Jste zde

Jak na ochranu a zabezpečení WiFi sítí

Redakce HW serveru, 3. Červenec 2003 - 0:00

Bezdrátové sítě jsou do jisté míry snadno chránitelné proti "anonymnímu" přístupu. Bohužel většina

správců těchto sítí netuší co činí a podle odhadů je více jak 60% firemních sítí otevřených anonymnímu přístupu.

Jejich správci pak buďto nevědí jak systém zabezpečit, případně se spoléhají na to, že nikdo nebude chtít jejich síť

"využít". V obou případech jde o velký problém.

Bezdrátová síť je na tom stejně jak počítač či router (nebo jiné síťové zařízení). Po zakoupení a instalaci není bezpečně nainstalována a je nutné ji dodatečně zabezpečit. Stejně jako například u routerů drátových, i ty bezdrátové jsou nainstalovány s "standardními" neboli defaultními hesly co dodává výrobce.

  • První krok elementárního zabezpečení je změna SSID a nastavení nového přístupového jména a hesla a často i změna "defaultního" kanálu.
     
  • Neméně důležité je aktivování WEP ochrany - použití 128bitového zabezpečení je doporučeno tam, kde máte karty podporující plných 128bitů. Každopádně postačí alespoň 40bitů.
    Bez ohledu na to, že WEP je "prolomitelný" je tato ochrana velmi důležitá. Aktivací WEP totiž zajistíte nemožnost volného anonymního přístupu "náhodným návštěvníkům" vaší sítě.
     
  • WiFi routery často umožňují i filtraci podle MAC adres (adresa síťové karty "zadrátovaná" do hardware), takže v bezpečných sítích je dobré nastavit seznam povolených MAC adres - pokud "útočník" nebude mít tu správnou adresu, má smůlu.

    Zde ale můžete u větších sítí narazit na omezení počtu záznamů oprávněných MAC adres, nebo na složitost administrace na více routerech. Pro více jak cca 3 body je používají RADIUS servery.
    Prográmek Fake AP (www.blackalchemy.to/Projects/fakeap/fake-ap.html) poslouží tam, kde chcete warchalkerům poplést hlavu a generovat stovky falešných AP - tím znemožníte připojení, protože warchalker nebude vědět na co se vlastně připojit. ·
     

  • Kvalitnější (a dražší) WiFi routery umožňují další stupeň ochrany - zákaz broadcastu SSID. Jediná možnost jak obejít tento stupeň ochrany potom bude odposlouchávání provozu ne bezdrátové sítí.

Pokud provozujete jakoukoliv bezdrátovou síť, nenamlouvejte si, že jí nikdo nemůže zneužít. Vaše síť je bezdrátová a stačí jeden šikula s notebookem v dosahu vaší sítě a snadno ji využije. Jedna procházka s notebookem ve středu Prahy, kolem naší kanceláře v Rumunské ulici, kousek od IP Pavlova ukázala, že z osmi sítí objevených v průběhu jediného dne, byly pouze tři zabezpečeny (pomocí WEP ochrany) a většina ze zjištěných sítí by byla volně použitelná. Nové technologie tak přinášejí nové povinnosti pro jejich správce či provozovatele a praxe ukazuje, že novost těchto technologií je pro řadu z nich velkým problémem.

Ohledně bezpečnosti se v poslední době hodně pokročilo, místo čekání na 802.11i se aplikuje WPA od WiFi Aliance, které je ve spolupráci s 802.1x už docela silné jak co do autentizace, tak co do šifrování.

Některé další možnosti ochrany bezdrátových sítí

Popsané metody by v současné době měly postačovat, protože většina sítí nepoužívá ani tyto, ale v případě potřeby lze použít ještě další možnosti.

  • Read / RW hesla
    Management přístupových bodů je prováděn SNMP protokolem. Nastavení hesel zabraňuje možnosti přepsání konfigurace přístupových bodů neoprávněnými klienty.
     
  • SNMP Traps
    Definuje IP adresu, na kterou se posílají informace o mimořádných událostech. 
     
  • SNMP tabulka
    Tabulka IP adres, ze kterých je povolen SNMP management.
     
  • WEP Plus
    Zlepšený šifrovací algoritmus WEP Plus a jemu podobné jsou reakcí některých výrobců na některé úspěšné pokusy o prolomení šifrovacího algoritmu WEP a zjištění utajeného šifrovacího klíče.
    S použitím těchto rozšíření musí útočník i po odhalení klíče narazit na další bariéry, které mu zabrání v další aktivní činnosti v systému. Tato rozšíření jsou však většinou limitována použitím technologie pouze od jednoho výrobce. 
     
  • 802.1x
    802.1x je nový bezpečnostní standard, podporovaný např. MS Windows XP. Prvotně zajišťuje autentikaci uživatelů pomocí digitálního certifikátu (RADIUS server musí tento typ autentikace EAP-TLS podporovat). 802.1x lze v bezdrátové síti použít rovněž pro vygenerování a distribuci šifrovacího klíče ke klientovi. Tento typ zabezpečení je součástí nového SW vybavení přístupových bodů většiny výrobců s vyjímkou nejlevnějších modelů AP. Zatím je tento typ autentikace a zabezpečení dostupný pouze pro klienty s Windows XP.
     
  • VPN
    Pro maximální zabezpečení lze vybudovat Virtuální privátní síť mezi koncovými klienty (vybavenými SW pro VPN klienta) a VPN bránou, která je umístěna na metalické páteři mezi přístupovým bodem a vnitřní strukturou sítě. Tento kanál využívá šifrovaný protokol IPSec na třetí síťové vrstvě. Jedná se tedy o další vrstvu zabezpečení, nezávislou na předchozích. Takto zabezpečený systém snese nejpřísnější kriteria.
 
 
Jan Řehák
Rehak@ HW.cz

Použitá literatura, DOWNLOAD & Odkazy

Hodnocení článku: