Pokud ve firmě nemáte Wi-Fi síť, jste sto let za opicemi – to by o vás nejspíš řekli vaši zaměstnanci, zákazníci a hosté. Těžko byste dnes hledali kavárnu, hotel nebo prodejnu aut bez Wi-Fi. Wi-Fi se stalo součástí byznysu, protože zákazníci to prostě očekávají. Wi-Fi síť je nezbytná i pro spousty dalších typů firem. Představte si vaše typické kancelářské pro
středí – aby byli vaši pracovníci produktivní, potřebují na svých laptopech a dalších mobilních zařízení připojení k internetu, i když se pohybují po kanceláři.
To je svět, ve kterém žijeme, a IT by na to mělo být připraveno.
Experiment, který odhalil nedostatky Wi-Fi sítí
Společnost Sophos provedla experiment, při kterém James Lyne a Chester Wisniewski použili jednoduché nástroje pro detekci tisíce bezdrátových sítí, zatímco projížděli na kole rušnými čtvrtěmi v Londýně, New Yorku, San Franciscu a několika dalších velkých městech. Zjistili, že velké množství Wi-Fi hotspotů používá zastaralé, nebo žádné zabezpečení – např
. v Londýně pouhých 17 % hotspotů, které proskenovali, mělo doporučené WPA2 nastavení pro šifrování bezdrátového provozu. Téměř čtvrtina hotspotů měla otevřenou síť bez jakéhokoliv šifrování.
U spousty malých společností také zjistili nedostatek povědomí o bezpečnosti. Používají výchozí názvy sítí bez jakéhokoliv náhodného prvku spolu s použitím základních hesel (obojí je velmi špatný postup). Mít správně nastavenou Wi-Fi síť je nezbytné pro všechny, ale obzvláště malé společnosti by si měly nechat dobře poradit. Následují 3 klíčové věci, které by malé firmy měly o zabezpečení Wi-Fi vědět.
1. Nastavení je důležité – Použijte WPA2 se zabezpečením EAP-TLS
Otevřené Wi-Fi sítě jsou už ze své podstaty nezabezpečené. Neexistuje způsob, jak zastavit čmuchaly od špehování provozu na vaší síti nebo kyberzločince,
kteří lákají vaše uživatele na návštěvu webových stránek pod svou kontrolou, což může být použito k odcizení citlivých dat, například hesel.
Přestože návštěva stránek s TLS/SSL (bezpečnostní prvek webových stránek https://) znamená, že připojení je šifrováno, může hacker zjistit, které stránky navštěvujete. Tento druh informací může být použit při profilování uživatelů vaší firmy k budoucím útokům. Bezpečnostní nastavení známé jako WEP a WPA může být nabouráno během pár minut, takže se při nastavování vaší sítě ujistěte, že používáte WPA2. WPA2 poskytuje nejsilnější šifrování, aby zabránilo slídilům vyčmuchat vaše data. Umožněte přístup do vaší sítě pouze oprávněným uživatelům v kombinaci s EAP-TLS autentikací.
Do firemního prostředí je vhodnější EAP-TLS, protože spíše než hesla pro uživatele používá certifikáty. Nejběžnějším způsobem oprávnění je PSK (pre-shared key), který je populární zejména proto, že vše, co potřebujete, je pouze heslo. Naneštěstí právě sdílená hesla nejčastěji končí ve špatných rukách. Navíc se ujistěte, že jste vypnuli WPS – prvek, který je navržen pro snadné spojení k vaší Wi-Fi síti pomocí krátkého PINu nebo kliknutím na tlačítko – ale je velmi nebezpečný. Pokud máte povoleno WPS, které má spousta zařízení v základním nastavení zapnuto, může být síť snadno narušena.
2. Wi-Fi sítě by měly být odděleny od zbytku vaší sítě
Když někdo přistupuje na vaši Wi-Fi, má přístup k celé vaší síti – včetně všech vašich serverů a důvěrných dat. I když používáte kvalitní šifrování, měly by být Wi-Fi sítě odděleny od vašich serverů a zbytku sítě. Firemní sítě často musí stejně jako své zaměstnance podporovat i návštěvníky a dodavatele – a všichni potřebují různé úrovně přístupů. Ujistěte se, že máte separátní síť pro návštěvníky, která je zcela izolována. Bez řádné kontroly přístupu se může kdokoliv připojit k vaší síti, čímž vystavujete svá citlivá data riziku.
3. Dejte si pozor na rogue hotspoty a
zefektivněte sílu signálu
Rogue hotspotů a zařízení si musíte být vědomi. Jste si jisti, že se nikdo nesnaží připojit svůj vlastní access point a obejít veškerou vaší snahu o zabezpečení sítě?
Rogue Wi-Fi přinejmenším okrádají o konektivitu a zpomalují vaši síť. V horším případě by se někdo mohl pokusit zlákat vás nebo vaše zaměstnance k připojení přes rouge hotspot, který bude mít stejný název jako vaše firemní síť. To by mohlo být použito k útoku stejnému jako na nezabezpečené otevřené síti.
Zatímco hledáte cizí (rogue) access pointy, stojí za to zjistit sílu vašich vlastních AP. Čas od času se může zdát, že Wi-Fi nemá silný signál a od uživatelů slýcháváte stížnosti na „mrtvé zóny“ nebo slabý signál. Nenechte se oklamat. Wi-Fi signály se dostanou přes okna i přes vaše zdi. Jen proto, že nemůžete chytit signál, tak to nemusí hned znamenat, že by nemohl ani případný narušitel se silnou („super výkonnou“) anténou. Jsou známé případy, kdy lidé použitím této metody chytili Wi-Fi signál přes kilometr daleko!
Takže vychytejte sílu vašich access pointů, abyste pokryli požadovaný prostor. Jako bonus, pokud máte několik access pointů, pravděpodobně zjistíte, že snížením síly zlepšíte službu, protože mezi vašimi kancelářemi bude méně rušení.