Wi-Fi - moderní bezdrátová technologie (III.)
Zabezpečení Wi-Fi sítě:
Problém bezpečnosti bezdrátových sítí vyplývá zejména z toho, že jejich signál se šíří i mimo zabezpečený prostor bez ohledu na zdi budov, což si mnoho uživatelů neuvědomuje. Proto se často může cizí uživatel snadno připojit i do velmi vzdálené bezdrátové sítě jen s pomocí směrové antény, i když druhá strana výkonnou anténu nemá. Navíc většina nejčastěji používaných zabezpečení bezdrátových sítí má jen omezenou účinnost a dá se snadno obejít.
Různé typy zabezpečení se vyvíjely postupně a proto starší zařízení poskytují jen omezené nebo žádné možnosti zabezpečení bezdrátové sítě. Právě kvůli starším zařízením jsou bezdrátové sítě někdy zabezpečeny jen málo. V takových případech je vhodné použít zabezpečení na vyšší síťové vrstvě, například virtuální privátní síť. My si ukážeme základní dostupné zabezpečení.
Zablokování vysílání SSID - zablokování vysílání SSID sice porušuje standard, ale je nejjednodušším zabezpečením bezdrátové sítě pomocí jejího zdánlivého skrytí. Klienti síť nezobrazí v seznamu dostupných bezdrátových sítí, protože nepřijímají vysílané informace se SSID. Bohužel při připojování klienta k přípojnému bodu je SSID přenášen v otevřené podobě a lze ho tak snadno zachytit. Při zachytávání SSID při asociaci klienta s přípojným bodem se používá i provokací, kdy útočník do bezdrátové sítě vysílá rámce, které přinutí klienty, aby se znovu asociovaly.
Kontrola MAC adres - Dnes stále hojně používané zabezpečení je realizováno přes MAC adresu adaptéru. Jde o jedinečné identifikační číslo každého síťového prvku. Přípojný bod bezdrátové sítě má k dispozici seznam MAC adres (Media Access Control - je jedinečný identifikátor síťového zařízení klientů), kterým je dovoleno se připojit. Útočník se může vydávat za stanici, která je již do bezdrátové sítě připojena pomocí nastavení stejné MAC adresy.
WEP - šifrování komunikace pomocí statických WEP klíčů (Wired Equivalent Privacy) symetrické šifry, které jsou ručně nastaveny na obou stranách bezdrátového spojení. Vzhledem ke konceptu, kdy je využíván statický klíč o velikosti 40 nebo 104bit v kombinaci s 24bit inicializačním vektorem (IV) (technologie RC4 od laboratoře RCA), se po čase zjistilo, že tento způsob zabezpečení je velmi slabý, rychle a snadno prolomitelný, protože inicializační vektor se přenáší v nezabezpečeném stavu. Díky těmto nedostatkům v protokolu lze zachycením specifických rámců a jejich analýzou klíč relativně snadno získat. Pro získání klíčů existují specializované programy.
WPA - kvůli zpětné kompatibilitě využívá WPA (Wi-Fi Protected Access) WEP klíče, které jsou ale dynamicky bezpečným způsobem měněny. K tomu slouží speciální doprovodný program (WPA suplikant). Z tohoto důvodu je možné i starší zařízení WPA vybavit. Nově obsahuje mechanizmus MIC pro ochranu integrity přenášených dat a dále pak protokol EAP pro autentizaci prvků v síti. Autentizace přístupu do WPA sítě je prováděno pomocí PSK (Pre-Shared Key ? obě strany používají stejnou dostatečně dlouhou heslovou frázi) nebo RADIUS (Remote Authentication Dial In User Service ? ověřování přihlašovacím jménem a heslem proti RADIUS serveru).
WPA2 - Novější WPA2 přináší kvalitnější šifrování , která má však vyšší hardwarové nároky. Jedná se o silný bezpečnostní mechanizmus, který vzešel z předchozího šifrovacího algoritmu WPA. WPA2 je součástí bezpečnostního standardu IEEE 802.11i. Je doplněn o protokol CCMP se silným typem šifrování AES. WPA2 umožňuje správu a autentizaci klíčů provádět přes RADIUS server, kdy tato kombinace zajistí naprostou bezpečnost WiFi sítě. Slabým místem v zabezpečení WPA/WPA2 je klíč PSK, kde je teoreticky možné použít slovníkový útok, ale to pouze v případě velmi krátkého a slovníkového hesla. Řešením je použití dostatečně dlouhého a složitého hesla.
Autor: Martin Bednář