Budoucnost WEP a jeho vylepšení

lJe jednoduchý na nastavení a všechny produkty slučitelné s 802.11 jej podporují. lStávající systémy v sítích nem...


lJe jednoduchý na nastavení a všechny produkty slučitelné s 802.11 jej
podporují.
lStávající systémy v sítích nemusejí být schopny podporovat vylepšené
mechanismy zabezpečení, takže pro ochranu stávajících investic nelze staré
funkční produkty vyhazovat a nahrazovat novými.
lNový hardware při spolupráci se staršími zařízeními bez podpory vyspělého
zabezpečení "sklouzne" na úroveň jejich zabezpečení, tedy WEP.
lMnozí uživatelé a správci WLAN jsou příliš pohodlní, než aby provedli upgrade
firmwaru a ovladačů na podporu vyššího zabezpečení.
lNové bezpečnostní mechanismy znamenají vyšší nároky na personál a uživatele z
hlediska znalostí, času a nákladů.
lImplementace lepšího zabezpečení 802.11i/WPA2 vyžaduje většinou i upgrade
hardwaru a 802.1x potřebuje infrastrukturu, autentizační server.
lRovněž panuje mýtus o dostačujícím zabezpečení domácích Wi--Fi a malých
podnikových Wi-Fi prostřednictvím WEP.
Filtrace MAC adres
Filtrace MAC adres je jednou ze základních doplňkových možností zabezpečení
přístupu do sítě pouze pro autorizované klienty. Filtrem je v tomto případě
přístupový seznam (ACL, Access Control List) výhradně na bázi MAC adres. Pro
středně zkušené a vybavené narušitele není s trochou trpělivosti obtížné
filtraci MAC adres obejít. Útočníci mohou odposlouchávat provoz na síti a
zjistit, které MAC adresy jsou v síti povoleny, takže jakmile se některý z
klientů odpojí, útočník si může "přivlastnit" jeho adresu a přidružit se k síti
(projít filtrem). MAC adresu karty lze také změnit na vybranou hodnotu. Jinou
možností je poslat vytipovanému připojenému klientovi v síti, který zrovna
nekomunikuje, zprávu o odpojení z falešné adresy MAC, odpovídající přístupovému
bodu. Pak se může útočník se zfalšovanou adresou MAC odpojeného klienta (např.
z druhé karty) ihned připojit jako autorizovaný klient. Filtrace na vyšší
úrovni probíhá na bázi protokolů. Protokolová filtrace se útočníkům hůře
obchází, ale naneštěstí se plnohodnotná filtrace tohoto typu na přístupových
bodech příliš neimplementuje a výsledné produkty jsou drahé. IEEE 802.1x:
řízení přístupu
WEP se nemusí nutně použít pro autentizaci i pro šifrování. Lze jej využít jen
pro šifrování a autentizaci provést jinými metodami, což je vzhledem ke
slabinám autentizace WEP dokonce vhodnější. Řízení přístupu je možné vylepšit
doplňkovým mechanismem podle normy IEEE 802.1x (Port Based Network Access
Control) z roku 2001, určeným obecně pro autentizaci uživatelů, integritu zpráv
a distribuci klíčů. Úkolem 802.1x je autentizace uživatelů a management klíčů v
rámci řízení přístupu, nikoli utajení dat. Dokud není uživatel autentizován,
nemá povolení v síti komunikovat. Autentizaci lze provádět prostřednictvím
několika metod s různou úrovní bezpečnosti (prostřednictvím hesel, digitálních
certifikátů v rámci PKI, Public Key Infrastructure). Pro ověřování uživatelů a
jejich autorizace se využije autentizační server připojený k pevné síti,
nejčastěji server RADIUS (podrobněji příště). S ním po obdržení požadavku
uživatele o autentizaci komunikuje přístupový bod. Na základě centralizovaných
identifikačních údajů pak lze uživatelovo právo přístupu do sítě a k síťovým
prostředkům snadno ověřit. 802.1x ale výslovně nevyžaduje přítomnost
autentizačního serveru, může se použít samotný přístupový bod nebo centrální
management.
Prostřednictvím 802.1x se autentizuje již samotný uživatel, nikoli jen
bezdrátová stanice, čímž se vylučuje narušení bezpečnosti prostřednictvím
krádeže zařízení s bezdrátovou kartou. Autentizace je navíc vzájemná, jak
uživatele, tak přístupového bodu, takže se zabrání útokům vedeným
prostřednictvím falešných neautorizovaných (rogue) přístupových bodů. Bez
802.1x sice lze filtrovat MAC adresy na AP, ale autentizace jednotlivých
klientů se neprovádí. 802.1x se hodí pro větší organizace, protože potřebuje
server pro řízení přístupu a softwarovou podporu na AP i všech klientech v
síti. Malé organizace a domácí sítě většinou mají zařízení bez podpory 802.1x a
nemají implementovaný autentizační server. Cílem protokolu 802.1x je blokovat
přístup k segmentu lokální sítě pro neoprávněné uživatele. Protože navíc
podporuje generování a distribuci dynamických klíčů, je součástí také všech
vyspělejších mechanismů zabezpečení Wi-Fi, WPA i WPA2, o nichž bude řeč dále v
tomto seriálu.
Autorka je nezávislá specialistka v oblasti propojování komunikačních sítí a
školitelka. Napsala řadu publikací, mimo jiné i Bezpečnost bezdrátové
komunikace (ISBN 80-251-0791-4).(pat) 6 1372


Tipy pro implementaci technologie WEPlZapnout WEP a nastavit ho na nejvyšší
možnou úroveň šifrování. (Pouze 30 % Wi-Fi skutečně využívá WEP!) lNepoužívat
(pokud to není nutné) všesměrovou anténu, ale anténu, kterou lze nasměrovat
tak, aby pokrývala pouze oblast zamýšleného příjmu (nikoli vně patra nebo
budovy). lInstalovat RADIUS (Remote Athentication Dial In User Server) nebo
jiný autentizační server a propojit jej se serverem DHCP (Dynamic Host
Configuration Protocol) pro počáteční autentizaci uživatele před přidělením
adresy IP. Statické IP adresy činí útoky zvnějšku obtížnější, ale jsou na
druhou stranu při vyšším počtu uživatelů administrativně náročné. lFiltrovat
adresy MAC (Media Access Control) bezdrátových klientů.

Zabezpečení Wi-Fi nad rámec WEP a filtrace
Autentizace na úrovni uživatelů, nikoli zařízení vyloučení narušení bezpečnosti
na základě krádeže nebo simulace oprávněného zařízení.
Vzájemná autentizace vyloučení neautorizovaného přístupového bodu, který může
vést útok na nic netušící připojené klienty.
Centralizovaný management potřebné údaje pro autentizaci uložené na jednom
místě, bez nutnosti jejich distribuce každé stanici.
Dynamické klíče pro každou relaci změna klíčů v pevně stanovených intervalech a
při každé opětovné autentizaci.
Použití 802.1x
Autentizace ANO: vzájemná (ve většině případů). Dynamické generování klíčů ANO:
místo časově náročné a potenciálně nebezpečné distribuce šifrovacích klíčů
(obrana proti rozlomení dynamických klíčů hrubou silou u statických sdílených
klíčů WEP).
Šifrování NE: použití ve spolupráci s šifrovacími mechanismy.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.