ALTE DOCUMENTE
|
||||||||||
Zranitelnosti hloupého administrátora
Vytvoření domácí bezdrátové sítě Wi-Fi
1. Naplánujte si umístění antén
3. Změňte SSID a vypněte jeho zobrazování
Bezdrátové sítě jsou hitem v mobilní komunikaci hlasové i datové. Provedením mohou být nejen rádiové, ale také optické či infračervené.
Tato práce se zaměřuje na bezdrátové sítě lokální, které specifikuje IEEE, protoze norem 802.11xyz přibývá (802.11b přezdívané Wi-Fi uz dnes není jedinou variantou) a není zrovna nejsnadnějsí se v nich vyznat.
O výhodách vyuzití bezdrátových lokálních sítí (Wireless Local Area Network, WLAN) k rozsíření stávajících podnikových intranetů i jejich plnohodnotné náhradě není třeba přílis hovořit. Jejich donedávna malé rozsíření souviselo s pomalou standardizací, nizsími přenosovými rychlostmi a také drazsími zařízeními. Ale normalizace i trh dnes vypadají jinak a zejména letosní rok je svědkem jejich výrazného nástupu, jak v podnikovém nebo domácím prostředí, tak na veřejných místech.
Rádiové vysílání, kterým je dnes řesena větsina komerčně nasazovaných sítí, je náchylné na rusení, a to vsemi prostředky, které mohou na příslusných kmitočtech pracovat (např. i mikrovlnné trouby - to se týká zejména bezlicenčního pásma 2,4 GHz). Optické bezdrátové sítě či sítě zalozené na infračerveném záření zase nesnesou překázky mezi vysílačem a anténou přijímače. Dosah 11511f55l související s kvalitou přenosu pak omezuje jejich velikost i počet systémů, které se v rámci daného prostoru mohou nacházet, aby nedocházelo k nezádoucímu rusení. Zajistění bezpečnosti bezdrátové komunikace je při rádiovém vysílání jedním z nejobtíznějsích problémů, podobně jako roaming a směrování mezi různými sítěmi. To vsak jiz je zálezitostí vyssích vrstev - předevsím Mobile IP - nikoli nejnizsích dvou, jez definují normy IEEE 802.
Hlavní
odlisnost bezdrátových Wi-Fi sítí od jiných druhů bezdrátových (např. GSM,
CDMA) tkví v pouzívaném frekvenčním pásmu, od něhoz se také odvíjí dostupnost
bězným uzivatelům. Větsina ostatních bezdrátových sítí (tedy ne Wi-Fi) jsou
tzv. licencované sítě, coz znamená, ze kazdá taková sí má svoji přidělenou
frekvenci a pásmo, na kterou musí mít provozovatel licenci vydávanou
regulačními orgány. Na dané frekvenci smí vysílat jen ten, kdo si zaplatil
licenci. Kromě těchto licencovaných pásem existuje ale i pásmo veřejné - tzv.
pásmo ISM (Industrial Scientific and Medical). ISM pásmo vyuzívají kromě
vědeckých, průmyslových a lékařských organizací také např. mikrovlnné trouby a
bezdrátové telefony (typu DECT, avsak ne mobilní). Pásmo ISM je vymezeno na
frekvenci 2,4 GHz v Evropě regulační organizací ETSI a v USA regulátorem FCC.
Pásmo ISM neuniklo pozornosti ani výrobcům bezdrátových sítí, zpočátku vsak
kazdý výrobce vyráběl vlastní technologie (např. izraelský výrobce BreezeNet).
Tyto proprietární technologie větsinou nebyly kompatibilní s ostatními
bezdrátovými sítěmi, proto vznikl v roce 1997 společný standard pro bezdrátové
sítě v pásmu ISM. Tento standard vytvořený institutem IEEE (Institute of
Electrical and Electronic Engineers) je znám pod označením
Hned po vzniku standardu 802.11 bylo jasné, ze v porovnání s klasickými sítěmi bude potřeba bezdrátové sítě zrychlit a rozsířit jejich funkce, protoze např. jiz zmíněná rychlost 2 Mb/s se ukázala jako nedostačující. S postupem doby byly tedy definovány následující standardy (zde uspořádány v abecedním pořadí):
. 802.11a -
Uveden roku
. 802.11b - Patrně nejznámějsí a nejrozsířenějsí standard, který byl uveden společně se standardem 802.11a, ale na rozdíl od něho vyuzívá 2,4GHz pásmo s rychlostí az 11 Mb/s. . Tento standard spolu s 802.11g se u nás neuvěřitelně rychle rozsířil a ve vetsích městech je jiz problém s umístěním vlastního AP, aby jste nerusily některé z okolních sítí.
