Vállalati Wi-Fi: biztonság a titkosításon túl
Az üzemeltetők és biztonsági szakemberek Wi-Fi-vel kapcsolatos hagyományosan rossz megítélése a korábban használt megoldásokból fakad: gyakran nem tudnak különbséget tenni a boltokban megvásárolható Wi-Fi eszközök és a vállalati Wi-Fi technológiák között.
A boltokban, webshopokban megvásárolható AP eszközök otthoni, kisirodai kategóriás készülékek, a vállalati Wi-Fi megoldások pedig a nevükben is ott hordozzák a megkülönböztető jelzőt, hogy vállalati, enterprise technológiáról van szó. Bár a rádiós hálózati funkcionalitás mindkét kategóriában a 802.11 szabványra épül, a SOHO és a vállalati technológiák között olyan hatalmas a különbség, mintha csak a kábeles LAN világában próbálnánk meg összehasonlítani egy SOHO routert a legmodernebb nagyvállalati core routerrel.
Ha általánosságban határoznánk meg a különbségeket, a legegyszerűbb és legvilágosabb megfogalmazás az lenne, hogy a SOHO eszközök nem alkalmasak a vállalati igények kiszolgálására, a vállalati Wi-Fi technológiák pedig arra lettek fejlesztve, hogy kiszolgálják a vállalati igényeket. A vállalati Wi-Fi feladata nem más, mint hogy pontosan olyan jó minőségű, megbízható és biztonságos hálózati elérést nyújtson, mint a kábeles hálózat.
Titkosítás
A csomagok sértetlenségét, hitelességét és bizalmasságát garantáló titkosítás bár feltétlenül szükséges és kötelező, mégis „túlértékelt” tényező a vállalati Wi-Fi infrastruktúrákban. Az AES-256 titkosítás, amely a WPA2-Personal és WPA2-Enterprise sajátja – és amelyet a legolcsóbb SOHO Wi-Fi készülékek is támogatnak, - nem csak hogy megfelel az elvárásoknak, hanem "military grade"-nek is tekinthető. Nem feltörhető és nem manipulálható, maximálisan garantálja a csomagok sértetlenségét, hitelességét és bizalmasságát.
Az elnevezésekből fakadóan azonban könnyen keverhetőek (gondolatban és tettben is) a WPA-Personal (TKIP titkosítás) és a WPA2-Personal (AES-256 titkosítás) eljárások. Biztonsági vizsgálatok során nem egy esetben található olyan eszköz, amely WPA-Personal alapú SSID-t sugároz: az üzemeltetők nem fordítottak elég figyelmet az SSID beállítására, és a 2-es szám hiányát figyelmen kívül hagyták. A WPA-Personal eljárásban a csomagok titkosítása a sebezhető és manipulálható TKIP segítségével történik, viszont a WPA2-Personal már az AES-256 titkosítást használja, amely sokkal ellenállóbb és biztonságosabb, mint a TKIP.
Hogy teljes legyen a zűrzavar, néhány gyártó eszközeiben történeti okokból a mai napig jelen van egy "PSK2-mixed" vagy "WPA2-mixed" névre hallgató eljárás, amely az AES-256 bevezetésekor volt hivatott biztosítani, hogy egy adott SSID-ra azok a kliensek is csatlakozhassanak, akik még nem támogatják az AES-256 titkosítást. A WPA2-mixed ugyanis egyfajta együttélése a titkosításoknak: a kiszolgáló eszköz megengedi a kliens számára, hogy a WPA2-n belül a preferált AES-256 titkosítás helyett a jóval gyengébb TKIP-et válassza. Tehát egy WPA2-mixed módú SSID-ra mind TKIP, mind AES-256 titkosítás használata mellett fel lehet jelentkezni. Sajnos a tapasztalat az, hogy az üzemeltetők nem minden esetben vannak tisztában az üzemmód következményeivel, csak azt látják, hogy WPA2 – és arra gondolnak, hogy ez megfelelő lesz a számukra.
