Úvod do problematiky

Wi-Fi není důvěryhodná síť (podobně jako internet), a jako s takovou se s ní musí zacházet. Kvůli snadnému odposle...


Wi-Fi není důvěryhodná síť (podobně jako internet), a jako s takovou se s ní
musí zacházet. Kvůli snadnému odposlechu je pro neautorizované uživatele
jednoduché unést relace, případně IP adresy, či spouštět útoky typu DoS. Kromě
maximálního uplatnění bezpečnostních technik, o nichž budeme hovořit dále, je
potřeba držet Wi-Fi odděleně od pevné podnikové sítě prostřednictvím firewallu.
Bezpečnost Wi-Fi lze rozdělit do dvou hlavních kategorií: utajení provozu v
bezdrátové síti a kontrolu (řízení) přístupu k dané síti. Některá z dále
popsaných existujících bezpečnostních řešení se zabývají oběma složkami
bezpečnosti, jiné mechanismy ale pokrývají pouze jednu z těchto kategorií.
Je také dobré si uvědomit, že některé mechanismy jsou specifické pro 802.11 a
realizují se na dvou nejnižších vrstvách síťové architektury (fyzické a
spojové), zatímco další mechanismy příslušejí vyšším protokolům (například
IPSec pro VPN na síťové vrstvě TCP/IP, SSL na aplikační vrstvě). Komplexnost
zabezpečení z hlediska jeho dosahu (dílčí pro WLAN a koncové pro komunikaci
klienta s podnikovou sítí) naznačuje připojený obrázek.
Žádná síť není ani nemůže být (neustále) 100% bezpečná. Přitom ale každý další
zabezpečovací mechanismus kvalitativně snižuje bezpečnostní rizika sítě. Pro
nováčky v bezpečnostní problematice Wi-Fi dopředu prozradíme, že sice protokol
WEP podporovaný všemi Wi-Fi zařízeními nejenže nedostál svému názvu a neumožnil
autentizaci uživatelů ani dostatečné utajení přenášených dat, ale mnozí
uživatelé jej nepoužívají ani pro nejzákladnější obranu. Ale další mechanismy
pro slušné zabezpečení sítě jsou již k dispozici. Kvalitní ochranu přístupu k
Wi-Fi je možné a vhodné kromě WEP zajistit protokolem EAP podle IEEE 802.1x.
Nejmodernější řešení WPA a 802.11i/WPA2 teprve nabízejí i citlivým podnikovým
sítím dostatečnou úroveň zabezpečení a nová certifikovaná zařízení tyto
mechanismy již povinně podporují. Wi-Fi ve zkratce
Bezdrátové sítě podle IEEE 802.11 jsou sdílené sítě, takže všichni aktivní
uživatelé (připojení současně) se dělí o dostupné pásmo. Pro přístup k
rádiovému přenosovému kanálu se používá metoda CSMA/ /CA. Oproti pevnému
Ethernetu stanice ve Wi-Fi musejí nejen naslouchat, zda médium je volné, a
mohou vyslat připravená data, ale musejí se aktivně vyhnout kolizím (počkají
náhodně dlouhou dobu před vysláním signálu), nikoli je pouze detekovat.
Příjemce (případně přístupový bod) po obdržení paketu vyšle potvrzení přijetí
paketu. Vyloučení kolizí není 100%, ale mechanismem CSMA/CA se minimalizují. V
případě horší "viditelnosti" stanic navzájem a tím zvýšeného rizika kolizí se
uplatňuje mechanismus RTS/CTS, kde přístupový bod na základě požadavku přímo
udělí stanici právo vysílat v danou dobu. Dnes lze použít tři typy WLAN:
n 802.11a (1999) pracuje v pásmu 5,1-5,3 GHz a 5,725-5,825 GHz s dosahem 50-70
m s teoretickou rychlostí 54 Mb/s (reálná datová rychlost se pohybuje do 35
Mb/s); n 802.11b (1999; Wi-Fi, Wireless Fidelity) pracuje v pásmu 2,4 GHz na
bázi rozprostřeného spektra, s dosahem do vzdálenosti 100-300 m, a nabízí
