Jak zapojíme síť: WiFi bez tajemství
7.10.2009, Martin Kuchař, článek
Připravili jsme článek podrobně rozebírající všechny technické aspekty bezdrátových sítí pracujících v pásmu 2,4GHz. Podívejte se, jak vlastně WiFi pracuje, jaké má parametry, jaký máte zvolit aktivní a pasivní hardware a kde je potřeba co a jak nastavit.
Kapitoly článku:
Jistě vás napadlo, jak je to s bezpečností, když všechna přenášená data letí vzduchem skrze rádiové signály a tím pádem je snadné je zachytit. Jistě by nebylo zcela příjemné, kdyby se na vaše AP, přes které sdílíte internet, připojil každý, kdo chce a tím by sdílel internet zcela zadarmo. Bylo proto potřeba zavést několik základních technik pro šifrování přenášených dat, aby nebyla jejich detekce tak snadná.
Musíme tedy zajistit, aby měl do naší sítě přístup pouze vybraný okruh uživatelů a těm také zajistit ochranu před zcizením jejich soukromých dat. Ukážeme si tedy, jak zabezpečit běžné bezdrátové sítě. Mezi základní bezpečnostní rizika patří především ohrožení firemních a soukromých dat, která mohou být dosažitelná nejen díky špatně zajištěné vnitřní síti či absenci firewallu, ale také díky sabotérskému zaměstnanci, který schválně připojí do sítě další AP za účelem poskytnutí přímého spojení pro záškodníky či konkurenty.
Mezi základní ochranu patří bezesporu vypnutí SSID broadcastingu (Service Set IDentifier), který neustále vysílá název sítě a informace o ní. Pokud toto vysílání vypneme, nebude naše síť na první pohled viditelná a pro její zjištění bude třeba odchytávat síťové pakety apod. Je tedy vhodné vypnout automatické vysílání SSID a na každé stanici pak nastavit jeho název a při pokusu o spojení si jej vyžádat (technika probe).
Ukázka volby zabezpečení v routeru Linksys
Jako základní ochrana před nabouráním slouží MAC filtr - MAC je fyzická a jedinečná adresa každého síťového adaptéru. Pokud na AP nastavíme, které MAC adresy mají a které nemají mít přístup, zajistíme tím konektivitu pouze zvoleným stanicím. Bohužel vše ale není tak růžové, jak se zdá - i v prostředí Windows lze MAC adresu klonovat a tudíž je tento způsob ochrany spíš pouze základní a před opravdu sofistikovaným útokem stejně neochrání.
Dalším důležitým krokem je zvolení vhodné antény - je naprosto zbytečné, aby se v obyčejné kanceláři použila všesměrová anténa s dosahem několika stovek metrů - pouze se tím zvyšuje počet případných útočníků. Je také vhodné zvážit nasazení DHCP (Dynamic Host Configuration Protocol), který automaticky přidělí IP adresu, masku podsítě, výchozí bránu a DNS servery každému nově přihlášenému počítači.
Tato volba je jistě velmi pohodlná, neboť není třeba na koncových stanicích nic složitě nastavovat, avšak přináší jisté bezpečnostní riziko. Pokud je DHCP vypnut a uživatel má přidělenou statickou IP, pak musí případný útočník všechny tyto údaje zjistit odchytáváním paketů či jinými metodami.
Věřte tomu, že do nezabezpečené sítě se rozhodně někdo zkusí připojit
Pro zajištění slušné bezpečnosti byla už od 802.11b integrována šifra WEP (Wired Equivalent Privacy), která poskytuje alespoň minimální úroveň zabezpečení. První verze této šifry byla založena na 40-bit klíči (algoritmus RC4). Tento klíč je symetrický, což znamená, že jak pro kódování tak i následné dekódování je použita stejná šifra (odesilatel i příjemce nutně musí mít stejný klíč). Je vhodné tento klíč jednou za čas změnit - přináší to ale jistou časovou zátěž (například pokud máme připojeno 60 uživatelů). WEP má výhodu v tom, že je to jednoduchá a výpočetně nenáročná šifra a tudíž její implementace je velmi snadná.
