Новости

Беспроводная сеть в доме

Вы знаете, как обращаться с беспроводными сетями в офисе. Но что происходит, когда ваши сотрудники работают дома? Как многие уже заметили, беспроводная сеть очень доступна по цене. И она работает. (Сейчас я сижу за моим столом и использую беспроводное подключение к моей остальной проводной домашней сети и – через поставщика Интернет-услуг – к Интернету.) Итак, как защитить пользователей и корпоративные данные на их компьютерах? Для начала вам (и вашим пользователям) требуется понимание риска.

Понимание риска

Прежде всего, нужно осознать, что риск зависит от уязвимости, уровня угрозы и величины ущерба для вашей компании в случае кражи конфиденциальной информации (или если злоумышленник воспользуется вашим Интернет-подключением в своих интересах). По оценкам ряда изданий, существуют реальные уязвимости. И уязвимости заключаются в самой инфраструктуре технологии WLAN. Частоту угроз оценить сложнее. Необходимо учитывать физические параметры. Например, имеет значение не только дальность передачи точки беспроводного доступа (WAP), но и то, насколько глубоко злоумышленник может проникнуть в домашнюю сеть пользователя, оставаясь необнаруженным. Недавно обозреватель журнала LiveSecurity Лиза Пфайфер (Lisa Phifer) обнаружила восемь точек доступа, двигаясь на своем автомобиле по автомагистрали New Jersey Turnpike. И со своего настольного ПК она получала трансляцию с WAP своего соседа. Риск угрозы возрастает, если возможность атаки вашей сети привлекает потенциального преступника. Сотрудник недавно поругался со своим соседом (или, что хуже, обидел его сына-подростка)? Ваша компания торгует военными секретами или рецептами теста для пиццы? А какова конкуренция в производстве пиццы?

Анализ угроз, который вы проводите для своей корпоративной сети, необходимо выполнять и для домашней сети сотрудников. Он не должен быть столь же подробным или трудоемким, но принципы анализа одинаковы. Атака сети на системы ваших сотрудников либо наносит кому-либо ущерб, либо нет. Неважно, как оценивать угрозу, – она всегда ненулевая.

Как оценить стоимость ущерба для компании (или для отдельного пользователя) в случае взлома сети? Все зависит от обстоятельств. Какие секретные данные используются в домашней сети? Передается ли по ней корпоративная информация? Военные секреты или личная, финансовая, медицинская информация? Иметь домашнюю точку беспроводного доступа – это все равно, что использовать кабель Cat-5, подключенный к концентратору внутри дома, с сокетом RJ45 на конце подъездной дороги к дому. Любой человек может подъехать, подключиться и получить доступ к вашей домашней сети. То же самое позволяет сделать подключение к WAP. Злоумышленники могут просматривать все пакеты, передаваемые по радиоканалу между WAP и каждым клиентом беспроводной сети.

Соединение политики и практики

Возможно, теперь вы убеждены, что лучшая политика допустимого использования для домашних пользователей WLAN – политика запретов. В чем-то вы правы. Однако поскольку известно, что люди будут игнорировать это указание после разъяснения рисков (я объяснил их выше), вам придется установить некоторые правила, которым можно следовать в реальности. Такой подход не строится на фатализме и не избыточно прагматичен. Работа специалистов по безопасности заключается не в том, чтобы обеспечивать защиту. Они должны обеспечивать потребности, связанные с основной задачей компании.

Предположим, что мы говорим о рисках среднего уровня. Наша главная забота не связана с целевыми атаками, предпринятыми агентами других правительств. (В этом случае мы можем сказать: «Вы не должны делать этого» – и быть уверенными: люди знают, что нарушение закона грозит тюремным заключением.)

