Documente online.
Zona de administrare documente. Fisierele tale
Am uitat parola x Creaza cont nou
 HomeExploreaza
upload
Upload




Bezdrátová datová komunikace

Ceha slovaca


ALTE DOCUMENTE

VÝFUKY
Iracionální rovnice a nerovnice
FELIX FELICIS
STŘÍBRO A OPÁLY
Záhada čínského bludistě - Robert van Gulik
Vsechno nejlepsí .
Z gulásové rodiny
Tajemná komnata
Německo
kniha první PŘÍBĚH ERIKA část druhá

Úvod

Bezdrátové sítě jsou hitem v mobilní komunikaci hlasové i datové. Provedením mohou být nejen rádiové, ale také optické či infračervené.

Tato práce se zaměřuje  na bezdrátové sítě lokální, které specifikuje IEEE, protoze norem 802.11xyz přibývá (802.11b přezdívané Wi-Fi uz dnes není jedinou variantou) a není zrovna nejsnadnějsí se v nich vyznat.

Bezdrátová datová komunikace

O výhodách vyuzití bezdrátových lokálních sítí (Wireless Local Area Network, WLAN) k rozsíření stávajících podnikových intranetů i jejich plnohodnotné náhradě není třeba přílis hovořit. Jejich donedávna malé rozsíření souviselo s pomalou standardizací, nizsími přenosovými rychlostmi a také drazsími zařízeními. Ale normalizace i trh dnes vypadají jinak a zejména letosní rok je svědkem jejich výrazného nástupu, jak v podnikovém nebo domácím prostředí, tak na veřejných místech.

Rádiové vysílání, kterým je dnes řesena větsina komerčně nasazovaných sítí, je náchylné na rusení, a to vsemi prostředky, které mohou na příslusných kmitočtech pracovat (např. i mikrovlnné trouby - to se týká zejména bezlicenčního pásma 2,4 GHz). Optické bezdrátové sítě či sítě zalozené na infračerveném záření zase nesnesou překázky mezi vysílačem a anténou přijímače. Dosah 11511f55l související s kvalitou přenosu pak omezuje jejich velikost i počet systémů, které se v rámci daného prostoru mohou nacházet, aby nedocházelo k nezádoucímu rusení. Zajistění bezpečnosti bezdrátové komunikace je při rádiovém vysílání jedním z nejobtíznějsích problémů, podobně jako roaming a směrování mezi různými sítěmi. To vsak jiz je zálezitostí vyssích vrstev - předevsím Mobile IP - nikoli nejnizsích dvou, jez definují normy IEEE 802.

Historie a vznik Wi-Fi

Hlavní odlisnost bezdrátových Wi-Fi sítí od jiných druhů bezdrátových (např. GSM, CDMA) tkví v pouzívaném frekvenčním pásmu, od něhoz se také odvíjí dostupnost bězným uzivatelům. Větsina ostatních bezdrátových sítí (tedy ne Wi-Fi) jsou tzv. licencované sítě, coz znamená, ze kazdá taková sí má svoji přidělenou frekvenci a pásmo, na kterou musí mít provozovatel licenci vydávanou regulačními orgány. Na dané frekvenci smí vysílat jen ten, kdo si zaplatil licenci. Kromě těchto licencovaných pásem existuje ale i pásmo veřejné - tzv. pásmo ISM (Industrial Scientific and Medical). ISM pásmo vyuzívají kromě vědeckých, průmyslových a lékařských organizací také např. mikrovlnné trouby a bezdrátové telefony (typu DECT, avsak ne mobilní). Pásmo ISM je vymezeno na frekvenci 2,4 GHz v Evropě regulační organizací ETSI a v USA regulátorem FCC. Pásmo ISM neuniklo pozornosti ani výrobcům bezdrátových sítí, zpočátku vsak kazdý výrobce vyráběl vlastní technologie (např. izraelský výrobce BreezeNet). Tyto proprietární technologie větsinou nebyly kompatibilní s ostatními bezdrátovými sítěmi, proto vznikl v roce 1997 společný standard pro bezdrátové sítě v pásmu ISM. Tento standard vytvořený institutem IEEE (Institute of Electrical and Electronic Engineers) je znám pod označením 802.11 a umozňuje komunikovat o maximální rychlosti 2 Mb/s. Ačkoliv slo o standard, tak stále nebylo mozné v některých případech provozovat a kombinovat zařízení od různých výrobců. Nekompatibilita výrobků vzbuzovala nedůvěru uzivatelů a snizovala zájem o sítě 802.11. Proto vznikla certifikační společnost WECA, která testuje kompatibilitu jednotlivých zařízení standardu 802.11 a výrobkům vyhovujícím vsem pozadavkům uděluje logo Wi-Fi (taktéz WiFi), coz znamená Wireless Fidelity (zde je patrná analogie s označením Hi-Fi, pouzívaným u audio a video techniky). Wi-Fi technologie dosáhla takového úspěchu, ze se sama společnost WECA přejmenovala roku 2003 na WiFi. V dnesní době, pokud mluvíme o Wi-Fi sítích, máme na mysli předevsím sítě standardu 802.11 a jeho dalsích variant (viz dále).

