Poziom ekspert

Autoryzacja dostępu do sieci WiFi

Rozwiązaniem, które pozwoli na zwiększenie kontroli dostępu do sieci (zarówno bezprzewodowej jak i przewodowej) jest wdrożenie w sieci standardu IEEE 802.1X. Umożliwia on na uwierzytelnianie podłączanych klientów (komputerów, notebooków) poprzez np. serwer RADIUS. Tzn. zanim urządzenie klienckie zostanie podłączone do sieci LAN/WLAN zostaje autoryzowane (np. poprzez adres MAC czy dane uwierzytelniające użytkownika) przez serwer RADIUS.

Jeśli klient znajduje się w bazie i zostanie poprawnie uwierzytelniony zostanie jednocześnie wpuszczony do sieci LAN. W przypadku braku autoryzacji można uzyskać połączenie z siecią ale będzie ono np. zestawione do wyodrębnionego segmentu VLAN, w którym ustawiono powiadomienia o detekcji nieautoryzowanego dostępu. W przypadku stosowania tego typu rozwiązań szyfrowanie sieci bezprzewodowej jest ustawiane w tryb Enterprise, np. WPA/WPA2 Enterprise i wskazywany jest serwer RADIUS w sieci.

Zarządzanie domowym routerem tylko z jednego komputera (interfejsu sieciowego)

Jeśli zależy nam na maksymalnym bezpieczeństwie to w przypadku zarządzania routerem warto w jego konfiguracji zaznaczyć opcję administracji tylko z jednego interfesju urządzenia lub wydzielić listę komputerów, które będą miały dostęp do panelu routera. Funkcję taką posiadają już routery bezprzewodowej średniej klasy.

System monitorowania routera i sieci LAN

Decydując się na stosowanie zaawansowanych konfiguracji routera powinniśmy mieć możliwość kontrolowania działania urządzenia i analizę zdarzeń. Dlatego warto zaimplementować w sieci LAN serwer, który będzie zbierał logi systemowe routera lub też przesyłać logi na mail, celem ich analizy, kontroli i szybszej reakcji na incydenty związane z naruszeniem bezpieczeństwa. Dodatkowo jeśli router obsługuje SNMP możemy monitorować niektóre parametry (np. zajętość pasma) z wykorzystaniem tego protokołu komunikacji.

Stosowanie sprzętowych zapór sieciowych

Wykorzystanie zapory sieciowej SPI routera jest pewnego rodzaju zabezpieczeniem. Jednak nie zapewni on kompletnego bezpieczeństwa (zarówno w kontekście ataków z zewnątrz jak i z wewnątrz sieci). W przypadku chęci zwiększenia bezpieczeństwa warto zastanowić się nad zakupem sprzętowych zapór sieciowych, tzw. unified threat management. To kompleksowe rozwiązania zapewniające nie tylko możliwość filtrowania ruchu wychodzącego i przychodzącego do sieci lokalnej ale także mechanizmy VPN, systemy antyspamowe czy antywirusowe oraz funkcje filtrowania treści.

Korzystanie z mechanizmów typu captive portal

Rozwiązania pozwalające na dodatkową autoryzację – to zagadnienia związane przede wszystkim z hotspotami i publicznym dostępem do sieci bezprzewodowej. Nic jednak nie stoi na przeszkodzie by wdrożyć portal autoryzujący (np. NoCatAuth) w sieci domowej lub firmowej podłączając go nawet do serwera RADIUS  czy systemu opłat. Wdrożenie tego typu rozwiązania pozwala np. na autoryzajcę danego urządzenia poprzez np. wysłanie wiadomości SMS i otrzymaniu danych uwierzytelniających. Dodatkowo użytkownicy zautoryzowani mogą posiadać ograniczony czasowo dostęp do internetu lub do określonych portów, usług czy stron WWW. Funkcjonalność captive portal można wdrożyć na dodatkowym serwerze lub też bezpośrednio na routerze (np. na alternatywnym oprogramowaniu). W obydwu przypadkach warto zadbać o bezpieczeństwo gdyż rozwiązanie takie jest podatne na ataki typu MITM (man-in-the-middle).

