Tehnologia wireless este prezenta in orice aspect al vietii noastre si dependenta noastra de ea este evidenta. Dispozitivele pe care le folosim in activitatile zilnice sunt conectate la retea folosind o conexiune wireless. Pentru unele dispozitive (telefoane smart, wearables sau tablete) nici nu exista vreo alta posibilitate de conectare. Natura deschisa a mediului wireless aduce cu sine si un pericol inerent de securitate. Spre deosebire de ce se intampla pe fir, unde am nevoie sa ma interpun fizic intre calculator si portul de swich, cand vine vorba de WiFi tot ce imi este necesar pentru a captura traficul unei statii wireless este o antena radio si un laptop. Atat si nimic mai mult. In aceste conditii este absolut normal sa ma intreb doua lucruri fundamentale:
- Cine se poate conecta la reteaua mea wireless?
- Cum asigur confidentialitatea datelor si a fisierelor transmie?
Accesul la reteaua wireless
Prima intrebare se refera la verificarea identitatii acelor persoane sau dispozitive care doresc sa se conecteze la reteaua wireless. Cel mai simplu mod de a verifica identitatea unei persoane este printr-o parola de tip PSK (Pre Shared Key). Aceeasi parola se defineste pe endpoint si pe access point inainte ca endpoint-ul sa incerce conexiunea, de unde denumirea de pre shared. Simplitatea acestei metode este totodata si calcaiul lui Ahile. Autentificarea cu PSK nu verifica utilizatorul, ci dispozitivul. Acest lucru inseamna ca in fata laptopului se poate afla oricine, angajat sau persoana straina. Nu se pot acorda privilegii diferite pentru utilizatori diferiti, intrucat nu se exista niciun element de deosebire. Daca un angajat pleaca din organizatie, atunci in mod normal PSK-ul trebuie schimbat, lucru care poate duce usor la o avalansa de tichete din partea utilizatorilor care nu se mai pot conecta la wifi. O solutie la aceste probleme este reprezentata de Identity PSK. IPSK permite ca dispozitivele conectate la aceeasi retea wireless sa se autentifice cu PSK-uri diferite si chiar sa primeasca nivele diferite de acces in functie de PSK-ul utilizat. Fata de metoda traditionala cu un singur PSK, IPSK necesita un server de RADIUS. Solutia wireless Cisco de IPSK este astazi reprezentata de access point-uri din seria Catalyst 9100, controller-e Catalyst 9800 si serverul de autentificare ISE (Identity Services Engine).
Pentru o granularitate mai fina si pentru extra feature-uri de securitate se recomanda a se folosi o metoda de autentificare bazata pe standardul IEEE 802.1X. Dispozitivul wireless se poate autentifica la retea folosind mai multe metode de tip EAP (Extensible Authentication Protocol). Cele mai folosite dintre acestea sunt:
- EAP-TLS – metoda care foloseste certificate digitale pentru a valida identitatea dispozitivului sau a utilizatorului
- EAP-PEAP – metoda care foloseste un nume de utilizator si o parola asociata, de obicei user-ul foloseste credentialele contului de AD (Active Directory) pentru conectarea la reteaua WiFi
- EAP-FAST – o metoda specifica Cisco similara cu EAP-TLS, dar care foloseste fisiere de tip PAC (Protected Access Credentials) ca alternativa la certificatele digitale (care necesita o infrastructura de tip PKI – Public Key Infrastructure)
- EAP-TEAP – o metoda care poate face EAP Chaining – inlantuirea autentificarii utilizatorului si a masinii folosite de acesta. Fiecare autentificare in parte este tratata separat, dar se intampla in interiorul aceleiasi sesiuni RADIUS. Aceasta metoda reprezinta cea mai sigura forma de autentificare disponibila in prezent, intrucat este verificata atat identitatea utilizatorului, cat si masina de pe care se face conexiunea.
Nivelele de privilegii pot fi diferentiate in functie de anumite caracteristici. Daca vorbim de exemplu despre EAP-PEAP atunci accesul la resurse poate fi acordat in functie de apartenenta utilizatorului la un anumit grup din AD. Daca se foloseste EAP-TLS se poate verifica daca dispozitivul folosit la conectare este unul enterprise sau personal prin verificarea entitatii care a emis certificatul digital prezentat in procesul de autentificare.
Solutia wireless Cisco pentru a implementa standardul 802.1X este reprezentata de suplicantul AnyConnect Network Access Manager disponibil pentru Windows, access point-uri si controller-e wireless din seria Catalyst 9000 si serverul de autentificare ISE.
Confidentialitatea in reteaua wireless
Confidentialitatea datelor transmise folosind mediul wireless este asigurata prin criptare. Standardele anterioare de securitate nu mai sunt considerate suficient de sigure pentru a putea fi folosite la protectia conexiunii wireless. Variantele WPA si WPA2 care folosesc TKIP pentru a cripta traficul sunt considerate ca “obsolete” si WiFi Alliance recomanda puternic eliminarea lor din setarile echipamentelor de retea wireless. Algoritmul de criptate TKIP se bazeaza pe un alt cifru numit WEP care este susceptibil la o serie de vulnerabilitati, ceea ce inseamna ca si TKIP este susceptibil la aceleasi atacuri. Se recomanda a se folosi WPA2 cu AES (Advanced Encryption Standard) pentru securizarea canalului de comunicare wireless. Pentru un extra boost de securitate, se poate cripta si canalul de comunicare dintre AP si controller folosind protocolul DTLS.
Conexiunea wireless este luata de buna de cei mai multi dintre noi, insa putin suntem cei care ne intrebam “Oare wirelessul meu este (suficient de) sigur”? Avand lucrurile de mai sus, puteti face o evaluare obiectiva a gradului de securitate oferit de reteaua WiFi, si puteti apela si la inginerii Dendrio care va pot oferi servicii de assessment si de consultanta pentru retelele wireless.
Mihai Dumitrascu, Sr Systems Engineer