Dalsí vývoj standardu 802.11

Hned po vzniku standardu 802.11 bylo jasné, ze v porovnání s klasickými sítěmi bude potřeba bezdrátové sítě zrychlit a rozsířit jejich funkce, protoze např. jiz zmíněná rychlost 2 Mb/s se ukázala jako nedostačující. S postupem doby byly tedy definovány následující standardy (zde uspořádány v abecedním pořadí):

. 802.11a - Uveden roku 1999 a určen pro bezdrátové sítě v pásmu 5 GHz. V Evropě tento standard není povolen, vyuzívá se v USA. Maximální rychlost činí 54 Mb/s.

. 802.11b - Patrně nejznámějsí a nejrozsířenějsí standard, který byl uveden společně se standardem 802.11a, ale na rozdíl od něho vyuzívá 2,4GHz pásmo s rychlostí az 11 Mb/s. . Tento standard spolu s 802.11g se u nás neuvěřitelně rychle rozsířil a ve vetsích městech je jiz problém s umístěním vlastního AP, aby jste nerusily některé z okolních sítí.

. 802.11c - Jde o standard definující procedury pro síové bridge. Je vyuzíván hlavně přístupovými body.

. 802.11d - se vznikem standardu 802.11 se ukázalo, ze je potřeba mezinárodní kooperace a harmonizace. Například 5GHz pásmo se pouzívá v mnoha státech různě a bylo třeba přizpůsobit standardizaci tak, aby vycházela vstříc nejen pozadavkům USA a Japonska.

. 802.11e - rozsíření MAC pro sluzbu Quality of Service (QoS). QoS zajisuje vyrovnanou kvalitu sluzby, která je důlezitá např. pro multimédia (trvalý tok dat potřebný pro videokonferenci apod. ).

. 802.11f - přinásí Inter Access Point Protocol (IAPP). Předchozí specifikace 802.11 nezahrnují standardizaci komunikace mezi jednotlivými access pointy (přístupovými body, viz dále) pro zajistění roamingu (tzn. přechodu uzivatele od jednoho access pointu k druhému).

. 802.11g - dalsí velice důlezitý standard, schválený v roce 2002. 802.11g umozňuje komunikovat v pásmu 2,4 GHz rychlostí az 54 Mb/s. Navíc je zde zpětná kompatibilita s 802.11b.

. 802.11h - změny v řízení přístupu k spektru 5GHz pásma tak, aby bylo mozno tyto sítě vyuzívat mimo budovy.

. 802.11i - zlepsení bezpečnosti v 802.11 bezdrátových sítích vylepsením autorizačního a sifrovacího algoritmu.

. 802.11j - rozpracovaný standard týkající se alokací nových frekvenčních rozsahů pro multimediální sluzby bezdrátových sítí (hlavně v Japonsku).

. 802.11k - jedná se o pokračování předeslého standardu 802.11j. Vzhledem k rozsíření jednotlivých standardů na nasem území, se bude tato práce zaměřovat předevsím na standard 802.11b, ale také na 802.11g (jelikoz je zpětně kompatibilní a při výstavbě nových sítí se mu postupně začíná dávat přednost před 802.11b).

