Bezpieczeństwo sieci bezprzewodowych

Przemysłowe systemy transmisji danych odpowiedzialne są za wymianę informacji z urządzeniami nadzorującymi procesy produkcyjno-logistyczne. Niejednokrotnie dane mają charakter tajny i nie mogą być udostępnione osobom niepowołanym. W przemyśle coraz większym uznaniem cieszą się protokoły transmisyjne oparte na technologiach bezprzewodowych. Pamiętać jednak należy, że decydując się na tego typu rozwiązanie, trzeba zadbać o dodatkowe środki bezpieczeństwa.

Pojawienie się technologii bezprzewodowych zrewolucjonizowało niejeden system transmisji danych w zakładach przemysłowych i obiektach magazynowych. Przecież zyskuje się zdecydowanie łatwiejsze korzystanie z informacji oraz pewniejszą pracę protokołów sterujących pracą urządzeń i maszyn przemysłowych. Sieci bezprzewodowe w pierwszej kolejności wpływają na zminimalizowanie połączeń kablowych. Ważna korzyść, niezwykle istotna dla użytkownika, to możliwość dostępu do połączenia w niemal każdym miejscu wyodrębnionej przestrzeni, która objęta jest zasięgiem. Nie bez znaczenia pozostaje także w przemysłowych sieciach bezprzewodowych mobilność oraz łatwość wdrożenia.

Zagrożenia sieci bezprzewodowych

Tematyka zarówno zalet, jak i wad sieci bezprzewodowych w przemyśle jest bardzo obszerna. Pamiętać jednak należy, że z momentem wdrożenia technologii bezprzewodowych pojawiają się nowe zagrożenia. Dlatego też administratorzy systemów postawieni są przed koniecznością stosowania dodatkowych zabezpieczeń. Ze względu na to, że do fal radiowych mogą mieć dostęp wszyscy, stąd też mówi się o otwartości sieci bezprzewodowych.

Głowne zagrożenia to nieuprawnione połączenia w celu pozyskania poufnych informacji. Niejednokrotnie zdarza się, że niepożądane połączenia wykonywane są w celu wprowadzenia do sieci szkodliwego oprogramowania. Administratorzy jako zagrożenie wymieniają także próby odnalezienia takiej sieci bezprzewodowej, dzięki której istnieje możliwość połączenia z internetem, celem wykorzystania go na potrzeby „napastnika”.

Jako zagrożenie sieci bezprzewodowej wskazuje się tworzenie dodatkowego punktu dostępowego. Funkcjonuje on jako stacja bazowa, która łączy poszczególne elementy sieci tradycyjnej z bezprzewodową. Dodatkowy punkt dostępowy posłużyć może jako miejsce połączenia z siecią.

Zwraca się uwagę na „totalne podsłuchiwanie”. Zagrożenie takie polega na szpiegowaniu urządzeń, które służą do przesyłania fal radiowych między punktem dostępu a klientem. Tym sposobem powstaje kolejny punkt dostępowy. Kluczowe miejsce w hierarchii zagrożeń sieci bezprzewodowych zajmuje rejestrowanie całego ruchu radiowego, dzięki czemu uzyskuje się niezbędne dane, które służą do odszyfrowania zabezpieczenia poprzez złamanie klucza WEP. Zdarza się także, że za pomocą sieci bezprzewodowych przechwytywane są informacje, które pozwalają na konfigurowanie połączeń. Sieć bezprzewodowa narażona może być na tzw. „odmowę usługi”. Ataki te przeprowadzane są na system komputerowy celem uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów. W takich sytuacjach najczęściej dochodzi do przeciążenia oprogramowania zainstalowanego na serwerze. Tym sposobem zapełniony jest system plików, w efekcie czego uniemożliwia się dogranie danych oraz powstają błędy w aplikacjach. Zagrożenia nakierowane na sieci komputerowe oznaczają napływ informacji o nadmiarowej ilości, który ma na celu wysycenie dostępnego pasma. W konsekwencji niemożliwe okazuje się jego osiągnięcie, pomimo tego, że wszystkie aplikacje na nim pracujące są gotowe na przyjęcie danych.

Pomysłowość „napastników” sieci bezprzewodowych może przybrać formę zmieniania parametrów sieci na takie, dzięki którym istnieje możliwość połączenia z punktem dostępowym.

