Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Vyšší odborná škola informačních služeb v Praze
Iveta Havelková
Bezpečnost počítačových sítí se zaměřením na Wi-Fi
Bakalářská práce
2010
Prohlášení Prohlašuji, že jsem bakalářskou práci na téma Bezpečnost počítačových sítí se zaměřením na Wi-Fi zpracovala samostatně a použila pouze zdroje, které cituji a uvádím v seznamu použité literatury.
V Praze dne 30. června 2010 Iveta Havelková
Anotace: Tato bakalářská práce obsahuje seznámení s technologií bezdrátových sítí, bezpečností bezdrátové komunikace, popis základních charakteristik Wi-Fi sítí, vytvoření a zabezpečení bezdrátové Wi-Fi sítě pro malou firmu. V o
teoretické
počítačových
části
sítích,
práce jako
je
jsou
popsány
vyuţití
základní charakteristiky
bezdrátových
sítí,
rozdělení
bezdrátových počítačových sítí. Dále jsou popsány základní technologické charakteristiky Wi-Fi sítí, jako jsou IEEE standardy, zabezpečení. Také popisuji bezpečnost bezdrátové komunikace a útoky na bezdrátové sítě. V
praktické
Zabezpečení
části
pomocí
je
WEP,
vytvoření
a
zabezpečení
počítačové
sítě.
kontrola prolomení hesla pomocí programu
a následné zabezpečení pomocí modemu, který nepodporuje RADIUS server a zabezpečení pomocí routeru, který podporuje RADIUS server.
Obsah: Úvod .......................................................................................... 9 Teoretická část ........................................................................ 11 1. Základní charakteristiky počítačové sítě ............................. 12 1.1. Definice počítačové sítě ...................................................... 12 1.2. Vznik, vývoj a význam počítačové sítě .................................. 12 1.3. Vyuţití bezdrátové počítačové sítě ....................................... 13 1.4. Rozdělení bezdrátové počítačové sítě ................................... 13 1.5. Architektury počítačových sítí .............................................. 16 1.5.1. Architektura OSI............................................................ 16 1.5.2. Architektura TCP/IP ....................................................... 18 2. Základní technologické charakteristiky Wi-Fi sítí ................ 22 2.1. Úvod do Wi-Fi ................................................................... 22 2.1.1. Co je to Wi-Fi ................................................................ 22 2.1.2. Historický vývoj ............................................................. 23 2.1.3. IEEE standardy .............................................................. 23 2.1.4. Porovnání rychlostí ........................................................ 24 2.2. Základní komponenty ......................................................... 24 2.3. WLAN ............................................................................... 25 2.3.1. WEP ............................................................................. 25 2.3.2. IEEE 802.1x .................................................................. 26 2.3.3. WPA ............................................................................. 26 2.3.4. 802.11i ........................................................................ 26 2.3.5. Porovnání WEP, WPA a WPA2 .......................................... 27 2.4. Ad-hoc sítě ...................................................................... 27 2.5. Zabezpečení...................................................................... 28 2.5.1. Autentizace ................................................................... 28 2.5.2. Open-system autentizace ............................................... 28 2.5.3. Shared-key autentizace .................................................. 28 2.6. Zabezpečení sítě Wi-Fi........................................................ 29
5
2.6.1. Reálná podoba hrozby .................................................... 29 2.6.2. Obranné kroky .............................................................. 29 2.7. Seznámení s firewally ......................................................... 30 3. Bezpečnosti bezdrátové komunikace ................................... 31 3.1. Základní bezpečnost sítě..................................................... 31 3.1.1. Bezpečnostní politika ..................................................... 31 3.1.2. Šifrování ....................................................................... 32 3.1.2.1. Symetrické šifrování .................................................. 32 3.1.2.2. Asymetrické šifrování ................................................. 32 3.1.3. Virtuální privátní sítě ...................................................... 33 3.2. Bezpečnost bezdrátové komunikace ..................................... 34 3.2.1. Vzdálený přístup ............................................................ 34 3.2.2. Vysílání SSID ................................................................ 35 3.2.3. Filtrace MAC adres ......................................................... 35 3.2.4. Protokol WEP ................................................................ 36 3.2.5. RADIUS server .............................................................. 36 3.2.6. Digitální certifikát .......................................................... 37 4. Útoky na bezpečnost sítě .................................................... 39 Praktická část ......................................................................... 44 5. Vytvoření a zabezpečení Wi-Fi sítě vhodné pro malou firmu 45 5.1. Získání hesla pomocí programu Aircrack ............................... 49 5.2. Zabezpečení pomocí modemu nepodporující RADIUS server .... 58 5.3. Zabezpečení pomocí digitálního certifikátu a RADIUS serveru pomocí routeru ........................................................................ 60 Závěr ....................................................................................... 67 Použité zdroje ......................................................................... 69 Seznam obrázků ...................................................................... 73
6
Seznam použitých zkratek: ADSL
Asymmetric
Digital
Subscriber
Line.
Vysokorychlostní
připojení na Internet po telefonní lince. AES
Advanced Encryption Standard. Vyuţívá symetrického klíče.
AP
Access point (přístupový bod) nezbytná součást Wi-Fi sítě (infrastrukturní). Plní
funkci
mostu
mezi
kabelovou
a bezdrátovou sítí a poskytuje další doplňkové funkce. Broadcast
Všesměrová adresa.
DES
Data Encryption Standard. Symetrický šifrovací algoritmus.
DNS
Domain Name System. Systém doménových jmen.
EAP
Extensible Authentication Protocol.
Ethernet
Technologie přenosu dat po kabelovém vedení nečastěji kroucené dvoulince, ale i jiných typech kabelů.
FTP
File Transfer Protocol. Protokol je určen pro předávání souborů ze serveru a na server.
IEEE
Institute
of
Electrical
and
Electronics
Engineers.
Standardizační procesy. IEEE 802.11
Wi-Fi standard s dalšími doplňky pro lokální bezdrátové sítě.
ISO/OSI
Referenční implementaci
model
organizace
(realizaci)
systémů,
ISO. ale
Nespecifikuje
uvádí
všeobecné
principy sedmivrstvé síťové. LAN
Local Area Network – lokální počítačová síť.
MAC adresa
neboli hardwarová adresa je součástí kaţdého zařízení komunikujícího v počítačových sítích (switch, síťová karta, AP). Je dána výrobcem a je unikátní (nelze se setkat se dvěma zařízeními se stejnou MAC adresou od výrobce). MAC jde softwarově změnit (pouze v operační paměti počítače).
MAN
Metropolitan Area Network – metropolitní síť.
NAT
Network Address Translation. Překlad síťových adres.
NFS
Network File System. Internetový protokol pro vzdálený přístup k souborům přes počítačovou síť.
RAM
Andom-access Memory. V informačních technologiích paměť s libovolným přístupem pouţívaná v počítačích.
RFC 791
Postup pro fragmentaci IP datagramů.
7
RIP
Routing Information Protocol. Směrovací protokol umoţňující směrovačům (routerům) komunikovat mezi sebou.
RSA
Šifra s veřejným klíčem.
SMTP
Simple Mail Transfer Protocol. Internetový protokol určený pro přenos zpráv elektronické pošty.
SSID
Service Set Identifier – identifikátor bezdrátové sítě.
TCP
Transmission
Control
Protocol.
Protokol
sady
protokolů
Internetu, konkrétně představuje transportní vrstvu. TCP/IP
Protokolová
architektura
definována
sadou
protokolů
pro komunikaci v počítačové síti. Telnet
Telecommunication Network. Protokol na aplikační vrstvě pouţívaný v počítačových sítích.
TKIP
Šifrovací algoritmus pouţitý u WPA zabezpečení. Odstraňuje hlavní chyby WEPu.
UDP
User
Datagram
Protocol.
Protokol
ze
sady
protokolů
internetu. VPN
Virtual Private Network. Prostředek k propojení několika počítačů.
WAN
Wide Area Network – metropolitní síť.
WEP
Wired Equivalent Privacy. Zabezpečení Wi-Fi sítí a je součástí IEEE 802.11 standardu.
Wi-Fi
Wirelless fidelity. Zkratka pouţívaná pro bezdrátové sítě.