. 802.11c - Jde o standard definující procedury pro síové bridge. Je vyuzíván hlavně přístupovými body.
. 802.11d - se vznikem standardu 802.11 se ukázalo, ze je potřeba mezinárodní kooperace a harmonizace. Například 5GHz pásmo se pouzívá v mnoha státech různě a bylo třeba přizpůsobit standardizaci tak, aby vycházela vstříc nejen pozadavkům USA a Japonska.
. 802.11e - rozsíření MAC pro sluzbu Quality of Service (QoS). QoS zajisuje vyrovnanou kvalitu sluzby, která je důlezitá např. pro multimédia (trvalý tok dat potřebný pro videokonferenci apod. ).
.
. 802.11g - dalsí velice důlezitý standard, schválený v roce 2002. 802.11g umozňuje komunikovat v pásmu 2,4 GHz rychlostí az 54 Mb/s. Navíc je zde zpětná kompatibilita s 802.11b.
. 802.11h - změny v řízení přístupu k spektru 5GHz pásma tak, aby bylo mozno tyto sítě vyuzívat mimo budovy.
. 802.11i - zlepsení bezpečnosti v 802.11 bezdrátových sítích vylepsením autorizačního a sifrovacího algoritmu.
. 802.11j - rozpracovaný standard týkající se alokací nových frekvenčních rozsahů pro multimediální sluzby bezdrátových sítí (hlavně v Japonsku).
. 802.11k - jedná se o pokračování předeslého standardu 802.11j. Vzhledem k rozsíření jednotlivých standardů na nasem území, se bude tato práce zaměřovat předevsím na standard 802.11b, ale také na 802.11g (jelikoz je zpětně kompatibilní a při výstavbě nových sítí se mu postupně začíná dávat přednost před 802.11b).
Data se v bezdrátových sítích vysílají vsesměrově, a tak není tězké je odposlechnout. Pokud se tedy najdou uzivatelé, kteří sifrování vypnou, lze jednoduse odposlechnout jejich hesla k emailům, ftp serverům, IM účtům apod. Navíc při pasivním odposlechu je téměř nemozné vás odhalit.
Pro zabezpečení bezdrátových sítí normalizační instituce IEEE 802.11 navrhla sifrování v podobě protokolu WEP (Wired Equivalent Privacy), coz v překladu znamená "bezpečnost odpovídající drátu". Prioritou lidí z IEEE nejspíse bylo, aby bylo sifrování nenáročné na HW, a tak nesastně pouzili slabou sifru spolu se slabým 40 bitovým klíčem, který byl v době vzniku daný zákonnými podmínkami o vývozu sifer mimo USA. Asi ani nepočítali s tak obrovským rozsířením WiFi sítí. Níze si popíseme jaké má WEP fatální nedostatky.
Zajisuje sifrování rámců na 2. síové vrstvě. Sifruje tedy veskeré rámce (blok binárních dat), které vedou od klienta k AP a ne pouze určité sluzby. Pokud je vsak AP připojen do Internetu, tak mezi AP a internetovým serverem sifrování neprobíhá. Právě pouzitá sifra je u WEPu největsí problém.
K sifrovaní se pouzívá algoritmus RC4, jehoz autorem je R.
Rivest a zveřejněn byl v roce 1994. Algoritmus pouzívá proudovou symetrickou
sifru s délkou klíče 40,
WEP bohuzel nijak neřesí distribuci klíče a tak je musíme ve větsině případů manuálně zapsat do konfigurace zařízení. Tím trochu odpadá podstata sifrování. Útočník sice zatím klíč nezná, ale oprávněný uzivatel ano a tak pro něj není slozité komunikaci desifrovat a protoze 70% útoků je vedeno zevnitř sítě, tak tento fakt je velkým bezpečnostním nedostatkem. Ani oprávněný uzivatel by o podobě klíče neměl vůbec vědět.
