ALTE DOCUMENTE
|
||||||||||
Zranitelnosti hloupého administrátora
Vytvoøení domácí bezdrátové sítì Wi-Fi
1. Naplánujte si umístìní antén
3. Zmìòte SSID a vypnìte jeho zobrazování
Bezdrátové sítì jsou hitem v mobilní komunikaci hlasové i datové. Provedením mohou být nejen rádiové, ale také optické èi infraèervené.
Tato práce se zamìøuje na bezdrátové sítì lokální, které specifikuje IEEE, protoze norem 802.11xyz pøibývá (802.11b pøezdívané Wi-Fi uz dnes není jedinou variantou) a není zrovna nejsnadnìjsí se v nich vyznat.
O výhodách vyuzití bezdrátových lokálních sítí (Wireless Local Area Network, WLAN) k rozsíøení stávajících podnikových intranetù i jejich plnohodnotné náhradì není tøeba pøílis hovoøit. Jejich donedávna malé rozsíøení souviselo s pomalou standardizací, nizsími pøenosovými rychlostmi a také drazsími zaøízeními. Ale normalizace i trh dnes vypadají jinak a zejména letosní rok je svìdkem jejich výrazného nástupu, jak v podnikovém nebo domácím prostøedí, tak na veøejných místech.
Rádiové vysílání, kterým je dnes øesena vìtsina komerènì nasazovaných sítí, je náchylné na rusení, a to vsemi prostøedky, které mohou na pøíslusných kmitoètech pracovat (napø. i mikrovlnné trouby - to se týká zejména bezlicenèního pásma 2,4 GHz). Optické bezdrátové sítì èi sítì zalozené na infraèerveném záøení zase nesnesou pøekázky mezi vysílaèem a anténou pøijímaèe. Dosah 11511f55l související s kvalitou pøenosu pak omezuje jejich velikost i poèet systémù, které se v rámci daného prostoru mohou nacházet, aby nedocházelo k nezádoucímu rusení. Zajistìní bezpeènosti bezdrátové komunikace je pøi rádiovém vysílání jedním z nejobtíznìjsích problémù, podobnì jako roaming a smìrování mezi rùznými sítìmi. To vsak jiz je zálezitostí vyssích vrstev - pøedevsím Mobile IP - nikoli nejnizsích dvou, jez definují normy IEEE 802.
Hlavní
odlisnost bezdrátových Wi-Fi sítí od jiných druhù bezdrátových (napø. GSM,
CDMA) tkví v pouzívaném frekvenèním pásmu, od nìhoz se také odvíjí dostupnost
bìzným uzivatelùm. Vìtsina ostatních bezdrátových sítí (tedy ne Wi-Fi) jsou
tzv. licencované sítì, coz znamená, ze kazdá taková sí má svoji pøidìlenou
frekvenci a pásmo, na kterou musí mít provozovatel licenci vydávanou
regulaèními orgány. Na dané frekvenci smí vysílat jen ten, kdo si zaplatil
licenci. Kromì tìchto licencovaných pásem existuje ale i pásmo veøejné - tzv.
pásmo ISM (Industrial Scientific and Medical). ISM pásmo vyuzívají kromì
vìdeckých, prùmyslových a lékaøských organizací také napø. mikrovlnné trouby a
bezdrátové telefony (typu DECT, avsak ne mobilní). Pásmo ISM je vymezeno na
frekvenci 2,4 GHz v Evropì regulaèní organizací ETSI a v USA regulátorem FCC.
Pásmo ISM neuniklo pozornosti ani výrobcùm bezdrátových sítí, zpoèátku vsak
kazdý výrobce vyrábìl vlastní technologie (napø. izraelský výrobce BreezeNet).
Tyto proprietární technologie vìtsinou nebyly kompatibilní s ostatními
bezdrátovými sítìmi, proto vznikl v roce 1997 spoleèný standard pro bezdrátové
sítì v pásmu ISM. Tento standard vytvoøený institutem IEEE (Institute of
Electrical and Electronic Engineers) je znám pod oznaèením
Hned po vzniku standardu 802.11 bylo jasné, ze v porovnání s klasickými sítìmi bude potøeba bezdrátové sítì zrychlit a rozsíøit jejich funkce, protoze napø. jiz zmínìná rychlost 2 Mb/s se ukázala jako nedostaèující. S postupem doby byly tedy definovány následující standardy (zde uspoøádány v abecedním poøadí):
. 802.11a -
Uveden roku
. 802.11b - Patrnì nejznámìjsí a nejrozsíøenìjsí standard, který byl uveden spoleènì se standardem 802.11a, ale na rozdíl od nìho vyuzívá 2,4GHz pásmo s rychlostí az 11 Mb/s. . Tento standard spolu s 802.11g se u nás neuvìøitelnì rychle rozsíøil a ve vetsích mìstech je jiz problém s umístìním vlastního AP, aby jste nerusily nìkteré z okolních sítí.
