JAK ZABEZPEČIT BEZDRÁTOVOU SÍŤ 1
PRO ZOPAKOVÁNÍ AP
(access point) – přístupový bod, jde o označení routeru, ke kterému se připojujete. 802.11a – jde o normu přenosu s teoretickou rychlostí 54Mb/s, jako jediná je provozována v pásmu 5GHz. Vyznačuje se velkým dosahem, který je omezen českým telekomunikačním úřadem na 15km.
2
802.11b
– zde jde jiţ o pásmo 2,4GHz, jiţ dříve jsem se zmínil, ţe teoretická rychlost této normy je 11Mb/s, avšak to kompenzuje vyšší silou signálu a dosahem. Pro běţné připojení k internetu do 6 – 8Mb/s je dostačující. 802.11g – zde je rychlost vyšší 54Mb/s, avšak síla signálu je o poznání niţší neţli u normy b, to se samozřejmě projevuje také na dosahu. Vysoký datový tok jiţ zajišťuje stabilní připojení k jakémukoliv zařízení. Kdyţ pouţijete šifrování WAP, měli byste počítat pokles rychlosti aţ k 20 Mb/s. 802.11n - jde o poměrně novou normu. Rychlost přenosu je jiţ více neţ dvojnásobná oproti normě 3 „g“. Opět za to platíte sníţením dosahu.
ZAŘÍZENÍ DOSTUPNÁ NA TRHU nejčastěji
podporují normy „b/g/n“. Je to logické, neboť se nejvíce hodí na budování menších a domácích sítí. Modely s normou „a“ jsou často draţší, neboť pracují na vyšší frekvenci.
4
Bezdrátové sítě jsou čím dál více rozšířené a ani v obyčejných domácnostech nejsou překvapením. Není se čemu divit, bez pracného tahání kabelů a poměrně levně lze zasíťovat jednoduše i větší rodinný dům. Rozvést tak internet do každého koutu svého obydlí i s altánkem na zahradě není problém. Ovšem s prostorem, který chceme mít pokrytý signálem, zpravidla pokryjeme i prostor, který pod signálem mít nechceme. Lehce tak umožníme sousedům připojit se do naší sítě, zpřístupnit jim nechtěně náš internet a je možné, že se dostanou i k našim drahocenným datům. Proto je potřeba důkladně bezdrátovou sítˇzabezpečit a zabránit do5 ní přístup nežádoucím subjektům.
Situace se zabezpečením bezdrátových sítí není příliš růžová - stačí, když s notebookem v autě zastavím ve více zabydlené čtvrti a téměř vždy najdu jednu či dvě nezabezpečené sítě, do kterých se lze pohodlně připojit. Třešničkou na dortu je také to, že uživatelé často nechávají původní přístupové jméno a heslo do konfigurace jejich bezdrátového zařízení… 6
NĚCO MÁLO K VÝBĚRU ZAŘÍZENÍ: Preferujte tyto vlastnosti bezdrátových zařízení: pokud
moţno všechny bezdrátové prvky od jednoho výrobce, schopnost zařízení pouţít WPA2 nebo alespoň WPA, odpojitelná anténa, regulovatelný výkon, minimálně dva LAN porty, WDS (Wireless Distribution System) – pro rozšíření signálu pomocí více bezdrátových přístupových bodů. 7
ZABEZPEČENÍ?
Existuje několik způsobů jak zabránit „cizákům“ připojit se do vaší sítě - kaţdý je jinak účinný a pokud to je moţné, můţete kombinací několika bezpečnostních prvků docílit vysokého zabezpečení. Stěţejní způsob zabezpečení bezdrátových sítí je šifrování – tedy šifrování paketů proudících mezi bezdrátovými zařízeními.
8
DRUHY ŠIFROVÁNÍ: 9
WEP (WIRED EQUIVALENT PRIVACY) – šifrovací protokol, který byl uveden v roce 1999. Je zaloţen na šifrovacím algoritmu RC4 s tajným klíčem o velikosti 40 nebo 104 bitů kombinovaným s 24 bitovým inicializačním vektorem (IV), pro ověření správnosti pouţívá metodu CRC-32 kontrolního součtu.