Odesílatel i příjemce musí mít stejný klíč pouzívaný k sifrování/desifrování komunikace. Pro vyssí bezpečnost je nutné klíč průbězně obměňovat. To ale WEP ani RC4 nijak neřesí a tak jediný mozný způsob změny klíče je opětovné nahrazení stávajícího v konfiguraci adaptéru. U distribuce klíčů je problém, protoze případný útočník můze nový klíč při předání získat. Proto to v dnesních sítích chráněných WEPem vypadá tak, ze se celý rok pouzívá stejný klíč. Přičemz v lepsích případech by se měl klíč měnit po několika minutách.
Proč tedy právě tato sifra ? Jednoduse proto, ze ji lze snadno implementovat do hardwaru bezdrátových adaptérů a díky tomu nemá aktivování sifrování téměř zádný vliv na výkon počítače.
Zasifrování stejné zprávy symetrickou sifrou totiz pokazdé
generuje stejnou sifrovanou zprávu a tím pádem je mnohem jednodusí klíč
uhodnout. Proto je součástí WEP jestě inicializační vektor (IV), který se mění
s kazdým paketem a doplňuje klíč o dalsích 24 bitů. Při pouzití WEPu s klíčem
dlouhým 128 bitů má klíč pouze 104 bitů + 24 bitů IV. Generování IV zajisuje
vysílací strana, která ho nejenom pouzije k sestavení sifrovaného streamu, ale
přidá ho v otevřené podobě i do záhlaví rámce. Tím by se mohlo zdát, ze se
pokazdé pouzije "jiný klíč" a sifra je tím bezpečnějsí, ale není tomu
tak. Unikátních IV je pouze
Integritu sifrované zprávy zajisuje známá funkce CRC-32 (Cyclic Redundancy Check), jejíz hodnota je společně s daty zasifrovaná v těle zprávy. Bohuzel vsak díky lineárnosti funkce CRC32 ji lze obelstít určitou formou záměny bitů, které nedokáze odhalit.
Jak bylo jiz několikrát uvedeno, tak WEP pouzívá kontrolní součet CRC32. Nyní si popíseme jednoduchý příklad, jak toho vyuzít. O nedostatcích CRC32 se ví jiz dlouho. Záměnou určitých bitů zůstane kontrolní součet stejný. Takze pokud bity zaměníme a odesleme, paket projde přes kontrolu integrity a předá se do vyssí vrstvy. Tam paket způsobí chybu, protoze data nebudou dávat smysl a odesle se zpět zpráva s chybovým hlásením. Její podobu můzeme odhadnout a tím odvodit i sifrovací klíč pro daný IV.
WPA (WiFi Protected Access) je novějsí bezpečnostní mechanizmus a původně měl opravit chyby, kterých se WiFi Aliance dopustila u WEPu. Sice nesastně pouzívá stejný sifrovací algoritmus RC4, kvůli jednoduchému upgradu firmwaru stávajících zařízení, ale určitě sebou přinásí řadu vylepsení. Standardně pouzívá 128 bitový dynamický klíč, který se mění kazdých 10 000 paketů. Dalsím zlepsením je MIC (Message Integrity Check), jez je pouzíván současně s CRC32 a tím řesí jeho nedostatky, díky kterým bylo mozné změnit zprávu při zachování stejného kontrolního součtu.