. 802.11c - Jde o standard definující procedury pro síové bridge. Je vyuzíván hlavnì pøístupovými body.
. 802.11d - se vznikem standardu 802.11 se ukázalo, ze je potøeba mezinárodní kooperace a harmonizace. Napøíklad 5GHz pásmo se pouzívá v mnoha státech rùznì a bylo tøeba pøizpùsobit standardizaci tak, aby vycházela vstøíc nejen pozadavkùm USA a Japonska.
. 802.11e - rozsíøení MAC pro sluzbu Quality of Service (QoS). QoS zajisuje vyrovnanou kvalitu sluzby, která je dùlezitá napø. pro multimédia (trvalý tok dat potøebný pro videokonferenci apod. ).
.
. 802.11g - dalsí velice dùlezitý standard, schválený v roce 2002. 802.11g umozòuje komunikovat v pásmu 2,4 GHz rychlostí az 54 Mb/s. Navíc je zde zpìtná kompatibilita s 802.11b.
. 802.11h - zmìny v øízení pøístupu k spektru 5GHz pásma tak, aby bylo mozno tyto sítì vyuzívat mimo budovy.
. 802.11i - zlepsení bezpeènosti v 802.11 bezdrátových sítích vylepsením autorizaèního a sifrovacího algoritmu.
. 802.11j - rozpracovaný standard týkající se alokací nových frekvenèních rozsahù pro multimediální sluzby bezdrátových sítí (hlavnì v Japonsku).
. 802.11k - jedná se o pokraèování pøedeslého standardu 802.11j. Vzhledem k rozsíøení jednotlivých standardù na nasem území, se bude tato práce zamìøovat pøedevsím na standard 802.11b, ale také na 802.11g (jelikoz je zpìtnì kompatibilní a pøi výstavbì nových sítí se mu postupnì zaèíná dávat pøednost pøed 802.11b).
Data se v bezdrátových sítích vysílají vsesmìrovì, a tak není tìzké je odposlechnout. Pokud se tedy najdou uzivatelé, kteøí sifrování vypnou, lze jednoduse odposlechnout jejich hesla k emailùm, ftp serverùm, IM úètùm apod. Navíc pøi pasivním odposlechu je témìø nemozné vás odhalit.
Pro zabezpeèení bezdrátových sítí normalizaèní instituce IEEE 802.11 navrhla sifrování v podobì protokolu WEP (Wired Equivalent Privacy), coz v pøekladu znamená "bezpeènost odpovídající drátu". Prioritou lidí z IEEE nejspíse bylo, aby bylo sifrování nenároèné na HW, a tak nesastnì pouzili slabou sifru spolu se slabým 40 bitovým klíèem, který byl v dobì vzniku daný zákonnými podmínkami o vývozu sifer mimo USA. Asi ani nepoèítali s tak obrovským rozsíøením WiFi sítí. Níze si popíseme jaké má WEP fatální nedostatky.
Zajisuje sifrování rámcù na 2. síové vrstvì. Sifruje tedy veskeré rámce (blok binárních dat), které vedou od klienta k AP a ne pouze urèité sluzby. Pokud je vsak AP pøipojen do Internetu, tak mezi AP a internetovým serverem sifrování neprobíhá. Právì pouzitá sifra je u WEPu nejvìtsí problém.
K sifrovaní se pouzívá algoritmus RC4, jehoz autorem je R.
Rivest a zveøejnìn byl v roce 1994. Algoritmus pouzívá proudovou symetrickou
sifru s délkou klíèe 40,
WEP bohuzel nijak neøesí distribuci klíèe a tak je musíme ve vìtsinì pøípadù manuálnì zapsat do konfigurace zaøízení. Tím trochu odpadá podstata sifrování. Útoèník sice zatím klíè nezná, ale oprávnìný uzivatel ano a tak pro nìj není slozité komunikaci desifrovat a protoze 70% útokù je vedeno zevnitø sítì, tak tento fakt je velkým bezpeènostním nedostatkem. Ani oprávnìný uzivatel by o podobì klíèe nemìl vùbec vìdìt.