maximální kapacitu na fyzické vrstvě 11 Mb/s (reálná přenosová kapacita bývá do
5-6 Mb/s). V České republice se používá 13 kanálů v rozsahu kmitočtů od 2,412
do 2,472 GHz. Odstup mezi kanály je 5 MHz. Celkem lze využít tři nepřekrývající
se kanály.
n 802.11g (2003) rychlejší verze Wi-Fi v pásmu 2,4 GHz, spolupracující s
802.11b, s teoretickou rychlostí 54 Mb/s (reálná datová rychlost se pohybuje do
30 Mb/s, v kombinaci s 802.11b ještě nižší). n 802.11n (2007?) na otevřenou
specifikaci nejrychlejší sítě si budeme muset ještě chvíli počkat, ale slibuje
mnohé: uživatelskou kapacitu minimálně 100 Mb/s.
n Certifikované produkty pro 802.11a/b/g lze nalézt a ověřit na adrese:
www.wi-fi.org/OpenSection/ certified_products.asp?TID=2. Přístupové body
Wi-Fi potřebuje ke své funkci přístupový bod AP, který funguje jako základnová
rádiová stanice, tedy most pro komunikaci mezi přidruženými stanicemi, a
propojuje síť s pevnou infrastrukturou (většinou). AP je úzkým místem celého
systému, protože při jeho napadení je komunikace ohrožena, takže potřebuje
víceúrovňové zabezpečení včetně přístupu pro management. AP samy podporují řadu
bezpečnostních mechanismů v závislosti na typu a implementaci: filtry MAC
adres, firewall nebo IDS. Bezdrátová komunikace 802.11 sice může také probíhat
jako P2P (peer-to-peer) mezi dvěma stanicemi bez potřeby přístupového bodu, ale
protože je veskrze nezabezpečená, je třeba se jí vyhnout vypnout tuto možnost
na bezdrátovém zařízení. Autorka je nezávislá specialistka v oblasti
propojování komunikačních sítí a školitelka. Napsala řadu publikací, mimo jiné
i Bezpečnost bezdrátové komunikace (ISBN 80-251-0791-4).(pat) 6 1122
Doporučení pro zvýšení bezpečnosti AP
Mechanická ochrana umístit AP mimo dosah potenciálních narušitelů i uživatelů,
aby jej nebylo možné snadno resetovat, protože tak se vrátí všechna nastavení
na implicitní hodnoty, tedy bez jakéhokoli zabezpečení. Paměť flash na AP
zjednoduší implementaci bezpečnostních záplat a modernizaci pro nejsilnější
bezpečnostní mechanismy. Podpora VLAN kterými lze sdružovat uživatele do skupin
podle různých přístupových práv k síťovým prostředkům a které také napomáhají
oddělit uživatelský provoz od managementu sítě. Rozhraní pro management
aplikovat silná hesla a šifrování pro vzdálený přístup na AP (či omezit správu
jen z konkrétního zařízení na Ethernetu), aby neautorizovaný personál nemohl
provádět změny v konfiguraci degradující zabezpečení AP, nepoužívat protokol
pro management SNMP (vyjma bezpečnější verze 3).
Zkratky
n AP Access Point
n CSMA/CA Carrier Sense Multiple Access with Collision Avoidance
n EAP Extensible Authentication Protocol
n IDS Intrusion Detection System n IPSec Internet Protocol SECurity n MAC Media
Access Control
n RADIUS Remote Authentication Dial-In User Service
n RTS/CTS Request to Send/ Clear to Send
n SNMP Simple Network Management Protocol
n SSL Secure Socket Layer
n TCP/IP Transmission Control Protocol/Internet Protocol
n VLAN Virtual LAN
n VPN Virtual Private Network
n WEP Wired Equivalent Privacy
n Wi-Fi Wireless Fidelity
n WLAN Wireless Local Area Network
n WPA Wi-Fi Protected Access

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.