Programátoři Scott Fluhrer, Itsik Mantin a Adi Shamir publikovali zprávu "Weakness in the Key Scheduling Algorithm of RC4" (slabina v algoritmu plánování klíčů RC4), která popisuje metodu (FMS) umozňující prolomit řídící WEP klíč. Prvním programem, který dokázal pasivním odposloucháváním komunikace derivovat sifrovací klíč byl AirSnort. AirSnort byl uveřejněn o víkendu 17. srpna 2001 i se zdrojovými kódy a tehdy poprvé se začalo o slabé bezpečnosti WiFi sítí mluvit v sirsím měřítku. Autoři programu (Jeremy Bruestle a Blake Hegerle) uvádějí, ze jim sestavení programu trvalo zhruba 24 hodin. AirSnort vyuzíval metodu FMS (Fluhrer-Mantin-Shamir) podle jmen autorů, jejíz podmínkou bylo odposlechnutí obrovského mnozství paketů. Dalsím problémem bylo, ze klíč lze cracknout jen za pomocí "slabých" paketů s unikátním inicializačním vektorem (IV). Dnes jiz vsak existují mnohem efektivnějsí a promyslenějsí metody derivace klíče.
Z důvodu méně častého pouzívání WEP, které zpočátku nebylo ani Wi-Fi zařízeními podporováno, přisli výrobci Wi-Fi techniky na řesení autentizace pomocí filtrování MAC adres - MAC adresa je unikátní síová adresa kazdého síového zařízení. V nastavení AP tak lze zadat seznam MAC adres, kterým je povolen přístup do bezdrátové sítě. Nebo naopak je mozno vytvořit seznam zakázaných MAC adres a ostatním adresám je přístup povolen. Některé Wi-Fi zařízení (AP, routery) umí časově omezit přístup určitým MAC adresám, popřípadě jim přidělit předem definovanou sířku pásma.
Bohuzel je MAC adresa ulozena ve firmware síového zařízení, a tak je mozné ji změnit. U klientských zařízení je potřeba software od výrobce, který je spatně dostupný, existují vsak i softwarové utility na změnu MAC adresy. S routery je situace jestě jednodussí, protoze jde MAC adresa změnit přímo přes nastavení routeru ve webovém rozhraní. Je to kvůli snazsímu sdílení internetu, kdy internetoví provideři registrují uzivatele přímo na MAC adresu síové karty, a proto při sdílení internetu je potřeba přidělit routeru MAC adresu původní síové karty. Toho lze vsak zneuzít pro přístup do Wi-Fi sítě, zejména odposlechem MAC adres a následným pouzitím povolené MAC adresy pro průnik do bezdrátové sítě
Řízení přístupu do sítě, neboli autentizace uzivatele, je dalsí částí bezpečnostní strategie Wi-Fi. Jedná se vymezení působnosti sítě a rozhodnutí, kdo (jaký uzivatel) smí sí vyuzívat. Autentizace ve Wi-Fi sítích je jednosměrná - stanice musí zádat o autentizace, avsak sí se vůči stanici autentizovat nemusí. Tohoto faktu vyuzívají útoky man-in-the-middle, které spočívají v podvrzení falesného AP mezi stanici a skutečný AP. Ve standardu 802.11 jsou zahrnuty dvě metody autentizace: open-system a sharedkey.
Tato metoda funguje následujícím způsobem: AP přijme stanici na základě údajů, které mu stanice poskytne, ale AP je nijak neověřuje. Stanice posílá údaje o sobě - identifikaci v podobě SSID (Service Set Identifier). V okamziku, kdy AP vysílá své SSID, můze kazdá stanice v dosahu, která není nastavená na svoje SSID, přijmout SSID přístupového bodu. Za pomoci takto získaného SSID můze stanice vstoupit do sítě. Je tedy dobré vysílání SSID AP vypínat a zabránit tak přístup do sítě uzivatelům, kteří neznají SSID přístupového bodu.
Při pouzití autentizace sdíleným klíčem se musí v síti také pouzívat WEP. Je vyzadováno standardem 802.11, aby zařízení s WEP mohlo pouzívat shared-key autentizaci. Základem této metody je klíč známý vsem zařízením v síti. Stanice se při autentizaci musí prokázat tímto klíčem, který přístupový bod klíč ověří. Pokud klíč souhlasí, je teprve stanice autentizována. Ověření spočívá v tom, ze AP generuje náhodné číslo, které posle stanici. Stanice zakóduje toto náhodné číslo pomocí RC4 podle sdíleného klíče. Přístupový bod pak zprávu dekóduje - pokud se dekódované číslo rovná odesílanému číslu, je zařízení autentizováno.