Odesílatel i pøíjemce musí mít stejný klíè pouzívaný k sifrování/desifrování komunikace. Pro vyssí bezpeènost je nutné klíè prùbìznì obmìòovat. To ale WEP ani RC4 nijak neøesí a tak jediný mozný zpùsob zmìny klíèe je opìtovné nahrazení stávajícího v konfiguraci adaptéru. U distribuce klíèù je problém, protoze pøípadný útoèník mùze nový klíè pøi pøedání získat. Proto to v dnesních sítích chránìných WEPem vypadá tak, ze se celý rok pouzívá stejný klíè. Pøièemz v lepsích pøípadech by se mìl klíè mìnit po nìkolika minutách.
Proè tedy právì tato sifra ? Jednoduse proto, ze ji lze snadno implementovat do hardwaru bezdrátových adaptérù a díky tomu nemá aktivování sifrování témìø zádný vliv na výkon poèítaèe.
Zasifrování stejné zprávy symetrickou sifrou totiz pokazdé
generuje stejnou sifrovanou zprávu a tím pádem je mnohem jednodusí klíè
uhodnout. Proto je souèástí WEP jestì inicializaèní vektor (IV), který se mìní
s kazdým paketem a doplòuje klíè o dalsích 24 bitù. Pøi pouzití WEPu s klíèem
dlouhým 128 bitù má klíè pouze 104 bitù + 24 bitù IV. Generování IV zajisuje
vysílací strana, která ho nejenom pouzije k sestavení sifrovaného streamu, ale
pøidá ho v otevøené podobì i do záhlaví rámce. Tím by se mohlo zdát, ze se
pokazdé pouzije "jiný klíè" a sifra je tím bezpeènìjsí, ale není tomu
tak. Unikátních IV je pouze
Integritu sifrované zprávy zajisuje známá funkce CRC-32 (Cyclic Redundancy Check), jejíz hodnota je spoleènì s daty zasifrovaná v tìle zprávy. Bohuzel vsak díky lineárnosti funkce CRC32 ji lze obelstít urèitou formou zámìny bitù, které nedokáze odhalit.
Jak bylo jiz nìkolikrát uvedeno, tak WEP pouzívá kontrolní souèet CRC32. Nyní si popíseme jednoduchý pøíklad, jak toho vyuzít. O nedostatcích CRC32 se ví jiz dlouho. Zámìnou urèitých bitù zùstane kontrolní souèet stejný. Takze pokud bity zamìníme a odesleme, paket projde pøes kontrolu integrity a pøedá se do vyssí vrstvy. Tam paket zpùsobí chybu, protoze data nebudou dávat smysl a odesle se zpìt zpráva s chybovým hlásením. Její podobu mùzeme odhadnout a tím odvodit i sifrovací klíè pro daný IV.
WPA (WiFi Protected Access) je novìjsí bezpeènostní mechanizmus a pùvodnì mìl opravit chyby, kterých se WiFi Aliance dopustila u WEPu. Sice nesastnì pouzívá stejný sifrovací algoritmus RC4, kvùli jednoduchému upgradu firmwaru stávajících zaøízení, ale urèitì sebou pøinásí øadu vylepsení. Standardnì pouzívá 128 bitový dynamický klíè, který se mìní kazdých 10 000 paketù. Dalsím zlepsením je MIC (Message Integrity Check), jez je pouzíván souèasnì s CRC32 a tím øesí jeho nedostatky, díky kterým bylo mozné zmìnit zprávu pøi zachování stejného kontrolního souètu.
