facebook LinkedIN LinkedIN - follow
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přihlášení SystemNEWSPřehledy
 
Tematické seriály

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 
Nové!

RPA - automatizace procesů

Softwaroví roboti automatizují obchodní procesy.

články >>

 
Nové!

IoT – internet věcí

Internet věcí a jeho uplatnění napříč obory.

články >>

 
Nové!

VR – virtuální realita

Praktické využití virtuální reality ve službách i podnikových aplikacích.

články >>

 
Nové!

Bankovní identita (BankID)

K službám eGovernmentu přímo z internetového bankovnictví.

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 
 
Partneři webu
IT SYSTEMS 5/2011 , IT Security

Bezpečnost podnikových bezdrátových sítí

Podnikové WiFi v rukou pirátů, nebo wireless switching?



Kdo nemá tablet, smartphone, nebo aspoň notebook, ten jako by ani nebyl. Trendem poslední doby jsou inteligentní mobilní zařízení všeho druhu. Desktopy jsou velmi rychle na ústupu, vedení v prodejích přebírají poměrně rychle notebooky, a není ani divu. Pryč je doba, kdy notebook stál srovnatelnou částku jako garsonka v centru Prahy. Lidé si pomalu navykli nosit svoje mobilní křemíkové přátele všude sebou. I noviny se rozpačitě začínají překlápět spíše do on-line podob. A naše návyky, co se získávání informací týče, se velmi rychle mění. Žijeme zkrátka v on-line době, kdy je mimo informací důležité také to, jak rychle se k nim dostaneme.


V případě využívání mobilních zařízení v podniku se většina lidí spoléhá na WiFi nebo metalickou síť. Zde však nastává velký rozpor, 99,9 procenta chytrých telefonů a tabletů nemá možnost konektivity přes LAN port. A bezdrátově připojení je pro většinu uživatelů s notebookem prostě pohodlnější. WiFi síť však zní stále ještě pro některé administrátory jako sprosté slovo. Mezi velkou částí IT veřejnosti totiž stále panuje mylná představa, že bezdrátové sítě představují mnohem větší bezpečnostní riziko pro firmu, nežli je tomu u metalické sítě, a navíc její správa se podobá noční můře. To může být pravdivé tvrzení, záleží však na tom, jak se taková síť staví. Při projekci je nutné dbát na eliminaci všech bezpečnostních rizik a navrhnout síť a pravidla tak, aby o ní správce pokud možno vůbec nevěděl.

Bezdrátově ano, ale jak?

Bezdrátové technologie jsou již velmi dostupné, není však řešení jako řešení. Podnikovou wireless síť lze postavit o dvaceti přístupových bodech do třiceti tisíc korun, ale i za cenu okolo sto tisíc až čtvrt milionu. Levnější zmíněný přístup počítá s nasazením běžných přístupových bodů (AP) připojených do stávajících switchů LAN infrastruktury. Pokud máte ve stávající LAN volné porty, tak cenu řešení tvoří pouze tyto AP. Na co je však třeba dát si v tomto případě pozor? Obvykle je nutné každé AP nastavit samostatně, a to včetně způsobu autentizace, konfigurace kanálu, na kterém AP vysílá a vyzařovacího výkonu. Vzhledem k tomu, že AP spolu nijak nekomunikují a veškeré nastavení spoléhá na zručnost administrátora, vzniká zvýšené riziko, že čím více AP nasadíte, tím více budou vzájemně interferovat. To je bez užití profesionálních měřicích metod pomalu nevyhnutelné. Další problém může být nerovnoměrné pokrytí. Pro uživatele to vše znamená snížení komfortu, místo práce zkrátka řeší, jestli má dostatečně kvalitní signál či nikoliv. Decentralizovaná konfigurace pro administrátora naopak znamená spoustu repetitivní práce, při které lze udělat mnoho chyb.

Bezpečnost podnikových bezdrátových sítí

 

Někdo naslouchá uvnitř

A to už vůbec nemluvím o tom, že podobné sítě se velmi často stávají terčem útoků, typu „man in the middle“. Útočník zkrátka podstrčí do firemní sítě své vlastní „pirátské“ AP a nastaví jej tak, aby bylo nenápadné, tedy minimálně zachová název sítě, na kterou jsou uživatelé zvyklí. Když se pak na toto AP někdo připojí, je už pro hackera celkem snadné získat od napadeného veškeré informace, které jsou posílány z počítače klienta ven, včetně e-mailů, přístupových údajů a hesel, což firmu dostává do velmi rizikové situace. Pirátské AP lze odhalit v síti bez centrální správy a monitoringu jen velmi obtížně až náhodně. V momentě, kdy vám na síť útočí někdo ad hoc připojením přímo přes již autentizovaného klienta, se odhalují problémy ještě hůře.

Levně neznamená dobře

Dalším problémem bývá, že podobně levné řešení používá málo výkonných AP z řad pro domácí užití. Na jedno takové AP se vám komfortně připojí nejvíce deset až patnáct uživatelů. V momentě, kdy je AP přetížené, dochází opět k poklesu kvality a stability služeb. S podobným návrhem sítě také vyvstává otázka, jak řešit například změny v okolním prostředí, kdy vám sousední firma začne zasahovat svojí bezdrátovou sítí do té vaší. Nasazení bezdrátových VOIP telefonů je pak z žánru sci-fi, protože při pohybu s telefonem mezi jednotlivými přístupovými body dojde vždy ke krátkému výpadku, který přeruší hovor telefonujícího.
Na výše zmíněné problémy existují v zásadě dvě řešení. Buď ušetříte vstupní náklady a pořídíte levnou bezdrátovou síť bez hromadného managementu i s tím rizikem, že data nejsou zcela v bezpečí, z administrátora se stane silný kuřák pracující čtrnáct hodin denně, který pravděpodobně brzy podlehne záchvatu silné deprese, a přes VOIP telefony si zaměstnanci moc nezavolají, takže hlavní business stojí. Nebo je tu druhá možnost, že si do podnikové sítě pořídíte řešení na bázi wireless switchingu.

