Wi-Fi w biurze – wygodne, lecz stwarzające pewne zagrożenie

Prawie każde biuro ma swoją sieć Wi-Fi — a czasami ma ich nawet kilka. Kto chciałby połączyć laptopy, smartfony i tablety kablem? Niestety sieć bezprzewodowa może być słabym ogniwem w infrastrukturze IT.

Zdobywanie haseł

Nie wszystkie firmy zabezpieczają swoje sieci bezprzewodowe skomplikowanymi i niepowtarzalnymi hasłami, a jeszcze mnie wyłącza wyświetlanie nazwy sieci. Podobnie, mało która organizacja ogranicza zasięg sygnału Wi-Fi, uniemożliwiając potencjalne łączenie się z siecią spoza biura. Ponadto niewielka część udaremnia osobom postronnym uzyskanie dostępu do sieci firmowej poprzez połączenie Wi-Fi.

Przeprowadzenie prostego ataku słownikowego w celu poznania loginu routera zajmuje zaledwie kilka sekund. Złamanie skomplikowanego hasła zajmuje nieco więcej czasu, ale jeśli komuś bardzo zależy, z pewnością poczeka. Jednak nie zawsze trzeba go przeprowadzać: w niektórych routerach wystarczy skorzystać z luk w oprogramowaniu układowym (ang. firmware).

Luki w oprogramowaniu układowym

Badacze regularnie wykrywają luki, dzięki którym osoby obce mogą przeniknąć do sieci, omijając hasło do routera sieci bezprzewodowej oraz inne mechanizmy zabezpieczające. W niektórych przypadkach mogą oni zdobyć na urządzeniu uprawnienia superużytkownika. Zwykle producenci sprzętu szybko udostępniają łaty dla takich luk, jednak cały problem polega na tym, że wiele organizacji nie instaluje łat na czas, zwłaszcza jeśli wymaga to ponownej konfiguracji firmware’u.

Sieć gościnna

Wiele firm używa innych sieci Wi-Fi dla pracowników, a innych dla gości. To rozsądne podejście: z jednej strony klienci i inni odwiedzający biuro mogą połączyć się z internetem, a z drugiej strony nie mają dostępu do sieci firmowej i zasobów wewnętrznych. Jednak gościnna sieć Wi-Fi również może stanowić zagrożenie.

Zdobycie hasła do sieci gościnnej jest stosunkowo łatwe. Jeśli sieć nie jest poprawnie skonfigurowana, może umożliwić gościom dostęp do znaczenie większej liczby elementów infrastruktury firmy.

Nawet w przypadku poprawnej konfiguracji sieci pracownicy mogą nieświadomie narazić firmę na niebezpieczeństwo. Przypuśćmy, że ktoś chce uzyskać dostęp do zasobu sieciowego zablokowanego przez politykę firmy. Nie namyślając się ani chwili, łączy laptop zawierający poufne dane z siecią gościnną. Teraz atakujący, który czyha na okazję w tej samej sieci gościnnej, może spróbować przeprowadzić atak typu man-in-the-middle i zainfekować laptop szkodliwym oprogramowaniem.

Jak zmniejszyć podatność sieci firmowej

Według nas mimo zagrożeń, jakie się z nimi wiążą, nie warto rezygnować z sieci Wi-Fi. Należy jednak skupić się na ich bezpieczeństwie zarówno pod kątem urządzeń, które będą się z nią łączyć, jak i odpowiedniej konfiguracji.

• Regularnie aktualizuj firmware routerów Wi-Fi i punktów dostępowych. Producenci takiego sprzętu udostępniają co jakiś czas łaty naprawcze, więc nie zakładaj, że jeśli coś działa, to znaczy, że jest bezpieczne.
• Ustaw niepowtarzalne, długie i skomplikowane hasło dostępowe do sieci Wi-Fi. Pracownicy będą musieli wprowadzić je na swoich urządzeniach tylko raz, a silne hasła znacznie utrudnią włamanie do sieci.
• Ogranicz siłę sygnału, aby sieć była niedostępna poza budynkiem siedziby biura.
• Ukryj nazwę sieci, aby trudniej było ją znaleźć.
• Wybierz dla sieci taką nazwę, aby nie była oczywista ani łatwa do odgadnięcia — i usuń z niej model routera, aby atakujący nie mogli wyszukać na jej podstawie znanych luk.
• Oddziel sieć gościnną, aby osoby obce nie miały dostępu do zasobów wewnętrznych. Być może zmniejszysz w ten sposób wygodę (np. uniemożliwisz wydrukowanie jakiegoś dokumentu), ale znacząco ograniczysz ryzyko wycieku danych.
• Korzystaj z niezawodnego rozwiązania zabezpieczającego, aby nawet w przypadku przedostania się do sieci osoby obcej, nie mogła ona wyrządzić poważnych szkód na stacjach roboczych i serwerach.