Programátoøi Scott Fluhrer, Itsik Mantin a Adi Shamir publikovali zprávu "Weakness in the Key Scheduling Algorithm of RC4" (slabina v algoritmu plánování klíèù RC4), která popisuje metodu (FMS) umozòující prolomit øídící WEP klíè. Prvním programem, který dokázal pasivním odposloucháváním komunikace derivovat sifrovací klíè byl AirSnort. AirSnort byl uveøejnìn o víkendu 17. srpna 2001 i se zdrojovými kódy a tehdy poprvé se zaèalo o slabé bezpeènosti WiFi sítí mluvit v sirsím mìøítku. Autoøi programu (Jeremy Bruestle a Blake Hegerle) uvádìjí, ze jim sestavení programu trvalo zhruba 24 hodin. AirSnort vyuzíval metodu FMS (Fluhrer-Mantin-Shamir) podle jmen autorù, jejíz podmínkou bylo odposlechnutí obrovského mnozství paketù. Dalsím problémem bylo, ze klíè lze cracknout jen za pomocí "slabých" paketù s unikátním inicializaèním vektorem (IV). Dnes jiz vsak existují mnohem efektivnìjsí a promyslenìjsí metody derivace klíèe.
Z dùvodu ménì èastého pouzívání WEP, které zpoèátku nebylo ani Wi-Fi zaøízeními podporováno, pøisli výrobci Wi-Fi techniky na øesení autentizace pomocí filtrování MAC adres - MAC adresa je unikátní síová adresa kazdého síového zaøízení. V nastavení AP tak lze zadat seznam MAC adres, kterým je povolen pøístup do bezdrátové sítì. Nebo naopak je mozno vytvoøit seznam zakázaných MAC adres a ostatním adresám je pøístup povolen. Nìkteré Wi-Fi zaøízení (AP, routery) umí èasovì omezit pøístup urèitým MAC adresám, popøípadì jim pøidìlit pøedem definovanou síøku pásma.
Bohuzel je MAC adresa ulozena ve firmware síového zaøízení, a tak je mozné ji zmìnit. U klientských zaøízení je potøeba software od výrobce, který je spatnì dostupný, existují vsak i softwarové utility na zmìnu MAC adresy. S routery je situace jestì jednodussí, protoze jde MAC adresa zmìnit pøímo pøes nastavení routeru ve webovém rozhraní. Je to kvùli snazsímu sdílení internetu, kdy internetoví provideøi registrují uzivatele pøímo na MAC adresu síové karty, a proto pøi sdílení internetu je potøeba pøidìlit routeru MAC adresu pùvodní síové karty. Toho lze vsak zneuzít pro pøístup do Wi-Fi sítì, zejména odposlechem MAC adres a následným pouzitím povolené MAC adresy pro prùnik do bezdrátové sítì
Øízení pøístupu do sítì, neboli autentizace uzivatele, je dalsí èástí bezpeènostní strategie Wi-Fi. Jedná se vymezení pùsobnosti sítì a rozhodnutí, kdo (jaký uzivatel) smí sí vyuzívat. Autentizace ve Wi-Fi sítích je jednosmìrná - stanice musí zádat o autentizace, avsak sí se vùèi stanici autentizovat nemusí. Tohoto faktu vyuzívají útoky man-in-the-middle, které spoèívají v podvrzení falesného AP mezi stanici a skuteèný AP. Ve standardu 802.11 jsou zahrnuty dvì metody autentizace: open-system a sharedkey.
Tato metoda funguje následujícím zpùsobem: AP pøijme stanici na základì údajù, které mu stanice poskytne, ale AP je nijak neovìøuje. Stanice posílá údaje o sobì - identifikaci v podobì SSID (Service Set Identifier). V okamziku, kdy AP vysílá své SSID, mùze kazdá stanice v dosahu, která není nastavená na svoje SSID, pøijmout SSID pøístupového bodu. Za pomoci takto získaného SSID mùze stanice vstoupit do sítì. Je tedy dobré vysílání SSID AP vypínat a zabránit tak pøístup do sítì uzivatelùm, kteøí neznají SSID pøístupového bodu.
Pøi pouzití autentizace sdíleným klíèem se musí v síti také pouzívat WEP. Je vyzadováno standardem 802.11, aby zaøízení s WEP mohlo pouzívat shared-key autentizaci. Základem této metody je klíè známý vsem zaøízením v síti. Stanice se pøi autentizaci musí prokázat tímto klíèem, který pøístupový bod klíè ovìøí. Pokud klíè souhlasí, je teprve stanice autentizována. Ovìøení spoèívá v tom, ze AP generuje náhodné èíslo, které posle stanici. Stanice zakóduje toto náhodné èíslo pomocí RC4 podle sdíleného klíèe. Pøístupový bod pak zprávu dekóduje - pokud se dekódované èíslo rovná odesílanému èíslu, je zaøízení autentizováno.