10
Takzvaný 64 bitový WEP je kombinace 40 bitového klíče a 24 bitového IV, 128 bitový WEP je 104 bitový klíč a 24 bitový IV, někteří výrobci bezdrátových zařízení podporují i 256 bitový WEP.
WEP je díky zranitelnosti šifrovacího algoritmu RC4, délce klíče a kolizím IV lehce překonatelnou* ochranou a jeho pouţití se nedoporučuje ani pro domácnosti. *získat WEP klíč za pouţití speciálního software *airodump, aireplay, aircrack* je otázkou několika málo minut
11
WEP2
– k vytvoření druhé verze WEPu vedla snaha odstranit chyby verze původní – rozšíření IV a zesílení 128 bitového šifrování, ale i tak původní mezery tohoto zabezpečení zůstaly a útočníkovi jen zabere o něco více času ho prolomit. WEP2 byl pouţit zpravidla na zařízeních, která hardwarově nestačila na novější šifrování WPA.
12
WPA (WI-FI PROTECTED ACCESS) – (ROK 2002)
náhrada za původní slabé zabezpečení WEP. Stejně jako WEP je pouţit šifrovací algoritmus RC4, ale s 128 bitovým klíčem a 48 bitovým inicializačním vektorem (IV). Zásadní vylepšení však spočívá v dynamicky se měnícím klíči – TKIP (Temporal Key Integrity Protocol). Je vylepšena také kontrola integrity (správnosti) dat - díky pouţití metody označující se jako MIC (Message-Integrity Check).
WPA nabízí více moţností, jak síť zabezpečit a to buď pomocí autentizačního serveru (RADIUS), který zasílá kaţdému uţivateli jiný klíč (podnikové řešení) nebo pomocí PSK (Pre-Shared Key), kdy kaţdý uţivatel má stejný přístupový klíč (malé podnikové sítě nebo domácnosti). Zvětšení velikosti klíče a IV, sníţení počtu zaslaných paketů s podobnými klíči a ověřování integrity dělá zabezpečení WPA těţko prolomitelné.
13
WPA2 – (ROK 2004)
označující se také jako IEEE 802.11i. Je pouţit protokol CCMP (Counter-Mode/Cipher Block Chaining Message Authentication Code Protocol) se silným šifrováním AES (Advanced Encryption Standard), MAC(Message Authentication Code) dynamicky mění 128 bitový klíč, MIC pro kontrolu integrity a ochranu proti útokům snaţící se zopakovat předchozí odposlouchanou komunikaci (replay).
Existují další metody zabezpečení – EAP typy ověřování pod WPA/WPA2 Enterprise, určené pro silné zabezpečení podnikových bezdrátových sítí.
Shrnutí:
V našem případě, tedy pro domácí a malé podnikové sítě bez RADIUS* serveru, dokonale poslouţí zabezpečení WPA2-PSK se silným šifrováním AES, pokud máte starší bezdrátová zařízení, lze se spokojit i s WPA-PSK.
*RADIUS server - autorizační a přístupový protokol, ověřuje vzdálené uţivatele
14
DŮLEŢITÉ „MALIČKOSTI“:
Při zabezpečování bezdrátových sítí vedle pouţitého šifrování hrají nemalou roli také další prvky, na které není dobré zapomínat. Uţ při plánování bezdrátové sítě je dobré se zamyslet, kde všude budeme potřebovat signál a pouţít takový typ antény, která, pokud je to moţné, pokryje signálem jen námi poţadovaný prostor. Téměř vţdy je tento poţadavek nesplnitelný a zároveň s poţadovaným prostorem pokryjeme signálem i prostor neţádoucí. Snaţme se tento prostor aspoň minimalizovat, jak to jen jde – pouţitím sektorové nebo směrové antény.
15
NEVYSÍLAT SSID,
coţ je identifikátor sítě (jméno), snad ve všech bezdrátových přístupových bodech ho lze v nastavení „vypnout“, čili kdo nezná jméno vaší sítě, nemůţe se do ní připojit a bez pouţití speciálního software je pro něj „neviditelná“.
