Aby skutecznie zabezpieczyć firmową sieć Wi-Fi, należy wdrożyć silne hasła, szyfrowanie WPA3, filtrowanie adresów MAC oraz regularnie aktualizować oprogramowanie routera. To ważne, ponieważ niezabezpieczona sieć bezprzewodowa naraża firmę na ataki hakerskie, kradzież danych oraz zakłócenia w działaniu systemów IT. Dowiedz się więcej, w dalszej części wpisu.
Zanim jednak przejdziemy do ochrony sieci bezprzewodowych warto jest wyjaśnić czym tam naprawdę jest Wi-Fi?
WiFi, po angielsku wireless fidelity, to rodzaj standardów sieci bezprzewodowej, które zostały stworzone przez firmę Wi-Fi Alliance. W powszechnym znaczeniu Wi-Fi uznaje się za synonim WLAN, czyli wireless local area network, a to jest właściwa ogólna nazwa technologii umożliwiającej założenie lokalnej sieci poprzez połączenie urządzeń bez zastosowania kabli. Podobnie jak kiedyś adidasami nazywaliśmy każde sportowe obuwie, tak teraz sieci WLAN nazywamy Wi-Fi, które w rzeczywistości jest najpopularniejszym z dostępnych obecnie na rynku produktów WLAN.
Włamania do sieci Wi-fi
Aby zrozumieć dlaczego i jak zabezpieczyć wifi w firmie dobrze jest mieć świadomość w jaki sposób hakerzy mogą uzyskać do niej dostęp. Ataki hakerskie na wifi są często zautomatyzowane i żadna firma nie jest zbyt mała, aby stać się celem. Techniki włamań do sieci bezprzewodowej są bardzo zróżnicowane, niekiedy wykorzystuje się zaawansowane narzędzia, a czasem wystarczą proste socjotechniki – manipulacje ludzką lekkomyślnością. Próby ataków można podzielić na dwie główne kategorie: ataki pasywne i ataki aktywne.
- Ataki pasywne na WLAN – polegają na śledzeniu i podsłuchiwaniu w celu zyskania informacji lub dokonania analizy ruchu sieciowego. To m.in. skanowanie sieci, ataki na hasło, sniffing. Ataki te są często pierwszym krokiem do przeprowadzenia ataku aktywnego.
- Ataki aktywne na WLAN – polegają na modyfikacji strumienia danych lub tworzeniu danych o zmienionej strukturze. To m.in. przechwytywanie sesji, spoofing, ataki DOS.
Jak zabezpieczyć wifi w firmie
Zmień domyślne ustawienia Wi-Fi.
To najważniejszy i zarazem najprostszy sposób, jak zabezpieczyć wi-fi przed włamaniem. Domyślne ustawienia urządzeń Wi-Fi są zazwyczaj ogólnodostępne online lub ukazane (np. w formie przyklejonej etykiety) na urządzeniu Wi-Fi, każdy znający je może mieć dostęp do naszej sieci jako pełnoprawny użytkownik. Aby temu zapobiec, zmień nazwę lub SSID (identyfikator sieci) na unikalną sekwencję liter i cyfr i utwórz unikalną nazwę użytkownika i silne hasła. Hasło dostępu powinno zawierać co najmniej 10 znaków, w tym cyfry, litery i symbole w losowej kolejności, unikaj używania normalnych słów tym bardziej związanych z publicznie dostępnymi informacjami związanymi z Twoją firmą, takich jak nazwa, adres itd.
Utwórz sieć dla gości oddzielną od wewnętrznej sieci firmowej
Nigdy nie pozwalaj niezaufanej lub nieznanej osobie na dostęp do Twojej firmowej sieci. Jeśli chcesz zapewnić odwiedzającym lub gościom bezprzewodowy dostęp do Internetu, upewnij się, że taki dostęp jest oddzielony od głównej sieci Twojej firmy. Rozważ zakup osobnego łącza internetowego dla gości i skonfigurowanie dodatkowego routera bezprzewodowego lub punktów dostępowych. Niektóre routery bezprzewodowe, oferują dostęp dla gości za pomocą innego identyfikatora SSID lub nazwy sieci. Ponadto większość punktów dostępowych klasy biznesowej oferuje tę samą funkcjonalność poprzez tworzenie wirtualnych sieci LAN (VLAN) i wielu identyfikatorów SSID.