Metoda sdíleného klíèe se vsak v praxi pøílis neprosadila - ne zcela vyøesena je bezpeèná distribuce a obmìna sdíleného klíèe (stejnì jako v pøípadì WEP). Metoda shared-key otevírá malá bezpeènostní dvíøka, protoze dokázeme odposlechnout vygenerovaný text a poté jeho zasifrovanou podobu. Derivovat klíè, pokud známe pùvodní a sifrovanou podobu zprávy, je totiz mnohem snazsí. Takze je paradoxnì bezpeènìjsí vyuzití standardního mechanismu ovìøování klienta pøístupovým bodem (Open Key Authentication), pøi kterém se zádné autentizaèní údaje nepøedávají. Autentizace je jednoduse zajistìna tím, ze AP i klient mají stejný sifrovací klíè. Jinak by nesouhlasil ICV (Integrity Check Value) a AP by provoz blokoval.
Standard 802.1x je spoleèným standardem pro vsechny typy sítí a zahrnuje autentizaci, sifrování zpráv i distribuci klíèù. Tento standard je zalozen na základì protokolu EAP (Extensible Authentification Protocol), jenz byl vytvoøen pro zabezpeèený pøenos paketù prostøednictvím spojové vrstvy LAN sítí (zprávy EAP se zapouzdøují do rámcù 802.1x). Pøístupový bod v bezdrátové síti na základì pozadavku klientù provádí jejich ovìøení. Ovìøení probíhá na základì seznamu klientù, popø. pomocí speciálních autentizaèních serverù Radius (Remote Authentication Dial In User Service) nebo Kerberos. Autentizace zaèíná tím, ze stanice odesle zprávu na pøístupový bod, který odpoví pozadavkem na totoznost klienta. Na tento pozadavek klient odpoví svojí identifikací, jez posle pøístupovému bodu. AP zprávu klienta posle autentizaènímu serveru. Poté autentizaèní server odpoví pøístupovému bodu povolením nebo zákazem pøístupu klienta do sítì (AP zprávu pøeposle klientské stanici). Výhodou 802.1x je uzití dynamických klíèù k sifrování komunikace. Dynamické klíèe mají omezenou dobu trvání, jsou urèeny pouze pro daný port, na který se klient pøihlásil, pøièemz klíè zaniká pøi odhlásení klienta. Nevýhoda 802.1x spoèívá v jednostranné autentizaci, která mùze být pouzita pro útok typu man-in-the-middle.
Komplexní zabezpeèení pro vsechny typy 802.11 pøinesla az vloni schválená norma 802.11i. Ta zahrnuje vzájemnou autentizaci na základì 802.1x a nový protokol CCMP pro silné sifrování pomocí AES (Advanced Encryption Standard). Volitelnì se pro zpìtnou sluèitelnost s WPA pouzívá protokol TKIP s sifrováním na základì RC4 (sifry pouzívané také u WEP).
CCMP (Counter-mode CBC - Cipher Block Chaining) MAC (Message Authentication Code) Protocol) pouzívá dynamické regenerování 128bitových klíèù, kontrolu integrity zpráv (MIC, kontrolní pole má délku 64 bitù) a èíslování paketù na ochranu proti útokùm typu replay.
Povinné prvky, podle nichz Wi-Fi Alliance certifikuje zaøízení, se oznaèují jako WPA2. Norma sama ovsem nabízí øadu dalsích prvkù volitelných, jako pre-authentication a key-caching, které umozòují rychlý a bezpeèný roaming mezi pøístupovými body (dùlezité pro hlasové sluzby po WLAN).
Nová norma pro zabezpeèení má za cíl minimalizovat útoky na bezpeènost WLAN. Dokáze jiz èelit útokùm man-in-the-middle, ovsem stále nezabrání neautorizovaným pøístupovým bodùm. Navíc stále hrozí krádeze identity v souvislosti s krádezemi zaøízení, kde jsou ulozeny identifikaèní údaje v cache. AES je zatím nepokoøený sifrovací algoritmus, takze utajení dat je vskutku spolehlivé.
WPA2 je zpìtnì sluèitelné s WPA, takze soubìzné pouzití WPA a WPA2 je v sítích bìzné (na rozdíl od nepøijatelné kombinace WPA2/WEP). Certifikace pro WPA2 je rozdìlena do dvou kategorií, podobnì jako tomu bylo v pøípadì WPA: podnikové (s plnou podporou WPA2, vèetnì 802.1x a PSK) a ménì nároèné osobní (domácí) sítì (pouze PSK).
