Skip to main content
2023-06-15

Rekomendacijos viešbučiams dėl bevielio tinklo kibernetinio saugumo stiprinimo

Nacionalinis kibernetinio saugumo centras (toliau - NKSC) rengiantis 2023 m.  liepos 11-12 d. NATO valstybių vadovų susitikimui Vilniuje, parengė rekomendacijų ir priemonių sąrašą viešbučiams nuo galimų kibernetinių incidentų belaidei tinklo įrangai (angl. Wi-Fi) renginio dienomis.

Kas yra organizacijos tinklo apsauga?

Organizacijos kompiuterinio tinklo (toliau - tinklas) apsauga apima tinklo, apjungiančio sistemas, tarnybinių stočių, kompiuterizuotų darbo vietų ir tokių įrenginių, kaip išmanūs telefonai ir planšetiniai kompiuteriai, apsaugą. Atsižvelgiant į tai, kad tinklai nuolat kinta, dėmesys jų apsaugai išlieka vienu pagrindinių tinklo kibernetinio saugumo prioritetu. Su kokiomis saugumo grėsmėmis susiduria organizacijų bevieliai tinklai? Laidiniai tinklai dažniausiai turi pakankamas apsaugos priemones: ugniasienes, įsilaužimo aptikimo sistemas, antivirusines programines įrangas, „Proxy“ tarnybines stotis ir kitas apsaugos priemones. Belaidei tinklo prieigai (angl. Wi-Fi) dažniausiai skiriamas nepakankamas dėmesys kibernetinio saugumo atžvilgiu, todėl ji gali būti lengvai pažeidžiama ir panaudota įsilaužimui į vidinį organizacijos tinklą. Kibernetiniai nusikaltėliai pasinaudoję Wi-Fi  tinklo prieigos tašku, gali patekti į vidinį organizacijos tinklą ir vykdyti įvairią kenkėjišką veiklą, pvz.: paketų šniukštinėjimą (angl. packet sniffing), netikrų prieigos taškų sukūrimą, slaptažodžių vagystes, intelektinės nuosavybės, komercinės paslapties vagystes ir pan. Šios atakos gali sutrikdyti tinklo veiklą, lėtinti procesus, vykstančius tinkle, ar net visiškai paralyžiuoti tinklą.

Piktavaliai dažnai siekia kompromituoti Wi-Fi prieigas, kadangi viešai prieinamos žinios ir priemonės, taip pat organizacijų nepakankamas dėmesys Wi-Fi rizikų valdymui, sukuria palankias sąlygas vykdyti prieš organizacijose apdorojamos informacijos konfidencialumą, vientisumą (pvz, informacijos perėmimas) ir prieinamumą (pvz., trikdymas) nukreiptas kibernetines atakas. Įvertinus NATO viršūnių susitikimo kritiškumą ir svarbą, egzistuoja tikimybė kad piktavaliai sieks vykdyti tokio pobūdžio kenkėjišką veiklą prieš viešbučių ryšių ir informacines sistemas, ypač Wi-Fi prieigas, siekiant įgauti prieigą prie viešbutyje apsistojusių svečių asmens duomenų, badant perimti jų ryšių komunikacijas ir pan. Pažymėtina, kad nustačius tokių kibernetinių atakų faktus Jūsų organizacijos reputacijai gali būti padaryta didelė žala.

Grėsmė

Rizika

Paslėpti ar kenkėjiški prieigos taškai

Organizacijose nenaudojant NAC (angl. network access control)

prieigos valdymo priemonių, piktavaliai gali sukurti paslėptus

kenkėjiškus prisijungimus (nekomunikuojamas SSID) prie

organizacijos infrastruktūros.

Blogai sukonfigūruoti prieigos taškai

Naudojant nesaugius prieigos taškus, t. y. kai prieiga organizuojama

tik su slaptažodžiu, naudojant nesaugią WPE, WPA, Wi-Fi

prieigą, leidžia programišiams iš komunikacijos srauto surinkti

informaciją apie slaptažodžius,

taip susikuriant nesankcionuoto prieigos galimybę.

Uždrausti įrenginiai

Nesant organizacijos ryšių ir informacinių sistemų įrenginių kontrolei

pagal MAC adresus, egzistuoja tikimybė, kad į organizacijos

ryšių ir informacines sistemas galima įdiegti nesankcionuotą

įrangą, ir vykdyti kenkėjišką

judėjimą organizacijos tinkle.