Szerencsére a TKIP titkosítás a 802.11.n-es hálózatokban már nem okoz jelentősebb gondot, mivel a nagy sávszélességű és modern Wi-Fi szabvány már nem működik TIKP titkosítással (a legtöbb esetben valóban nem működik, de néhány rendszerben bekapcsolható - sajnos). A gond akkor adódik, ha olyan eszközöket kell kiszolgálni, amelyek nem képesek a .n használatára, vagy ha takarékossági okokból olyan kiszolgáló eszközök lettek beszerezve, amelyek nem képesek a .n módú működésre.
Fontos tehát még egyszer kiemelni, hogy bár a legtöbb szakember a Wi-Fi titkosításában látja a kockázatott, a biztonságos kommunikációhoz szükséges AES-256 titkosítást már a SOHO eszközök – és természetesen a vállalati infrastruktúrák is -, megfelelően támogatják.
Hitelesítés
A titkosítás helyett sokkal fontosabb előtérbe helyezni a hitelesítés kérdését. A WPA2-Personal eljárásra épülő PSK nem valós hitelesítés: a titkosítást és a hitelesítést ebben az eljárásban egy Personal Shared Key (PSK) biztosítja. A PSK problémája, hogy mivel egy osztott kulcsról van szó, a kulcsot birtokló személyek mind képesek kapcsolódni a Wi-Fi hálózathoz. Azaz bárki, akinek a birtokában van a kulcs, képes kapcsolódni a hálózathoz – anélkül, hogy tudnánk, kicsoda az illető.
A probléma abból fakad, hogy a kulcs birtoklása valójában nem személyesíti meg a felhasználót: a személyről csak annyi tudható, hogy birtokolja a kulcsot, de hogy kicsoda és merre akar kommunikálni a hálózatba – nos, ez már nem derül ki a kulcs használójáról. A WPA2-Personal (PSK) helyett a vállalati Wi-Fi titkosítási is hitelesítési eljárása a WPA2-Enterprise. A WPA2-Enterprise csak és kizárólag AES-256 titkosítással működik, és elvárja a felhasználó valós megszemélyesítését, hitelesítését.
A vállalati Wi-Fi hitelesítési eljárása a 802.1x hitelesítés, amely megegyezik a kábeles hálózatok hitelesítési eljárásával. A 802.1x lehet felhasználó vagy gép/eszköz hitelesítés, míg maga a hitelesítés EAP-PEAP vagy más EAP-(TLS, GTC, SIM, stb.) implementáció. A vállalati Wi-Fi esetében a leggyakoribb hitelesítési eljárás az EAP-PEAP. Ebben az esetben a csatlakozó kliensek felhasználónév és jelszó párost küldenek (pl. a Windows a bejelentkezési nevet és jelszót), amelyek az infrastruktúra oldalon a vállalati felhasználói adatbázisban vannak eltárolva (AD, LDAP), és amelyet a Wi-Fi infrastruktúra RADIUS közvetítőn keresztül szólít meg. A vállalati RADIUS szerver össze van kapcsolva a vállalati felhasználói adatbázissal (AD/LDAP), és a Wi-Fi rendszer a RADIUS-on keresztül ellenőrzi a felhasználó hitelességét.
Az EAP-PEAP hitelesítés bár a legelterjedtebb, valós és kihasználható sérülékenységgel bír: a PEAP eljárás (ez igaz a PPTP VPN-re is) során használt MS CHAP v2 kompromittálható, így vállalati Wi-Fi esetén javasolt más EAP implementáció (EAP-TLS, stb.) használata. (A DefConon publikált eljárás lényege, hogy a wireless adatforgalom sniffelésekor az MS CHAP v2 alapú handshake-k elfoghatóak, és előállítható belőlük olyan információ, amelyet nagyteljesítményű, cloud alapú infrastruktúrákkal vissza lehet fejteni, és előállítható belőle a csatlakozó felhasználó jelszava).
