- Přehledy IS
- APS (25)
- BPM - procesní řízení (23)
- Cloud computing (IaaS) (10)
- Cloud computing (SaaS) (31)
- CRM (52)
- DMS/ECM - správa dokumentů (19)
- EAM (17)
- Ekonomické systémy (68)
- ERP (87)
- HRM (28)
- ITSM (6)
- MES (33)
- Řízení výroby (36)
- WMS (28)
- Dodavatelé IT služeb a řešení
- Datová centra (25)
- Dodavatelé CAD/CAM/PLM/BIM... (40)
- Dodavatelé CRM (37)
- Dodavatelé DW-BI (50)
- Dodavatelé ERP (63)
- Informační bezpečnost (43)
- IT řešení pro logistiku (48)
- IT řešení pro stavebnictví (26)
- Řešení pro veřejný a státní sektor (27)
CRM systémy
Plánování a řízení výroby
AI a Business Intelligence
DMS/ECM - Správa dokumentů
HRM/HCM - Řízení lidských zdrojů
EAM/CMMS - Správa majetku a údržby
Účetní a ekonomické systémy
ITSM (ITIL) - Řízení IT
Cloud a virtualizace IT
IT Security
Logistika, řízení skladů, WMS
IT právo
GIS - geografické informační systémy
Projektové řízení
Trendy ICT
E-commerce B2B/B2C
CAD/CAM/CAE/PLM/3D tisk
Přihlaste se k odběru zpravodaje SystemNEWS na LinkedIn, který každý týden přináší výběr článků z oblasti podnikové informatiky | ||
Zaútočte si na WiFi, je to jednoduché
aneb Kategorie útoků na bezdrátové sítě a možnosti obrany
Bezdrátové technologie jsou stále častěji používány i pro klíčové obchodní aplikace. Současně je čím dál více populárnější a žádanější svoboda, kterou WiFi přináší. Tímto se však zabezpečení a bezpečnost bezdrátové sítě stává velmi důležitým tématem. Objevují se totiž další hrozby, kterým je potřeba se bránit. Mimo jiné se jedná například o útoky mající za cíl porušení integrity bezdrátové sítě, konfigurační chyby administrátorů, uživatelské porušení pravidel a pokusy o získání intelektuálního vlastnictví. Důsledkem může být odepření či snížení kvality poskytované služby, obcházení firemních bezpečnostních mechanismů, jako jsou například korporátní firewally, DLP, antiviry či antispamy.
Hrozby a obrana
Hrozby, které je možné detekovat, lokalizovat, a automaticky tak ochránit síť, označujeme zkratkou WIPS. Patří mezi ně:
- Mis-association – interní uživatel se připojuje k externí neautorizované síti. Hrozbou je z důvodu obcházení firemních bezpečnostních mechanismů, potenciálně se může jednat o man-in-the-middle útok.
- Past (honeypot, evil twin) – interní uživatel se připojuje k externí neautorizované síti, aniž by o tom věděl. Většinou jde o man-in-the-middle útok.
- Neoprávněné připojení (unauthorized association) – externí uživatel se pokouší připojit k firemní síti. Pokud je síť správně nakonfigurována, hrozí pouze „osahávání“ sítě.
- Cizí (rogue) AP – accesspoint, který není pod správou firmy a je připojen do firemní sítě. Většinou se jedná o nedostatečně zabezpečenou službu, accesspoint bývá instalován neodborně a může porušovat jak firemní pravidla, tak zákony ETSI norem.
- MAC spoofing – vznikne tak, že bezdrátový klient odcizí MAC adresu jinému již autorizovanému klientovi. Tímto může dosáhnout „únosu“ autorizovaného spojení. Detekce funguje na principu otisku chování klienta. WIPS řešení sleduje parametry chování jedinečné pro ovladač, čipset, operační systém. Pokud se tento otisk změní, MAC spoofing je prokázán.
- Chybně nakonfigurovaný (mis-configured) AP – accesspoint poskytuje službu, která není v souladu s bezpečnostními pravidly či regulativy. Příkladem může být například použití neautorizovaného kanálu, použití starého nastavení (nereflektování změn vyžádané řídicí jednotkou).
- Útoky DoS – RTS/CTS – založené na faktu, že vzduch je sdílené médium a v určitém čase může na daném kanálu vysílat pouze jeden, ostatní čekají či poslouchají. Útočící klient si rezervuje pásmo pro provoz s vyšší prioritou, pásmo mu je přiděleno a klient jej nevyužívá. Tím degraduje propustnost ostatním klientům.
Hrozby, které je možné pouze detekovat a lokalizovat, označujeme zkratkou WIDS. Patří mezi ně:
Útoky DoS
Jedná se o velmi širokou kategorii, zahrnující:
- Asociační útok – útočník opakuje následující kroky. Vyšle asociační rámec a změní MAC adresu. Tímto po čase vyčerpá prostředky accesspointu a výsledné chování záleží na konkrétním typu zařízení. Většinou je reakce taková, že požadavky nových klientů jsou zamítány, výjimkou však není ani restart accesspointu.
