Zabezpečte si bezdrátové sítě

Neautorizovaný přístup přes access point sítě Wi-Fi může znamenat vážné narušení bezpečnosti firemní infrastruk...


Neautorizovaný přístup přes access point sítě Wi-Fi může znamenat vážné
narušení bezpečnosti firemní infrastruktury.

Byl to den jako kterýkoliv jiný. Pan A. zasedl k počítači ve své kanceláři a
začal se věnovat své práci. Když se ale pokusil otevřít jeden ze svých
dokumentů, objevila se zpráva znějící ve smyslu "Dokument je již otevřený a
používá ho anonymní uživatel". Pan A. naštěstí nemávl rukou, nespokojil se s
vysvětlením v podobě neočekávané chyby nebo neodešel od rozdělané práce, ale
začal ve spolupráci se správcem sítě (naštěstí také prozíravým) hledat odpověď.
A brzy ji našli: neautorizovaný přístup do sítě přes Wi-Fi připojení.
Wi-Fi (Wireless Fidelity) je bohužel čím dále častějším místem, kterým se lze
do lokální sítě bez patřičného oprávnění dostat. Největším problémem
technologie Wi-Fi je zejména její prvotní specifikace 802.11b, která byla od
počátku koncipována pro firemní síť a na bezpečnost (šifrování apod.) se zase
tolik nehledělo. Ta se začala prosazovat až v novějších specifikacích
standardu. Neznamená to, že by se podle specifikace 802.11b nedala vybudovat
Wi-Fi bezpečná samozřejmě, že je to možné, ale mohlo by to být přece jen
jednodušší. U bezpečnosti Wi-Fi začněme od identifikátoru SSID (Service Set
Identifier), který z bezpečnostního hlediska často bývá u Wi-Fi Achillovou
patou. Jedná se o řetězec definující název bezdrátových sítí, který slouží k
jejich rozlišení. Vysílání tohoto signálu je opakováno vždy po několika
sekundách, což umožňuje snadnou identifikaci sítě. Bohužel ale nejen oprávněným
uživatelům a zařízením, ale i těm neoprávněným. Díky SSID zkrátka všichni v
dosahu síť "vidí". Pokud nemáte přímo zájem vytvořit veřejný přístupový bod, je
dobré SSID vypnout. Pro neveřejný přístupový bod vysílání identifikátoru
nepotřebujete, protože klientská zařízení lze nakonfigurovat i bez něj (SSID
lze například manuálně zadat).

Metody šifrování
Jedním z mála ochranných prvků, kterým Wi-Fi podle standardu 802.11b disponuje,
je technologie WEP (Wired Equivalent Privacy bezpečnost odpovídající fyzickým
sítím, někdy nepřesně Wireless Encryption Protocol). Zjednodušeně řečeno jde o
šifrovanou výměnu dat mezi přístupovým bodem (AP, Access Point) a klientským
zařízením. Paradoxně se ale může stát (a bohužel také často stává), že je právě
WEP velkou slabinou Wi-Fi.
WEP totiž využívá symetrického šifrování to je způsob šifrování, kdy obě
komunikující strany používají stejný šifrovací klíč, tedy jeden šifrovací klíč
pro zašifrování i dešifrování dat. Výměna šifrovaných a nešifrovaných dat v
režimu sdíleného klíče ve WEP je pak slabinou, protože umožňuje zkušenému
útočníkovi dekódování použitého klíče na základě odchycených paketů. Proto se
občas doporučuje (záleží však na okolnostech) WEP nepoužívat a umožnit
přihlášení k přístupovému bodu každému. Zabezpečení je pak nutné řešit až v
další fázi. WEP je zpravidla v základním nastavení vypnut, proto je dobré jej
zapnout rozhodně je lepší alespoň nějaká ochrana než vůbec žádná. WEP šifrování
ovšem není všelékem ani v případě, že nepoužijete sdílený klíč. Základní
šifrování WEP je totiž 64bitové a z kryptografického hlediska nepoužívá úplně
nejšťastnější řešení. Klíč se skládá ze statického 40bitového tajného čísla
doplněného o 24bitový iniciační vektor (náhodné číslo). Díky statické části
klíče se tak mění pouze iniciační vektor, pro nějž ovšem existuje jen 224
kombinací (tedy 16 777 216). To je z hlediska běžného smrtelníka hodně, ale z
hlediska výpočetní techniky se jedná o nízké číslo. Útočník, který je ochoten a
schopen odposlouchávat, může odchytit během hodin či dnů relace se stejnými
iniciačními vektory (počet možných kombinací je nízký, takže se často opakují)
a následně může WEP klíč dekódovat (a to vůbec nemluvíme o riziku kompromitace
WEP klíče jinými způsoby, například formou vyzrazení zaměstnanci, špatným
uložením apod.).
Proto se v poslední době ve Wi-Fi rozšiřuje 128bitové šifrování, jehož princip
je velmi podobný tomu 64bitovému, avšak nabízí výrazně více kombinací. Díky
tomu se otázka prolomení šifry výše uvedeným způsobem posouvá do nereálných
časů a výpočetních výkonů. Díky tomu, jak se zvyšují možnosti výpočetní
techniky, se lze setkat dokonce i se šifrováním 152bitovým.
Další novinkou, která si do oblasti Wi-Fi postupně razí cestu, je rotace WEP
klíčů. Její princip je takový, že přístupový bod po nějakém časovém intervalu
vydává nový klíč zašifrovaný pomocí starého. Systém samozřejmě není vůči
napadení zcela imunní, ale výrazně komplikuje útočníkovi práci. Z
bezpečnostního hlediska je jeho přínos především v tom, že je vysoká
pravděpodobnost, že dříve, než útočník rozluští starý klíč (respektive než
získá dostatečný počet informací k tomu, aby mohl tento proces zahájit), je už
vydaný klíč nový, a hacker tak musí začínat od nuly.
Svého času vypadalo v oblasti Wi-Fi velmi nadějně i filtrování MAC adres
(fyzických adres síťových karet) přihlašovaných zařízení a mnohde se i dnes
úspěšně používá. To sice vyžaduje vytvoření a udržování jejich seznamu (buď
seznamu zařízení s přístupem povoleným nebo s přístupem odepřeným), což
málokterý správce dělá rád, nicméně na druhé straně jde o velmi účinnou
techniku kontroly. Začal se ale objevovat jeden základní problém ukázalo se
totiž, že je MAC adresy je možné měnit (klonovat). Nejedná se sice o zcela
banální úkon, nicméně zranitelnost zde prokazatelně existuje.

