IT bezpečnosť v jednoduchých slovách: bezpečnosť podnikových sietí

Bezpečnosť lokálnych sietí je rozsiahla téma, ale pre malé podniky sú najdôležitejšie základné veci: ako chrániť Wi-Fi, správne nastaviť router a zabrániť neoprávnenému pripojeniu zvonku.

Ako funguje lokálna sieť

Lokálna sieť (LAN) v organizácii zvyčajne pozostáva z:

kabelovej siete v interiéri;
prístupových bodov Wi-Fi;
a routera (smerovača), ktorý zabezpečuje prístup na internet.

Tak poďme na to:

Káblová sieť.

Káblová sieť sa zvyčajne nachádza vo vnútri budov a na pripojenie sa k nej je potrebné dostať sa dovnútra budov a priestorov. To výrazne sťažuje úlohu útočníkom. Preto sa touto možnosťou prieniku do siete už nebudeme zaoberať.

WiFi

Je to najzraniteľnejší uzol lokálnej siete. Systémoví administrátori tomu často nevenujú dostatočnú pozornosť, používajú zastarané spôsoby ochrany pripojení (WEP/WPA), nastavujú veľmi jednoduché heslá a nepoužívajú hosťovské siete. Ale poďme po poriadku.

1. Protokoly ochrany pripojenia.

V súčasnosti je najmodernejším štandardom WPA3 (Personal/Enterprise). Je to najspoľahlivejší a najbezpečnejší štandard. Ak váš prístupový bod (alebo body) nepodporujú tento štandard, mali by podporovať aspoň WPA2. Ak váš prístupový bod nespĺňa ani tento štandard, jednoducho ho vyhoďte (alebo aktualizujte, ak je to možné). Všeobecne je vhodné pravidelne aktualizovať softvér zariadenia (tzv. firmware), ale robte to opatrne. Zariadenia Mikrotik napríklad umožňujú aktualizovať na najnovšiu verziu firmvéru prakticky akékoľvek zariadenie, aj to, ktoré bolo zakúpené už dávno.

2. Heslo pre prístup k sieti WiFi.

Ideálnou možnosťou autorizácie je použitie servera Radius (WPA3/WPA2-Enterprise). Pre malé organizácie je to však pravdepodobne nadbytočné a stačí použiť jednoduché heslo (WPA3/WPA2-Personal), ale toto heslo musí byť dostatočne dlhé (napríklad 20 znakov) a zložité (pozri pravidlá pre heslá).

Viem, že pre používateľov je jednoduchšie zadať heslo typu „123456“, ale nie je to nič strašné, ak sa trochu namáhajú a zadajú toto zložité heslo. Nakoniec, nie je potrebné to robiť každý deň.

Používa sa na pripojenie dočasných používateľov, ktorí nie sú zamestnancami, napríklad návštevníkov obchodu, autosalónu, kaviarne atď. Rozdiel hosťovskej siete spočíva v tom, že je logicky oddelená od lokálnej siete organizácie. Používatelia pripojení k hosťovskej sieti majú prístup na internet, ale nemajú prístup k lokálnej sieti. Hosťovská sieť sa zvyčajne nastavuje na rovnakých prístupových bodoch ako sieť pre prístup do lokálnej siete. Často je pre prístup do hosťovskej siete potrebná autorizácia používateľa (napríklad prostredníctvom SMS) a zobrazuje sa reklama. Príklad hosťovskej siete – WiFi v kaviarni, obchode alebo na letisku.

4. Organizácia sietí na báze WiFi.

V súčasnosti sa stalo veľmi populárnym používať WiFi ako lokálnu sieť v kanceláriách. Neodporúčam to robiť a tam, kde je to možné, používať káblovú sieť. Takáto sieť je spoľahlivejšia a často rýchlejšia ako sieť na báze WiFi. Ak však z nejakého dôvodu nie je možné inštalovať káblovú sieť a všetko je potrebné budovať na báze WiFi, k rozmiestneniu takejto siete je potrebné pristupovať kompetentne, zohľadniť počet klientov, zaťaženie (objem prevádzky), dispozíciu priestorov, materiál stien, prítomnosť rušenia. Napríklad signál v pásme 2,4 GHz lepšie prechádza stenami, ale v tomto pásme je veľa rušení. V pásmach 5 a 6 GHz je rušenie podstatne menšie (častejšie úplne chýba), rýchlosť je vyššia, ale aj absorpcia v stenách je podstatne väčšia.

Rádiové mosty.

Používajú sa na spojenie dvoch alebo viacerých segmentov jednej územne rozloženej siete. Najčastejšie ide o technológiu WiFi 5 alebo 6 GHz, menej často 2,4 GHz. K ochrane rádiových mostov je potrebné pristupovať veľmi zodpovedne, okrem šifrovania rádiového kanála je veľmi žiaduce aj šifrovanie samotného sieťového prevádzky cez medzilehlé brány.

Schéma pripojenia pobočiek k hlavnej kancelárii prostredníctvom rádiového mosta

Router.