Włącz szyfrowanie Wi-Fi (zabezpieczenia wifi rodzaje)
Szyfrowanie Wi-Fi to dodatkowa warstwa bezpieczeństwa i należy mieć ją zawsze włączoną na urządzeniu wifi. Istnieją różne protokoły zapewniające różne poziomy bezpieczeństwa: WEP, WPA i WPA2 i najnowszy WPA3. Te opcje są widoczne podczas włączania lub zmiany zabezpieczeń sieci bezprzewodowej w routerze bezprzewodowym lub punktach dostępowych (AP).
WEP jest łatwy do złamania i chroni tylko przed przypadkowymi użytkownikami. WPA (Wi-Fi Protected Access) występuje w kilku wersjach: WPA zapewniający rozsądny poziom ochrony, natomiast nie przeciw profesjonalnym hakerom, oraz WPA2, który zapewnia znacznie lepszy poziom ochrony. Zarówno WPA, jak i WPA2 mogą być wdrożone w dwóch różnych trybach:
- Personal (Pre-shared Key) wszystkie podłączone urządzenia wykorzystują jeden klucz dzielony
oraz
- Enterpise (802.1X, RADIUS lub EAP) który przydziela osobne klucze różnym użytkownikom
Większość routerów bezprzewodowych i punktów dostępowych obsługuje oba tryby, natomiast w przedsiębiorstwach zaleca się używanie trybu WPA2/ Enterprice.
Najnowszym i najbezpieczniejszym standardem szyfrowania jest WPA3, który używa 192-bitowego szyfrowania i indywidualnego klucza dla każdego użytkownika. Wprowadza także bezpieczniejszą wymianę informacji typu handshake pomiędzy punktami dostępowymi, a łączącymi się z nimi urządzeniami dzięki zastosowaniu protokołu SAE oraz uproszczony i lepiej chroniony proces dodawania urządzeń IoT oparty na protokole DDP.
Zaimplementuj firewalla
Zapora sieciowa to rodzaj zabezpieczeń sieciowych, który chroni i monitoruje cały ruch sieciowy. Działa jako bariera pomiędzy prywatną / firmową siecią a publicznym Internetem. Większość sprzętu i oprogramowania WLAN przeznaczonych dla biznesu jest obecnie wyposażona w mnóstwo narzędzi bezpieczeństwa, których można używać do skanowania środowiska bezprzewodowego i wykrywania anomalii bezpieczeństwa. Obejmuje to identyfikację fałszywych punktów dostępu, podejrzanych klientów i innych złośliwych zachowań mających na celu skanowanie lub przeciążanie sieci WLAN.
Najskuteczniejszymi i najbardziej zaawansowanymi urządzeniami do ochrony sieci firmowej są sprzętowe firewalle nowej generacji, czyli UTMy; te dostarczane przez ASCO Cyber są dostępne również w opcji ze zintegrowanym modułem Wi-Fi, co jest dość komfortowe dla mniejszych firm, gdzie na biuro potrzebny jest tylko jeden punkt dostępowy.
Wyłączaj firmowe Wi-Fi, gdy z niego nie korzystasz
Jeśli Twoja firma działa tylko w dni powszednie, korzystne może być całkowite wyłączenie systemów Wi-Fi na weekendy. Zmniejszy to liczbę dni, w których Twoja sieć Wi-Fi może być przedmiotem ataku, a także może dodatkowo zmniejszyć zużycie energii.
Aktualizuj oprogramowanie
Podobnie jak smartfon i wszystko, co jest związane z technologią, router, sprzętowe firewalle muszą być aktualizowane, aby utrzymać bezpieczeństwo Twojej sieci. Większość routerów Wi-Fi nie robi tego automatycznie, więc musisz to zrobić ręcznie. Każda marka robi to inaczej, dlatego warto sprawdzić wytyczne producenta dotyczące sposobu pobierania i instalacji aktualizacji.
Upewnij się, że router jest fizycznie bezpieczny
Przechowywanie routera Wi-Fi w bezpiecznym, wyznaczonym miejscu i poza zasięgiem wzroku pomoże go chronić. Umieść go w bezpiecznym pomieszczeniu na terenie swojej firmy, najlepiej w zamkniętej szafie lub za zamkniętymi drzwiami. Ewentualnie umieść go wysoko na półce, aby nie był widoczny.