Nastupuje WPA
Ke slovu tak přichází novější protokol WPA (Wireless Protected Access), který
používá místo statických klíčů technologii TKIP (Temporal Key Integrity
Protocol) a rovněž silnější šifrování. Rozhodně se jedná o technologii
bezpečnější než WEP, ale opět má háček. Ten je ale překvapivě jinde než v
oblasti bezpečnosti WPA je totiž vytvořený podle standardu 802.11g a uživatelé
s hardwarem pracujícím podle standardu 802.11b (který se dokázal v posledních
letech velmi rozšířit) se k němu nedokáží ani při nejlepší vůli připojit,
protože obě varianty jsou navzájem nekompatibilní. WPA2 je novějším a
bezpečnějším schématem, které je založeno na šifrovacím standardu AES (Advanced
Encryption Standard).(pal) 5 1212


Autentizace klientských zařízení v prostředí sítí Wi-Fi
Původně se používalo ověřování založené na principu přihlašovacího jména a
hesla, což ale není z mnoha důvodů dostatečně silné. Proto vznikl ověřovací
protokol EAP (Extended Authentication Protocol), který se skládá ze tří částí.
Kromě klientského zařízení žádajícího ověření a přístupového bodu je to ještě
ověřovací server. Ten má za úkol ověřovat jednotlivé požadavky pro přihlášení
do sítě a buď je zamítat nebo povolovat.
Protokol EAP funguje tak, že vyskytne-li se v dosahu přístupového bodu nějaké
bezdrátové zařízení (které zná SSID příslušné sítě), je vyslán požadavek na
jeho identifikaci. Jakmile byla identifikace obdržena, podstoupí se ověřovacímu
serveru. Pokud komunikaci povolí, příslušný port se otevře. Na rozdíl od WEP
šifrování jsou v tomto případě využívány dynamické klíče a tyto jsou navíc pro
jednotlivá klientská zařízení různé.

Jak vytvořit bezpečnou Wi-Fi infrastrukturu
Změňte základní hesla v používaném softwaru (hesla jako "SMCadmin" jsou
notoricky známá, a tudíž značně nebezpečná).
Vypněte vysílání SSID vlastní klientské systémy tento identifikátor mohou
získat jinak a případnému útočníkovi jej není potřeba prozrazovat. Manuální
vkládání do klientských aplikací sice může být někdy na obtíž, ale zvláště ve
velkých sítích (kde je z principu špatná kontrola) jde o výborný regulační
prvek.
Pro ochranu firemních sítí je dobré používat osvědčené prvky, jako jsou
firewally nebo virtuální privátní sítě.
Základem bezpečné Wi-Fi zůstává omezení dosahu sítě, neboť pro provoz není
potřeba mít silné a rozsáhlé pokrytí. Jinými slovy: nepokrývejte větší plochu,
než je nezbytně potřebná, a útočníkovi tak omezte šanci na útok. Toto opatření
umožňují antény s odpovídajícím (nejlépe regulovatelným) výkonem či antény
směrové.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.