Jak vypadají méně známé bezpečnostní hrozby pro Wi-Fi?

Zabezpečili jste už svou síť proti všem běžným zranitelnostem? U Wi-Fi však existují i méně obvyklá rizika, která pro vaši síť mohou představovat významné nebezpečí. Která to jsou a jak se jim bránit?

Jak vypadají méně známé bezpečnostní hrozby pro Wi-Fi?


Je všeobecně známé, že nejlepším způsobem ochrany domácí sítě Wi-Fi je použití silného hesla. Nezvaní hosté se tak nebudou moci připojit a síť bude chráněná před odposlechem její komunikace.

Více než deset let víme, že stará technologie WEP (Wired Equivalent Privacy) je tak zranitelná, že je její prolomení prakticky hračkou. I když si ale ochráníte svou síť pomocí WPA2 (Wi-Fi Protected Access 2), bylo by dobré zajistit ochranu proti následujícím méně známým zranitelnostem.

1.   Změňte výchozí nastavení bezdrátové sítě

Někteří výrobci modemů a směrovačů a poskytovatelé připojení k internetu konfigurují svá zařízení pomocí šifrování Wi-Fi a výchozího hesla. To je často vytištěné na štítku na samotném přístroji nebo na obalu, takže je bezdrátová síť zabezpečena okamžitě po vybalení z krabice.

To je dobrý nápad, že? Neplatí to však v případě, když lze heslo pro síť Wi-Fi snadno zjistit.

Jedním z nedostatečně bezpečných výchozích schémat nastavení používané některými firmami je použití části MAC adresy zařízení a výchozího hesla SSID (název sítě) v heslu pro síť Wi-Fi.

Například autorovo Wi-Fi zařízení má výchozí SSID TG1672G02 pro síť na frekvenci 2,4 GHz a TG1672G02-5G pro síť 5 GHz a obě mají výchozí heslo TG1672G1E1F02. To na první pohled vypadá docela bezpečně, protože je to kombinace písmen a čísel.

Skládá se však z části z čísla modelu brány – TG1672G – a částečně z adresy MAC: D4:05:98:1E:1F:02.

Ve svém výchozím nastavení oznamuje SSID brány, o jaký přesný model jde. Hacker dokáže udělat jednoduchý průzkum, aby zjistil známé bezpečnostní díry.

Druhou polovinou problému je, že zbývající část výchozího hesla tvoří posledních šest čísel výchozí adresy MAC této brány pro 5 GHz, která je označena jako CMAC na štítku brány.

Tato adresa MAC se také vysílá a může ji zjistit kdokoli s analyzátorem Wi-Fi v podobě bezplatných aplikací pro platformy Android a Windows.

Zde je analyzátor Wi-Fi poskytující komukoli, kdo zná schéma hesla, veškeré potřebné informace pro připojení do napadnutelné sítě Wi-Fi.

Když teď víme, jaká je výchozí struktura hesla Wi-Fi pro tyto modely, lze se připojit do sítí všech lidí se stejným modelem brány (kteří si heslo nezměnili). Je ale dobré podotknout, že by to bylo nezákonné.

Váš soused (nebo hacker jedoucí okolo v autě) by ale nemusel být tak zdrženlivý, takže věnujte pár okamžiků změně výchozího SSID vaší sítě Wi-Fi.

2.   Ztracená či ukradená zařízení Wi-Fi jako bezpečnostní hrozba

Můžete uzamknout svou síť Wi-Fi pomocí nejpřísnějšího zabezpečení, ale pokud ztratíte telefon, tablet či notebook nebo jakékoli jiné zařízení, které se do vaší sítě Wi-Fi připojovalo, bude jakýkoli jeho nálezce schopen se připojit do každé sítě, ke níž jste se připojovali v minulosti, protože výchozí nastavení zařízení tato hesla ukládá.

V závislosti na tom, kdo přístroj najde, kde ho najde a kolik informací z něj dokáže získat, může zjistit, kde se tyto sítě fyzicky nacházejí.

Ztratíte-li mobilní přístroj, zjistěte, zda ho dokážete vzdáleně zamknout, nebo dokonce smazat (snad si ho pravidelně zálohujete...), abyste zabránili libovolné neautorizované osobě získat přístup k heslům Wi-Fi a dalším datům, která v něm máte.

Zadruhé je dobrý nápad změnit heslo Wi-Fi pro všechny sítě, k nimž jste se přihlašovali v minulosti. Některé bezdrátové sítě ale nemusejí být pod vaší kontrolou, takže byste měli informovat odpovědné osoby, zejména pokud jde o vašeho zaměstnavatele.

Pokud používáte jednoduchý režim osobního zabezpečení Wi-Fi (WPA nebo WPA2), technicky označovaný jako předsdílený klíč (PSK – Pre-Shared Key), budete muset změnit heslo v bráně či směrovači a poté toto nové heslo zadat do všech ostatních síťových zařízení při jejich příštím připojení.

Pro obvyklou domácnost s jen několika zařízeními Wi-Fi to bude ještě relativně pohodlné. Pro firmu s desítkami přístrojů v bezdrátové síti to však může být významná zátěž.