EAP-TLS alapú hitelesítés esetén nem a felhasználó nevét és jelszavát ellenőrizzük a vállalati felhasználói adatbázisban, hanem a csatlakozó eszköz vagy a felhasználó részére kibocsátott PKI tanúsítványt. Az EAP-TLS megvalósítható a gépen-eszközön tárolt tanúsítványokkal vagy akár smartcardon tárolt tanúsítványokkal. A legbiztonságosabb megoldás mindenképpen az olyan hitelesítés, ahol felhasználó vagy az eszköz tanúsítványa egy smartcard eszközön van tárolva, mivel például a Windows certificate store-jából jailbreaking-el exportálhatóak a privát kulcsok is.
Mindenképpen meg kell említeni a 802.1x (mind EAP-PEAP, mind EAP-TLS esetén is) hitelesítéskor a közreműködő RADIUS szerver azonosíthatóságának fontosságát. A RADIUS szervernek rendelkeznie kell egy olyan, a kliens által megbízhatónak tekintett tanúsítvánnyal, amelyet a hitelesítés megkezdésekor a RADIUS szerver felmutat a kliens felé. A kliens csak a tanúsítvány ellenőrzése és elfogadása után kezdheti meg a hitelesítési információk küldését. Gyakori hiba, hogy a kliens Wi-Fi profiljának konfigurálásakor nem kapcsolják be a RADIUS szerver tanúsítványának ellenőrzését – ezzel lehetőséget adnak imperszonációs támadások végrehajtására.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
Összefoglalva, a titkosítás – bár fontos, nem a legfontosabb tényező a vállalati Wi-Fi esetén, sokkal inkább kérdéses a megfelelő és biztonságos hitelesítés bevezetése. Ha igazán biztonságos Wi-Fi kapcsolatot szeretnénk, a WPA2- Enterprise ajánlott, smartcardon tárolt tanúsítvány alapú 802.1x hitelesítéssel.
Forgalomszabályozás
A PSK nem csak az osztott kulcs miatt nem használható a vállalati Wi-Fi infrastruktúrában, hanem azért sem, mert a PSK-alapú hálózatokban - mivel nem ismert a felhasználó személye, - nem is lehet csomagirányítást megvalósítani. A WPA2-Enterprise és 802.1x hitelesítés mellett azonban a felhasználóról tudjuk, hogy kicsoda, ezért meg is szabhatjuk neki, hogy merre és hogyan kommunikálhat a hálózatban. De szükség van-e forgalomirányításra a vállalati Wi-Fi hálózatban?
A kábeles LAN hálózatokban a legritkábban szabályozzuk (ACL, tűzfal, stb.) a forgalmat egy hálózaton (subneten) belül. Ennek oka, hogy a kábeles kommunikációt megbízhatónak tekintjük, valamint (és inkább ez a legfőbb ok) 802.1x hitelesítés nélkül a kábeles hálózaton is meglehetősen nehézkes forgalmat szabályozni (MAC vagy statikus IP alapján). Kellene, szüksége lenne rá – hiszen a felhasználóknak nem kell és nem is szabad mindent elérniük a hálózatban – csak éppen úgy gondoljuk, hogy nem éri meg a vesződést – hiszen mégis csak egy „biztonságos hálózatról” van szó.
A kábeles hálózatokban szűrés esetén fix IP-címeket használunk – csomagirányításhoz forrás és célcímként is ezt használhatjuk,- és azt feltételezzük (meglehetősen tévesen, ámde berögződötten), hogy az IP-cím azonosítja a mögötte lévő felhasználót. Fix IP-címeket használni viszont nagyon nehéz a Wi-Fi esetében, de ha van felhasználóalapú Wi-Fi hitelesítésünk, képesek vagyunk a felhasználóalapú csomagirányítást bevezetni.