WLAN
Lokální bezdrátové sítě.
WMAN
Bezdrátové metropolitní sítě.
WPAN
Bezdrátové osobní sítě.
WPA
Wi-Fi
Protected
Access.
počítačových sítí. WWAN
Bezdrátové rozlehlé sítě.
8
Zabezpečení
bezdrátových
Úvod Téma bakalářské práce Bezpečnost počítačové sítě se zaměřením na Wi-Fi jsem
si
vybrala,
protoţe
v současné
době
se
v mnoha
případech
přechází
z komunikace „přes kabel“ na bezdrátovou komunikaci, buď s moţností Bluetooth nebo Wi-Fi apod. Je důleţité, aby síť Wi-Fi byla správně a dostatečně zabezpečená proti útokům. Samotné slovo počítačová síť je slovo, které je v současné době často pouţívané. Mezi první pokusy o vytvoření počítačové sítě pro komunikaci počítačů se připisuje období do 60. let 20. století. V té době se jednalo o zjištění potřeby vytvořit počítačovou síť do budoucnosti. Postupem času se objevovali nové a lepší potřeby počítačové sítě, spojení a komunikace mezi počítači. V současné době se stále objevují stále nové moţnosti vyuţití počítačové sítě. Před několika lety se připojení k internetu provádělo přes pevnou telefonní linku. V té době bylo připojení velmi pomalé a cena byla vysoká. Pak bylo vytvořeno připojení ADSL. Toto připojení je sice také přes pevnou telefonní linku, ale v současné době patří mezi nejvyuţívanější připojení k internetu v České republice. Oproti předchozímu připojení přes pevnou linku se v dnešní době výrazně zvýšila rychlost a sníţila cena. Nicméně stále oblíbenější připojení k internetu je prostřednictvím bezdrátové komunikace Wi-Fi. Lidé si Wi-Fi oblíbili natolik, ţe se s ní můţeme setkat například v restauracích, kavárnách, školách, firmách apod. Někdo si vlastní bezdrátovou komunikaci vytvořil i doma. Vytvoření vlastní sítě Wi-Fi není nic sloţitého. V dnešní
době jiţ existuje několik odborných publikací, které Vás krok
za krokem provedou vytvořením vlastní sítě. Bezdrátová síť má několik výhod, zejména nejsme vázáni na ţádné „kabelové“ připojení. Například s notebookem se můţeme pohybovat kdekoliv po bytě, protoţe signál je dost silný. Bezdrátové připojení Wi-Fi má i své nevýhody, například rychlost připojení je menší neţ u připojení
přes ADSL a setkala jsem se i s tím, ţe čím více počítačů je připojeno
na jednu bezdrátovou síť Wi-Fi, tím je rychlost přenosu niţší. Cílem bakalářské práci je popis technologií bezdrátových sítí, bezdrátové komunikace,
popis
základních charakteristik
Wi-Fi
bezpečností
sítí,
vytvoření
a zabezpečení bezdrátové Wi-Fi sítě pro malou firmu. Myslím si, ţe by mé řešení mohlo
velice
zjednodušit práci při zabezpečování. Zaměřím se tedy především
na zabezpečení bezdrátové komunikace a zaměřím se na Wi-Fi. Ve své práci chci poukázat na popis mechanismů moderního zabezpečení počítačových sítí (moţnosti jak technologické, tak i moţnosti zabezpečení koncových stanic).
9
Na
úvod
bakalářské práce se zaměřím na teoretické znalosti a informace
o bezdrátové komunikaci, zejména o Wi-Fi. Vymezím pojmy, jako je bezdrátová komunikace, Wi-Fi, a jiné. V praktické části bych Vám chtěla ukázat vytvoření sítě Wi-Fi. Vytvořím si bezdrátovou síť Wi-Fi se šifrováním WEP. Pomocí programu si zobrazím dostupné bezdrátové sítě. Pak bych chtěla získat heslo, mnou vytvořené Wi-Fi sítě, pomocí programu pouţívaného na prolomení hesel. Po získání hesla se pokusím zabezpečit Wi-Fi síť dalším způsobem. V jednou případě se pokusím o nejlepší zabezpečení v případě, ţe máme modem, který nepodporuje RADIUS server. V druhém případě se pokusím o zabezpečení pomocí routeru, který podporuje RADIUS server a digitální certifikát.
10
Teoretická část
11
1. Základní charakteristiky počítačové sítě V kapitole Základní charakteristiky počítačové sítě píši o základních znalostech o počítačových sítích. Dočtete se zde základní definici o počítačové síti, jaký byl vznik a vývoj počítačových sítí a jejich význam. Dále se dozvíte jaké je vyuţití bezdrátových počítačových sítí v současné době. Uvádím i to, jak se sítě rozdělují. Dále
popisuji
architekturu
OSI a architekturu TCP/IP. U kaţdé architektury
popisuje jednotlivé vrstvy, které jsou jejich součástí.
1.1. Definice počítačové sítě „Počítačová síť je souhrnné označení pro technické prostředky, které realizují spojení a výměnu informací mezi počítači. Umožňují tedy uživatelům komunikaci podle určitých pravidel, za účelem sdílení a využívání společných zdrojů nebo výměny dat.“ [23] „Historie sítí sahá až do 60. let 20. století, kdy začaly první pokusy s komunikací počítačů. V průběhu vývoje byla vyvinuta celá řada síťových technologií. V poslední době jsou všechny sítě postupně spojovány do globální celosvětové sítě Internet, která používá sadu protokolů TCP/IP.“ [23] Vzájemné
propojení
počítačů,
popřípadě
jiných
komunikačních
zařízení
umoţňujících jejich komunikaci, sdílení hardwaru, softwaru a různých dat.
1.2. Vznik, vývoj a význam počítačové sítě Za posledních 40 let dochází ve světě k informační explozi, která se projevuje obrovským nárůstem objemu a zároveň komplexnosti informací. Kaţdé odvětví lidské činnosti vyţaduje pro dosaţení kvality a efektivnosti aktuální a relevantní informace. Donedávna patřila mezi standardní dobu, doba papírová, tak ale nenávratně pryč. Místo ní se úspěšně prosazuje pouţívání jiných alternativních médií, vhodných pro pouţití výpočetní techniky, jeţ je jediná schopná pomoci člověku zdolávat informační problémy. Velmi rychle bylo překonáno období spojené s izolovanými počítači pro uchování a zpracování dat. Pro kvalitní práci bylo nutno získat údaje z okolí, analyzovat je, zpracovávat podle zadaných algoritmů a dále je distribuovat. Z toho vyplynuly poţadavky na úzký kontakt mezi jednotlivými počítači a jejich okolím. Od té doby se začala prosazovat úsporná filozofie zaloţená na úvaze, ţe informace stačí vloţit do systému jen jednou a otázka jejich dalšího vyuţívání spočívá pouze v jejich přenosu a vhodné technologii zpracování. Mezi jeden základní předpoklad
patří
pokrok v
oblasti
výpočetní
komunikace.
12
techniky a
vyšetření
vzájemné
Na začátku 80. let 20. století se začaly ve vysoké míře rozšiřovat osobní počítače. Tento pokrok ve výpočetní technice byl přijímán se značným nadšením. Kaţdý měl svůj počítač a mohl často pracovat nezávisle na výpočetním centru či na jiných spolupracovnících. Brzy však nastal problém se sdílením dat i počítačového vybavení. Data bylo nutno přenášet na disketách, problémem byla jejich synchronizace, problém byl s tiskem na jiných počítačích apod. Proto se začali počítače mezi sebou propojovat kabely. Nejdříve bylo toto propojování postaveno na standardním vybavení počítače. Toto spojení bylo velmi pomalé a velmi poruchové. Později se začaly pouţívat speciální moduly a kabeláţ, které propojení počítačů zrychlily a zkvalitnily. Pro propojení počítačů bylo samozřejmě nutné i odpovídající softwarové vybavení. Tento nástup sítí nepostřehla firma Microsoft a lídrem této oblasti se stala firma Novell. S mohutným rozvojem sítí se začaly prosazovat i produkty dalších firem. Velký podíl na trhu získala firma Microsoft a za zmínku stojí i angaţovanost a úspěch malých českých firem se specializovanými produkty.