Во-первых, низкий уровень протокола WEP следует использовать для аутентификации и обеспечения целостности данных. Платы PC Card с поддержкой пропускной способности 128 бит/с или выше стоят немного дороже, поэтому многие домашние пользователи не имеют их. Установите требование использовать такие платы, если сотрудник хочет подключить свой рабочий компьютер к домашней беспроводной сети. Далее требуйте, чтобы сотрудники применяли случайные ключи. Многие точки беспроводного доступа генерируют ключ на основе пароля. Как отметил Рик несколько недель назад, недостатки реализации сводят на нет преимущества такого подхода. Если ваши пользователи применяют этот метод, они должны вводить в качестве парольной фразы случайные буквы и цифры и разрешать WAP генерировать ключи. Затем они могут вручную ввести сгенерированные ключи шифрования на клиентах беспроводной сети. Ключ нужно менять еженедельно. Возможно, пользователи будут пренебрегать этой рекомендацией, но если вы потребуете менять ключ еженедельно, они будут делать это ежемесячно. Напоминайте им.

Пользователи должны менять все параметры WAP по умолчанию. Необходимо менять стандартные ключи и настройки защиты по умолчанию (поскольку на всех этих устройствах WEP отключен с самого начала), переключать каналы широковещания и использовать в качестве идентификаторов SSID необычные имена. Лучше всего, если имя не идентифицирует владельца (хотя при небольшом количестве соседей это может быть спорным вопросом). И конечно, имя не должно идентифицировать работодателя пользователя. Идентификатор SSID, который передает «ABC1», не столь интересен, как, например, «cia-home1». С точки зрения риска аббревиатуры типа «CIA» («ЦРУ») не должны употребляться, даже если совпадают с инициалами хозяина дома.

Пользователям следует менять IP-адрес WAP и пароль администратора по умолчанию. Некоторые WAP используют для администрирования жестко подключенный USB-порт, но большинством WAP можно управлять при помощи веб-интерфейса с сетевым подключением. Если сын вашего соседа подключает плату беспроводной связи, получает доступ к вашей WAP-передаче (поскольку она транслируется на том же канале) и видит, что ваш идентификатор SSID – «linksys», он может попытаться подключиться к IP-адресу 192.168.1.251 и войти в систему с паролем «admin». Такое случалось в практике любого поставщика. Вот почему важно менять настройки по умолчанию.

Напоминаю, что в статье «Пять обязательных средств защиты для пользователей мобильных компьютеров» я писал: «Мобильный компьютер – это расширение частной сети...». Пользователь WLAN, вероятно, подвергается большему риску, чем другие мобильные пользователи. Шифрование диска позволяет защитить данные на компьютере, когда питание выключено. Однако если данные передаются по домашней сети, требуется дополнительная защита этой сети или компьютера. Необходимо использовать персональные брандмауэры с политикой, которая запрещает службы SMB между компьютерами. Другого способа предотвратить доступ соседа-подростка к папкам на вашем компьютере просто нет.

И наконец, возможно, самое главное. Установите политику, согласно которой пользователи домашних WLAN должны настраивать фильтрацию в своих WAP, разрешая связь только с ограниченным набором MAC-адресов. Это сложно сделать в организации, где много компьютеров, но просто для пользователей домашней сети.

Нужно ли беспокоиться

Не у всех сотрудников есть домашняя беспроводная сеть. Некоторые не имеют домашней сети вообще. Однако возможно, что у каждого пользователя, не имеющего домашней сети, она однажды появится. Также пользователи, располагающие домашней сетью сегодня, в недалеком будущем могут установить у себя точку беспроводного доступа. Можно до некоторой степени контролировать использование WLAN в офисе. Поскольку вы, скорее всего, не сможете вести наблюдение за домашней сетью каждого работника, собирающегося установить WAP, вам придется внедрить политики и процедуры для исключения риска, связанного с использованием работниками компьютеров компании в домашней беспроводной сети. В этом случае действия пользователей, составляющие их частную жизнь, становятся и вашим делом.

Возврат к списку

 

Защита банкоматов

Имя* Компания* Email* Телефон

* - Поля, обязательные для заполнения

Компрометация приложений для смартфонов

Имя* Компания* Email* Телефон

* - Поля, обязательные для заполнения

Семинар ATAR

Фамилия* Имя* Должность* Компания* Email* Телефон* Защита от автоматического заполнения Введите символы с картинки*

* - Поля, обязательные для заполнения

Заполните поля

Защита от автоматических сообщений
CAPTCHA
Введите слово на картинке*

Заполните поля

Защита от автоматических сообщений
CAPTCHA
Введите слово на картинке*