Později se k šifře přidalo dalších 24-bitů v podobě měnícího se vektoru, což zajistilo obměnu šifry po poslání každého 10000. paketu. Dnes se již používá 128-bitová verze WEP klíče - šifra má 102 bitů a vektor dalších 24.
Výrobci si ale uvědomovali nedostatky zabezpečovacích systémů, což dalo prostor pro vznik normy 802.1x, která přinesla protokol EAP (Extensible Authentication Protocol) řízený RADIUS serverem - ten kontroluje uživatele a ověřuje jejich přístup podle seznamu povolených klientů. Tento systém již přinesl opravdu slušnou míru zabezpečení také díky TKIP (Temporal Key Integrity Protocol) - dynamicky šifrovaný klíč, který se po odhlášení klienta od stanice okamžitě maže.
Ani tato metoda však nebyla natolik robustní, aby s ní byli výrobci spokojeni - přišli tedy se šifrováním WPA (norma 802.11i ). WPA má jednu zásadní výhodu oproti všem předchozím úpravám - dokáže pracovat se stejným HW jako WEP a tudíž v zařízeních není potřeba provádět HW úpravy. Později (po výměnách řídících procesorů v HWAP) bylo možné rozšířit robustnost šifer o Counter-mode CBC (Cipher Block Chaining), které zaručilo silnější míru šifrování díky AES (Advanced Encryption Standard) právě v režimu CCM (kombinuje režim CTR, Counter Mode, pro utajení a CBC-MAC pro autentizaci a integritu).
Dovolím si zde zobrazit i tolik ohrané desatero pro bezpečnost WiFi sítí - počítám, že každý, kdo se v této problematice trošku pohybuje, se s ním již určitě setkal.
Je také důležité si uvědomit, že ačkoliv by měl správce svou síť zabezpečit, tak ani v případě, že tak neučiní, vám to nedává jakékoliv právo pro připojení k ní. Cizí WiFi síť nesmíte užívat bez přímého souhlasu jejího provozovatele, ať už je zabezpečená nebo není. Pokud tak učiníte, dopouštíte se přestupku proti zákonům a můžete být právně stíhán. V Americe už tato situace zašla tak daleko, že uživatel chycený při připojení do cizí sítě byl zatčen a obžalován.
Musíme tedy zajistit, aby měl do naší sítě přístup pouze vybraný okruh uživatelů a těm také zajistit ochranu před zcizením jejich soukromých dat. Ukážeme si tedy, jak zabezpečit běžné bezdrátové sítě. Mezi základní bezpečnostní rizika patří především ohrožení firemních a soukromých dat, která mohou být dosažitelná nejen díky špatně zajištěné vnitřní síti či absenci firewallu, ale také díky sabotérskému zaměstnanci, který schválně připojí do sítě další AP za účelem poskytnutí přímého spojení pro záškodníky či konkurenty.
Mezi základní ochranu patří bezesporu vypnutí SSID broadcastingu (Service Set IDentifier), který neustále vysílá název sítě a informace o ní. Pokud toto vysílání vypneme, nebude naše síť na první pohled viditelná a pro její zjištění bude třeba odchytávat síťové pakety apod. Je tedy vhodné vypnout automatické vysílání SSID a na každé stanici pak nastavit jeho název a při pokusu o spojení si jej vyžádat (technika probe).
Ukázka volby zabezpečení v routeru Linksys
Jako základní ochrana před nabouráním slouží MAC filtr - MAC je fyzická a jedinečná adresa každého síťového adaptéru. Pokud na AP nastavíme, které MAC adresy mají a které nemají mít přístup, zajistíme tím konektivitu pouze zvoleným stanicím. Bohužel vše ale není tak růžové, jak se zdá - i v prostředí Windows lze MAC adresu klonovat a tudíž je tento způsob ochrany spíš pouze základní a před opravdu sofistikovaným útokem stejně neochrání.
Dalším důležitým krokem je zvolení vhodné antény - je naprosto zbytečné, aby se v obyčejné kanceláři použila všesměrová anténa s dosahem několika stovek metrů - pouze se tím zvyšuje počet případných útočníků. Je také vhodné zvážit nasazení DHCP (Dynamic Host Configuration Protocol), který automaticky přidělí IP adresu, masku podsítě, výchozí bránu a DNS servery každému nově přihlášenému počítači.