Bezpečnost podnikových bezdrátových sítí

 

Další krok – wireless switching

Jak to celé funguje? Wireless switch v sobě kombinuje dvě zařízení, jedním je L2+ switch s PoE porty, eventuálně 10GbE konektivitou pro uplink, druhá funkce je pak wireless kontrolér. Při zapojení speciálních řiditelných AP do wirelss switche, nebo minimálně do stejné topologie, jsou AP kontrolérem automaticky rozpoznána nebo i napájena, takže stačí pouze ethernetový kabel. Všechna AP se pak konfigurují dávkovým nahráním profilu s nastavením, což je neskutečně rychlé, navíc to minimalizuje možnost chybného nastavení.
Profily mohou být různé. Například v oblastech, kde jsou zasedačky, může fungovat souběžně na jednom AP více bezdrátových sítí, jedna pro hosty, druhá pro zaměstnance, třetí třeba pouze pro bezdrátové VoIP telefony. Hosté tak nemohou na interní zdroje a zaměstnanci mají plný přístup k datům. Telefony lze samozřejmě priorizovat pro bezchybné spojení. Toto je dosažené funkcí multiple SSID. Podobné nastavení při dvaceti AP by bylo v první variantě obtížně dosažitelné. Navíc se kontrolér nestará pouze o distribuci profilů s nastavením.

Bezpečnost podnikových bezdrátových sítí

 

Automatická adaptace v prostředí

Wireless kontrolér po zapojení celou síť proskenuje a automaticky u všech AP nastaví vyzařovací výkon a kanál, na kterém AP vysílají. Při rozumném rozložení AP v prostoru zajistí konzistentní pokrytí signálem bez interferencí. To si lze koneckonců i ověřit, protože součástí těch lepších zařízení bývá i možnost zanést si AP virtuálně do architektonického výkresu a software kontroléru se postará o vykreslení mapy pokrytí signálem. Nemusíte pak hádat, kde signál je a kde ne, jako v prvním případě, máte úplný přehled a spokojené klienty.
Skenovat síť lze i periodicky, aby switch reagoval úpravou nastavení na případné změny v prostředí, takže síť funguje vždy spolehlivě. Například pokud dojde k výpadku AP z důvodu krádeže, intenzita signálu ostatních AP se zvýší. Bezdrátová síť je tak vybavena tzv. samoléčící schopností.

Bezpečnost podnikových bezdrátových sítí

 

Kdo se připojuje a za kolik

Dále switche obsahují metody umožňující odhalit a lokalizovat, případně blacklistovat pirátské AP nebo AP ze sousedních sítí, což bývá jednou ze součástí WIDS (wireless intrusion detection system). Další funkcí je identifikace a zamítnutí útoku přes bezdrátovou síť na klienty samotné. Navíc autentizace do sítě může být snadno řešena, buď přes databázi uživatelů uloženou přímo v kontroléru, nebo přes externí RADIUS server, na který může být třeba navázáno i zpoplatnění služeb atd. Toho lze využít na kampusech nebo například v hotelech. Díky WAC, může autentizace proběhnout i přes webový formulář. Samozřejmostí je pak účinné šifrování provozu pro bezpečnost dat.

Nonstop připojen

Funkci, kterou pak jistě ocení větší kanceláře nebo logistická centra, je hladký bezdrátový roaming. Můžete se tedy volně pohybovat v prostoru a váš terminál nebo VoIP telefon se nikdy neodpojí od sítě, a to dokonce, ani pokud vstoupíte během telefonátu do jiné oddělené podsítě. O to se stará L3 roaming. Switche lze také zapojit do logických clusterů, což zajišťuje jednak redundnaci při výpadku jednoho zařízení, a navíc škálovatelnost, což ocení zejména průmyslové a obchodní firmy. Jedním takovýmto systémem lze třeba pokrýt až 256 AP, což může být ekvivalent pro osm tisíc připojených uživatelů, ti jsou navíc kontrolérem rovnoměrně rozdělováni na jednotlivá AP, aby nedocházelo k přetížení sítě.

Bezdrátově bezstarostně

Tento příklad řešení jednoduše ukazuje, že wireless síť umí být velmi sofistikovaná, bezpečná a může odpovídat všem korporátním standardům. Navíc wireless N síť funguje až třikrát rychleji než nyní už zastaralý 100Mbps fast ethernet. Takže je na zvážení jestli nakoupit spoustu switchů, kde bude časem devadesát procent portů neobsazených, nebo rovnou investovat do bezdrátové budoucnosti. Pokud totiž porovnáte cenu metalické a wireless sítě, ta bezdrátová včetně kontroléru bude téměř vždy levnější.

David Rusín
Autor článku působí jako channel sales manager společnosti D-Link.

Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Aktuální výzvy IT světa?

Bezpečnostní hrozby a migrace do cloudu

Makroekonomické trendy, kterým aktuálně čelí odvětví IT, přinášejí mnoho výzev, z nichž asi ty nejsilnější jsou hrozba ransom­waro­vých útoků a zavádění multi/​hybridních cloudových architektur.