1.3. Vyuţití bezdrátové počítačové sítě Vyuţití bezdrátový sítí přináší nové moţnosti a větší efektivitu v široké škále prostředí od skladníků kontrolujících skladové zásoby, přes mobilní prodejní terminály aţ po zdravotní personál, který se pohybuje v areálu léčebných zařízení. Přístup k Internetu je moţný kdykoliv a kdekoliv. Stále hustější bezdrátové přístupové body například u
benzinových
pump,
na
letištích,
v
metru,
veřejných budovách nebo i restauracích a kavárnách umoţňují mobilní přístup k Internetu v podstatě nonstop. Výhodou je flexibilita a ochrana investice. Na rozdíl od pevných sítí nepředstavuje rozšíření nebo i stěhování firmy u bezdrátových sítí ţádný problém.
1.4. Rozdělení bezdrátové počítačové sítě Dělení skupin bezdrátových datových technologií je nejobvyklejší v závislosti na míře vzdálenosti uţivatele od přípojného bodu k Internetu, coţ je tedy hlavním kritériem u typologií těchto technologií, které se ve značné míře snaţí normalizovat institut IEEE. Na obrázku č. 1 vidíme schéma rozdělení bezdrátových počítačových sítí. Dělení používaných technologií bezdrátový sítí: Bezdrátové soukromé sítě (Wireless Personal Area Network) Tato kategorie bezdrátového přenosu dat zahrnuje datové technologie pro sítě s velmi malým dosahem (přibliţně 10 metrů). Umoţňuje sice uţivateli bezdrátové připojení k Internetu, ovšem takové spojení můţe být vyuţito prakticky pouze v jedné místnosti, a sice v rámci sdíleného připojení k Internetu přes počítač
13
vyuţívající jiný typ připojení k Internetu. Technologie této kategorie tedy nejsou příliš vhodné pro zprostředkování Internetového připojení. Tato skupina tedy slouţí především k propojování zařízení (např. mobilního telefonu či PDA) mezi sebou, primárně v seskupení označovaném jako reţim ad-hoc, coţ znamená,
ţe
jednotlivé
koncové stanice komunikují přímo mezi sebou
bez jakéhokoliv prostředníka. V této kategorii bezdrátových sítí jsou v současnosti vyuţívány především technologie Bluetooth, IrDA, atd. Bluetooth: Bluetooth je průmyslová specifikace pro bezdrátovou osobní oblast sítí. Bluetooth můţe vyměňovat informace mezi mobilními telefony, laptopy, tiskárnami, digitálními kamerami a dalšími prostředky. IrDA: „Definuje fyzické specifikace pro komunikační protokol pro
krátký rozsah
a vyměňování informací přes infračervený paprsek.“ [21] Bezdrátové místní sítě (Wireless Local Area Network) Do této skupiny patří standard Wi-Fi, normalizovaný Institucí IEEE ve skupině 802.11, který byl vyvinut za účelem nahrazení do té doby pouţívaných „drátových“ sítí s cílem dosaţení vyšší vnitřní mobility v podniku a současně odstranění leckdy obtíţně instalovatelné síťové kabeláţe. Wi-Fi: Standard
pro
lokální
bezdrátové
sítě
(Wireless LAN, WLAN), vychází
ze specifikace IEEE 802.11. „Wi-Fi
je
bezdrátová
technologie
na
bázi
mikrovlnného
spojení.
Tato
technologie využívá bezlicenčního frekvenčního pásma, proto je ideální pro budování levné, ale výkonné sítě bez nutnosti pokládky kabelů. Uživatelé tak spolu mohou komunikovat, sdílet data, dělit se o připojení k Internetu nebo spolu hrát počítačové hry, a to vše bezdrátově.“ [15] Bezdrátové metropolitní sítě (Wireless Metropolitan Area Network) Tato kategorie je navrţena pro bezdrátový přenos v rámci metropolitní oblasti. V současnosti je tato kategorie nejčastěji zastoupena prudce se rozrůstající technologií označenou jako WiMax, institucí IEEE, která je díky moţnosti přenosu dat bez nutnosti přímé viditelnosti i
většímu
dosahu
daleko
vhodnější , neţ výše
zmiňovaná technologie Wi-Fi a ideálně můţe být pouţívána i institucemi jako jsou školy apod. WiMax: Standard pro bezdrátovou distribuci dat zaměřený na venkovní sítě, tedy jako doplněk k Wi-Fi chápanému jako standard pro vnitřní sítě.
14
Bezdrátové rozsáhlé sítě (Wireless Wide Area Network) Tato skupina se od ostatních liší tím, ţe má vyšší dosah bezdrátového přenosu dat a vyuţívá infrastruktury mobilních operátorů. Technologie z této skupiny nabízejí dosaţení nejvyšší mobility. „V této kategorii bezdrátových sítí jsou v současnosti v České Republice využívány
především
mobilní síť
GSM
(s
technologiemi
GPRS
a
EDGE), ale
i rozrůstající se síť UMTS či síť CDMA2000.“ [14] GPRS: GPRS je zkratka pro General Packet Radio Service (rádiový přenos datových paketů).
Tento standard
umoţňuje
připojení na principu přepojování
paketů
v mobilních sítích. Celková dostupná šířka pásma technologie GPRS lze okamţitě přidělit uţivatelům, kteří aktuálně odesílají data, poskytnout vyšší vyuţití v porovnání s uţivateli, kteří data odesílají a přijímají pouze příleţitostně. Poskytuje
vysoko-
rychlostní mobilní přístup a připojení k mobilní síti s moţností připojení k Internetu. EDGE: „EDGE (Enhanced Data Rates for Global Evolution) je technologie poskytující vysokorychlostní připojení pro mobilní zařízení. Jedná se o globální standard pro bezdrátovou širokopásmovou datovou komunikaci, kterou stále častěji používají operátoři sítí GSM na celém světě.“ [20] UMTS: „UMTS je
jedna
pro širokopásmové sítě
z
hlavních technologií, která se v současnosti používá
WWAN.“ [20]
Podle dosahu se bezdrátové sítě dělí na: - bezdrátové osobní sítě (WPAN) dosah do 10 metrů - bezdrátové lokální sítě (WLAN) – dosah do 100 metrů - bezdrátové metropolitní sítě (WMAN) – dosah do 50 km - bezdrátové rozlehlé sítě (WWAN) – dosah 100 km a více
Obrázek č. 1: Přehled rozdělení bezdrátových sítí [14]
15
1.5. Architektury počítačových sítí Technické prostředky, které vytvářejí spojení a výměnu dat mezi počítači je síťová
architektura. Umoţňuje uţivatelům komunikaci podle určitých pravidel,
za účelem sdílení vyuţívání společných zdrojů nebo výměny zpráv. Na začátku budování sítí se objevovala snaha o vytvoření univerzálního konceptu sítě. V oblasti počítačových sítí pracovalo několik nezávislých světových firem,
jako
je
například
IBM,
odborníci
z oblasti
informačních
systémů,
telekomunikací a mezinárodních standardizačních komisí (ISO, IEEE, apod.), proto postupem času vzniklo několik architektur. Za všechny uvádím ty nejpouţívanější: OSI – architektura, která slouţí pro komunikaci tzv. otevřených systémů, TCP/IP – architektura, která slouţí pro heterogenní počítačové sítě.
1.5.1. Architektura OSI Referenční model OSI obsahuje sedm vrstev (Obrázek č. 2), které definují funkci datových komunikačních protokolů. Kaţdá vrstva OSI modelu představuje určitou funkci, která se provádí při přenosu dat mezi spolupracujícími aplikacemi po existující síti. Na obrázku vidíte názvy všech vrstev. Kvůli tomuto vzhledu se celá struktura často nazývá zásobník nebo protokolový zásobník.
Obrázek č. 2: Schéma referenčního modelu OSI Jedna vrstva nedefinuje jeden protokol, definuje obecné datové komunikace, které mohou být prováděny řadou protokolů, proto můţe kaţdá vrstva obsahovat několik protokolů. „Každý
protokol
komunikuje
se
svým
partnerem.