Pro kvalitní zabezpeèení WLAN není vzdy bezpodmíneènì nutné pouzít 802.11i/WPA2. Domácím sítím, malým kanceláøím a podnikùm postaèí WPA, protoze WPA2 pro nì neznamená výrazné zlepsení, zejména pokud souèasná síová infrastruktura nezahrnuje server RADIUS. Vìtsí podnikové sítì by se ale urèitì mìly vydat cestou k plnému zabezpeèení WPA2 podle nejnovìjsí normy.
Jestlize pouzíváte GNU/Linux, tak jste urèitì slyseli o ovladaèi HostAP. Tento ovladaè dokáze z obyèejné síové karty, zalozené na èipové sadì Prism, udìlat pøístupový bod (AP). Pøedstavme si situaci, kdy se klient pøihlasuje do sítì pøes sifrované stránky ulozené na AP. Nakonfigurujeme na nasem poèítaèi HostAP, okopírujeme design a formu stránek na kterých se uzivatelé autentizují, spustíme Apache a ke kartì pøipojíme silnou anténu. Anténa vysílající na stejném kanále a se stejným SSID, jako pravý AP, musí mít vyssí zisk a tím se uzivatel, místo na pravé AP, pøipojí k nám. Otevøe se mu stránka, kam zadá login a heslo, které si ulozíme do databáze a je hotovo. Máme login a heslo a mùzem se pøihlásit jako bìzný uzivatel.
Dalsí mozností je nabídnout uzivateli pøesnì to co chce. Tím myslím pøekrýt signálem pravé AP, nechat klienta se pøipojit a povolit mu jen port 80 pro surfování na internetu. Povolili jsme port 80, ale ne port 443, který se pouzívá k zabezpeèenému pøístupu na webové stránky pomocí SSL (Secure Socket Layer). Takze uzivatel si bude èíst emaily, nakupovat kreditní kartou v eshopu atp. a my v roli prostøedníka mezitím mùzeme odposlechnout veskeré soukromé informace.
- Vìtsina dnesních pøístupových bodù je pro zjednodusení spravovatelná pøes webové rozhraní. I v dnesní dobì se najdou AP, které nemají zmìnìné standardní heslo administrátora. Takze mùze být zabezpeèení jakékoliv, ale my si upravíme politiku podle sebe.
- Dalsím problémem mùze být nepovolené AP, které si tam napø. pro vlastní potøebu pøipojil nìkterý ze zamìstnancù. Pokud administrátor nekontroluje, zda v jeho síti nepøibyly AP bez jeho vìdomí, tak má útoèník otevøenou bránu. Zamìstnanci totiz vìtsinou jen pøipojí AP, bez jakéhokoliv zabezpeèení, do sítì a pokud vse funguje, tak se o nìj dál nestarají.
- Pokud administrátor zablokoval vysílání SSID (názvu pøístupového bodu) a tím aktivoval tzv. "neviditelný rezim", tak se nic nedìje. Tento pokus o zabezpeèení je samozøejmì úplnì k nièemu, protoze SSID lze získat pasivním odposlechem.
- WiFi a interní sí by mìli být jednoznaènì oddìleny firewallem. Pokud administrátor neuèiní jinak, tak není slozité zkoumat firemní intranet a tím pádem se dostat k interním informacím, topologii síì, sdíleným prostøedkùm atp.
- Existují také WiFi sítì, okolo kterých jen projdete, automaticky dostanete IP adresu od DHCP serveru a mùzete surfovat na internetu.
Pro ty, kteøí opravdu chtìjí bezpeènou sí tu máme nìkolik rad. Pouzívejte WEP , i pøestoze je mozné jej prolomit, odradí to velké mnozství potencionálních útoèníkù.
Pouzijte RADIUS server pro autorizaci. RADIUS server zajistí, ze kazdý uzivatel nez bude vpustìn do sítì se bude muset ovìøit jménem a heslem. RADIUS server také mùze omezit èas, po který je dané jméno a heslo platné. Také by mìl RADIUS server zajistit obmìnu WEP klíèù, napøíklad kazdých 30 minut. Pouzijte VPN v rámci WLANu. VPN vám umozní zvýsit bezpeènost vasí bezdrátové sítì. Bohuzel také VPN zpomalí síovou komunikaci tím, ze vyzaduje sifrování.