Metoda sdíleného klíče se vsak v praxi přílis neprosadila - ne zcela vyřesena je bezpečná distribuce a obměna sdíleného klíče (stejně jako v případě WEP). Metoda shared-key otevírá malá bezpečnostní dvířka, protoze dokázeme odposlechnout vygenerovaný text a poté jeho zasifrovanou podobu. Derivovat klíč, pokud známe původní a sifrovanou podobu zprávy, je totiz mnohem snazsí. Takze je paradoxně bezpečnějsí vyuzití standardního mechanismu ověřování klienta přístupovým bodem (Open Key Authentication), při kterém se zádné autentizační údaje nepředávají. Autentizace je jednoduse zajistěna tím, ze AP i klient mají stejný sifrovací klíč. Jinak by nesouhlasil ICV (Integrity Check Value) a AP by provoz blokoval.
Standard 802.1x je společným standardem pro vsechny typy sítí a zahrnuje autentizaci, sifrování zpráv i distribuci klíčů. Tento standard je zalozen na základě protokolu EAP (Extensible Authentification Protocol), jenz byl vytvořen pro zabezpečený přenos paketů prostřednictvím spojové vrstvy LAN sítí (zprávy EAP se zapouzdřují do rámců 802.1x). Přístupový bod v bezdrátové síti na základě pozadavku klientů provádí jejich ověření. Ověření probíhá na základě seznamu klientů, popř. pomocí speciálních autentizačních serverů Radius (Remote Authentication Dial In User Service) nebo Kerberos. Autentizace začíná tím, ze stanice odesle zprávu na přístupový bod, který odpoví pozadavkem na totoznost klienta. Na tento pozadavek klient odpoví svojí identifikací, jez posle přístupovému bodu. AP zprávu klienta posle autentizačnímu serveru. Poté autentizační server odpoví přístupovému bodu povolením nebo zákazem přístupu klienta do sítě (AP zprávu přeposle klientské stanici). Výhodou 802.1x je uzití dynamických klíčů k sifrování komunikace. Dynamické klíče mají omezenou dobu trvání, jsou určeny pouze pro daný port, na který se klient přihlásil, přičemz klíč zaniká při odhlásení klienta. Nevýhoda 802.1x spočívá v jednostranné autentizaci, která můze být pouzita pro útok typu man-in-the-middle.
Komplexní zabezpečení pro vsechny typy 802.11 přinesla az vloni schválená norma 802.11i. Ta zahrnuje vzájemnou autentizaci na základě 802.1x a nový protokol CCMP pro silné sifrování pomocí AES (Advanced Encryption Standard). Volitelně se pro zpětnou slučitelnost s WPA pouzívá protokol TKIP s sifrováním na základě RC4 (sifry pouzívané také u WEP).
CCMP (Counter-mode CBC - Cipher Block Chaining) MAC (Message Authentication Code) Protocol) pouzívá dynamické regenerování 128bitových klíčů, kontrolu integrity zpráv (MIC, kontrolní pole má délku 64 bitů) a číslování paketů na ochranu proti útokům typu replay.
Povinné prvky, podle nichz Wi-Fi Alliance certifikuje zařízení, se označují jako WPA2. Norma sama ovsem nabízí řadu dalsích prvků volitelných, jako pre-authentication a key-caching, které umozňují rychlý a bezpečný roaming mezi přístupovými body (důlezité pro hlasové sluzby po WLAN).
Nová norma pro zabezpečení má za cíl minimalizovat útoky na bezpečnost WLAN. Dokáze jiz čelit útokům man-in-the-middle, ovsem stále nezabrání neautorizovaným přístupovým bodům. Navíc stále hrozí krádeze identity v souvislosti s krádezemi zařízení, kde jsou ulozeny identifikační údaje v cache. AES je zatím nepokořený sifrovací algoritmus, takze utajení dat je vskutku spolehlivé.
WPA2 je zpětně slučitelné s WPA, takze soubězné pouzití WPA a WPA2 je v sítích bězné (na rozdíl od nepřijatelné kombinace WPA2/WEP). Certifikace pro WPA2 je rozdělena do dvou kategorií, podobně jako tomu bylo v případě WPA: podnikové (s plnou podporou WPA2, včetně 802.1x a PSK) a méně náročné osobní (domácí) sítě (pouze PSK).