Data se v bezdrátových sítích vysílají vsesměrově, a tak není tězké je odposlechnout. Pokud se tedy najdou uzivatelé, kteří sifrování vypnou, lze jednoduse odposlechnout jejich hesla k emailům, ftp serverům, IM účtům apod. Navíc při pasivním odposlechu je téměř nemozné vás odhalit.

Pro zabezpečení bezdrátových sítí normalizační instituce IEEE 802.11 navrhla sifrování v podobě protokolu WEP (Wired Equivalent Privacy), coz v překladu znamená "bezpečnost odpovídající drátu". Prioritou lidí z IEEE nejspíse bylo, aby bylo sifrování nenáročné na HW, a tak nesastně pouzili slabou sifru spolu se slabým 40 bitovým klíčem, který byl v době vzniku daný zákonnými podmínkami o vývozu sifer mimo USA. Asi ani nepočítali s tak obrovským rozsířením WiFi sítí. Níze si popíseme jaké má WEP fatální nedostatky.

WEP

Zajisuje sifrování rámců na 2. síové vrstvě. Sifruje tedy veskeré rámce (blok binárních dat), které vedou od klienta k AP a ne pouze určité sluzby. Pokud je vsak AP připojen do Internetu, tak mezi AP a internetovým serverem sifrování neprobíhá. Právě pouzitá sifra je u WEPu největsí problém.

K sifrovaní se pouzívá algoritmus RC4, jehoz autorem je R. Rivest a zveřejněn byl v roce 1994. Algoritmus pouzívá proudovou symetrickou sifru s délkou klíče 40, 104 a 232 bitů. Jiz v roce 2001 vsak bylo v algoritmu objeveno hned několik bezpečnostních nedostatků. Se symetrickým sifrováním je problém v tom, ze někde musí mít klient ulozený statický klíč, kterým sifruje a zároveň desifruje komunikaci. Lepsí výrobci chrání přístup ke klíči ve speciální paměti síové karty (NVRAM), ke které lze přistupovat jen pod heslem. Bohuzel tímto způsobem to zdaleka nedělají vsichni a najdou se i případy, kdy je klíč ulozen v registrech a to v otevřené podobě.

WEP bohuzel nijak neřesí distribuci klíče a tak je musíme ve větsině případů manuálně zapsat do konfigurace zařízení. Tím trochu odpadá podstata sifrování. Útočník sice zatím klíč nezná, ale oprávněný uzivatel ano a tak pro něj není slozité komunikaci desifrovat a protoze 70% útoků je vedeno zevnitř sítě, tak tento fakt je velkým bezpečnostním nedostatkem. Ani oprávněný uzivatel by o podobě klíče neměl vůbec vědět.

Odesílatel i příjemce musí mít stejný klíč pouzívaný k sifrování/desifrování komunikace. Pro vyssí bezpečnost je nutné klíč průbězně obměňovat. To ale WEP ani RC4 nijak neřesí a tak jediný mozný způsob změny klíče je opětovné nahrazení stávajícího v konfiguraci adaptéru. U distribuce klíčů je problém, protoze případný útočník můze nový klíč při předání získat. Proto to v dnesních sítích chráněných WEPem vypadá tak, ze se celý rok pouzívá stejný klíč. Přičemz v lepsích případech by se měl klíč měnit po několika minutách.

Proč tedy právě tato sifra ? Jednoduse proto, ze ji lze snadno implementovat do hardwaru bezdrátových adaptérů a díky tomu nemá aktivování sifrování téměř zádný vliv na výkon počítače.