Nem csak hogy képesek vagyunk, de biztonsági megfontolások miatt a vállalati Wi-Fi hálózat nem is képzelhető el wireless firewall – azaz Wi-Fi csomagirányítás nélkül. Minden a rendelkezésre is áll hozzá, tudjuk a felhasználóról hogy kicsoda – így felhasználóalapú pontos forgalomszabályozással meg is adhatjuk, hogy merre és hogyan kommunikálhat a hálózatunkban. Szintén kötelező szűrési elem a felhasználók „inter user traffic” szeparációja, azaz a felhasználók egymás közötti adatforgalmának szét- és elválasztása. Ez utóbbitól csak abban az esetben szabad eltérni, ha a felhasználók között olyan kötelező adatforgalom történik, amely tiltása az üzleti folyamatot sértheti (ilyen például bizonyos Voice over Wi-Fi telefonforgalom, ahol a kliensek direktben és nem egy telefonközponton keresztül kommunikálnak egymással), de az ilyen forgalmat akkor is szeparálni kell a normál adatforgalomtól.
Átláthatóság
Bár mondhatnánk, hogy egy hálózat átláthatósága az üzemeltetés témaköréhez tartozik, de a Wi-Fi sajátosságai miatt az átláthatóság kritikus szempont a biztonsággal kapcsolatban is. A kábeles LAN egy zárt, megbízhatónak tekintett csatorna, amely csak az épületen belülről férhető hozzá, ezzel szemben a Wi-Fi egy nyitott és mindenki által hozzáférhető átviteli közegnek tekinthető (persze a szabad hozzáférés csak a közeg hozzáférését jelenti, a csomagok sértetlenségét és biztonságát a titkosítás szavatolja). Az átláthatóság aspektus azért kiemelten fontos, mert amíg az nem érdekel bennünket, hogy mi történik a zárt és biztonságosnak tekintett LAN átviteli közegben – azaz a kábelben –, addig ez nem mondható el a Wi-Fi átviteli közegéről, a levegőről illetve a rádiós környezetről.
A hagyományos Wi-Fi nem csak azért nem biztonságos, mert nem tud megfelelően titkosítani és hitelesíteni vagy forgalomszabályozni. Ez majdnem hogy elhanyagolható amellett, hogy nem tudjuk, mi zajlik az átviteli közegben. Nincs rálátásunk, nincs eszközünk arra, hogy meggyőződjünk arról, hogy maga a közeg biztonságos, illetve a közegben bekövetkező változások (az RF környezet minden pillanatban változik) nem valamilyen rosszindulatú, szándékos beavatkozás eredményei.
A vállalati Wi-Fi számos közegfelügyeleti megoldást biztosít a számunkra. A rádiós környezet átláthatóságáért a spektrummonitorozás vagy spektrumanalízis felel. Ez az eszköz, amely segítségével mindig tudhatjuk, hogy mi történik a rádiós közegben, és általa képesek leszünk felismerni az olyan anomáliákat is, amelyek támadás vagy rosszindulatú beavatkozás eredményei. Természetesen a spetrumalanízis segítségével feddhetőek fel azok a hibák is, amelyek miatt lecsökken a hálózat teljesítménye, csomagvesztések, szakadások lépnek fel – de ez már valóban inkább az üzemeltetés területe.
Ellenállóság
Ellenállóság alatt azt a képességet kell érteni, amellyel a rendszer a normál működéstől idegen és/vagy rosszindulatú, rádiós és nem rádiós beavatkozásokkal szemben van felvértezve. Ilyenek lehetnek frame anomáliák, replay támadások, megszemélyesítések (AP/kliens), jammer-támadások, stb. A rendszernek ellen kell állnia abban az esetben is, ha olyan nem kívánt esemény következik be, amely okozója belső, hitelesített felhasználó, vagy hálózati eszköz. Az ellenállóképességet a wireless IPS biztosítja a vállalati Wi-Fi számára, ezért nem lehet olyan Wi-Fi infrastruktúrát valóban biztonságosnak tekinteni, amely nem rendelkezik wireless IPS szolgáltatással.
A HWSW által szervezett App!system konferencia vállalati mobilitás szekciójának egyik kiemelt témája a Wi-Fi. Szó lesz vállalati Wi-Fi funkcionalitásról, építési és üzemeltetési tapasztalatokról is. A konferencia programja elérhető itt, már regisztrálni is lehet.
A cikk szerzője Wi-Fi evangelista.