facebook LinkedIN LinkedIN - follow
IT SYSTEMS 10/2016 , IT Security

Správa a zabezpečení WLAN



Unicorn Systems Heslem dnešní doby je být online, vždy a všude. Lidé stále více používají notebooky, tablety, telefony, ať už k práci, nebo k zábavě. Objevují se nové způsoby využití těchto zařízení, a proto nabývá na důležitosti kvalitní infrastruktura, která to všechno umožňuje. Donedávna stačila síť s infrastrukturními prvky fungujícími na 100 Mbps a s rychlejší páteří fungující na 1 Gbps. S rostoucím počtem připojených mobilních zařízení s aplikacemi, které jsou stále náročnější na datové přenosy, je zapotřebí dostatečně dimenzovaný hardware. Video streaming tvoří podstatnou část přenesených dat a nástup VoD (Video on Demand) služeb ještě posiluje tyto požadavky.


Nový standard 802.11ac zrychluje bezdrátové sítě a definuje přenosové rychlosti překračující 1 Gbps. Tomu se samozřejmě musí přizpůsobit i ostatní infrastruktura. Nastupující standard v oblasti infrastrukturních prvků je 1 Gbps pro koncová zařízení a 10 Gbps pro páteřní propoj. S příchodem 802.11ac Wave 2 umožňují zařízení, která využívají širší přenosové pásmo, více komunikací najednou a tím také další zrychlení. Proto je zásadní, aby další síťové prvky nebyly úzkým hrdlem.

Jedním z těchto prvků může být například kabeláž, která není připravena na vyšší rychlosti a její výměna je pro provozovatele podstatným nákladem navíc. Tento problém by do budoucna mohly vyřešit Multi-Gigabit technologie a nové standardy drátových sítí, které definují vyšší rychlosti na stávajících datových rozvodech.

Zabezpečení

S tím, jak přibývá mobilních zařízení, řeší provozovatelé bezdrátových sítí několik zásadních otázek: Připojují se do sítě pouze ta zařízení, která to mají dovoleno? Jak odlišit zaměstnance od návštěvníka? Jak vyřešit přístup hostů do sítě? Jak zajistit, aby hosté v síti nerušili provoz v podnikové síti? Jakým způsobem uživatelé pracují s poskytovanými zdroji? Jak zajistit, aby např. lidé sledující videa na YouTube neomezili business služby, jako jsou audiokonference přes Skype? A v neposlední řadě jak zabránit tomu, aby si uživatel připojil do sítě vlastní neautorizovaný accesspoint a narušil tak bezpečnost sítě.

Díky novým wifi standardům konečně mizí bezdrátové sítě s WEP zabezpečením, kde získání přihlašovacích údajů zabralo útočníkům řádově minuty. WPA2, které je nyní nejrozšířenější, je proti případným útokům výrazně odolnější. V kombinaci s ověřováním pomocí RADIUS serveru (802.1x) a certifikáty jsou firemní wifi výrazně bezpečnější.

Dalším bonusem je možnost odlišit zaměstnance od návštěvníků, dynamicky jim povolovat přístup k infrastruktuře a firemním zdrojům (např. hostovi budou přidělena menší práva k internetovým službám a dojde k omezení rychlosti jeho komunikace), a navíc sledovat využívání síťových služeb uživateli. To vše lze následně využít pro správu, plánování nebo řešení bezpečnostních incidentů. Díky přesné identifikaci nejen samotného uživatele, ale i připojeného zařízení funguje mnoho firem na principu BYOD (Bring Your Own Device). Pro firmy bývá totiž často jednodušší nechat své zaměstnance pracovat na jejich vlastních zařízeních. Výhodou jsou pak nejen snížené náklady na nákup nových zařízení, ale také zvýšení mobility zaměstnanců/uživatelů.