Pro kvalitní zabezpečení WLAN není vzdy bezpodmínečně nutné pouzít 802.11i/WPA2. Domácím sítím, malým kancelářím a podnikům postačí WPA, protoze WPA2 pro ně neznamená výrazné zlepsení, zejména pokud současná síová infrastruktura nezahrnuje server RADIUS. Větsí podnikové sítě by se ale určitě měly vydat cestou k plnému zabezpečení WPA2 podle nejnovějsí normy.
Jestlize pouzíváte GNU/Linux, tak jste určitě slyseli o ovladači HostAP. Tento ovladač dokáze z obyčejné síové karty, zalozené na čipové sadě Prism, udělat přístupový bod (AP). Představme si situaci, kdy se klient přihlasuje do sítě přes sifrované stránky ulozené na AP. Nakonfigurujeme na nasem počítači HostAP, okopírujeme design a formu stránek na kterých se uzivatelé autentizují, spustíme Apache a ke kartě připojíme silnou anténu. Anténa vysílající na stejném kanále a se stejným SSID, jako pravý AP, musí mít vyssí zisk a tím se uzivatel, místo na pravé AP, připojí k nám. Otevře se mu stránka, kam zadá login a heslo, které si ulozíme do databáze a je hotovo. Máme login a heslo a můzem se přihlásit jako bězný uzivatel.
Dalsí mozností je nabídnout uzivateli přesně to co chce. Tím myslím překrýt signálem pravé AP, nechat klienta se připojit a povolit mu jen port 80 pro surfování na internetu. Povolili jsme port 80, ale ne port 443, který se pouzívá k zabezpečenému přístupu na webové stránky pomocí SSL (Secure Socket Layer). Takze uzivatel si bude číst emaily, nakupovat kreditní kartou v eshopu atp. a my v roli prostředníka mezitím můzeme odposlechnout veskeré soukromé informace.
- Větsina dnesních přístupových bodů je pro zjednodusení spravovatelná přes webové rozhraní. I v dnesní době se najdou AP, které nemají změněné standardní heslo administrátora. Takze můze být zabezpečení jakékoliv, ale my si upravíme politiku podle sebe.
- Dalsím problémem můze být nepovolené AP, které si tam např. pro vlastní potřebu připojil některý ze zaměstnanců. Pokud administrátor nekontroluje, zda v jeho síti nepřibyly AP bez jeho vědomí, tak má útočník otevřenou bránu. Zaměstnanci totiz větsinou jen připojí AP, bez jakéhokoliv zabezpečení, do sítě a pokud vse funguje, tak se o něj dál nestarají.
- Pokud administrátor zablokoval vysílání SSID (názvu přístupového bodu) a tím aktivoval tzv. "neviditelný rezim", tak se nic neděje. Tento pokus o zabezpečení je samozřejmě úplně k ničemu, protoze SSID lze získat pasivním odposlechem.
- WiFi a interní sí by měli být jednoznačně odděleny firewallem. Pokud administrátor neučiní jinak, tak není slozité zkoumat firemní intranet a tím pádem se dostat k interním informacím, topologii síě, sdíleným prostředkům atp.
- Existují také WiFi sítě, okolo kterých jen projdete, automaticky dostanete IP adresu od DHCP serveru a můzete surfovat na internetu.
Pro ty, kteří opravdu chtějí bezpečnou sí tu máme několik rad. Pouzívejte WEP , i přestoze je mozné jej prolomit, odradí to velké mnozství potencionálních útočníků.
Pouzijte RADIUS server pro autorizaci. RADIUS server zajistí, ze kazdý uzivatel nez bude vpustěn do sítě se bude muset ověřit jménem a heslem. RADIUS server také můze omezit čas, po který je dané jméno a heslo platné. Také by měl RADIUS server zajistit obměnu WEP klíčů, například kazdých 30 minut. Pouzijte VPN v rámci WLANu. VPN vám umozní zvýsit bezpečnost vasí bezdrátové sítě. Bohuzel také VPN zpomalí síovou komunikaci tím, ze vyzaduje sifrování.