Ograniczenie liczby klientów WiFi do minimum

Niezaprzeczalną zaletą routerów z WiFi jest możliwość szybkiego podłączania klientów bezprzewodowych do sieci lokalnej. W przypadku gdy mamy określoną liczbę urządzeń sieciowych w sieci domowej to prócz ustawienia filtrowania adresów MAC warto ustawić restrykcje związane z podłączoną liczbą klientów bezprzewodowych. Dzięki takiemu rozwiązaniu będziemy mogli po części ograniczyć próby dostępu bezprzewodowego przy użyciu nowych klientów WiFi.
W przypadku bardziej zaawansowanych infrastruktur sieci bezprzewodowych do ograniczenia liczby klientów i zarządzania punktami dostępowymi warto stosować sprzętowe kontrolery sieci WiFi.

Rezerwacje DHCP lub statyczne adresy IP oraz ograniczenie liczby klientów przewodowych

Domowe routery bezprzewodowe pełnią w większości przypadków nie tylko rolę pośrednika w ruchu sieciowym pomiędzy LAN i internetem ale również funkcję serwera DHCP. Pozwala on na przydzielanie adresów IP dla poszczególnych urządzeń. W przypadku sieci domowej, w której występuje określona liczba urządzeń warto stosować rezerwacje adresów IP lub też skonfigurować statyczną adresację IP w połączeniu ze wspomnianym wyżej filtrowaniem adresów MAC. Mechanizm rezerwacji polega na przydzielaniu dla określonego urządzenia tego samego adresu IP. Z kolei w przypadku statycznej adresacji musimy samodzielnie określić parametry IP klienta. Dodatkowo by nieco wzmocnić zabezpieczenia warto na serwerze DHCP skonfigurować minimalną liczbę przydzielanych adresów IP. Pozwoli to na uniknięcie sytuacji, w której do sieci podłącza się nieuprawniona lub dodatkowa stacja kliencka.
W bardziej zaawansowanych routerach (choć funkcja spotykana jest także w routerach średniej klasy) możemy uruchomić funkcjonalność ARP binding (Bind MAC to IP – tworzy pary wpisów – adres MAC i adres IP klienta) – to nieco lepsza metoda na ograniczenie dostępu dla określonych stacji i przydziału adresów IP niż rezerwacja IP na serwerze DHCP (rezerwację DHCP można obejść wpisując ręcznie adresy IP na kliencie).

Zmiana domyślnej klasy adresowej sieci LAN

Domowa sieć LAN po wstępnej konfiguracji posiada zazwyczaj adresację klasy 192.168.0.1/24 lub 192.168.1.1/24. (rzadziej 10.0.0.1/24). To dość typowe ustawienia stosowane przez producentów sieciowego sprzętu domowego. By utrudnić włamywaczom działania można zmienić klasę adresową na nietypową lub rzadziej stosowaną (oczywiście zgodnie z klasą adresów prywatnych – z klasy A,B lub C). Dzięki takiemu zabiegowi potencjalny włamywacz może mieć trudności z odgadnięciem właściwej konfiguracji sieci LAN.

Pamiętaj o bezpieczeństwie stacji roboczych

Zabezpieczenie domowej sieci LAN poprzez ograniczenia i restrykcje na routerze czy punktach dostępowych to nie ostatni element bezpieczeństwa. Ważnym aspektem w funkcjonowaniu nawet najmniejszej sieci LAN jest także odpowiednie zabezpieczenie podłączonych do niech urządzeń (komputerów, tabletów, smartfonów). Należy na bieżąco aktualizować systemy operacyjne, wykonywać skanowanie antywirusowe i dbać o aktualizację programów antywirusowych. Ważna jest także prawidłowa konfiguracja zapór sieciowych komputerów.