Partner
představuje
implementaci stejného protokolu v ekvivalentní vrstvě na vzdáleném systému, například lokální protokol pro přenos dat je partnerem vzdáleného protokolu
16
pro přenos dat. Aby mohla komunikace fungovat, musí být standardizována komunikace na úrovni partnerů. Obecně řečeno, každý protokol se stará pouze o komunikaci se svým partnerem.“ [5] Dále musí však existovat dohoda, jak na jednom počítači bude probíhat předávání dat mezi jednotlivými vrstvami. Realizaci provádí kaţdá vrstva, zaslání dat probíhá z lokální aplikace do odpovídající vzdálené aplikace. Vyšší vrstvy spoléhají na niţší vrstvy, které zajistí přenos dat po fyzické síti. Zásobníkem se předávají data z jedné vrstvy do druhé, aţ do té doby, neţ dojde prostřednictvím protokolů fyzické vrstvy k jejich přenosu. Vzhůru k přijímací aplikaci se data předávají zásobníkem na vzdáleném konci. Ţádná vrstva nepotřebuje vědět, jak pracuje vrstva nad ní nebo pod ní. Vrstvy potřebují vědět jen to, jak se jim mají data předat. Rozdělení funkcí síťové komunikace na jednotlivé vrstvy minimalizuje dopad technologických změn na celý protokolový systém. Bez změny fyzické vrstvy mohou být přidány nové aplikace.
Bez této změny
můţeme
také
nainstalovat
nový
síťový hardware
a nemusíme přepisovat aplikační software. OSI model je uţitečný. Protokoly TCP/IP nesledují jeho strukturu do detailů, proto popisujeme jednotlivé vrstvy takto: Fyzická vrstva Fyzická vrstva se definuje jako hardware, který je nutný pro přenos datového signálu. V této vrstvě se definují takové věci jako je úroveň napětí či počet a umístění kolíků na konektorech. „Fyzická vrstva umožňuje přenos jednotlivých bitů komunikačním kanálem bez ohledu
na
jejich
význam. Zabezpečuje
také
synchronizaci
fyzického vysílače
a přijímače. Vrstva rovněž předepisuje požadované vlastnosti přenosu média, mechanické a elektrické charakteristiky rozhraní.“ [12] Linková vrstva Spolehlivé doručení dat zajišťuje linková vrstva. Doručení zajišťuje po základní fyzické vrstvě. V linkové vrstvě vytváří TCP/IP protokoly jen velmi zřídka. „Linková vrstva dohlíží na vlastní přenos paketů. Jsou zde kontrolovány kontrolní součty jednotlivých paketů a ty jsou zde duplikovány. V této vrstvě se obvykle drží kopie jednotlivých paketů až do okamžiku, kdy je bezchybný přenos paketu následující mezistanicí potvrzen. V případě chybného přenosu paketu musí tato vrstva zabezpečit jeho opětovné vyslání a je v ní také hlídána možná duplicita přijatých paketů.“ [3] Síťová vrstva Správcem spojení po síti a izolace mezi protokoly vyšších vrstev od detailů o fyzické síti je síťová vrstva. Jako síťová vrstva se v TCP/IP obvykle označuje
17
Internet Protocol (IP). Tento protokol izoluje vyšší vrstvy od základní sítě, zajišťuje adresaci a doručení dat. Síťová vrstva vybírá optimální cesty, po kterých bude zpráva přenášena k cílové stanici. Všechny síťové stanice mají společné síťové médium u jednoduchých lokálních sítí. Transportní vrstva Transportní vrstva se stará o ochranu přenášených dat. Data jsou v této vrstvě rozdělena do paketů. V této vrstvě se vytvářejí kontrolní součty pro kontrolu správnosti přenosu. „V referenčním modelu OSI zajišťuje transportní vrstva to, že příjemce dostane data v přesně stejné podobě, v jaké byly poslány.“ [5] Relační vrstva Relační
vrstva
zajišťuje
zabezpečení
spojení
mezi
síťovými
stanicemi.
Rozhoduje se o tom, jakým způsobem bude spojení realizováno. Relační vrstva nepředstavuje v protokolové hierarchii TCP/IP samostatnou vrstvu. V OSI spravuje relační vrstva tzv. relace (spojení) mezi spolupracujícími aplikacemi. Prezentační vrstva Prezentační vrstva obsahuje zprávu, která je zaznamenána v aplikační vrstvě. V této vrstvě je zpráva převedena do formy, která je vhodná pro přenos a je srozumitelná
pro
cílový
počítač. V
této
vrstvě
se
také
provádí komprese
a překódování dat. „V prezentační vrstvě je zpráva, zaznamenaná v aplikační vrstvě, převedena do formy vhodné pro přenos a srozumitelné pro cílový počítač a je-li nutné, provádí se zde také komprese a překódování dat. K takto zpracované zprávě je opět připojena hlavička s údaji o použité kompresní a kódovací metodě a o použité formě zápisu dat.“ [3] Aplikační vrstva V aplikační vrstvě se vyskytují uţivatelem řízené síťové procesy. V protokolové hierarchii je aplikační vrstva určitá úroveň. TCP/IP aplikace představuje určitý proces, který se vyskytuje nad transportní vrstvou. Na této úrovni jsou zahrnuty všechny procesy, s nimiţ uţivatel přímo komunikuje a všechny ostatní procesy, o které se uţivatel nemusí nutně starat.
1.5.2. Architektura TCP/IP Neexistuje ţádná obecně platná dohoda o popisu TCP/IP pomocí vrstev. Model TCP/IP se povaţuje za sloţený z méně vrstev, neţ model OSI, který je sloţený ze sedmi vrstev. Porovnání vidíme na obrázku č. 3. Většina popisů TCP/IP definuje
18
protokolovou architekturu pomocí
tří
aţ
pěti
funkčních
úrovní.
Čtyřúrovňový
model na obrázku je zaloţen na třech vrstvách (aplikační, transportní a síťové).
Obrázek č. 3: Porovnání modelu TCP/IP a referenčního modelu OSI Stejně jako v modelu OSI, i v tomto modelu jsou vysílána data předávána zásobníkem shora dolů a zdola nahoru při příjmu předávaných dat. Čtyřvrstvová struktura TCP/IP reprezentuje způsob manipulace s daty při průchodu protokolovým zásobníkem od
aplikační
vrstvy
aţ
po
základní
fyzickou síť.
Kaţdá vrstva
na zásobníku přidává k datům řídící informace, které zajišťují jejich správné doručení. Řídící informace jsou tzv. hlavičky, protoţe se přidávají na začátek vysílaných dat. Kaţdá
vrstva
chápe
informace,
které obdrţí z vyšší vrstvy, jako prostá data
a na začátek informace vţdy doplní svou vlastní hlavičku. Doplnění doručovaných informací v kaţdé vrstvě se nazývá zapouzdření. Opačný postup se dělá při příjmu dat. Kaţdá vrstva odřízne svou hlavičku a poté předá data podřízené vrstvě. Zásobníkem přecházejí informace, které jsou převzaté z niţší vrstvy. Tyto informace se nazývají jako hlavička a data. Nyní podrobněji popíši činnosti jednotlivých vrstev, začnu nejniţší vrstvou síťovou aţ k nejvyšší vrstvě aplikační. Síťová vrstva Síťová vrstva je nejniţší vrstvou v protokolové hierarchie TCP/IP. V této vrstvě jsou prostředkem protokoly, které systémem doručují data jiným zařízením na přímo připojené síti. V této vrstvě je
definován způsob, jakým se po síti přenášejí IP
datagramy. Na rozdíl od vrstev na vyšší úrovni musí protokoly síťové vrstvy znát detaily o síti, aby byly schopny data naformátovat tak, aby vyhovovala poţadavkům sítě. Tato vrstva TCP/IP můţe zahrnovat funkce tří vrstev referenčního modelu OSI (síťové, linkové a fyzické).
