Fi síť jednoduše odříznout od okolního světa. Signál se šíří vzduchem a obvykle zasahuje i mimo území firmy. Pokud Wi-Fi není dostatečně zabezpečená, může se případný záškodník do sítě dostat a zmocnit se dat, odposlouchávat konverzace nebo třeba odpojit klíčové systémy. Jak tedy docílit toho, abychom Wi-Fi ochránili a nedali hackerům šanci? A co si ověřit jako první? I zde platí Paretovo pravidlo. Dominik Soukup, specialista na Wi-Fi ze společnosti Cisco proto radí zaměřit se na těchto několik oblastí zásadních pro bezpečnou Wi-Fi. Kdo se může k Wi-Fi připojit?
Zajistit, aby se k síti nemohl přihlásit kdekdo, je jedním z nejdůležitějších kroků. Heslo pro přístup k Wi-Fi už je snad naštěstí zcela běžná věc. Často je ale pro všechny uživatele stejné. Lepší variantou je, když má každý uživatel své vlastní. A prostřednictvím kombinace tohoto hesla a například emailové adresy nebo certifikátu se takzvaně autentizuje, tedy přihlásí. Vstupní autentizaci je dobré zajistit minimálně bezpečnostním protokolem WPA2 nebo pokročilejším WPA3. V případě firemního použití by měl být nastavený ve variantě enterprise. WPA3 se oproti svému předchůdci dokáže vypořádat s komplikovanějšími hrozbami. Umí například zabránit vzájemným odposlechům mezi připojenými zařízeními. „Tyto protokoly fungují jako vrátný, který hlídá přístup do sítě. Ví, kdo přichází, a na základě toho pak také získá klíč jen od svého pokoje. Tedy má v síti předem definované možnosti, co může dělat a k čemu má přístup. Pokud by se ale někomu nepovolanému přece jen podařilo vrátného obejít, potřebujeme další metody, jak ho zastavit,“ vysvětluje Dominik Soukup.
Co mohou uživatelé v síti dělat?
K Wi-Fi se připojují různé skupiny uživatelů – zaměstnanci, hosté, nejvyšší management nebo i IoT zařízení. Abychom podpořili bezpečnost a zajistili hladký provoz sítě, můžeme na základě identifikace rozdělit uživatele do skupin a každé skupině přidělit vlastní pravomoci. Tím můžeme určit, které aplikace smí daná skupina využívat nebo kam až bude mít v síti přístup. Pokud se k Wi-Fi připojují kromě zaměstnanců i návštěvníci, je dobré mít pro ně samostatnou Wi-Fi síť s pravidly omezujícími přístup, která může používat jiný typ zabezpečení než Wi-Fi pro zaměstnance.
Stejně tak by vlastní Wi-Fi síť měla mít IoT zařízení, protože ta se zpravidla nemohou přihlásit jménem a heslem nebo certifikátem, jako je tomu v případě sítí pro zaměstnance.
Vyšší úroveň zabezpečení přináší i takzvané vícefaktorové ověřování známé z přístupu do elektronického bankovnictví, kde je pro vstup potřeba ověřit identitu ještě například pomocí kódu zaslaného na jiné zařízení.
Máte přehled o tom, co se v síti děje?
Pro bezpečnost sítě je důležité také to, abychom věděli, co se děje v bezdrátovém prostředí. Hackeři mohou využívat cizí AP, tzv. rogue AP, které je připojené k podnikové síti, ale není pod správou firmy. Proto bývá těžké tento typ útoku odhalit. Nebo se mohou pokusit prolomit heslo k Wi-Fi a dostat se tak třeba k firemním datům. „Nejjednodušším řešením je využít Wi-Fi přístupový bod vybavený dedikovaným rádiem, které neustále monitoruje připojená zařízení a okolní spektrum signálu a hledá v něm signatury případných útoků. Zjednodušeně jde o technologii monitorující okolní Wi-Fi signály a pokud je v nich něco podezřelého, tak na to upozorní. Kromě toho, že odhalí útok, neznámé AP a problematická zařízení, dokáže odhalit i případný zdroj rušení signálu,“ radí Dominik Soukup. Technologii hledejte pod označením RF ASIC.
Určitě je ale dobré monitorovat i samotný datový přenos, protože tak lze odhalit výkonnostní problémy ať už samotné sítě, tak i jednotlivých aplikací nebo připojených zařízení a ušetřit uživatelům čas a nervy. Ze získaných údajů lze také zjistit, zda neprobíhá nějaká nedostatečně zabezpečená nebo neočekávaná komunikace. Ta totiž může poukazovat na bezpečnostní incident. A díky monitoringu lze tyto nebezpečné situace eliminovat. „Monitorování charakteristik datového provozu umožňuje také omezit vstup na potenciálně nebezpečné stránky či k citlivým údajům nebo také nastavit priority pro některé aplikace. Můžete třeba nastavit vysokou prioritu aplikacím typu Webex, které slouží pro komunikaci. Díky tomu se nestane, že by vás v průběhu videokonference, překvapil výpadek kvůli přetížené síti,“ doporučuje Dominik Soukup.
Máte aktualizováno?
Také u veškerých zařízení připojených v síti je potřeba mít vše aktualizováno. Ať už jde o přístupové body, nebo koncová zařízení. I telefony a počítače jsou součástí sítě a mohou představovat prostor pro vniknutí útočníka. Měly by tedy odpovídat určitým standardům. Ty je nejlépe ohlídat prostřednictvím softwaru pro správu zařízení – říká se mu MDM (Mobile Device Management). MDM se postará o to, že se do sítě nepřipojí žádné potenciálně nebezpečné zařízení.
Co se stane, když dojde k výpadku?
I u těch nejlépe fungujících sítí se může stát, že dojde k výpadku. Wi-Fi je v takových chvílích zranitelnější a může vytvořit okno pro útok. „Měli byste se předem rozhodnout, jaký scénář je pro firmu přijatelný – zda zprovoznit síť za cenu nižšího zabezpečení, nebo se smířit s výpadkem a neriskovat. Neexistuje žádná univerzální odpověď, každá firma si musí sama určit, jaké jsou její priority a případná rizika. Je ale důležité mít scénář připravený, protože pak je firma schopná daleko rychleji zareagovat,“ vysvětluje Dominik Soukup.
Je pochopitelné, že pro majitele a manažery, zkrátka lidi, kteří mají za úkol, aby firma prosperovala, je Wi-Fi jen okrajový nástroj pro přístup k síti. Ale bez funkční sítě a přístupu k datům dnes byznys dělat nelze. A v případě útoku mohou být škody nedozírné. Tento stručný návod na posouzení základní bezpečnosti Wi-Fi vám pomůže se v problematice zorientovat a vědět, co požadovat od toho, kdo pro vás Wi-Fi zajišťuje.
