Prim Hírek

Egy ilyen biztonsági rés pedig akár komoly problémákat is okozhat a vállalat életében. Amint a hackerek bejutottak, és megszerezték a kulcsfontosságú jelszavakat, szabadon jelentkezhetnek be a szerverekre, ahonnan adatokat tulajdoníthatnak el, megváltoztathatják a vállalat weboldalát, vagy akár az egész hálózatot megbéníthatják.

Jogosan merül fel a kérdés: miből adódik az a tendencia, hogy a "vállalatierőd-mentalitás", amely akár a fizikai létesítmények, akár a vezetékes hálózatok védelmével kapcsolatban egyértelmű, mégsem terjed ki a vezeték nélküli hálózatokra? A válasz a vezeték nélküli biztonságtechnikai termékekkel kapcsolatos egyszerű tudatlanságban is kereshető, de alapulhat azon a naiv feltételezésen is, hogy amely információ nem látható, azt eltulajdonítani sem lehet. Ha egyértelművé válna, hogy ez nem így van, a megoldásszállítók sürgető üzenete talán ez lehetne: a vezeték nélküli LAN-ok felhasználóinak sem kell feláldozniuk a biztonságot a kényelem érdekében.

A WEP önmagában nem elég

A vezeték nélküli hálózatok alapvető biztonságát a WEP (Wired Equivalent Privacy - vezetékesnek megfelelő elhatárolás) jelenti, amely minden Wi-Fi alapú vezeték nélküli hálózat alaptulajdonsága. Az IEEE (Institute of Electrical and Electronics Engineers) által szabványosított megoldás három pillére az alapvető biztonság elérése, az alkalmi lehallgatás megakadályozása, illetve a hálózati forgalom védelme egy RC4-es kódolási algoritmuson alapuló, 40 bites megosztott kódolási eljárással.

A masszív biztonsági megoldásoktól nem eltekintve már az alapvető hibákra való odafigyelés is sokat segíthet. Ilyen például, ha egyszerűen elfelejtjük bekapcsolni a WEP-védelmet, az elérési pontot a tűzfalon belül helyezzük el, az alapbeállítású WEP-kulcsot használjuk, vagy a kódolási algoritmust nem változtatjuk meg rendszeresen - pedig ezek már magukban is sokat lendítenek a LAN biztonságán. A WEP-kulcs alapvetően nem más, mint egy megosztott titkos jelszó - ennek segítségével a felhasználók dekódolni tudják a titkosított adatot, amely a vezeték nélküli hálózaton közlekedik.

A gyakorlatban azonban a hackereknek mindössze annyit kell tenniük, hogy leülnek az épületen kívül, és egy mobilszámítógéppel elkezdik gyűjteni a kódolt adatfolyamot, amelyet később vissza tudnak fejteni olyan szoftverekkel, amelyek akár az interneten szabadon hozzáférhetők. E visszakódolási folyamat során a kulcs a hackerek kezébe kerül, így szabad elérésük nyílik a teljes vállalati hálózathoz. A kódolt kulcsalgoritmus nem alapvetően hibás megoldás, azonban a felelőtlen kulcskezelés eredményeképpen könnyen hackerek kezébe kerülhet. Ráadásul a rendszergazdák sok esetben egyetlen kulcsot rendelnek a teljes vállalati hálózathoz, így a hacker azzal érheti el a hálózaton található teljes információmennyiséget és valamennyi hálózati erőforrást. Egy másik elterjedt megoldás szerint ugyan a rendszergazda minden felhasználónak külön kulcsot ad, azonban - mivel soha nem cseréli le - statikussá teszi azokat. Bármelyik esetben, amint egyszer a hacker elérést szerez, hosszabb távon megtarthatja azt a statikus és megosztott kulcsú környezetben. A szigorú rendszergazda viszonylag könnyen képes a kulcsok manuális kezelésére egy kisebb hálózatban, azonban a rendszer és a felhasználók számának növekedésével ez hamar igen összetett és időigényes feladattá válhat, aminek a végeredménye legtöbb esetben a rendszergazda hanyagsága.

Biztonságosabb üzem dinamikus kulcskezeléssel

A munka jelenleg is folyik a WEP ismert hiányosságainak kiküszöbölésére, év végére már várható is, hogy a javítások a Wi-Fi szabvány részévé válnak. Míg azonban ezek az előrelépések haladnak a szabványosítás útján, addig a 3Com már ma aktívan bizalomra ösztönzi a felhasználókat a biztonságos vezeték nélküli hálózatok nagymértékű elterjesztése érdekében. A 3Com a kulcskezelést és az authentikációs (azonosító) kívánalmakat a Dynamic Security Link (dinamikus biztonsági kapocs) megoldáson keresztül orvosolja. Amikor egy 3Com vezeték nélküli kapcsolódási pont 3Com-kliensekkel együtt kerül felhasználásra, a DCL automatikusan minden egyes felhasználóra és hálózatforgalmi periódusra egyedi 128 bites kódolási kulcsot generál, amely nemcsak sokkal magasabb szintű védelmet kínál, de a felhasználót is megkíméli bonyolult kulcsok begépelésétől. A módszer azt is garantálja, hogy minden egyes alkalommal egyedülálló kulcs keletkezik, így ha a behatoló meg is fejt egy kulcsot, és elérést nyer a hálózathoz, ez mindössze néhány órás elérést tesz lehetővé, ami korlátozza a lehetséges kár mértékét.

A biztonság további növelése érdekében a DSL a felhasználók azonosítását is lehetővé teszi: minden alkalommal egy névvel és jelszóval kell bejelentkezniük. Ez a funkció bővített szintű biztonságot és felügyeletet biztosít a szabványos eszköz alapú MAC-címzést használó megoldásokhoz képest, amelyek védtelenek olyan esetekben, ha a kérdéses eszköz elvész vagy ellopják - ilyenkor módosításra szorul a címet tároló adatbázis is.

A DSL további előnye, hogy az automatikus és dinamikus kulcskezelési képesség közvetlenül a hozzáférési ponton került kialakításra, így a megoldás nem igényel további kiszolgálót vagy infrastruktúrát. Ez a fajta felépítés teszi ideálissá kisvállalkozások számára, amelyek nem kívánnak nagy összegeket áldozni a vezeték nélküli LAN biztonsági megoldásaira, ugyanakkor a nagyvállalatok számára is vonzó a decentralizált biztonsági felépítés.