16
FILTROVÁNÍ MAC ADRESY
vhodné pouţít tam, kde se připojují stále stejní klienti. V konfiguraci přístupového bodu zadáte MAC adresy síťových karet, pro které chcete přístup sítě povolit. Lze také zadaným MAC adresám přístup zakázat.
17
VYPNOUT DHCP SERVER
a nastavit IP adresy ručně. Doporučuji, jen kdyţ z nějakého důvodu nechcete mít síť zašifrovanou, ne kaţdý umí zjistit rozsah IP adres v síti pro korektní připojení. Vypnuté DHCP povaţuji za doplněk, ne za prvek zabezpečení.
18
PŘIHLAŠOVACÍ JMÉNO A HESLO
pro přístup do konfigurace bezdrátového zařízení doporučuji ihned po přihlášení změnit. Pokud se útočník jiţ nějakým způsobem dostane do vaší sítě, není pro něj problém přihlásit se do konfigurace bezdrátového zařízení a získat nad vaší sítí plnou kontrolu. Útočník znalý problematiky totiţ pozná dle přihlašovacího layoutu typ zařízení a zná i výrobcem dané přihlašovací údaje.
19
PRAKTICKÉ PŘÍKLADY 20
JMÉNO SÍTĚ MŮŢE LÁKAT ÚTOČNÍKY Co kdyţ necháme síť otevřenou a ještě na sebe upozorníme generickým jménem sítě (SSID) od výrobce. Pokud na svém počítači nebo mobilu objevím otevřenou síť, která se jmenuje AIRLIVE, NETGEAR, ZYXEL nebo třeba ASUS, poměrně se mi zvyšují šance, ţe se nejen dostanu dovnitř, ale ţe domácí správce docela moţná pouţívá i generické přihlašovací jméno a heslo do webové administrace routeru. OK, moţná ještě s někým budete sdílet připojení nebo data, ale otvírat někomu vrátka do nastavení routeru?
21
TABULKA: TYPICKÁ PŘIHLAŠOVACÍ JMÉNA A HESLA DO WEBOVÉ ADMINISTRACE ROUTERŮ
22
TYPICKÉ LOKÁLNÍ ADRESY, NA KTERÝCH NAJDETE WEBOVOU ADMINISTRACI:
192.168.1.1 192.168.2.1 192.168.0.1 192.168.1.254 192.168.100.254 192.168.0.50 10.0.0.138
23
PROLAMUJEME SEZNAM POVOLENÝCH MAC ADRES Wi-Fi síť, která byla zabezpečená pouze seznamem povolených MAC adres počítačů. Filtrování MAC adres dnes doplňuje právě WPA/WPA2, nicméně dejme tomu, ţe právě tuto techniku pouţije hromada z těch, jejichţ sítě se navenek jeví jako otevřené.
24
V ADMINISTRACI SVÉHO WI-FI ROUTERU JSEM NASTAVIL, ABY SE K MÉ SÍTI MOHLY PŘIPOJIT POUZE ZAŘÍZENÍ S TOUTO MAC ADRESOU
jedná se o můj mobilní telefon. WEP/WPA šifrování z nejrůznějších důvodů nechci pouţívat Co teď? pouţijeme linuxový balík programů Aircrack-ng a pro základní přehled pak příkaz airodump-ng. Během několika sekund mi program v kaţdém případě vypíše, která zařízení se právě připojují ke svým sítím a to nehledě na to, jestli je to vaše síť, nebo bezdrátová „linka“ souseda přes dvě patra v panelovém domě. Vzhledem k tomu, ţe stále více lidí má doma chytrý mobil s Wi-Fi připojením, nějaké to zařízení se ve vzduchu ohlásí co nevidět a vy získáte jeho MAC adresu. Přepsání původní MAC adresy vaší síťové karty na novou je uţ v podstatě banalita a vy můţete radostně začít surfovat na takzvaně 25 zabezpečené síti.