- Deasociační útok – útočník ve jménu accesspointu (klienta) posílá deasociační rámce klientovi (accesspointu). Klient se pak musí opětovně asociovat, čímž je kvalita služby degradována, či odmítnuta.
- Autorizační a deautorizační útoky – fungují na podobném principu jako asociační a deasociační útoky.
- Rušení kanálu
Hrozby „osahávání“ (reconnaissance)
Pro osahávání bývají používány různé mnohdy volně dostupné nástroje. Velmi populární je například Netstumbler. Detekováním použití takovýchto nástrojů získáváme komplexnější informace o celkovém průběhu hrozby. Dále získáváme náskok před spuštěním samotného útoku.
Relativně jednoduchý útok
Předpokládejme, že oběť tohoto útoku cestuje a běžně se připojuje k volně dostupným hotspot sítím (SSID např. Host, Guest, FreeWiFi nebo nejmenovaných nadnárodních firem s rychlým občerstvením). Standardním chováním WinXP je, že jakmile se jednou uživatel připojí k některé z těchto sítí, je tato síť automaticky v seznamu upřednostňovaných/autorizovaných sítí. U Windows 7 je bezpečnost vyšší, uživatel musí zaškrtnout checkbox (kdo z uživatelů ví, že je to potenciální bezpečnostní hrozba?).
Jako útočník si zprovozním AP s výše uvedenými SSID (běžně mohu mít na jednom AP více SSID, takže moje pravděpodobnost úspěchu je výrazně vyšší). Jako útočník začnu posílat deasociační rámce na oběť (oběti). Oběť se pokusí přihlásit k dalšímu AP se stejným SSID (odlišné BSSID). Nadále jako útočník oběť odpojuji i z těchto BSSID. Po vyčerpání pokusů a všech dostupných BSSID si Windows vybere další SSID v seznamu upřednostňovaných sítí. Pokud budu mít trochu štěstí, oběť se časem (při více štěstí velmi rychle) připojí na jeden z mých SSID. Pokud uživateli poskytnu připojení do internetu, možná ani nic nezjistí a veškerá data uživatele jdou přes mnou řízený bod. Je na libovůli útočníka, jak s těmito daty naloží.
WAS (wireless advanced services) obrana
WAS řešení se skládá ze senzorů a z managementu. Velmi důležitá je automatická integrace mezi WAS managementem a managementem WiFi sítě. Pokud administrátor změní nastavení WiFi sítě (SSID, AP, šifrování, ...), musí se WAS o této změně dozvědět automaticky, jinak se jedná o zbytečnou zátěž a potenciální zdroj chyb. Sensory jsou ve své podstatě standardní AP, ale fungují jinak:
- Sensor only – mód, ve kterém senzor sleduje bezdrátové médium, střídá kanály a provádí detekční funkce. Následně reportuje informace centrálnímu managementu. V případě potřeby se senzor přepíná do režimu prevence.
- Network detector – mód, ve kterém senzor injektuje speciální rámce do pevné sítě, do různých VLAN. Pokud jsou tyto speciální rámce detekovány v bezdrátovém médiu, znamená to, že AP, který tyto rámce vysílá, je připojen do sítě. Pokud není tento AP autorizován, jedná se o cizí (rogue) AP. Řešení WAS umí detekovat cizí AP, i pokud je SSID šifrované. Metod detekce je mnohem více, případné zájemce odkazuji na reference uvedené níže.
- Combo SNDC – kombinace obou výše uvedených módů. Senzor tedy provádí jak sledování bezdrátového média, tak pevné sítě.
Závěr
Celkový výčet událostí a incidentů, které WAS detekuje a reportuje, je nad rámec tohoto článku. Pokud vás článek zaujal a máte zájem o další informace, ukázku či testování, neváhejte prosím kontaktovat autora článku.
Zdeněk Pala
Autor působí ve společnosti Enterasys Networks (zdenek.pala@enterasys.com)
leden - 2025 | ||||||
Po | Út | St | Čt | Pá | So | Ne |
1 | 2 | 3 | 4 | 5 | ||
6 | 7 | 8 | 9 | 10 | 11 | 12 |
13 | 14 | 15 | 16 | 17 | 18 | 19 |
20 | 21 | 22 | 23 | 24 | 25 | 26 |
27 | 28 | 29 | 30 | 31 | 1 | 2 |
3 | 4 | 5 | 6 | 7 | 8 | 9 |
Formulář pro přidání akce
29.1. | Webinář: Efektivní řízení zákaznických vztahů: CRM... |
9.4. | Digital Trust |
10.4. | Konference ALVAO Inspiration Day 2025 |