Szyfrowanie

Celem zapewnienia należytego bezpieczeństwa sieci bezprzewodowej niezbędne jest odpowiednie szyfrowanie transmisji. W sieci IEEE 802.11 zastosowanie znajduje protokół WEP (Wired Equivalent Privacy). W systemie WEP ważny jest algorytm szyfrowania bazujący na kluczu symetrycznym RC4 PRNG (Ron’s Code 4 Pseudo Random Number Generator). WEP obejmuje swoją kontrolą zarówno wszystkich klientów, jak i wszystkie punkty dostępu. Używany jest ten sam klucz do szyfrowania i odszyfrowania danych. Klucz rezyduje w komputerze klienta i w każdym punkcie dostępu do sieci. Standard specyfikuje klucze 40- oraz 104-bitowe, do których w procesie wysyłania ramki dołączony jest wektor inicjujący (Iv) o długości 24 bitów. Dlatego też mówi się o 64- i 128-bitowych kluczach WEP.

Istotne jest, że standard WEP cechuje się pewnymi słabościami. Stąd też rozszerzono podstawowy mechanizm zabezpieczeń. WPA jest następcą mniej bezpiecznego standardu WEP (WiFi Protected Access). Technologia ta wykorzystuje 128-bitowe klucze. W porównaniu z WEP zostały poprawione wszystkie złamane zabezpieczenia. Wzmocniono także bezpieczeństwo autoryzacji użytkownika.

Może się okazać, że nie jest możliwe zastosowanie WPA2. W takim przypadku przydatne okazuje się zabezpieczenie SSID lub wykorzystanie listy numerów MAC interfejsów sieciowych poszczególnych urządzeń pracujących w sieci.

SSID

Podstawową metodę kontroli stanowi zaimplementowanie identyfikatora SSID. Umożliwia on segmentowanie sieci bezprzewodowej na podsieci, które obsługiwane są przez jeden lub kilka punktów dostępu. Ważne jest, aby każdy punkt był skonfigurowany z SSID, charakterystycznym dla danej sieci. Niejednokrotnie zdarza się, że stacja klient cechuje się wieloma SSID. Rozwiązanie takie jest bardzo przydatne w przypadku, gdy konieczny jest dostęp do sieci z różnych miejsc. W razie konieczności uzyskania dostępu stacja musi dysponować bezbłędnym SSIP. Tym sposobem identyfikator stanowi hasło zabezpieczające.

Zabezpieczenia

Bardzo ważne jest zabezpieczenie poszczególnych elementów infrastruktury sieciowej przed dostępem niepowołanych osób. Może się zdarzyć, że skuteczna okaże się kontrola wzrokowa.

Administratorzy sieci bezprzewodowych są zgodni co do tego, że niejednokrotnie najprostsze metody zabezpieczeń gwarantują najwyższy poziom bezpieczeństwa. Stąd nie należy lekceważyć chociażby odpowiedniego umiejscowienia urządzeń sieciowych. Warto zadbać zatem o możliwie najbardziej centralne zainstalowanie odbiorników. Montaż uwzględniający skrajne położenia zwiększa zasięg sieci. Nie mniej istotna pozostaje możliwość ograniczenia mocy nadajników, po to, aby zasięgiem objęte były te odbiorniki, które wchodzą w skład infrastruktury sieciowej. Bardzo często administratorzy blokują możliwość zarządzania urządzeniami za pomocą sieci bezprzewodowych. W taki sposób dostęp do parametrów urządzeń zyskują tylko użytkownicy podłączonych za pomocą kabla.

Warto zadbać o hasła długie oraz skomplikowane. Niezwykle skutecznym sposobem jest również wyłączanie nadajników w czasie, gdy sieć nie jest wykorzystywana (np. przerwy świąteczne).

Polityka w sieci

Jeżeli w obiekcie przemysłowym lub magazynowym funkcjonuje polityka bezpieczeństwa IT, pamiętać należy o włączeniu do niej również sieci bezprzewodowych. Tym sposobem zyskuje się formalne procedury postępowania w przypadku wystąpienia zagrożenia. Co prawda nie ma gotowej recepty na stworzenie polityki bezpieczeństwa, to jednak funkcjonują reguły postępowania, które można zastosować przy jej tworzeniu.

Podstawowym zadaniem polityki bezpieczeństwa jest opisanie działań w przypadku zagrożenia infrastruktury informatycznej. Stąd też kluczowe miejsce zajmuje zdefiniowanie celów oraz zakresu znaczenia bezpieczeństwa informacji. W dokumentach powinien również zostać umieszczony wykaz poszczególnych urządzeń sieciowych oraz zasięg ich działania.