19
Hlavním rysem modelu TCP/IP je jeho adresovací schéma. Toto schéma je schopné jednoznačně identifikovat kaţdý prostředek na Internetu. Tyto IP adresy musí být změněny na příslušné adresy konkrétní fyzické sítě, po které se datagram přenáší. Internetová vrstva Internetová vrstva
leţí
v protokolové
hierarchii nad síťovou vrstvou.
Pro doručování paketů slouţí IP, které poskytuje základní sluţbu. Na této sluţbě jsou vystavěny TCP/IP sítě. Všechny protokoly ve vrstvách nad i pod IP pouţívají k doručování dat právě protokol IP. Všechny toky dat v TCP/IP, buď příchozí nebo odchozí, vedou vţdy přes IP. A to bez ohledu na jejich konečné určení. „Internetový protokol je základním stavebním kamenem Internetu. Jeho funkce zahrnují: - definice datagramu, což je základní přenášená jednotka v Internetu, - definice internetového adresovacího schématu, - přenos dat mezi síťovou vrstvou a transportní vrstvou, - směrování datagramů na vzdálené cíle, - zajištění fragmentace a složení datagramů.“ [5] Transportní vrstva Protokolová vrstva přímo nad internetovou vrstvou je transportní vrstva. Mezi nejdůleţitější protokoly transportní vrstvy patří Transmission Control Protocol (TCP) a User Datagram Protocol (UDP). Protokol TCP poskytuje spolehlivé doručení dat a opravou chyb. Protokol UDP poskytuje jednoduchou doručovací sluţbu bez navazování spojení. Tyto dva protokoly přenášejí data mezi aplikační vrstvou a internetovou vrstvou. Aplikační vrstva Aplikační vrstva je nejvyšším stupněm protokolové architektury TCP/IP. Tato vrstva zahrnuje všechny procesy, které zajišťují doručení dat. V této vrstvě existuje řada aplikačních protokolů. Většina aplikačních protokolů zajišťuje uţivatelské sluţby. Vrstva se neustála rozrůstá o nové sluţby. „Mezi nejznámější a nejčastěji implementované protokoly patří následující: - TELNET (Network Terminal Protocol) – zajišťuje vzdálené přihlášení přes síť, - FTP (File Transfer Protocol) – používaný pro interaktivní přenos souborů, - SMTP (Simple Mail Transfer Protocol) – doručující elektronickou poštu.“ [5] „FTP, SMTP a TELNET představují nejčastěji implementované TCP/IP aplikace. Mezi ostatní často používané TCP/IP aplikace patří následující: - Domain Name Service (DNS) – rovněž se někdy označuje jako name service. Tato aplikace mapuje IP adresy na jména přiřazená siťovým zařízením,
20
- Routing Information Protocol (RIP) – směrování představuje významnou část funkce TCP/IP. Protokol
RIP používají
síťová
zařízení
k výměně směrovacích
informací, - Network File System (NFS) – tento protokol umožňuje sdílení souborů mezi různými zařízeními na síti.“ [5] Některé protokoly, jako například TELNET nebo FTP, můţeme pouţít jen v tom případě, ţe uţivatel má nějaké znalosti o síti. Ostatní protokoly, mezi které patří například RIP, pracují tak, aby o jejich činnosti uţivatel nevěděl. Závěr k této kapitole: V této kapitole se čtenář dočetl o tom, jaké jsou definice počítačové sítě. Některé zdroje uvádějí různé moţnosti definování počítačových sítí. Také se zde čtenář dozvěděl jak počítačové sítě vznikly, jaký byl jejich vývoj a význam. Podrobněji bylo popsáno rozdělení bezdrátových počítačových sítí, kde se čtenář dočetl například o tom co je GPRS, Bluetooth, WiMax atd. V závěru této kapitoly je popsán rozdíl mezi architekturou počítačových sítí OSI a TCP/IP.
21
2. Základní technologické charakteristiky Wi-Fi sítí V kapitole Základní technologické charakteristiky Wi-Fi sítí se dočtete o tom co vlastně je Wi-Fi, jaký byl historický vývoj. Dále popisuji jednotlivé protokoly IEEE, porovnání rychlostí. V další části popisuji jaké jsou základní komponenty, jako je distribuční systém, přístupový bod, přenosové médium a klient. Dále píši o síťových komponentech, jako jsou opakovač, most, přepínač, směrovač a brána. V další části popisuji WLAN. Zde se dozvíte informace o WEP, protokol IEEE 802.1x, WPA, jejich porovnání.
V této
kapitole
se
také
dočtete o zabezpečení, co je autentizace,
open-system autentizace, a shared key autentizace. Také popisuji zabezpečení sítě Wi-Fi, jaké jsou reálné hrozby, jaké jsou obranné kroky a seznámení s firewally.
2.1. Úvod do Wi-Fi „Wi-Fi je technologie, která se objevila dost neočekávaně a následně poměrně rychle rostla, což je dáno zejména její nenákladností a dokonalým naplněním běžných potřeb. Původně bylo Wi-Fi jen zajímavou alternativou pro bezdrátové připojení notebooku k síti využívající rádiové spektrum, za které se nemusí platit.“ [4] V současné době Wi-Fi stále roste. Je lepší, bezpečnější a rychlejší. Uţivatelé chtěli vyšší zabezpečení a zlepšení vzájemné spolupráce zařízení.
2.1.1. Co je to Wi-Fi „Wi-Fi je standard pro lokální bezdrátové sítě (Wireless LAN, WLAN) a vychází ze specifikace IEEE 802.11. Název původně neměl znamenat nic, ale časem se z něj stala slovní hříčka vůči Wi-Fi (tzn. analogicky k high fidelity – vysoká věrnost), která by se dala chápat jako zkratka k wireless fidelity (bezdrátová věrnost).“ [25] Cílem Wi-Fi sítě bylo, aby zajišťovala vzájemné bezdrátové propojení přenosných zařízení a připojování na lokální sítě LAN. Později byla pouţita k bezdrátovému
připojení
do
sítě
Internet
v
rámci
rozsáhlejších
lokalit
a tzv. hotspotů. V dnešní době se Wi-Fi pouţívá prakticky ve všech přenosných počítačích a v některých mobilních telefonech. Bezlicenční pásmo, které se pouţívá, mělo úspěch. Bezlicenční pásmo má i negativní důsledky ve formě silného narušení příslušného frekvenčního spektra a bezpečnostních incidentů. Wi-Fi (Wireless Fidelity) je bezdrátová, síť určená primárně k náhradě kabelového ethernetu v bezlicenčním pásmu, které je dostupné prakticky v celém civilizovaném světě.
22
Hlavní výhodou této technologie je její nízká cena, způsobená mimo jiné tím, ţe certifikovaná zařízení jsou k dispozici ve velkých sériích. Protoţe poţadavky na certifikaci zařízení
jsou
běţně
dostupné a norma 802.11b dokonce volně
k dispozici na webu, existují řádově desítky (moţná jiţ stovky) různých výrobců.
2.1.2. Historický vývoj Wi-Fi vychází ze standardu IEEE 802.11, který se dříve nazýval bezdrátový ethernet. Je to technologie pro bezdrátové sítě. Wi-Fi vznikla v roce 1985. Vývoji pomohl americký regulátor FCC (Federal Communication Commission), který povolil uvolnění tří frekvenčních pásem pro bezlicenční pouţití. Do této doby se mohli některé frekvence vyuţívat jen s individuálním povolením FCC. Na tato pásma se vztahují určité podmínky. Mezi podmínky patří nepřekročení maximálního vysílacího výkonu a pouţití širokopásmových řešení, které fungují na principu rozprostření frekvenčního spektra. Tyto podmínky jsou z důvodu ochrany ţivotního prostředí.
2.1.3. IEEE standardy IEEE 802.11 je Wi-Fi standard s dalšími doplňky pro lokální bezdrátové sítě (Wireless LAN, WLAN). Výraz 802.11x se pouţívá pro mnoţinu doplňků. „Standard 802.11 zahrnuje šest druhů modulací pro posílání radiového signálu, přičemž všechny používají stejný protokol. Nejpoužívanější modulace jsou definované v dodatcích k původnímu standardu s písmeny a, b, g. 802.11n přináší další techniku modulace. Původní zabezpečení bylo vylepšeno dodatkem i. Další dodatky (c–f, h, j) pouze opravují nebo rozšiřují předchozí specifikaci.“ [26] Standardy 802.11b a 802.11g pouţívají 2.4 GHz pásmo. Zařízení můţe pronikat s mikrovlnnými troubami, bezdrátovými telefony, s Bluetooth a dalšími zařízeními. Přehled všech standardů spolu s rokem vydání, pásmem a maximální rychlostí vidíme na obrázku č. 4.
