5. Zabezpečení Wi-Fi Bezpečnost – Bezpečnost sítí je v poslední době stále důležitější, dnes v době kdy máme v počítači uložená důvěryhodná data je jejich ochrana prioritou. Stejně tak jako sdílení internetového připojení, pokud nechceme, aby se na nás napíchl soused, který je alespoň průměrně technicky zdatný, musíme tedy naši síť zabezpečit. Pro základní i pokročilé zabezpečení potřebujeme jen průměrně technicky vybavené AP a znalosti získané touto lekcí. Zabezpečení probíhá na několika úrovních, od fyzické a spojové vrstvy WLAN, až po vyšší vrstvy (IPSec VPN, firewall).
WEP – Všechna certifikovaná zařízení pro WLAN podle IEEE 802.11a/b/g mají zabudovaný základní mechanizmus zabezpečení – protokol WEP (Wired Equivalent Privacy). Základem WEP je tajný klíč (o délce 40 nebo 104 bitů), který sdílí všechny stanice v dané WLAN. Tento klíč se používá jak pro autentizaci, tak pro šifrování dat. WEP je však možné poměrně snadno obejít. Za pomocí veřejně dostupného SW (např. AirSnort, WEPcrack), je možné prolomit WEP klíč pouhým sledováním a odposloucháváním provozu na síti. Např. u AirSnortu je údajně potřeba zachytit zhruba 100MB - 1GB dat, aby zjistil WEP klíč používaný danou sítí. Nevýhody WEP tedy jsou:
Autentizace o Jednostranná autentizace – uživatel nemá jistotu, že se připojuje k autorizovanému přístupovému bodu (prostor pro falešné, rogue, AP) o Klíč podporuje jen autentizaci zařízení, nikoli uživatele – krádež zařízení znamená krádež klíče (po zlomení klíče je třeba klíče překonfigurovat na všech zařízeních) o Autentizace sdíleným klíčem – možnost odchycení a zlomení klíče (výzva - odpověď mezi klientem a AP se posílají v otevřené formě); nulová autentizace je paradoxně z hlediska bezpečnosti u WEP lepší variantou Šifrování o Stejný klíč na všech zařízeních v téže WiFi – sdílený klíč o Statický a krátký klíč – IV (Initialization Vector) o 24 bitech se sice mění s každým paketem, ale v reálném čase se opakuje; slabý šifrovací mechanismus RC4 o Problém s distribucí klíčů – manuální distribuce a změny WEP klíčů v rozsáhlých sítích jsou velice obtížné (WEP nepodporuje automatickou změnu klíčů) Integrita dat o Integrity Check Value nechrání data před útokem man-in-the-middle – nedostatečný lineární kód (CRC-32).
WPA – Než došlo ke schválení bezpečnostní normy 802.11i, přijala Wi-Fi Alliance dočasné bezpečnostní řešení pod označením WPA (Wi-Fi Protected Access), které je zpětně slučitelné s WEP a předně slučitelné s 802.11i/WPA2. Pro autentizaci a management klíčů se používá 802.1x, pro utajení dat protokol TKIP (Temporal Key Integrity Protocol), používající pro silnější zabezpečení dynamicky se měnící klíč pro každý paket a prodlouženou délku vektoru IV (na 48 bitů). Pro kontrolu integrity zpráv se zavádí nový mechanizmus MIC (Message-Integrity Check). Předností WPA jsou dynamické klíče, které jsou výhodné pro podnikové sítě, ale vyžadují složitější síťovou infrastrukturu se serverem RADIUS. Nezapomíná se ovšem ani na jednodušší implementace např. v domácích sítích, kde se používají předem nastavené sdílené klíče (PSK, Pre-Shared Key).