Nesankcionuoti naudotojai

Nevykdant naudotojų identifikavimo, autentifikavimo, autorizavimo,

auditavimo (toliau – AAA) kontrolės, prie organizacijos gali

prisijungti bet kurie naudotojai, tokiu būdu jie gali rinkti

informaciją apie potinklyje vykstančias

vidines komunikacijas.

Prieigos taškų imitavimas (angl. Evil Twin)

Nesant AAA priemonėms, piktavaliai gali kurti prieigas

tokiais pat pavadinimais, taip siekiant perimti naudotojų

prisijungimus ir

naudotojo įrenginio nešifruoto komunikacijų srauto kopiją

(ataka ypač veiksminga kartu su trikdymo

veiksmais).

Trikdymas

Nesant AAA priemonėms, piktavaliai gali vykdyti Wi-Fi

prieigos ryšio slopinimą, sukurti prieigos taškus su tokiais

pat

pavadinimais, ir tokiu būdu perimti naudotojų

prisijungimus ir naudotojo įrenginio nešifruoto

komunikacijų

srauto kopiją.

Wi-Fi apsaugos rekomendacijos:

  • Bevielio tinklo saugumo protokolai yra nuolatos tobulinami. Šiuo metu populiariausias Wi-Fi apsaugos protokolas yra „Wi-Fi Protected Access 2“ (toliau – WPA2), tačiau, dabartinė naujausia įranga jau turi įdiegtą  „WPA3” versiją. Organizacijos, naudodamos „WPA3-Enterprise“ protokolą, gali užtikrinti didesnį saugumą. „WPA3-Enterprise“ remiasi WPA2 ir užtikrina nuoseklų saugos protokolų taikymą tinkle;
    • kiekviename tinkle įdiekite bevielio tinklo įsilaužimo aptikimo (angl. Wireless intrusion detection system) (toliau - WIDS) ir belaidžio tinklo įsilaužimo prevencijos (angl. Wireless intrusion prevention system) (toliau - WIPS) sistemas;
    • atnaujinkite programinę įrangą: įsitikinkite, kad visa tinklo infrastruktūroje esanti programinė įranga, įskaitant operacines sistemas ir taikomąsias programas, turi naujausius saugumo pataisymus;
    • jei tinklo įrangą turi galimybę, įgalinkite „client isolation“ funkciją - technologija, kuri neleistų tame pačiame tinkle esantiems įrenginiams komunikuoti tiesiogiai;
    • jungiantis prie tinklo, klientų autentifikavimui, naudokite „captive portal“, tokiu būdu autorizuosite naudotojus ir leisite prisijungti prie tinklo, vartotojams taip pat suteikite galimybę autentifikuotis unikaliu slaptažodžiu (tai galima pasiekti naudojant TACACS+ ar RADIUS technologiją);
    • užtikrinkite, kad prieigą prie tinklo valdymo infrastruktūros turėtų tik įgalioti darbuotojai. Naudokite stiprius slaptažodžius ir 2FA funkciją. Jeigu to padaryti neįmanoma, apsvarstykite kitas saugaus autentifikavimo priemones, nesusijusias su vienu bendru slaptažodžiu, pvz. „Active Directory“ slaptažodžiu;
    • naudokite EAP-TLS (angl. Extensible Authentication Protocol-Transport Layer Security) sertifikato pagrindu (arba geresnio) veikiančias priemones ir metodus viso autentifikavimo proceso apsaugai;
    • įvertinkite galimybę delegacijoms sukurti atskirą „VLAN“;
    • įrenginiai, kurie turi galimybę naudotis Wi-Fi tinklu, tačiau tam nėra poreikio, turėtų būti atjungti;
    • atjunkite P2P (angl. Peer-to-peer) tinklo modelį, kuriame keitimasis resursais vyksta tiesiogiai tarp Wi-Fi  tinklo naudotojų.

PAPILDOMOS REKOMENDACIJOS

Siekiant apsaugoti klientus nuo galimų kibernetinių grėsmių rekomenduojame naudotis NKSC siūlomu nemokamu įrankiu DNS užkarda, kurią aktyvavus, įrenginio naudotojas negalės pasiekti NKSC žinomų žalingų interneto resursų. Informaciją, kaip aktyvuoti DNS užkardą rasite adresu https://www.nksc.lt/uzkarda.html

Sustiprintos Wifi apsaugos priemonės

Įdiegus WIDS ir WIPS sistemas tinklo administratoriai galės realiu laiku stebėti ir aptikti iškilusias grėsmes, taip mažinant saugumo riziką. Šios sistemos turi galimybę aptikti ir automatiniu būdu atjungti neautorizuotus įrenginius. WIDS suteikia galimybę automatiškai stebėti ir aptikti neleistinus ar netikrus prieigos taškus, tuo tarpu WIPS imasi atsakomųjų veiksmų prieš nustatytas grėsmes. WIPS taip pat sumažina šias įprastas grėsmes: netikrų prieigos taškų sukūrimą, neteisingas prieigos taškų konfigūracijas, neteisėto ryšio užmezgimą, MITM (angl. man-in-the-middle attacks) atakų tikimybę, „ad-hoc“ tinklų atsiradimą, MAC (angl. Media Access Control) klastojimą ir DOS (angl. denial-of-service attacks) atakų tikimybę.

Žemiau pateikiamas WIDS/WIPS konfigūravimo rekomendacijų sąrašas. Rekomenduojame tinklo administratoriams pritaikyti šias rekomendacijas atsižvelgiant į organizacijos vidinę politiką.

  • Naudokite žalingų procesų aptikimo galimybes;
    • nustatykite WIDS/WIPS sistemas aptikti 802.11a/b/g/n/ac standarto įrenginius prijungtus prie laidinio ar belaidžio tinklo;
    • įgalinkite „no Wi-Fi“ politiką organizacijos tinklo potinklyje arba potinkliuose;
    • nustatykite automatinį ataskaitų ir pranešimų generavimą;
    • įgalinkite įvykių žurnalų saugojimo ir stebėjimo realiu laiku politiką;
    • numatykite mažiausiai keturių skirtingų lygių teises/roles, leidžiančias administratoriams deleguoti konkrečias teises;
  • bendrinės, minimalios kibernetinio saugumo rekomendacijos apgyvendinimo paslaugas teikiančioms organizacijoms;
  • naudokite ugniasienes: Ugniasienės gali padėti blokuoti neautorizuotą prieigą prie tinklo infrastruktūros. Užtikrinkite, kad ugniasienės būtų tinkamai sukonfigūruotos ir neleistų neleistinam duomenų srautui patekti į jūsų tinklą arba išeiti iš jo;
  • įgyvendinkite saugumo politiką, kurioje būtų nurodytos tinklo infrastruktūros apsaugos procedūros ir gairės. Užtikrinkite, kad visi IT infrastruktūrą valdantys darbuotojai būtų su šia politika supažindinti ir apmokyti;
  • nustatydami svečių belaidžio ryšio prieigos tašką, būtinai pakeiskite maršrutizatoriaus numatytuosius prieigos prievadus ir slaptažodžius;
  • pakeiskite numatytąjį SSID maršrutizatoriuje į tokį, kuris atspindėtų jūsų “ĮSTAIGA/HOTEL”, kad svečiui būtų lengva suprasti. Svečiams pateikite taip pat TIKSLŲ bevielio tinklo SSID, kad įsiregistravęs klientas žinotų oficialų įstaigos sukurtą tinklą;
  • įdiekite prieigos praėjimo kontrolę prie durų ir kitų viešbučio kambariuose esančių vietų, kuriose laikoma tinklo įranga;
  • peržiūrėkite trečiųjų šalių/rangovų prieigos teises ir galimybes prisijungti prie “įstaigos/viešbučio” tinklo;
  • turėkite duomenų atstatymo planą.

Atnaujinimo data: 2023-06-15

Taip pat skaitykite:

Krašto apsaugos ministras: NKSC dar 2022 m. nustatė trūkumus VRM sistemose, imamės veiksmų

Premjerė: kibernetinis saugumas negali būti atidėliojamas

R. Kaunas: pagrindinė incidentų priežastis – laiku nešalinami pažeidžiamumai, neatlikta IT higiena

NKSC fiksuoja augantį atsparumą – darbuotojai vis dažniau demaskuoja sukčius

Ilgalaikiam saugumui – postkvantinė kriptografija: Vyriausybė patvirtino kryptį