Zasifrování stejné zprávy symetrickou sifrou totiz pokazdé generuje stejnou sifrovanou zprávu a tím pádem je mnohem jednodusí klíč uhodnout. Proto je součástí WEP jestě inicializační vektor (IV), který se mění s kazdým paketem a doplňuje klíč o dalsích 24 bitů. Při pouzití WEPu s klíčem dlouhým 128 bitů má klíč pouze 104 bitů + 24 bitů IV. Generování IV zajisuje vysílací strana, která ho nejenom pouzije k sestavení sifrovaného streamu, ale přidá ho v otevřené podobě i do záhlaví rámce. Tím by se mohlo zdát, ze se pokazdé pouzije "jiný klíč" a sifra je tím bezpečnějsí, ale není tomu tak. Unikátních IV je pouze 224 a pokud se tedy odesle 224 paketů, začne se IV opakovat. Inicializačním vektorem se tedy nic nevyřesí a sifra je stále napadnutelná řadou útoků. Navíc prodlouzení klíče má k délce jeho lustění lineární závislost => pro 2x delsí klíč je potřeba pouze 2x více času k desifrování.

Integritu sifrované zprávy zajisuje známá funkce CRC-32 (Cyclic Redundancy Check), jejíz hodnota je společně s daty zasifrovaná v těle zprávy. Bohuzel vsak díky lineárnosti funkce CRC32 ji lze obelstít určitou formou záměny bitů, které nedokáze odhalit.

Derivace klíče díky CRC32

Jak bylo jiz několikrát uvedeno, tak WEP pouzívá kontrolní součet CRC32. Nyní si popíseme jednoduchý příklad, jak toho vyuzít. O nedostatcích CRC32 se ví jiz dlouho. Záměnou určitých bitů zůstane kontrolní součet stejný. Takze pokud bity zaměníme a odesleme, paket projde přes kontrolu integrity a předá se do vyssí vrstvy. Tam paket způsobí chybu, protoze data nebudou dávat smysl a odesle se zpět zpráva s chybovým hlásením. Její podobu můzeme odhadnout a tím odvodit i sifrovací klíč pro daný IV.

WPA

WPA (WiFi Protected Access) je novějsí bezpečnostní mechanizmus a původně měl opravit chyby, kterých se WiFi Aliance dopustila u WEPu. Sice nesastně pouzívá stejný sifrovací algoritmus RC4, kvůli jednoduchému upgradu firmwaru stávajících zařízení, ale určitě sebou přinásí řadu vylepsení. Standardně pouzívá 128 bitový dynamický klíč, který se mění kazdých 10 000 paketů. Dalsím zlepsením je MIC (Message Integrity Check), jez je pouzíván současně s CRC32 a tím řesí jeho nedostatky, díky kterým bylo mozné změnit zprávu při zachování stejného kontrolního součtu.

První bezpečnostní otřesy

Programátoři Scott Fluhrer, Itsik Mantin a Adi Shamir publikovali zprávu "Weakness in the Key Scheduling Algorithm of RC4" (slabina v algoritmu plánování klíčů RC4), která popisuje metodu (FMS) umozňující prolomit řídící WEP klíč. Prvním programem, který dokázal pasivním odposloucháváním komunikace derivovat sifrovací klíč byl AirSnort. AirSnort byl uveřejněn o víkendu 17. srpna 2001 i se zdrojovými kódy a tehdy poprvé se začalo o slabé bezpečnosti WiFi sítí mluvit v sirsím měřítku. Autoři programu (Jeremy Bruestle a Blake Hegerle) uvádějí, ze jim sestavení programu trvalo zhruba 24 hodin. AirSnort vyuzíval metodu FMS (Fluhrer-Mantin-Shamir) podle jmen autorů, jejíz podmínkou bylo odposlechnutí obrovského mnozství paketů. Dalsím problémem bylo, ze klíč lze cracknout jen za pomocí "slabých" paketů s unikátním inicializačním vektorem (IV). Dnes jiz vsak existují mnohem efektivnějsí a promyslenějsí metody derivace klíče.

Podvrzení MAC adresy

Z důvodu méně častého pouzívání WEP, které zpočátku nebylo ani Wi-Fi zařízeními podporováno, přisli výrobci Wi-Fi techniky na řesení autentizace pomocí filtrování MAC adres - MAC adresa je unikátní síová adresa kazdého síového zařízení. V nastavení AP tak lze zadat seznam MAC adres, kterým je povolen přístup do bezdrátové sítě. Nebo naopak je mozno vytvořit seznam zakázaných MAC adres a ostatním adresám je přístup povolen. Některé Wi-Fi zařízení (AP, routery) umí časově omezit přístup určitým MAC adresám, popřípadě jim přidělit předem definovanou sířku pásma.