Router je povinným prvkom každej lokálnej siete, ktorá má prístup na internet. V praxi je to zariadenie, ktoré kombinuje funkcie filtrovania prichádzajúcich požiadaviek z internetu (firewall) a smerovania požiadaviek zariadení z lokálnej siete do internetu (router). Na jednej strane zabezpečuje prístup k internetu pre všetky zariadenia pripojené k lokálnej sieti a zabraňuje prenikaniu do lokálnej siete podniku z internetu. Často slúži aj ako brána pre bezpečné pripojenie k lokálnej sieti z internetu (VPN). V malých sieťach môže router plniť aj ďalšie funkcie: server DHCP (pridelenie IP adries zariadeniam v sieti), server DNS (rozlíšenie mien uzlov) atď.

Stručne:

Wi-Fi: najzraniteľnejšie miesto

Najčastejšie sa práve Wi-Fi stáva vstupným bodom pre útočníkov. Dôvody sú banálne:

zastarané bezpečnostné protokoly (WEP alebo starý WPA);
jednoduché heslá typu 123456;
chýbajúca hosťovská sieť;
zriedkavé aktualizácie firmvéru prístupových bodov.

1️⃣ Protokoly zabezpečenia pripojenia

V súčasnosti sa za najspoľahlivejší štandard považuje WPA3 (Personal / Enterprise). Ak zariadenie nepodporuje WPA3, postačí aspoň WPA2 – ale nie nižšia verzia!

Ak váš prístupový bod nepodporuje ani WPA2, aktualizujte firmvér, a ak to nie je možné, vymeňte zariadenie.

Tip: pravidelne aktualizujte firmvér Wi-Fi zariadení (najmä Mikrotik, Ubiquiti, TP-Link). Tým sa odstránia známe zraniteľnosti.

2️⃣ Heslo pre prístup k sieti

Pre firemné siete je najlepšie použiť WPA3/WPA2-Enterprise s Radius serverom, kde má každý používateľ svoje prihlasovacie meno a heslo.

Ak je to pre malú organizáciu príliš zložité, použite WPA3/WPA2-Personal s jedným, ale dlhým a zložitým heslom (20+ znakov).

Príklad: @CompanyNet!2024safe#WiFi — zadávanie je zdĺhavé, ale bezpečnosť stojí za tých 10 sekúnd.

3️⃣ Hosťovská sieť

Hosťovská Wi-Fi sieť je určená pre návštevníkov – klientov, dodávateľov, hostí. Hlavné pravidlo:

hosťovská sieť je logicky oddelená od lokálnej siete spoločnosti;
hostia majú prístup iba na internet;
prístup je možné obmedziť autorizáciou prostredníctvom SMS, kódu alebo portálu s reklamou.

Záver: hosť pripojený na Wi-Fi nesmie vidieť vaše servery, tlačiarne a NAS zariadenia.

4️⃣ Úplne Wi-Fi kancelárie

Móda „kancelárie bez káblov” rastie, ale treba mať na pamäti:

káblová sieť je spoľahlivejšia a stabilnejšia;
Wi-Fi sieť vyžaduje dôkladné projektovanie: zohľadnenie počtu klientov, dispozície, materiálov stien a frekvenčných pásiem;
2,4 GHz – viac rušenia, ale lepšie preniká cez steny;
5 a 6 GHz – vyššia rýchlosť, menej rušenia, ale horšia priechodnosť.

Rádiové mosty: keď sieť „cez vzduch”

Rádiové mosty spájajú vzdialené budovy jednej spoločnosti prostredníctvom rádiového kanála (zvyčajne 5 alebo 6 GHz). Je to pohodlné, ale vyžaduje si dôkladnú ochranu:

používať moderné šifrovanie rádiového kanála (WPA3 alebo WPA2);
nad rádiovým kanálom – zapnúť VPN tunel (šifrovanie sieťového prevádzky);
pravidelne meniť kľúče a kontrolovať protokoly pripojení.

Odporúčanie: rádiový most = šifrovaný kanál + VPN = dvojitá ochrana proti zachyteniu.

Router – srdce a štít vašej siete

Router je zariadenie, ktoré spája vašu internú sieť s internetom a chráni ju pred vonkajšími hrozbami.

Filtruje prichádzajúce pripojenia (firewall).
Povoľuje doménové mená (DNS server).
Rozdeľuje IP adresy zariadeniam (DHCP server).
Môže plniť úlohu VPN brány pre bezpečný prístup zvonku.

Tip: nenechávajte na routeri továrenské prihlasovacie meno/heslo a nezabúdajte aktualizovať firmvér.

Mini kontrolný zoznam pre sieťovú bezpečnosť

Wi-Fi funguje na protokole WPA3 alebo aspoň WPA2.
Heslo k Wi-Fi je dlhé (20+ znakov) a zložité.
Existuje hosťovská sieť, oddelená od vnútornej.
Firmware routerov a prístupových bodov sa pravidelne aktualizuje.
Rádiové mosty sú chránené šifrovaním a VPN tunelom.
Na routeri je zapnutý firewall, vypnutý vzdialený prístup zvonku.

Chcete skontrolovať, ako je zabezpečená vaša sieť?

Vykonáme audit bezpečnosti vašej lokálnej siete a Wi-Fi, nastavíme ochranu routera, hosťovskú sieť a VPN prístupy podľa potrieb vášho podnikania.