Existuje prostředek pro zmírnění problémů se zkompromitovanými hesly, ale jeho složitost a požadavky na infrastrukturu jsou pro běžné spotřebitele už příliš náročné.

U podnikové verze WPA nebo WPA2 je to jednodušší: Namísto toho, aby měl každý stejné heslo Wi-Fi pro připojení do sítě, dostává každý uživatel unikátní uživatelské ID a heslo. Jakýkoli zkompromitovaný uživatelský účet pak lze individuálně změnit nebo zcela zrušit bez vlivu na kohokoli a cokoli jiného.

Pamatujte tedy, že existuje i podnikový režim WPA a WPA2 pro zabezpečení sítí Wi-Fi, který poskytuje lepší ochranu proti takovýmto incidentům.

Namísto toho, aby měli všichni stejné heslo Wi-Fi pro připojení do sítě, dostává každý uživatel své vlastní uživatelské jméno a heslo, které lze vždy individuálně změnit či zrušit v případě ztráty či odcizení zařízení.

Podnikový režim přihlašování využívá autentizaci uživatelů 802.1X, která vyžaduje, aby byl v síti k dispozici běžící server s protokolem RADIUS (Remote Authentication Dial-in User Service).

Pokud máte malou firmu nebo kladete velký důraz na zabezpečení své domácí sítě, můžete využít řadu cloudových či hostovaných služeb, které vám takový server poskytnou.

Například IronWiFi a JumpCloud dokonce nabízejí bezplatné úrovně služeb, ačkoli s omezeným počtem přístupových bodů Wi-Fi, počtem uživatelů a s omezením technické podpory.

Toto řešení ale nepoužívejte, pokud úplně přesně nevíte, co děláte.

3.   Tlačítko WPS u Wi-Fi směrovače jako zranitelné místo

Funkce WPS (Wi-Fi Protected Setup), kterou má mnoho bezdrátových směrovačů, by měla pomáhat usnadnit zabezpečení sítě Wi-Fi a umožnit připojit zařízení pomocí stisku tlačítka nebo zadání kódu PIN.

V tomto protokolu se však před mnoha lety nalezla bezpečnostní díra, která umožňuje hackerům získat přístup k síti bez potřeby prolomit heslo směrovače pro síť Wi-Fi.

Protože je tato zranitelnost známá tak dlouho, předpokládám, že někteří dodavatelé už ji opravili, ale stejně tak je možné, že stále ještě existuje hodně směrovačů z tohoto hlediska zranitelných.

Hackovacím nástrojem, který využívá slabiny WPS, je například Reaver.

Chcete-li mít jistotu, doporučujeme na bráně či směrovači funkci WPS vypnout, pokud je to možné, ale některé směrovače to neumožňují.

Jestliže si nechcete kupovat nový směrovač jen z důvodu této zranitelnosti, měli byste zkontrolovat, zda pro váš směrovač nejsou k dispozici aktualizace firmwaru, které by tuto a případně další bezpečnostní díry opravily.

4.   Vypnutí vysílání SSID může přinést víc škody než užitku

Jedna bezpečnostní rada, která koluje po webu od počátku Wi-Fi, doporučuje vypnout vysílání identifikátoru SSID (Service Set Identifier) ve vaší síti, což většina směrovačů stále umožňuje.

Někteří lidé tvrdí, že to skryje vaši síť a bude vás to chránit, protože lidé nebudou znát SSID, aby se k ní mohli připojit. Zrnko pravdy na tom je, ale může to napáchat více škody než užitku.

Když totiž ve směrovači nastavíte, aby nevysílal SSID vaší sítě, odeberete jen SSID z informací, které Wi-Fi směrovač vysílá, aby oznámil okolním zařízením přítomnost této sítě.

Tyto informace tvoří seznamy dostupných sítí v noteboocích, chytrých telefonech, tabletech a dalších zařízeních Wi-Fi.

Pokud není údaj SSID v informacích obsažený, dokážou přístroje se systémem Windows stále zobrazit přítomnost takové sítě, ale pojmenují ji „Skrytá síť“. Jiná zařízení mohou zobrazit prázdné jméno nebo síť vůbec neukázat.

Dokonce i když vypnete vysílání SSID, bude SSID stále obsažené v nezašifrované podobě v některých Wi-Fi přenosech, které lze odposlouchávat.

Identifikátor SSID se používá při procesu spojování, například když se zařízení připojuje k síti, takže lze v tento okamžik SSID zjistit odposlechem.

Přestože systém Windows a řada dalších zařízení nativně nezjišťují SSID z těchto typů přenosů, zjistí je mnoho jiných analyzátorů Wi-Fi, jako jsou Kismet, CommView pro WiFi nebo Airmagnet.

Protože lze SSID tak snadno zjistit odposlechem, nelze doporučit vypnutí jeho vysílání namísto šifrování. Jeho deaktivace až po zapnutí WPA2 se silným šifrováním může odradit většinu příležitostných hackerů od útoků na vaši síť, ale může to mít negativní vliv na výkon větší sítě, protože to zvyšuje rozsah režijních přenosů v síti.

 

Tento příspěvek vyšel v Security Worldu 1/2017. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.

 

Úvodní foto: © AKS - Fotolia.com










Komentáře