Bohuzel je MAC adresa ulozena ve firmware síového zařízení, a tak je mozné ji změnit. U klientských zařízení je potřeba software od výrobce, který je spatně dostupný, existují vsak i softwarové utility na změnu MAC adresy. S routery je situace jestě jednodussí, protoze jde MAC adresa změnit přímo přes nastavení routeru ve webovém rozhraní. Je to kvůli snazsímu sdílení internetu, kdy internetoví provideři registrují uzivatele přímo na MAC adresu síové karty, a proto při sdílení internetu je potřeba přidělit routeru MAC adresu původní síové karty. Toho lze vsak zneuzít pro přístup do Wi-Fi sítě, zejména odposlechem MAC adres a následným pouzitím povolené MAC adresy pro průnik do bezdrátové sítě

Řízení přístupu do sítě

Řízení přístupu do sítě, neboli autentizace uzivatele, je dalsí částí bezpečnostní strategie Wi-Fi. Jedná se vymezení působnosti sítě a rozhodnutí, kdo (jaký uzivatel) smí sí vyuzívat. Autentizace ve Wi-Fi sítích je jednosměrná - stanice musí zádat o autentizace, avsak sí se vůči stanici autentizovat nemusí. Tohoto faktu vyuzívají útoky man-in-the-middle, které spočívají v podvrzení falesného AP mezi stanici a skutečný AP. Ve standardu 802.11 jsou zahrnuty dvě metody autentizace: open-system a sharedkey.

Open-system autentizace

Tato metoda funguje následujícím způsobem: AP přijme stanici na základě údajů, které mu stanice poskytne, ale AP je nijak neověřuje. Stanice posílá údaje o sobě - identifikaci v podobě SSID (Service Set Identifier). V okamziku, kdy AP vysílá své SSID, můze kazdá stanice v dosahu, která není nastavená na svoje SSID, přijmout SSID přístupového bodu. Za pomoci takto získaného SSID můze stanice vstoupit do sítě. Je tedy dobré vysílání SSID AP vypínat a zabránit tak přístup do sítě uzivatelům, kteří neznají SSID přístupového bodu.

Shared-key autentizace

Při pouzití autentizace sdíleným klíčem se musí v síti také pouzívat WEP. Je vyzadováno standardem 802.11, aby zařízení s WEP mohlo pouzívat shared-key autentizaci. Základem této metody je klíč známý vsem zařízením v síti. Stanice se při autentizaci musí prokázat tímto klíčem, který přístupový bod klíč ověří. Pokud klíč souhlasí, je teprve stanice autentizována. Ověření spočívá v tom, ze AP generuje náhodné číslo, které posle stanici. Stanice zakóduje toto náhodné číslo pomocí RC4 podle sdíleného klíče. Přístupový bod pak zprávu dekóduje - pokud se dekódované číslo rovná odesílanému číslu, je zařízení autentizováno.

Metoda sdíleného klíče se vsak v praxi přílis neprosadila - ne zcela vyřesena je bezpečná distribuce a obměna sdíleného klíče (stejně jako v případě WEP). Metoda shared-key otevírá malá bezpečnostní dvířka, protoze dokázeme odposlechnout vygenerovaný text a poté jeho zasifrovanou podobu. Derivovat klíč, pokud známe původní a sifrovanou podobu zprávy, je totiz mnohem snazsí. Takze je paradoxně bezpečnějsí vyuzití standardního mechanismu ověřování klienta přístupovým bodem (Open Key Authentication), při kterém se zádné autentizační údaje nepředávají. Autentizace je jednoduse zajistěna tím, ze AP i klient mají stejný sifrovací klíč. Jinak by nesouhlasil ICV (Integrity Check Value) a AP by provoz blokoval.