Rozważ wykorzystywanie VPNa
Nawet jeśli jesteś właścicielem małej firmy, VPN to świetna opcja, jeśli chcesz zwiększyć swoje bezpieczeństwo w Internecie. Jeśli pracujesz zdalnie, nawet za granicą, VPN zapewnia bezpieczne połączenie do Twojej firmowej sieci, dzięki czemu możesz przesyłać poufne informacje w podróży i bezpiecznie uzyskiwać dostęp do swoich plików. Dostarczane przez nas UTMy posiadają również funkcje VPN.
Ogranicz czas sesji i wprowadź automatyczne rozłączanie nieaktywnych urządzeń
Ograniczanie czasu sesji w sieci bezprzewodowej pozwala utrzymać większą kontrolę nad aktywnymi połączeniami w infrastrukturze firmowej. Automatyczne wylogowywanie nieaktywnych urządzeń redukuje ryzyko wykorzystania pozostawionych, zapomnianych sesji dostępowych. W środowisku firmowym ma to szczególne znaczenie w przypadku urządzeń mobilnych oraz użytkowników okazjonalnych, którzy łączą się z siecią i nie zawsze ręcznie kończą sesję. Regularne odnawianie autoryzacji zwiększa widoczność aktywnych urządzeń i poprawia kontrolę nad dostępem do zasobów sieciowych.
Wdróż filtrowanie adresów MAC na poziomie punktu dostępowego
Filtrowanie adresów MAC może być stosowane jako dodatkowa warstwa kontroli dostępu w sieci bezprzewodowej, umożliwiająca ograniczenie połączeń wyłącznie do znanych urządzeń. Mechanizm ten działa na poziomie identyfikacji sprzętowej klientów sieci. Powinien być traktowany jako element uzupełniający, a nie główny mechanizm ochrony, ponieważ nie zapewnia pełnej odporności.
Wprowadź separację ruchu multicast i broadcast w sieci WiFi
Ograniczenie ruchu multicast i broadcast w sieci bezprzewodowej zmniejsza liczbę zbędnych transmisji rozgłoszeniowych, co poprawia zarówno wydajność, jak i bezpieczeństwo środowiska sieciowego. W środowiskach firmowych pozwala to ograniczyć widoczność komunikacji pomiędzy urządzeniami oraz zmniejsza ryzyko niepożądanego podsłuchu ruchu generowanego w ramach tej samej sieci WiFi.
Inne możliwości zabezpieczenia sieci firmowej – Zero Trust i ochrona urządzeń końcowych
Oprócz klasycznych metod zabezpieczania sieci WiFi i infrastruktury sieciowej, istotnym elementem ochrony środowiska IT w firmie są podejścia o charakterze architektonicznym i systemowym, takie jak Zero Trust oraz bezpieczeństwo urządzeń końcowych.
Zero Trust w środowisku sieci bezprzewodowej polega na ograniczeniu automatycznego zaufania do urządzeń łączących się z siecią firmową. Każde połączenie powinno być weryfikowane przed uzyskaniem dostępu, a uprawnienia powinny być nadawane w sposób minimalny i zgodny z rolą użytkownika. Takie podejście ogranicza możliwość wykorzystania przejętych kont lub urządzeń do dalszej eksploracji sieci wewnętrznej.
Uzupełnieniem tego podejścia jest bezpieczeństwo urządzeń końcowych (Endpoint Security), które obejmuje ochronę laptopów, komputerów, smartfonów oraz urządzeń IoT podłączonych do sieci firmowej. Skupia się ono na aktualizacjach systemów, ochronie antywirusowej, systemach wykrywania zagrożeń oraz egzekwowaniu zgodności z politykami bezpieczeństwa organizacji.
Połączenie kontroli dostępu do sieci oraz zabezpieczenia endpointów znacząco zwiększa odporność całego środowiska IT, ponieważ ogranicza zarówno możliwość wejścia do sieci, jak i skutki potencjalnego naruszenia bezpieczeństwa urządzeń.
Jeśli potrzebujesz wsparcia, zatrudnij specjalistę IT
Jak sprawdzić zabezpieczenia sieci wifi oraz nawet ważniejsze, jak ustawić zabezpieczenie Wi-Fi może wydawać się skomplikowane. Na szczęście są specjaliści, tacy jak inżynierowie ASCO Cyber, którzy poradzą sobie z tym wszystkim. Skontaktuj się z naszym konsultantem ds. cyberbezpieczeństwa!