Skenovací příkaz airodump-ng neustále sleduje komunikaci ve vzduchu na všech dostupných kanálech a vypisuje nejprve základní informace o okolních Wi-Fi sítích (horní seznam) a poté mnohem důleţitější seznam klientů (počítačů, mobilů aj.), kteří se k těmto sítím připojují. Jedním z těchto zařízení je i můj telefon. Pokud bych chtěl tedy získat MAC adresu některého zařízení v cizí Wi-Fi síti, zjistím si nejprve MAC adresu routeru (BSSID) a poté budu hledat v dolním seznamu odpovídající zařízení (STATION = MAC adresa), které se připojuje na router s tímto BSSID. Je to jednoduché, viďte... 26
27
TO JSEM TAKHLE JEDNOU...
...se zkoušel připojit na sousedovic WiFi. Jednalo se o síť s názvem Wifi-Novákovi (jméno je úmyslně změněno). Měli zabezpečení WPA. Ano relativně bezpečné, avšak není imunní vůči lidské blbosti. Na jejich síť jsem se totiţ připojil hned na první pokus (zdůrazňuji slovo na PRVNÍ POKUS), kdyţ jsem zadal WPA klíč novakovi. Řekl jsem si, ţe to bude nějaká náhoda a dál ţe se nedostanu, avšak v okamţiku, kdy mi jejich DHCP server vyplivl IP jsem jen ţasl v očekávání, ţe uţ mě to dál jistě nepustí, ţe uţ by novákovi si alespoň přihlášení do administrace zabezpečili více.
28
Velice
jsem se mýlil. V síťovém nastavení své WiFi jsem vyhledal IP DHCP serveru, tedy routeru, co mi přidělil IP. Vypadala na default IP nastavení. Po vloţení se objevila tabulka s přihlášením. Štěstí (jak pro koho :-D), ţe na ní byl i název WiFi routeru, jelikoţ jsem na internetu podle jeho názvu vyhledal default jméno na přihlášení, default heslo jsem nepředpokládal, jelikoţ by to byla veliká … .
29
To
jsem netušil, ţe si jako heslo k přístupu do administrace dají stejné heslo jako předchozí. Dostal jsem se tedy do administrace. Já jsem jim nic nezměnil a ani nezměním. A na chybu je později radši upozorním. Co z toho pro vás plyne? Ţe takto by rozhodně zabezpečení vašeho routeru ROZHODNĚ nemělo vypadat. 30
31
CHYB, KTERÝCH SE DOPUSTILI NOVÁKOVI SSID
v sobě obsahovalo heslo na přihlášení (prakticky, jméno stejné jako heslo) Kdyţ uţ měli tak jednoduché heslo, nenastavili si filter MAC adres Jméno routeru nechali Novákovi default a heslo na přístup do administrace stejné jako pro připojení na WiFi
32
MOŢNÉ NÁPRAVY ČI PŘEDCHÁZENÍ POHROMY (ZABEZPEČENÍ)
Zakázat vysílání SSID (= zneviditelnit síť, budete o ní vědět jen vy, útočníci budou muset pro útok znát jak SSID, tak heslo) Povolit připojení na router jen povoleným MAC adresám = tzv. MAC filter Heslo k připojení na WiFi změnit na jiné, odlišné od SSID, nejlépe kombinaci písmen a číslic, kterou jen tak nikdo neuhodne. (Příklad: místo hesla novakovi vloţit GF5ER3GJ587ACVT98) Pokud to připojované zařízení a router podporují WPA2 šifrování, pouţijte ho (všechny nové jiţ musí podporovat, jinak neprojdou certifikací) Změnit přihlašovací jméno do administrace a heslo pro přihlášení také úplně jiné, odlišené od předchozího hesla Pokud máte příleţitost, omezte vysílání signálu jen na část, kde ho skutečně potřebujete, a to pomocí směrových antén
33
ZÁVĚR Nic není 100%. Vše se totiţ dá oblafnout nebo získat a to jak vědomě tak nevědomě. V kombinaci všech zmíněných prvků zabezpečení, máte šanci napadnutelnosti vašeho routeru 0,1%, coţ je tak malá šance, ţe útočník to beztak po pár dnech vzdá. I kdyby útočník zjistil vaše skryté SSID, musel by překonat WPA2 šifrování, což je nadlidský úkol i pro zkušené hackery, poté by musel překonat filtr MAC adres, nalézt router, jeho jméno a heslo, přičemž by se potýkal se špatným signálem, který jste omezili jen na vaše prostory.
34