Standard 802.1x + EAP

Standard 802.1x je společným standardem pro vsechny typy sítí a zahrnuje autentizaci, sifrování zpráv i distribuci klíčů. Tento standard je zalozen na základě protokolu EAP (Extensible Authentification Protocol), jenz byl vytvořen pro zabezpečený přenos paketů prostřednictvím spojové vrstvy LAN sítí (zprávy EAP se zapouzdřují do rámců 802.1x). Přístupový bod v bezdrátové síti na základě pozadavku klientů provádí jejich ověření. Ověření probíhá na základě seznamu klientů, popř. pomocí speciálních autentizačních serverů Radius (Remote Authentication Dial In User Service) nebo Kerberos. Autentizace začíná tím, ze stanice odesle zprávu na přístupový bod, který odpoví pozadavkem na totoznost klienta. Na tento pozadavek klient odpoví svojí identifikací, jez posle přístupovému bodu. AP zprávu klienta posle autentizačnímu serveru. Poté autentizační server odpoví přístupovému bodu povolením nebo zákazem přístupu klienta do sítě (AP zprávu přeposle klientské stanici). Výhodou 802.1x je uzití dynamických klíčů k sifrování komunikace. Dynamické klíče mají omezenou dobu trvání, jsou určeny pouze pro daný port, na který se klient přihlásil, přičemz klíč zaniká při odhlásení klienta. Nevýhoda 802.1x spočívá v jednostranné autentizaci, která můze být pouzita pro útok typu man-in-the-middle.

Konečné řesení 802.11i/WPA2

Komplexní zabezpečení pro vsechny typy 802.11 přinesla az vloni schválená norma 802.11i. Ta zahrnuje vzájemnou autentizaci na základě 802.1x a nový protokol CCMP pro silné sifrování pomocí AES (Advanced Encryption Standard). Volitelně se pro zpětnou slučitelnost s WPA pouzívá protokol TKIP s sifrováním na základě RC4 (sifry pouzívané také u WEP).

CCMP (Counter-mode CBC - Cipher Block Chaining) MAC (Message Authentication Code) Protocol) pouzívá dynamické regenerování 128bitových klíčů, kontrolu integrity zpráv (MIC, kontrolní pole má délku 64 bitů) a číslování paketů na ochranu proti útokům typu replay.

Povinné prvky, podle nichz Wi-Fi Alliance certifikuje zařízení, se označují jako WPA2. Norma sama ovsem nabízí řadu dalsích prvků volitelných, jako pre-authentication a key-caching, které umozňují rychlý a bezpečný roaming mezi přístupovými body (důlezité pro hlasové sluzby po WLAN).

Nová norma pro zabezpečení má za cíl minimalizovat útoky na bezpečnost WLAN. Dokáze jiz čelit útokům man-in-the-middle, ovsem stále nezabrání neautorizovaným přístupovým bodům. Navíc stále hrozí krádeze identity v souvislosti s krádezemi zařízení, kde jsou ulozeny identifikační údaje v cache. AES je zatím nepokořený sifrovací algoritmus, takze utajení dat je vskutku spolehlivé.

WPA2 je zpětně slučitelné s WPA, takze soubězné pouzití WPA a WPA2 je v sítích bězné (na rozdíl od nepřijatelné kombinace WPA2/WEP). Certifikace pro WPA2 je rozdělena do dvou kategorií, podobně jako tomu bylo v případě WPA: podnikové (s plnou podporou WPA2, včetně 802.1x a PSK) a méně náročné osobní (domácí) sítě (pouze PSK).

Pro kvalitní zabezpečení WLAN není vzdy bezpodmínečně nutné pouzít 802.11i/WPA2. Domácím sítím, malým kancelářím a podnikům postačí WPA, protoze WPA2 pro ně neznamená výrazné zlepsení, zejména pokud současná síová infrastruktura nezahrnuje server RADIUS. Větsí podnikové sítě by se ale určitě měly vydat cestou k plnému zabezpečení WPA2 podle nejnovějsí normy.