Pro větší bezpečnost a širší možnosti správy lze implementovat řízení přístupu do sítě (NAC – network access control) a přístup na základě rolí (Role-based Access). Pro všechny uživatele může být k dispozici pouze jeden SSID, ale podle informací získaných po přihlášení, např. MAC adresa zařízení, login, zaměstnanecká role, typ operačního systému a jeho verze, výrobce zařízení, použitý prohlížeč www stránek apod., je možné přiřadit zařízení do předem určené sítě. To lze aplikovat samozřejmě i na drátovou síť a zajistit k ní příslušná oprávnění všem osobám bez nutnosti řešit, odkud se zařízení připojuje (z vlastní kanceláře, z jiného oddělení, ze zasedací místnosti...).

Přístup návštěvníků

Unicorn SystemsPrvkem, který firmy často podceňují, je síť pro hosty. Jde o způsob prezentace firmy a možnost udělat na zákazníka dobrý první dojem. Tyto sítě jsou často řešeny pouze pomocí statického klíče, neměnného po několik let, s WPA2 zabezpečením, nebo náhodně vygenerovaným heslem, které dostane host na lístečku na recepci a má problém přepsat ho správně do svého zařízení.

Díky Guest portálům je možné použít nejen elegantnější řešení, ale zároveň o zákazníkovi zjistit další informace, např. o jeho zálibách, často navštěvovaných stránkách apod. Většina výrobců enterprise bezdrátových prvků má ve svých zařízeních již implementovanou možnost využít Guest portál. Heslo pro vstup do sítě se pak distribuuje pomocí QR kódů nebo posílá pomocí SMS zprávy (a tím se zjistí od návštěvníka validní telefonní číslo). Další variantou je registrace prostřednictvím Facebooku, Google Plus nebo LinkedInu. O zákazníkovi se tak shromažďují další údaje. Někteří výrobci vytvářejí i vlastní registrační formuláře, kde je možné vygenerovat malý marketingový dotazník a zjistit o hostovi třeba preferovaný typ občerstvení.

Aplikační firewally

Díky klesající ceně se novým standardem stávají aplikační firewally. Využití najdou nejen ve firemní síti, ale např. i v hotelových nebo nemocničních bezdrátových sítích, kde se o konektivitu dělí stovky uživatelů a provozovatel může lépe řídit, co, kdy a pro koho je dostupné. Firewall dokáže rozlišit síťový provoz nejen na základě protokolu nebo použitého portu, ale umí rozpoznat přímo spuštěnou aplikaci, případně její část. S jeho využitím je pak možné precizně řídit přístupy uživatelů k definovaným službám a jejich funkčnostem. Lze např. povolit přihlášení na sociální sítě, ale přitom zakázat možnost psát vlastní příspěvky. Další funkčností je vyhrazení přenosové kapacity pro audiokonference na úkor videoobsahu z YouTube. To vše je možné řídit s ohledem na čas a ostatní definované parametry. Restriktivní pravidla mohou mít časové omezení, např. sledování streamovaného videa je v pracovní době zakázáno, ale přes noc, případně o víkendu povoleno je.

V poslední době se tato funkčnost dostává stále blíže k uživatelům, na accesspointy. To vede k ušetření zdrojů, menšímu zatížení sítě a tím k její větší propustnosti. Je to důležité například pro hotely. Ty obvykle provozují free wifi síť pro základní přístup uživatelů, s blokováním stránek a s velmi omezenou rychlostí (v řádech stovek kilobitů za sekundu), a pak placenou síť, fungující na vyšších rychlostech (řádově megabity) a bez blokování obsahu. Díky L7 firewallu v accesspointech jsou přístupy na nepovolené stránky odmítnuty hned v počátku, pro platící zákazníky funguje připojení lépe a za své peníze dostávají kvalitnější službu. Hoteliéři pak díky statistikám a přehledům můžou zjistit, co hosty zajímá, a připravit pro ně speciální balíčky (např. k free wifi přikoupit povolení streamovaných videí) nebo lépe cílit reklamu.