Ważne jest, aby w polityce zdefiniowano cele bezpieczeństwa. W większości przypadków podstawowy cel stanowi ochrona systemu informatycznego. Na etapie formułowania celów należy zapewnić uwzględnienie strategii ochrony sieci bezprzewodowej w aspekcie poufności danych. Do celów zalicza się także integralność systemu, co zapewni, że informacje będą chronione przed nieautoryzowanym dostępem.

Aby polityka bezpieczeństwa sieci funkcjonowała właściwie, niezbędne jest odpowiednie zaangażowanie kierownictwa i pracowników. Od kierownictwa wymaga się propagowania świadomości i zaangażowania przedstawiającego realizowanie zadań podmiotu publicznego również w aspekcie bezpieczeństwa infrastruktury informatycznej. Nie mniej ważne jest także angażowanie w zadania kontrolujące i koordynujące. Celem zapewnienia możliwie szybkiej reakcji na zagrożenia sieci bezprzewodowej ważne jest powołanie zespołu odpowiedzialnego za podejmowanie decyzji w razie ataku, a następnie analizowanie zaistniałych już niebezpieczeństw. Przepływ informacji z pewnością usprawni wyznaczenie osoby odpowiedzialnej za udzielanie informacji podczas zagrożenia. Konieczne jest także, aby w polityce bezpieczeństwa określić użytkowników sieci bezprzewodowej przy uwzględnieniu pracowników, gości, kontrahentów itp. oraz zdefiniować, kto będzie miał dostęp do zasobów sieci.

W razie ataku

W polityce bezpieczeństwa jedną z kluczowych kwestii stanowią, z jednej strony, procedury określające sposób postępowania podczas zagrożenia, zaś z drugiej, konsekwencje będące efektem nieprzestrzegania przyjętego toku postępowania. Niezbędne jest zatem, aby dokumenty poruszały aspekty związane z trybem reagowania na awarie oraz uszkodzenia systemu, a także wewnętrzne i zewnętrzne próby włamań. Nie mniej ważne pozostaje również uwzględnienie ewentualnych błędów powstałych w przypadku przetwarzania danych niekompletnych czy uszkodzonych. Istotne jest wzięcie pod uwagę sytuacji, w których dochodzi do awarii narzędzi zabezpieczających.

Aby prawidłowo opracować procedury wykonawcze, ważna jest identyfikacja przyczyn zagrożeń. Jej efektem powinno być zapewnienie, że bezpieczeństwo systemu zostanie przywrócone w możliwie najkrótszym czasie. Konsekwencją realizowania przyjętych procedur jest również umożliwienie dostępu do zasobów tylko uprawnionym użytkownikom a wszystkie zadania wykonywane podczas zagrożenia są znane i zaakceptowane przez kierownictwo. W zakresie bezpieczeństwa sieci bezprzewodowej ważne jest, aby w przypadku niedostosowania się do procedury określić działania, które zostaną zastosowane w stosunku do osoby dopuszczającej się niedociągnięcia. Istotne jest także, aby zdefiniowano i przeanalizowano odstępstwa celem poprawy i doskonalenia polityki.

Bezpieczny sprzęt

O kwestii bezpieczeństwa sieci należy pamiętać już na etapie doboru poszczególnych urządzeń. Dostępne na rynku routery, switche oraz radiomodemy spełniają wymagania dotyczące wymogów bezpieczeństwa. Dla przykładu model przemysłowego punktu dostępowego AWK – 3121 firmy Moxa może pracować w trybach Access Point/ AP Client/ Bridge oraz obsługi sieci opartych na standardach IEEE 802.11 a/b/g. Obudowa wykonana jest z aluminium o stopniu ochrony IP30. Bezpieczeństwo przesyłanych danych, a także kontrola dostępu do sieci realizowana jest w oparciu o szyfrowanie WEP (64- lub 128-bit)/WPA/WPA2, 802.1X, filtrowania adresów MAC oraz możliwości zablokowania rozgłoszeń SSID. Urządzenie wykonane w wersji rozszerzonej może pracować w szerokim zakresie temperatury (od -40 do 75°C). Tym sposobem zyskuje się możliwość wdrożenia niezawodnego połączenia bezprzewodowego w warunkach przemysłowych.

Autor: Adam Mielnicki