Podvrzení přístupového bodu

Jestlize pouzíváte GNU/Linux, tak jste určitě slyseli o ovladači HostAP. Tento ovladač dokáze z obyčejné síové karty, zalozené na čipové sadě Prism, udělat přístupový bod (AP). Představme si situaci, kdy se klient přihlasuje do sítě přes sifrované stránky ulozené na AP. Nakonfigurujeme na nasem počítači HostAP, okopírujeme design a formu stránek na kterých se uzivatelé autentizují, spustíme Apache a ke kartě připojíme silnou anténu. Anténa vysílající na stejném kanále a se stejným SSID, jako pravý AP, musí mít vyssí zisk a tím se uzivatel, místo na pravé AP, připojí k nám. Otevře se mu stránka, kam zadá login a heslo, které si ulozíme do databáze a je hotovo. Máme login a heslo a můzem se přihlásit jako bězný uzivatel.

Dalsí mozností je nabídnout uzivateli přesně to co chce. Tím myslím překrýt signálem pravé AP, nechat klienta se připojit a povolit mu jen port 80 pro surfování na internetu. Povolili jsme port 80, ale ne port 443, který se pouzívá k zabezpečenému přístupu na webové stránky pomocí SSL (Secure Socket Layer). Takze uzivatel si bude číst emaily, nakupovat kreditní kartou v eshopu atp. a my v roli prostředníka mezitím můzeme odposlechnout veskeré soukromé informace.

Zranitelnosti hloupého administrátora

- Větsina dnesních přístupových bodů je pro zjednodusení spravovatelná přes webové rozhraní. I v dnesní době se najdou AP, které nemají změněné standardní heslo administrátora. Takze můze být zabezpečení jakékoliv, ale my si upravíme politiku podle sebe.

- Dalsím problémem můze být nepovolené AP, které si tam např. pro vlastní potřebu připojil některý ze zaměstnanců. Pokud administrátor nekontroluje, zda v jeho síti nepřibyly AP bez jeho vědomí, tak má útočník otevřenou bránu. Zaměstnanci totiz větsinou jen připojí AP, bez jakéhokoliv zabezpečení, do sítě a pokud vse funguje, tak se o něj dál nestarají.

- Pokud administrátor zablokoval vysílání SSID (názvu přístupového bodu) a tím aktivoval tzv. "neviditelný rezim", tak se nic neděje. Tento pokus o zabezpečení je samozřejmě úplně k ničemu, protoze SSID lze získat pasivním odposlechem.

- WiFi a interní sí by měli být jednoznačně odděleny firewallem. Pokud administrátor neučiní jinak, tak není slozité zkoumat firemní intranet a tím pádem se dostat k interním informacím, topologii síě, sdíleným prostředkům atp.

- Existují také WiFi sítě, okolo kterých jen projdete, automaticky dostanete IP adresu od DHCP serveru a můzete surfovat na internetu.

Jak sí zabezpečit

Pro ty, kteří opravdu chtějí bezpečnou sí tu máme několik rad. Pouzívejte WEP , i přestoze je mozné jej prolomit, odradí to velké mnozství potencionálních útočníků.

Pouzijte RADIUS server pro autorizaci. RADIUS server zajistí, ze kazdý uzivatel nez bude vpustěn do sítě se bude muset ověřit jménem a heslem. RADIUS server také můze omezit čas, po který je dané jméno a heslo platné. Také by měl RADIUS server zajistit obměnu WEP klíčů, například kazdých 30 minut. Pouzijte VPN v rámci WLANu. VPN vám umozní zvýsit bezpečnost vasí bezdrátové sítě. Bohuzel také VPN zpomalí síovou komunikaci tím, ze vyzaduje sifrování.

Příloha

Vytvoření domácí bezdrátové sítě Wi-Fi

Důvodem, proč správně zabezpečit vlastní bezdrátový přístupový bod, je zabránit cizím lidem a skůdcům neautorizovaně pouzívat a zneuzívat sluzby wifi. Avsak je to jednodussí říci nez udělat.

Zabezpečit bezdrátovou sí je mnohem slozitějsí nez typickou "drátovou" sí, protoze drátová sí má omezené mnozství pevných přístupových bodů, kdezto k bezdrátové síti se můzete připojit z jakéhokoli místa v dosahu signálu.