Stránka 1 z 5
WPA2 – Komplexní zabezpečení pro všechny typy 802.11 přinesla až norma 802.11i. Ta zahrnuje vzájemnou autentizaci na základě 802.1x a nový protokol CCMP pro silné šifrování pomocí AES (Advanced Encryption Standard). Volitelně se pro zpětnou slučitelnost s WPA používá protokol TKIP s šifrováním na základě RC4. Povinné prvky, podle nichž Wi-Fi Alliance certifikuje zařízení, se označují jako WPA2. Nová norma pro zabezpečení má za cíl minimalizovat útoky na bezpečnost WLAN. Dokáže již čelit útokům man-in-the-middle, ovšem stále nezabrání neautorizovaným přístupovým bodům. Navíc stále hrozí krádeže identity v souvislosti s krádežemi zařízení, kde jsou uloženy identifikační údaje v cache. AES je zatím nepokořený šifrovací algoritmus, takže utajení dat je vskutku spolehlivé. WPA2 je zpětně slučitelné s WPA, takže souběžné použití WPA a WPA2 je v sítích běžné (na rozdíl od nepřijatelné kombinace WPA2/WEP). Certifikace pro WPA2 je rozdělena do dvou kategorií, podobně jako tomu bylo v případě WPA: podnikové (s plnou podporou WPA2, včetně 802.1x a PSK) a méně náročné osobní (domácí) sítě (pouze PSK).
WPS - WiFi Alliance zavedla tento standart z důvodu složitého nastavování zabezpečení a jeho zjednodušení pro laiky. Učinila vstřícný krok pro zvýšení bezpečnosti domácích sítí právě z hlediska zjednodušení vlastní konfigurace. Zavedla volitelný program WiFi Protected Setup™ (WPS), který podporuje snadnou konfiguraci silných zabezpečovacích prvků (WPA2) tak, aby běžní uživatelé měli šanci svoji WiFi správně zabezpečit a nebyli odrazeni složitým procesem nastavení bezpečnostních mechanismů. Nejjednodušší varianta WPS podporuje konfiguraci autentizace, kdy směrovač poskytne klientům šifrovací klíče pro WPA/WPA2 na základě stisknutí „jediného knoflíku“ nebo zadáním PIN (ten je generovaný softwarově a zobrazený na monitoru nebo předprogramovaný v klientském zařízení a vytištěný na přiložené kartě/nálepce). Nejvyšší variantou WPS je využití USB paměti flash, jejímž prostřednictvím se manuálně přenesou potřebné informace do všech klientských zařízení v síti.
Bezpečnost na fyzické vrstvě (WLAN) - Funkce fyzické vrstvy jsou modulace, řešení šumu a rušení, vazba mezi propustností dat a vzdáleností.
Vymezit prostor a omezit „únik“ signálu – použít stavební materiály budovy nebo místnosti s minimalizací průniku signálu, okna s termální izolací prostřednictvím kovové folie… Vhodně umístit antény – směrovost antény je velice důležitá pro zachování/zvýšení bezpečnosti; neautorizovaní uživatelé se musí pro přístup do cizí WLAN dostat do oblasti obsloužené jejím signálem (pozor na „únik“ signálu z antény málo očekávaným směrem); pokud možno používat směrové, nikoli všesměrové antény. Nevysílat identifikátor sítě – ve stejném fyzickém prostoru může koexistovat několik logických sítí, které jsou odlišeny svým identifikátorem (typicky SSID nebo ESSID); bez znalosti identifikátoru sítě se klient nemůže k dané WLAN přidružit.
Bezpečnost na spojové vrstvě (WLAN) – Funkce spojové vrstvy jsou propojování mosty, přepínání, VLAN (Virtual LAN), funkce podvrstvy MAC.