Obrázek č. 4: Přehled standardů IEEE 802.11 [25]
23
IEEE 802.11a Standard vyuţívá Wi-Fi v pásmu 5 GHz. Tento standard a
je
stabilnější
vyspělejší neţ standard IEEE 802.11b a IEEE 802.11g. Má i větší vyzařovací
výkon, který můţeme pouţít pro delší vzdálenosti. IEEE 802.11b Tento standard se zabývá definicí bezdrátového komunikačního standardu, který se nazývá Wi-Fi. Od roku 1999 navyšuje tento standard přenosovou rychlost na 11 Mbit/s v přenosovém pásmu 2,4 GHz. IEEE 802.11g Standard vysílá ve stejném frekvenčním pásmu 2400 – 2485 MHz. Maximální rychlost je 54 Mbit/s, to odpovídá přenosům o velikosti 25 Mbit/s. IEEE 802.11n IEEE
802.11n
je
Wi-Fi standard, který má za cíl upravit fyzickou vrstvu
a podčást linkové vrstvy. Maximální fyzická rychlost můţe být aţ 600 Mbit/s při MAC rychlosti aţ 400Mbit. IEEE 802.11y Doplněk, který by měl umoţnit vyuţití pásma 3650 – 3700 MHz v USA.
2.1.4. Porovnání rychlostí Porovnání rychlostí většiny bezdrátových standardů je zobrazeno na obrázku č. 5. Do schémy je zahrnuta i odhadovaná reálná propustnost 802.11b i teoretické maximum tohoto standardu.
Obrázek č. 5: Porovnání rychlostí bezdrátových standardů [4]
2.2. Základní komponenty Kaţdá
bezdrátová
síť
standardu
komponent: - distribuční systém - access point (přístupový bod) - přenosové médium - klient
24
802.11
se
skládá
z
čtyř
základních
Distribuční systém je Wi-Fi síť, které obsahují několik access pointů (AP), umoţňují pohyb klientů mezi těmito AP bez ztráty spojení. Pro toto je nutná komunikace mezi AP v síti. Tato komunikace je realizována přes distribuční systém. Většinou se pouţívá Ethernet, ale ve standardu 802.11 není médium definováno. Můţeme pouţívat i jinou technologii. Přístupový bod je přemostění kabelové a bezdrátové sítě je hlavní funkcí. Další funkce,
které
poskytuje,
jsou
definované
standardem
802.11
nebo
předané
výrobcem. Klient se musí připojit k AP a projít autentizací. Přenosové médium slouţí k přenosu dat. V kabelových sítích je médiem kabeláţ. V bezdrátových sítích se data přenášejí vzduchem. Bezdrátové sítě fungují i ve vakuu. Tady jsou médiem rádiové frekvence. Norma 802.11 definuje dvě frekvence (2,4 a 5 GHz), po kterých se přenáší data mezi klienty apod. Data se mohou přenášet i mezi dvěma a více. Mezi klienty ve Wi-Fi sítích patří stolní počítače, notebooky, PDA a mobilní telefony. V současné době se v zámoří šíří trend vyuţívat Wi-Fi pro spojení se spotřebiči v domácnosti. Například tzv. chytrá chladnička, která monitoruje stav potravin a přes Wi-Fi předává informace centrálnímu počítači.
2.3. WLAN WLAN umoţňuje uţivatelům podnikových sítí volný pohyb mezi kancelářemi bez přerušení jejich připojení k podnikovým síťovým prostředkům. Týká se to zejména datové komunikace, ale také stále častěji i hlasové komunikace.
2.3.1. WEP Pro 802.11b je protokol WEP volitelným doplňkem. Protokol WEP pracuje jako doplněk pro řízení přístupu k síti a zabezpečení přenášených dat. WEP byl určený pro dosaţení bezpečnosti komunikace v bezdrátové síti, která odpovídá bezpečnosti v tradičních LAN, ale ve výsledku tato očekávání nesplnil. Pro autentizaci a pro šifrování se WEP nemusí pouţívat. Pro autentizaci a šifrování jej můţeme provést jinými metodami, je to vhodné vzhledem k slabinám autentizace WEP. WEP pouţívá symetrický postup, tedy pro šifrování a dešifrování se pouţívá stejný algoritmus i stejný klíč. Autentizace se provádí otevřeně (open system) nebo pomocí sdíleného klíče (shared key). „WEP používá dva druhy sdílených klíčů: - relační klíč
–
na
ochranu
jedinečně adresovaného provozu (unicast) mezi
klientem a AP a současně na ochranu provozu skupinového a všeobecného (multicast a broadcast) od klienta směrem k AP,
25
- skupinový/globální klíč – na ochranu skupinového provozu od AP ke všem připojeným bezdrátovým klientům.“ [9]
2.3.2. IEEE 802.1x Obecný bezpečnostní rámec pro LAN je IEEE 802.1x. Tento protokol zahrnuje autentizaci uţivatelů, integritu zpráv a distribuci klíčů. Autentizace se v případě WLAN realizuje na úrovni logických portů přístupového bodu. Cílem protokolu je blokování přístupu k segmentu lokální sítě pro neoprávněné uţivatele, slouţí také jako transport na spojové vrstvě pro zprávy autentizačního protokolu vyšší vrstvy. Protokol 802.1x umoţňuje dynamické generování klíčů. Toto generování je vůči uţivatelům transparentní a nahrazuje jinak časově náročnou a potenciálně nebezpečnou distribuci šifrovacích klíčů. Hrubou sílu nemůţeme pouţít na rozlomení tohoto dynamického klíče.
2.3.3. WPA „WPA představuje podmnožinu prvků 802.11i. Volily se ty prvky, které nevyžadovaly změny v hardwaru, takže modernizace většiny zařízení šla provést pouze prostřednictvím softwarových změn. Proto také WPA používá stejný šifrovací mechanismus jako WEP. Nicméně protokol použitý ve WPA (TKIP) má kvůli své vyšší složitosti určitý vliv na výkonnost zařízení.“ [9] Pro řešení nedostatků WEP je určen protokol TKIP. Tento protokol má funkci dynamického
regenerování klíčů,
kontroly
integrity zpráv a číslování paketů
na ochranu proti útokům.
2.3.4. 802.11i 802.11i je velice podobný WPA. Tento protokol doplňuje nové prvky jako protokol CCMP s šifrováním podle AES, volitelnou předběţnou autentizaci, která umoţňuje rychlý a bezpečný roaming mezi přístupovými body s minimalizací zpoţdění. Nad
těmito
protokoly TKIP nebo CCMP pracuje 802.1x, starající se
o robustní autentizaci a správu klíčů. Tento protokol nabízí dvojí reţim pro autentizaci, PSK a 802.1x. Autentizace probíhá oboustranně. Pro docílení co nejvyšší náhodnosti pro PSK, definuje se funkce pro generování PSK z PMK.
26
2.3.5. Porovnání WEP, WPA a WPA2 Odolnost všech vývojových stupňů bezpečnostního řešení, které jsou dnes k dispozici pro WLAN, vůči různým typům útoků na podnikové sítě. Na obrázku č. 6 vidíme porovnání
zabezpečení
WEP, WPA
a
WPA2
v porovnání
s autentizací,
šifrováním a moţnými útoky.
Obrázek č. 6: Porovnání WEP, WPA a WPA2 [9]
2.4. Ad-hoc sítě „Wi-Fi síť, která neobsahuje žádný přístupový bod, je známa jako ad-hoc Wi-Fi síť. Aby se zařízení mohla připojit k síti, musí být nakonfigurována pro komunikaci v ad-hoc režimu. V ad-hoc sítích spolu komunikují jednotlivé stanice přímo (bez prostředníka) jedná se tedy o peer-to-peer sítě. Tento způsob se ale hodí pouze pro různé nárazové akce nebo pro opravdu velmi malé sítě, jednotlivá zařízení spolu musí být v rádiovém dosahu.“ [27] V počítačových sítích je autentizace velmi obtíţně proveditelná, protoţe vzhledem k chybějící infrastruktuře je obtíţné identifikovat uţivatele. Jsou zde problémy s
mechanismy důvěryhodné třetí strany a mechanismy zaloţenými
na identitě pro dohodu o klíčích.
