Efektivní zabezpečení podnikové sítě před útoky a vniknutím nežádoucích entit je v posledních letech stále více a více skloňovaným pojmem.

Bezdrátovou síť lze jen velmi těžko odstínit od okolního světa, proto jsou zde kladeny ty nejvyšší nároky na bezpečnost. Co se podnikových bezdrátových sítí týče, tak tam, až na výjimky, už definitivně “odzvonilo” napadnutelným sdíleným klíčům, řízení přístupu přes podvrhnutelné MAC adresy i velice snadno odhalitelnému skrývání názvu sítě.

Navíc je třeba efektivně řídit i přístup do sítě drátové. Ne vždy lze uhlídat všechny síťové zásuvky a hlavně uživatele, kteří do nich mnohdy připojují i to, co by neměli.

Identity management

Jedním z nástrojů jak řídit přístup nejen do sítě samotné, ale i přístup do ostatních zařízení a aplikací je identity management, neboli centrální správa uživatelských účtů. S pomocí identity managementu lze efektivně řídit kdy a kam bude mít ten který uživatel přístup. Díky použití jednotné databáze uživatelů odpadá nutnost nastavovat uživatele a jejich oprávnění pro každou aplikaci zvlášť, stejně tak jako rušit veškeré přístupy například při odchodu zaměstnance.

Identity management také poskytuje snadno dostupné podklady pro audit díky okamžitému přehledu přidělených oprávnění.

802.1X

Výše zmiňovaného identity managementu využívá i protokol 802.1X, který umožňuje zabezpečení přístupu do drátové i bezdrátové sítě. Přípojný bod, ať už switch (pro drátovou síť), nebo Access Point (pro bezdrátovou síť), jednoduše zamezí veškeré datové komunikaci klienta (vyjma té, která je nutná k ověření), dokud nedojde k jeho úspěšnému ověření (autentizaci) například pomocí jména a hesla.

Protokol 802.1X je již dlouhou dobu považován za standard na poli zabezpečení počítačových sítí a jeho implementace je silně doporučována zejména ve středních a velkých podnikových sítích.

Monitoring

Pro ověření, zda splňuje dané výkonnostní a bezpečnostní požadavky, je třeba podnikovou bezdrátovou síť nepřetržitě monitorovat. K tomuto účelu se používají systémy nazývané jako WIDS, WIPS, či WNMS. V moderních monitorovacích systémech se většinou prolínají vlastnosti všech tří zmiňovaných systémů:

  • Centrální správa celé bezdrátové sítě
  • Detekce a reportování anomálií
  • Likvidace hrozeb

Díky široké škále předkonfigurovaných, nebo uživatelsky definovatelných signatur a alarmů je schopen administrátor bezdrátové sítě schopen poměrně rychle a přesně odhalit jak potencionální hrozby útoku, či rušení, tak i ostatní problémy spojené s bezdrátovou infrastrukturou (rogue AP, odpojená zařízení, atd.). Některé systémy navíc přidávají možnost automatické likvidace hrozeb, předem nakonfigurovaným protiútokem.

K zajištění co nejlepší funkcionality a bezpečnosti, by měla být každá podniková bezdrátová síť účinně monitorována. V dnešní době existují řešení pro sítě od několika jednotek, až po tisíce Access Pointů a mohou být provozována jak na firemních serverech (on-premise), tak v cloudu.