Filtrovat MAC adresy – MAC adresa je jednoznačný identifikátor síťové karty (ať už "drátové", nebo bezdrátové). Někdy je tato funkce ještě rozšířena o možnost časového omezení nebo omezení šířky pásma pro danou MAC. Přístupový seznam (ACL, Access Control List) na bázi MAC adres jasně definuje pravidla přístupu. Ani filtrování MAC adres není Stránka 2 z 5
všespasitelné, přináší totiž několik problémů - mezi ty základní patří distribuce seznamu MAC adres a možnost falšovat MAC adresu. Filtrovat protokol – V případě podpory více síťových protokolů ve WLAN lze filtrovat provoz. Provádět autentizaci – Ověřování identity klienta probíhá na druhé vrstvě; otevřeně (bez ověření), prostřednictvím WEP na základě sdíleného klíče, nebo na základě 802.1x EAP, s využitím autentizačního serveru (typicky RADIUS) . Provádět šifrování – na bázi mechanizmů specifikovaných ve WEP, nebo DES/3DES (64bitový klíč), či AES (802.11i, 128bitový klíč).
Bezpečnost na síťové vrstvě - Funkce síťové vrstvy jsou směrování, management přidělování šířky pásma, podpora QoS.
Filtrovat IP adresy – bezdrátové směrovače dovolují realizovat řízení přístupu na základě přístupových seznamů IP adres. Implementovat firewall – některé bezdrátové směrovače mají zabudovanou funkci firewall pro blokování provozu typicky z internetu do WLAN. Použít VPN – IP VPN se budují prostřednictvím mechanizmů nejnižších tří vrstev: šifrování pomocí IPSec a tunelování např. prostřednictvím L2TP
Bezpečnost na aplikační vrstvě - Funkce aplikační vrstvy jsou management, monitorování, návrh sítě.
Uplatnit RADIUS server – přístup klientů do WLAN nejlépe řešit prostřednictvím centralizovaného serveru pro autentizaci, autorizaci a účtování (AAA), nejčastěji na serveru RADIUS, který může být již součástí podnikové infrastruktury (slouží obecně pro přístup uživatelů k síti)
Doporučené zabezpečení
Aktivujte WPA2 Změňte implicitní identifikátor SSID Aktivace neviditelného režimu Změna implicitního hesla Omezení signálu jen pro oblast, kterou potřebujeme pokrýt Filtrování MAC adres síťových karet Odpojení DHCP serveru Změna svou podsítě (standartně 192.168.1.1) Aktivace firewallu
Stránka 3 z 5
Zdroje cm3l1k1. (nedatováno). WiFi sítě a jejich slabiny. Získáno 22. 11 2008, z SECURITY-PORTAL.CZ: http://www.security-portal.cz/clanky/wifi-site-a-jejich-slabiny.html Connect!, č. (19. 5 2005). Jak na bezpečnost Wi-Fi? Získáno 11. 22 2008, z ZIVE.CZ: http://www.zive.cz/Clanky/Jak-na-bezpecnost-Wi-Fi/Nebezpecnost-WLAN-po-staru/sc-3-a-124761ch-42238/default.aspx Ing. Rita Pužmanová, C. M. (1. 11 2007). Bezpečnost WiFi záleží jen na vás. Získáno 22. 11 2008, z LUPA.CZ: http://www.lupa.cz/clanky/bezpecnost-wifi-zalezi-jen-na-vas/ Stejskal, P. (2004). Bezdrátové sítě WiFi stand. 802.11b/g. Získáno 11. 22 2008, z Semestrální práce z předmětu KIV/Přenos dat @ ZČU: http://www-kiv.zcu.cz/~simekm/vyuka/pd/zapocty-2003/wifi/index.php?id=0 Zandl, P. (2003). Bezdrátové sítě WiFi Praktický průvodce. Brno: Computer Press.
Stránka 4 z 5
Ověření znalostí z kapitoly: 5. Zabezpečení Wi-Fi 1. Která norma obsahuje zabezpečení WPA2? a) 802.11b b) 802.11g c) 802.11i d) 802.11j
2. K čemu slouží WPS (WiFi Protected Setup)? a) Jednoduší nastavení WPA2 b) Mód firewallu c) Administrace pro profesionály d) Jiný název pro WPA3
3. Popište filtrování pomocí MAC adresy.
4. Vypište nejméně 5 druhů zabezpečení PC sítě.
Stránka 5 z 5