27
2.5. Zabezpečení 2.5.1. Autentizace Autentizace podle standardu 802.11 je jednosměrný proces. Stanice musí ţádat o autentizaci, aby jí byl umoţněn přístup. Přístupový bod se vůči stanici autentizovat nemusí. Toto pomáhá útočníkům v realizaci útoku. To je vloţení falešného přístupového bodu mezi stanice a skutečný přístupový bod. Jaké tedy
moţnosti
máme
autentizace stanic? Buď ponecháme otevřený systém, ve kterém
můţe být kaţdá stanice autentizována, nebo pouţijeme WEP, který nám poskytuje autentizaci pomocí tajného klíče.
2.5.2. Open-system autentizace Metoda open-system funguje tak, ţe AP přijme stanici na základě údajů, které mu stanice poskytne, ale AP je nijak neověřuje. Stanice posílá údaje o sobě, identifikaci v podobě SSID (Service Set Identifier). V okamţiku, kdy AP vysílá své SSID, můţe kaţdá stanice v dosahu, která není nastavená na svoje SSID, přijmout SSID přístupového bodu. Za pomoci takto získaného SSID můţe stanice vstoupit do sítě. Je tedy dobré vysílání SSID vypínat a zabránit tak přístup do sítě uţivatelům, kteří neznají SSID přístupového bodu.
2.5.3. Shared-key autentizace Při pouţití autentizace sdíleným klíčem se musí v síti také pouţívat WEP. Je vyţadováno standardem 802.11, aby zařízení s WEP mohlo pouţívat shared-key autentizaci. Základem této metody je klíč známý všem zařízením v síti. Stanice se při autentizaci musí prokázat tímto klíčem, který přístupový bod klíč ověří. Pokud klíč souhlasí, je teprve stanice autentizována. Ověření spočívá v tom, ţe AP generuje náhodné číslo, které pošle stanici. Stanice zakóduje toto náhodné číslo pomocí sdíleného klíče. Přístupový bod pak zprávu dekóduje – pokud se dekódované číslo rovná odesílanému číslu, je zařízení autentizováno. Metoda sdíleného klíče se však v praxi příliš neprosadila. Není zcela vyřešena bezpečná distribuce a obměna sdíleného klíče (stejně jako v případě WEP). Metoda shared-key otevírá malá bezpečnostní dvířka, protoţe dokáţeme odposlechnout vygenerovaný text a poté jeho zašifrovanou podobu. Derivovat klíč, pokud známe původní a šifrovanou podobu zprávy, je totiţ mnohem snazší. Takţe je paradoxně bezpečnější vyuţití standardního mechanismu ověřování klienta přístupovým bodem (Open Key Authentication), při kterém se ţádné autentizační údaje nepředávají. Autentizace je jednoduše zajištěna tím, ţe AP i klient mají stejný šifrovací klíč.
28
2.6. Zabezpečení sítě Wi-Fi Sítě Wi-Fi jsou velmi pohodlné, krásně se s nimi pracuje a velmi jednoduše se vytvářejí. Provozování bezdrátové sítě ale také představuje značné bezpečnostní riziko.
2.6.1. Reálná podoba hrozby Kdyţ
porovnáme
bezdrátovou
síť
s konvenční
kabelovou
sítí,
jsou
bezpečnostní rizika v obou případech stejná, aţ na jeden zásadní rozdíl. Rozdílem je skutečnost, ţe bezdrátová síť nenabízí ţádné fyzické zajištění. Bezdrátovou síť můţe sledovat kdokoliv. Pro sledování provozu na kabelové síti potřebujeme získat fyzický přístup ke komunikačním kabelům. Další problém je v tom, ţe výchozí nastavení bezdrátového přístupového bodu a směšovače jen zajistí spuštění a fungování sítě Wi-Fi. Neprovede vás procesem rozšíření sítě o bezpečnostní prvky, jako je šifrování. Odhady říkají, ţe aţ 80% sítí Wi-Fi běţí bez zapnutých bezpečnostních prvků. Je-li vaše síť Wi-Fi zcela nezabezpečená, někdo v dosahu vysílání vašeho přístupového bodu, ale pravděpodobně mimo vaše fyzické místnosti, se můţe stát uzlem sítě. To se někdy označuje za průnik. Jako uzel (neboli klient) vaší sítě můţe onen útočník přistupovat k souborům na síti. Přístup k souborovým systémům v počítačích znamená více, neţ ţe je jenom můţe číst. Útočník můţe smazat celý váš systém. Tento útočník můţe v závislosti na vašem nastavení změnit dokonce i nastavení správy sítě. Mohl by vás tak odříznout od vaší vlastní sítě. Pokud nezměníte heslo svého přístupového bodu, můţe si útočník otevřít jeho stránku správy, tedy za předpokladu, ţe vaše zařízení pouţívá webovou správu. Pak můţe změnit nastavení tak, ţe naruší další aplikované bezpečnostní prvky.
2.6.2. Obranné kroky „Prostředky, které by měl aplikovat každý správce sítě Wi-Fi: - změnit výchozí bránu SSID neboli název sítě, - zrušit
vysílání
SSID.
Když nebudete vysílat svůj identifikátor SSID, bude
pro útočníka obtížnější přihlásit se k vaší síti, - implementovat šifrování WEP, - změnit výchozí heslo aplikace správy přístupového bodu, - zapnout firewall v nastavení směšovače, - zajistit běh antivirového softwaru na všech síťových počítačích a přibližně týdenní aktualizaci
definic
virů.
Tato
věc
souvisí
s obecnou
ochranou
zabezpečením sítě Wi-Fi, je to ale věc skutečně důležitá.“ [4]
29
sítě,
než
se
2.7. Seznámení s firewally Firewall je program, který chrání vaše prostředky filtrováním síťových paketů. Firewally mohou běţet jako součást jiného softwaru. Například kombinované zařízení přístupového bodu Wi-Fi a směšovače nabízí formu firewallu. Firewally mohou také na počítačích běţet jako samostatné programy. Firewally dovolují správcům sítě stanovit, kteří klienti v síti mohou přistupovat k síťovým prostředkům a které porty mohou být vyuţívány z vnějšku pro přístup k síti. Síťový port je logický koncový bod na síti. Číslo portu určuje druh provozu vyuţívající daný port. Softwarový firewall Integrovaný v operačním systému nebo jej můţeme stáhnout jako software z webových portálů. Mezi kvalitnější firewally patří Outpost Firewall, Comodo Firewall, Sunbelt Personal Firewall, FortKnox Personal Firewall a nakonec i takové, které jsou integrovány do antivirových programů jako například NOD32. Softwarový firewall není tak účinný jako hardwarový. Hardwarový firewall Tento způsob obrany je účinnější, ale neumí automaticky pracovat se softwarem, který máme v počítači. Základní prvky hardwarového firewallu jsou filtry na domény, filtry na příchozí/odchozí spojení, blokování, kontrola MAC adres a další specifická
nastavení
jako
povolení/zakázání
vzdálené
administrace
routeru,
povolení/zakázání reakce na PING, která uţ záleţí na výrobci routeru.
Závěr k této kapitole: V úvodu této kapitoly jsou uvedeny základní definice o Wi-Fi a její historický vývoj. Dále jsou popsány jednotlivé standardy IEEE a porovnání rychlostí jednotlivých standardů IEEE. Další část této kapitoly obsahovala popis základních komponentů v počítačových sítích. Tato kapitola obsahuje porovnání jednotlivých moţností zabezpečení
jako je WEP, WPA a WPA2. Je zde také popsáno co je autentizace,
open-systém autentizace a shared key autentizace. V závěru této kapitoly je seznámení s firewally a jejich rozdělením.
