Bežične lokalne mreže (WLAN) postale su neizostavan dio modernih poslovnih okruženja, omogućujući mobilnost i fleksibilnost korisnicima. Međutim, s povećanjem upotrebe bežičnih mreža, rastu i sigurnosni izazovi. U ovom članku istražit ćemo različite aspekte bežičnih mreža, njihove arhitekture te sigurnosne izazove s kojima se suočavaju. Također ćemo razmotriti različite enkripcijske protokole i sigurnosne mjere koje mogu pomoći u zaštiti bežičnih mreža.
Arhitektura WLAN
WLAN se sastoji od bežičnih pristupnih točaka (WAP) koje su povezane s osnovnom LAN mrežom. Ove pristupne točke omogućuju korisnicima mobilni pristup mreži. Svaka pristupna točka zajedno s povezanim stanicama tvori osnovni skup usluga (BSS). Više BSS-a čine cjelokupnu bežičnu mrežu. Pristupne točke međusobno su povezane i djeluju kao posrednici između bežične i žičane mreže, omogućujući proširenje mrežne pokrivenosti.
Sigurnosni izazovi
Maliciozne asocijacije ili lažne pristupne točke
Jedan od glavnih sigurnosnih izazova u bežičnim mrežama je mogućnost malicioznih asocijacija ili postavljanja lažnih pristupnih točaka. Zlonamjerni korisnik unutar organizacije može postaviti lažnu pristupnu točku povezanu na korporativnu LAN mrežu. Ova pristupna točka može biti laptop s posebnim softverom ili namjenski hardver. Cilj je prevariti korisnike da se povežu na lažnu pristupnu točku, čime zlonamjerni korisnik može ukrasti korisnička imena, lozinke i promet.
Spoofing MAC adresa
Presretanje prometa na bežičnom kanalu je jednostavnije nego na žičanom, jer se signali šire kroz prostor. Zlonamjerni korisnik može presresti promet, identificirati MAC adrese stanica i koristiti te adrese za predstavljanje kao legitimni korisnik. Na taj način, zlonamjerni korisnik može pristupiti mreži i osjetljivim podacima. Spoofing MAC adresa omogućuje zlonamjernom korisniku da zaobiđe sigurnosne mjere temeljene na filtriranju MAC adresa, čime ozbiljno ugrožava sigurnost mreže.
Napadi “man-in-the-middle”
Napadi “man-in-the-middle” su stari koncept koji se koristi i na žičanim i na bežičnim mrežama. Zlonamjerni korisnik postavlja se između dvije stanice, presreće promet i može ga modificirati ili jednostavno kopirati. Na taj način može ukrasti osjetljive informacije ili uzrokovati štetu sustavima. Primjerice, zlonamjerni korisnik može presresti komunikaciju između korisnika i mrežnog poslužitelja, modificirati podatke u stvarnom vremenu i vratiti ih neprimijećeno. Ovo može dovesti do krađe identiteta, financijskih gubitaka ili kompromitacije povjerljivih informacija.
Osnovne sigurnosne značajke i njihova ograničenja
Skrivanje SSID-a
Bežične pristupne točke emitiraju posebni okvir (beacon frame) svakih 30 sekundi koji sadrži SSID mreže, MAC adresu i IP adresu. Skrivanjem SSID-a i onemogućavanjem emitiranja ovog okvira, samo uređaji koji već znaju SSID mogu se povezati. Međutim, ovaj pristup pruža samo osnovnu zaštitu jer jednostavni sniferi mogu otkriti MAC adresu pristupne točke. Iako skrivene mreže mogu izgledati manje vidljive, one nisu zaštićene od naprednih napadača koji koriste alate za otkrivanje skrivenih SSID-a.
Filtar MAC adresa
MAC adrese su fizičke adrese koje su trajno ugrađene u uređaje. Mrežni administratori mogu stvoriti bijelu listu poznatih i ovlaštenih MAC adresa. Ovaj pristup je bio učinkovit ranije, ali sada postoje alati koji omogućuju zlonamjernim korisnicima da spoofaju MAC adrese, predstavljajući se kao legitimni uređaji. Ovo ozbiljno smanjuje učinkovitost filtriranja MAC adresa kao sigurnosne mjere.
Enkripcijski protokoli
WEP (Wired Equivalent Privacy)
WEP je prvi standard za bežične mreže koji je pružao osnovnu enkripciju. Koristi kratke ključeve (40-104 bita) i ima mnoge ranjivosti, što ga čini nesigurnim. Iako je WEP bio koristan u svojim počecima, napredni alati i tehnike omogućuju napadačima da relativno brzo probiju WEP enkripciju.
WPA (Wi-Fi Protected Access) i WPA-TKIP
WPA je poboljšanje nad WEP-om, uvodeći dulje ključeve i dinamičke ključne protokole kao što je TKIP (Temporal Key Integrity Protocol). TKIP generira jedinstveni 128-bitni ključ za svaki paket, čime se povećava sigurnost. Ipak, WPA i dalje ima neke ranjivosti jer koristi neke elemente WEP-a. WPA pruža bolju zaštitu u usporedbi s WEP-om, ali i dalje nije dovoljno snažan za moderne sigurnosne zahtjeve.
WPA2
WPA2 koristi AES (Advanced Encryption Standard) enkripciju koja pruža snažnu sigurnost. WPA2 je prihvaćen kao industrijski standard i koristi se u vladinim, industrijskim i vojnim aplikacijama zbog svoje otpornosti na napade. WPA2 eliminira mnoge ranjivosti prisutne u WEP-u i WPA-i, pružajući robusnu zaštitu za bežične mreže.
Zaključak
Bežične mreže donose mnoge prednosti u smislu mobilnosti i fleksibilnosti, ali također nose i sigurnosne rizike. Razumijevanje arhitekture WLAN, sigurnosnih izazova i primjena odgovarajućih sigurnosnih mjera ključni su za zaštitu mreža. Korištenjem naprednih enkripcijskih protokola poput WPA2, te osnovnih mjera kao što su skrivanje SSID-a i filtriranje MAC adresa, moguće je značajno smanjiti rizike i osigurati sigurnu bežičnu mrežu. Firewallovi također igraju ključnu ulogu u zaštiti mreža, pružajući dodatne slojeve sigurnosti.