Kdyz zapomenete na mozné slozitosti, tak je zabezpečení bezdrátového přístupu do vasí sítě klíčové pro zajistění vaseho systému před váznými bezpečnostními problémy. Pokud vase sí nebude dostatečně zabezpečen, budete brzy čelit ztrátě sluzeb nebo zneuzití vasí sítě jako odrazový můstek pro útoky na dalsí sítě. Abyste odstranili vsechny díry v bezpečnosti wi-fi sítě, následujte 6 základních kroků:


1. Naplánujte si umístění antén

Prvním krokem k implementaci uzavřeného bezdrátového přístupového bodu (access point) je umístění antény tak, aby zbytečně nepokrývala oblast větsí nez potřebujete nebo je účelem. Neumísujte anténu blízko okna, sklo plně nezablokuje propoustění signálu. Ideální je, kdyz umístíte anténu doprostřed prostoru, který potřebujete pokrýt s minimem signálu propoustějícím skrz zdi ven. Jistěze, je téměř nemozné toto docílit, proto je nutné na to plně nespoléhat a přejít k dalsím krokům.

2. Pouzívejte sifrování

Wireless encryption protocol (WEP) je standardní metoda pro zasifrování přenosu dat v bezdrátové síti. I kdyz má WEP své slabé články, je spolehlivou ochranou proti bězným útočníkům. Větsina výrobců dodává Wi-Fi zařízení s vypnutým WEP sifrováním, aby usnadnila jeho instalaci. To dává útočníkům sanci okamzitě získat přímý přístup k přenáseným datům po vasí síti, pokud nezapnete WEP.

3. Změňte SSID a vypněte jeho zobrazování

Service set identifier (SSID) je identifikační značka pouzívaná přístupovým bodem, podle které se klientská zařízení mohou připojit. Tento identifikátor je od výrobce nastaven na přednastavenou hodnotu, jako "101" pro 3Com zařízení. Útočníci, kteří znají přednastavené hodnoty mohou jednoduse zneuzívat vase bezdrátové připojení. Pro kazdý bezdrátový přístupový bod je nutné SSID změnit na unikátní a obtízněji uhádnutelnou hodnotu a pokud to zařízení umozňuje, zamezit její veřejné zobrazování. Sí bude stále přístupná, ale nebude se zobrazovat v seznamu přístupných sítí.

4. Vypněte DHCP

Nejdříve se vám to můze zdát jako trochu podivná bezpečnostní taktika, ale v bezdrátových sítích to dává az velký smysl. Pokud to uděláte, útočníci budou donuceni znát vasi přesnou IP adresu, masku sítě a dalsí potřebné TCP/IP parametry. Pokud se útočníkovi podaří dostat se z jakéhokoli důvodu na vás přístupový bod, stále mu jestě bude zbývat přijít na vase TCP/IP nastavení.

5. Vypněte nebo změňte moznost vzdáleného ovládání

Pokud vás přístupový bod podporuje vzdálené ovládání, tak ho buď po prvotním nastavení přístupového bodu úplně vypněte, nebo zvolte dostatečně slozité heslo. Pokud správu nevypnete, útočníci to mohou vyuzít pro získání klíčových informací o vasí síti.

6. Pouzívejte přístupový list

Pro uzamčení sítě pro nezvané hosty je nejlepsí naimplementovat seznam filtrování přístupů. Ne vsechny přístupové body podporují tuto funkci. V seznamu můzete manuálně zadat, která klientská zařízení se mohou k síti připojit a ostatní mají smůlu. Klientská zařízení se zadávají podle MAC adres. Některá zařízení dokonce podporují pravidelný upload tohoto seznamu pomocí trivial file transfer protocol (TFTP), čímz odpadá noční můra synchronizace kazdého přístupového bodu, pokud se změní seznam klientských zařízení.


Document Info


Accesari: 2633
Apreciat: hand-up

Comenteaza documentul:

Nu esti inregistrat
Trebuie sa fii utilizator inregistrat pentru a putea comenta


Creaza cont nou

A fost util?

Daca documentul a fost util si crezi ca merita
sa adaugi un link catre el la tine in site


in pagina web a site-ului tau.




eCoduri.com - coduri postale, contabile, CAEN sau bancare

Politica de confidentialitate | Termenii si conditii de utilizare




Copyright Š Contact (SCRIGROUP Int. 2024 )