Správa a monitoring

Unicorn SystemsProvozovat libovolnou počítačovou síť bez dohledových nástrojů je v současné době kybernetických hrozeb téměř nemyslitelné. Dohledové systémy jsou nezbytnou potřebou při řešení bezpečnostních incidentů, kdy je nutné identifikovat uživatele a jeho zařízení. Všichni vlastníci privátních bezdrátových sítí s velkou fluktuací uživatelů, např. hotely či nemocnice, kteří takový systém dosud neprovozují, by měli jeho implementaci zvážit. Základem je schopnost spojit uživatele s jeho zařízením a zaznamenat jeho akce na sítí. Pro to může dobře posloužit opět RADIUS server s nakonfigurovaným účtovacím (accounting) protokolem a autorizací uživatele, např. přes Guest portál, jak bylo zmíněno výše. Spolu se získáním údajů je důležité tyto informace o přístupech uchovávat a případně analyzovat a reportovat. K tomu pak poslouží server sbírající logy z provozu jednotlivých služeb.

Accesspointy lze kromě poskytování přístupu k síti využít i pro její monitoring a pro monitoring okolí. Wifi signál je velmi náchylný k rušení a blízkost jiné bezdrátové sítě dokáže degradovat výkon té naší. Díky monitorovacímu AP je možné tyto interference odhalit a přijmout příslušná opatření (domluva s provozovatelem jiné bezdrátové sítě, změna frekvencí, zvýšení počtů přístupových bodů, přidání antén apod.). Kromě sledování využití bezdrátových frekvencí mohou monitorovací accesspointy detekovat výskyty tzv. rogue accesspointů. Jedná se o neautorizovaný přístupový bod zapojený do firemní sítě, který však nepodléhá správě firmy, a představuje tak bezpečnostní riziko.

Jak už bylo řečeno, monitorovat svou infrastrukturu je nutnost, při zavádění monitoringu se však provozovatelé dopouštějí různých chyb. Mezi nejčastější patří zbytečné implementace více dohledových nástrojů pro stejnou síť. To vede ke zvýšené režii sítě, obtížnějšímu zpracování získaných informací a chaotickému vyhodnocování incidentů z více uživatelských rozhraní.

Další chybou je opomenutí monitoringu určité důležité vlastnosti. Pro různá zařízení se vyplatí sledovat různé parametry, ale jejich základní sada je stejná pro všechny prvky: vytížení paměti, vytížení procesoru, doba odezvy a dostupnost. Pak lze podle typu prvku a potřeby přidávat další parametry, např. vytížení síťových portů na přepínačích, velikost volného místa na disku u serverů apod. Mezi sledovanými parametry by neměla chybět ani teplota v serverové místnosti.

S vyšším počtem síťových prvků by měla nastat potřeba infrastrukturní prvky řídit, a to nejlépe z jednoho centrálního místa. Pro tyto účely doporučujeme použít management software. Správce získá k dispozici prostředek, pomocí něhož je možné nejen sledovat zdraví síťových prvků, serverů a provozovaných aplikací, ale rovněž řešit nově vzniklé problémy. Mezi další funkčnosti patří např. hromadná úprava konfigurace infrastruktury, generování reportů a hlavně sumarizace všech informací na jednom místě.

Na závěr bych ještě přidal upozornění, že u všech zmíněných technologií a jejich implementací je velmi důležitá provozní zkušenost dodavatele.

Petr Bůva, Unicorn Systems Petr Bůva
Autor článku pracuje v Unicorn Systems, kde během svého více než 20letého působení vystřídal několik rolí a podílel se na velkém množství projektů. V současné době zastává roli Infrastructure Consultant a stará se o implementaci heterogenních infrastrukturních prostředí pro různé aplikace přímo u klientů.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Konec papírování, digitalizujte a usnadněte si práci!

IT Systems 3/2024V aktuálním vydání IT Systems jsme se zaměřili na vývoj digitalizace ve světě peněz, tedy v oblasti finančnictví a pojišťovnictví. Dozvíte se například, proč je aktuální směrnice PSD2 v inovaci online bankovnictví krokem vedle a jak by její nedostatky měla napravit připravovaná PSD3. Hodně prostoru věnujeme také digitalizaci státní správy a veřejného sektoru, která nabírá obrátky.