Dùvodem, proè správnì zabezpeèit vlastní bezdrátový pøístupový bod, je zabránit cizím lidem a skùdcùm neautorizovanì pouzívat a zneuzívat sluzby wifi. Avsak je to jednodussí øíci nez udìlat.
Zabezpeèit bezdrátovou sí je mnohem slozitìjsí nez typickou "drátovou" sí, protoze drátová sí má omezené mnozství pevných pøístupových bodù, kdezto k bezdrátové síti se mùzete pøipojit z jakéhokoli místa v dosahu signálu.
Kdyz zapomenete na mozné slozitosti, tak je zabezpeèení bezdrátového pøístupu do vasí sítì klíèové pro zajistìní vaseho systému pøed váznými bezpeènostními problémy. Pokud vase sí nebude dostateènì zabezpeèen, budete brzy èelit ztrátì sluzeb nebo zneuzití vasí sítì jako odrazový mùstek pro útoky na dalsí sítì. Abyste odstranili vsechny díry v bezpeènosti wi-fi sítì, následujte 6 základních krokù:
Prvním krokem k implementaci uzavøeného bezdrátového pøístupového bodu (access point) je umístìní antény tak, aby zbyteènì nepokrývala oblast vìtsí nez potøebujete nebo je úèelem. Neumísujte anténu blízko okna, sklo plnì nezablokuje propoustìní signálu. Ideální je, kdyz umístíte anténu doprostøed prostoru, který potøebujete pokrýt s minimem signálu propoustìjícím skrz zdi ven. Jistìze, je témìø nemozné toto docílit, proto je nutné na to plnì nespoléhat a pøejít k dalsím krokùm.
Wireless encryption protocol (WEP) je standardní metoda pro zasifrování pøenosu dat v bezdrátové síti. I kdyz má WEP své slabé èlánky, je spolehlivou ochranou proti bìzným útoèníkùm. Vìtsina výrobcù dodává Wi-Fi zaøízení s vypnutým WEP sifrováním, aby usnadnila jeho instalaci. To dává útoèníkùm sanci okamzitì získat pøímý pøístup k pøenáseným datùm po vasí síti, pokud nezapnete WEP.
Service set identifier (SSID) je identifikaèní znaèka pouzívaná pøístupovým bodem, podle které se klientská zaøízení mohou pøipojit. Tento identifikátor je od výrobce nastaven na pøednastavenou hodnotu, jako "101" pro 3Com zaøízení. Útoèníci, kteøí znají pøednastavené hodnoty mohou jednoduse zneuzívat vase bezdrátové pøipojení. Pro kazdý bezdrátový pøístupový bod je nutné SSID zmìnit na unikátní a obtíznìji uhádnutelnou hodnotu a pokud to zaøízení umozòuje, zamezit její veøejné zobrazování. Sí bude stále pøístupná, ale nebude se zobrazovat v seznamu pøístupných sítí.
Nejdøíve se vám to mùze zdát jako trochu podivná bezpeènostní taktika, ale v bezdrátových sítích to dává az velký smysl. Pokud to udìláte, útoèníci budou donuceni znát vasi pøesnou IP adresu, masku sítì a dalsí potøebné TCP/IP parametry. Pokud se útoèníkovi podaøí dostat se z jakéhokoli dùvodu na vás pøístupový bod, stále mu jestì bude zbývat pøijít na vase TCP/IP nastavení.
Pokud vás pøístupový bod podporuje vzdálené ovládání, tak ho buï po prvotním nastavení pøístupového bodu úplnì vypnìte, nebo zvolte dostateènì slozité heslo. Pokud správu nevypnete, útoèníci to mohou vyuzít pro získání klíèových informací o vasí síti.
Pro uzamèení sítì pro nezvané hosty je nejlepsí naimplementovat seznam filtrování pøístupù. Ne vsechny pøístupové body podporují tuto funkci. V seznamu mùzete manuálnì zadat, která klientská zaøízení se mohou k síti pøipojit a ostatní mají smùlu. Klientská zaøízení se zadávají podle MAC adres. Nìkterá zaøízení dokonce podporují pravidelný upload tohoto seznamu pomocí trivial file transfer protocol (TFTP), èímz odpadá noèní mùra synchronizace kazdého pøístupového bodu, pokud se zmìní seznam klientských zaøízení.
|