Tato volba je jistě velmi pohodlná, neboť není třeba na koncových stanicích nic složitě nastavovat, avšak přináší jisté bezpečnostní riziko. Pokud je DHCP vypnut a uživatel má přidělenou statickou IP, pak musí případný útočník všechny tyto údaje zjistit odchytáváním paketů či jinými metodami.
Věřte tomu, že do nezabezpečené sítě se rozhodně někdo zkusí připojit
Pro zajištění slušné bezpečnosti byla už od 802.11b integrována šifra WEP (Wired Equivalent Privacy), která poskytuje alespoň minimální úroveň zabezpečení. První verze této šifry byla založena na 40-bit klíči (algoritmus RC4). Tento klíč je symetrický, což znamená, že jak pro kódování tak i následné dekódování je použita stejná šifra (odesilatel i příjemce nutně musí mít stejný klíč). Je vhodné tento klíč jednou za čas změnit - přináší to ale jistou časovou zátěž (například pokud máme připojeno 60 uživatelů). WEP má výhodu v tom, že je to jednoduchá a výpočetně nenáročná šifra a tudíž její implementace je velmi snadná.
Později se k šifře přidalo dalších 24-bitů v podobě měnícího se vektoru, což zajistilo obměnu šifry po poslání každého 10000. paketu. Dnes se již používá 128-bitová verze WEP klíče - šifra má 102 bitů a vektor dalších 24.
Výrobci si ale uvědomovali nedostatky zabezpečovacích systémů, což dalo prostor pro vznik normy 802.1x, která přinesla protokol EAP (Extensible Authentication Protocol) řízený RADIUS serverem - ten kontroluje uživatele a ověřuje jejich přístup podle seznamu povolených klientů. Tento systém již přinesl opravdu slušnou míru zabezpečení také díky TKIP (Temporal Key Integrity Protocol) - dynamicky šifrovaný klíč, který se po odhlášení klienta od stanice okamžitě maže.
Ani tato metoda však nebyla natolik robustní, aby s ní byli výrobci spokojeni - přišli tedy se šifrováním WPA (norma 802.11i ). WPA má jednu zásadní výhodu oproti všem předchozím úpravám - dokáže pracovat se stejným HW jako WEP a tudíž v zařízeních není potřeba provádět HW úpravy. Později (po výměnách řídících procesorů v HWAP) bylo možné rozšířit robustnost šifer o Counter-mode CBC (Cipher Block Chaining), které zaručilo silnější míru šifrování díky AES (Advanced Encryption Standard) právě v režimu CCM (kombinuje režim CTR, Counter Mode, pro utajení a CBC-MAC pro autentizaci a integritu).
Dovolím si zde zobrazit i tolik ohrané desatero pro bezpečnost WiFi sítí - počítám, že každý, kdo se v této problematice trošku pohybuje, se s ním již určitě setkal.
- Znemožněte fyzický přístup uživatelů k AP
- Využijte nejlepší možné zabezpečení (WPA2 apod.)
- Pravidelně klíče WPA měňte
- V Access Pointu zaveďte tabulku povolených MAC adres
- Nepovolujte DHCP a adresy přidělujte ručně
- Zakažte SSID Broadcast
- Pokud je to možné, nastavte také tabulku povolených IP adres
- Pravidelně kontroluje síť i logy z AP
- Omezte výkon tak, aby síť zbytečně nepřesahovala půdu vaší firmy
- Pokud chcete opravdu zajistit bezpečnost, používejte VPN
Je také důležité si uvědomit, že ačkoliv by měl správce svou síť zabezpečit, tak ani v případě, že tak neučiní, vám to nedává jakékoliv právo pro připojení k ní. Cizí WiFi síť nesmíte užívat bez přímého souhlasu jejího provozovatele, ať už je zabezpečená nebo není. Pokud tak učiníte, dopouštíte se přestupku proti zákonům a můžete být právně stíhán. V Americe už tato situace zašla tak daleko, že uživatel chycený při připojení do cizí sítě byl zatčen a obžalován.
.webp)