Důvodem, proč správně zabezpečit vlastní bezdrátový přístupový bod, je zabránit cizím lidem a skůdcům neautorizovaně pouzívat a zneuzívat sluzby wifi. Avsak je to jednodussí říci nez udělat.
Zabezpečit bezdrátovou sí je mnohem slozitějsí nez typickou "drátovou" sí, protoze drátová sí má omezené mnozství pevných přístupových bodů, kdezto k bezdrátové síti se můzete připojit z jakéhokoli místa v dosahu signálu.
Kdyz zapomenete na mozné slozitosti, tak je zabezpečení bezdrátového přístupu do vasí sítě klíčové pro zajistění vaseho systému před váznými bezpečnostními problémy. Pokud vase sí nebude dostatečně zabezpečen, budete brzy čelit ztrátě sluzeb nebo zneuzití vasí sítě jako odrazový můstek pro útoky na dalsí sítě. Abyste odstranili vsechny díry v bezpečnosti wi-fi sítě, následujte 6 základních kroků:
Prvním krokem k implementaci uzavřeného bezdrátového přístupového bodu (access point) je umístění antény tak, aby zbytečně nepokrývala oblast větsí nez potřebujete nebo je účelem. Neumísujte anténu blízko okna, sklo plně nezablokuje propoustění signálu. Ideální je, kdyz umístíte anténu doprostřed prostoru, který potřebujete pokrýt s minimem signálu propoustějícím skrz zdi ven. Jistěze, je téměř nemozné toto docílit, proto je nutné na to plně nespoléhat a přejít k dalsím krokům.
Wireless encryption protocol (WEP) je standardní metoda pro zasifrování přenosu dat v bezdrátové síti. I kdyz má WEP své slabé články, je spolehlivou ochranou proti bězným útočníkům. Větsina výrobců dodává Wi-Fi zařízení s vypnutým WEP sifrováním, aby usnadnila jeho instalaci. To dává útočníkům sanci okamzitě získat přímý přístup k přenáseným datům po vasí síti, pokud nezapnete WEP.
Service set identifier (SSID) je identifikační značka pouzívaná přístupovým bodem, podle které se klientská zařízení mohou připojit. Tento identifikátor je od výrobce nastaven na přednastavenou hodnotu, jako "101" pro 3Com zařízení. Útočníci, kteří znají přednastavené hodnoty mohou jednoduse zneuzívat vase bezdrátové připojení. Pro kazdý bezdrátový přístupový bod je nutné SSID změnit na unikátní a obtízněji uhádnutelnou hodnotu a pokud to zařízení umozňuje, zamezit její veřejné zobrazování. Sí bude stále přístupná, ale nebude se zobrazovat v seznamu přístupných sítí.
Nejdříve se vám to můze zdát jako trochu podivná bezpečnostní taktika, ale v bezdrátových sítích to dává az velký smysl. Pokud to uděláte, útočníci budou donuceni znát vasi přesnou IP adresu, masku sítě a dalsí potřebné TCP/IP parametry. Pokud se útočníkovi podaří dostat se z jakéhokoli důvodu na vás přístupový bod, stále mu jestě bude zbývat přijít na vase TCP/IP nastavení.
Pokud vás přístupový bod podporuje vzdálené ovládání, tak ho buď po prvotním nastavení přístupového bodu úplně vypněte, nebo zvolte dostatečně slozité heslo. Pokud správu nevypnete, útočníci to mohou vyuzít pro získání klíčových informací o vasí síti.
Pro uzamčení sítě pro nezvané hosty je nejlepsí naimplementovat seznam filtrování přístupů. Ne vsechny přístupové body podporují tuto funkci. V seznamu můzete manuálně zadat, která klientská zařízení se mohou k síti připojit a ostatní mají smůlu. Klientská zařízení se zadávají podle MAC adres. Některá zařízení dokonce podporují pravidelný upload tohoto seznamu pomocí trivial file transfer protocol (TFTP), čímz odpadá noční můra synchronizace kazdého přístupového bodu, pokud se změní seznam klientských zařízení.
|