30
3. Bezpečnosti bezdrátové komunikace V kapitole o Bezpečnosti bezdrátové komunikace uvádím jakou ochranu sítě vyţaduji, co je bezpečnostní politika. Dále píši o šifrování, jaké jsou přístupy k šifrování. V další části uvádím informace o tom, co jsou virtuální privátní sítě a útoky na bezpečnost sítě. Dále píši o bezpečnosti bezdrátové komunikace. V této části se dočtete o klasifikaci bezdrátových sítí, vzdáleném přístupu, vysílání SSID, filtraci MAC adres, protokolu WEP, RADIUS serveru a digitálním certifikátu.
3.1. Základní bezpečnost sítě Bezpečnost sítě je vlastně minimalizace zranitelných míst síťových prostředků. Určitou ochranu v síti vyţadují: - informace a data (hesla), - sluţby přenosu a zpracování dat, - zařízení, - uţivatelé. Vlastní
ohroţení
komunikačního
systému
obsahuje
zničení,
poškození,
modifikaci, ukradení či ztrátu informací, případně zdrojů, odhalení soukromé informace, nebo přerušení sluţeb. K těmto ohroţením dochází úmyslně, a to buď zvenčí nebo zevnitř.
3.1.1. Bezpečnostní politika „Bezpečnostní
politika
je
obecně
založena
na
principu
rozpoznání
autorizovaného a neautorizovaného chování. Dohodnutá bezpečnostní politika se implementuje za použití různých mechanismů, které slouží k prevenci, detekci nebo nápravě. Bezpečnostní politika podnikové sítě musí podporovat cíle celého podniku, musí být jasně definovaná jako součást organizačního řízení a odpovědnosti musí být jasně deklarovány. Politiku je třeba také periodicky prověřovat, nejlépe externími zdroji. Současně musí být použité bezpečnostní prostředky i nákladově efektivní, s vědomím, že 100% zabezpečení nelze nikdy dosáhnout. Bezpečnostní politika musí být také naplnitelná a použitelná zaměstnanci, proto při její přípravě musí být brán ohled na potřeby všech podnikových oddělení.“ [9] Mezi bezpečnostní sluţby v sítích patří následující kategorie: -
autentizace (authentication)
– ověření
totoţnosti
druhé strany, se kterou
komunikujeme (druhá strana je tím, kým tvrdí, ţe je), - řízení přístupu (access control) – identifikace uţivatele, která
nám umoţnění
přístup do systému, na jehoţ základě nám je umoţněno přidělení práv,
31
- zajištění utajení a důvěrnosti přenášených dat (data confidentiality a privacy) – ochrana před jakýmkoli únikem informací, například šifrováním, - zabezpečení integrity dat (data integrity) – ochrana proti jakékoli změně dat zabráněním modifikaci, duplikaci nebo zničení posílaných dat, - ochrana proti odmítnutí původní zprávy (nepopiratelnost – nonrepudiation) – snaha o zabránění odesílateli nebo příjemci odmítnout potvrzení o vyslání nebo přijetí zprávy, například pomocí důkazu o původu nebo důkazu o doručení.
3.1.2. Šifrování Existují dva základní přístupy k šifrování: symetricky (soukromým klíčem) a asymetricky (dvěma klíči – soukromým a veřejným).
3.1.2.1. Symetrické šifrování Symetrické šifrování je metoda při níţ dochází pomocí šifrovacího klíček zašifrování nebo odšifrování zprávy. Před komunikací musíme nejdříve druhé straně důvěryhodným způsobem předat šifrovací klíč a údaje o pouţitém algoritmu. Při šifrování soukromým klíčem (private key) musí obě strany pro komunikaci pouţívat stejný klíč. Tento klíč se pouţívá symetricky, a to pro šifrování i dešifrování. Šifrování můţeme pouţít pro autentizaci a pro ochranu dat při přenosu. Při distribuci soukromého klíče je potřeba zajistit bezpečnost přenosu samotného klíče po síti. Z tohoto důvodu se soukromý klíč často mění. I přesto můţe být soukromý klíč uloţen na počítači nebo na čipové kartě a bude to bezpečné. „Příklad šifrování soukromým klíčem: - AES (Advanced Encryption Standard) – délky klíčů 128, 192 nebo 256 bitů se používají na šifrování bloků o délce 128, 192 nebo 256 bitů.“ [9]
3.1.2.2. Asymetrické šifrování Asymetrické šifrování se pouţívá při šifrování pomocí dvou klíčů, a to veřejného a soukromého klíče. Uţivatel si tyto klíče vygeneruje pomocí nějakého softwaru. Kaţdý uţivatel má svůj veřejný a soukromý klíč. Soukromý klíč si kaţdá uţivatel uschová a veřejný klíč můţe posílat dalším uţivatelům. Odesílatel pomocí svého soukromého klíče zprávu zašifruje. S veřejným klíčem (public key) se šifrování provádí asymetricky, kdy data zašifrovaná jedním klíčem lze dešifrovat klíčem druhým. Tyto klíče tvoří jedinečný pár vzájemně klíčů, jeden klíč je pak veřejně dostupný komukoli, zatímco druhý je soukromý. Asymetrické šifrování tedy slouţí k ochraně přenášených dat. Kaţdé dvě stanice mohou bezpečně komunikovat bez předchozího předávání klíčů dvojím šifrováním, soukromým a veřejným klíčem.
32
„Příklad asymetrického šifrování: - RSA – spolehlivost závisí na délce použitého klíče, s delším klíčem se zvyšuje. RSA lze využít jak pro šifrování, tak pro autentizaci. RSA má široké využití v elektronické poště, digitálních podpisech nebo při budování virtuálních privátních sítích.“ [9] Výhodou asymetrického šifrování je jednoduchá správa šifrovacích klíčů, protoţe pro distribuci veřejných klíčů není potřeba zabezpečená komunikace. Soukromý klíč je v bezpečí v systému a sítí se nedistribuuje. Vygeneruje novou dvojici klíčů pro kaţdou novou relaci nebo transakci. Při změně soukromého klíče se vygeneruje odpovídající veřejný klíč. Nevýhodou šifrování veřejným klíčem je sloţitost pouţitého algoritmu. Šifrování soukromým klíčem je o mnoho rychlejší.
3.1.3. Virtuální privátní sítě Virtuální neveřejné (privátní) sítě (VPN – Virtual Private Network) jsou zásadní důleţité pro realizaci bezpečného vzdáleného přístupu. Uţivatelé, kteří se připojují z domova nebo
uţivatelé,
kteří
se připojují na cestách je nutné autentizovat
a autorizovat přístup k prostředkům a k síti. VPN je virtuální sítí. V tomto případě se jedná o komunikační infrastrukturu, pro pouţívání určité organizace, pro kterou je vyhrazena. Ve skutečnosti je tato infrastruktura spojená i s dalšími uţivateli. „VPN můžeme použít pro řešení různých požadavků. Tyto požadavky zahrnují potřebu bezpečně komunikovat přes veřejnou síť, které můžeme popsat takto: - propojení distribuovaných pobočkových intranetů (site-to-site) do jednoho velkého podnikového intranetu, - vzdálený přístup (repote access) – připojení vzdáleného uživatele k podnikovému intranetu, VPN pro vzdálený přístup kladou nároky na řešení autentizace klientů, protože se uživatelé mohou připojovat opravdu odkudkoli a kdykoli, - extranet – vytvoření sítě vně podnikového intranetu, která je přístupná pouze partnerským organizacím.“ [9] Úkolem bran VPN je dohodnutí a poskytnutí bezpečnostních sluţeb. Klíčovou pozici tady mají brány. Brány se musí postarat o bezpečný přístup
do sítě
pro oprávněné uţivatele, o udrţení neoprávněného provozu vně sítě, šifrování komunikace mezi sítěmi a překlad adres NAT. Brány podporují autentizační mechanismy, digitální podpisy atd. Totoţnost
dvou
koncových
bodů
VPN
a
uţivatelů,
kteří posílají zprávy
přes VPN, ověřuje autentizace. Pro přístup uţivatele do internetu otevře VPN server port firewallu aţ po autentizaci. Veřejný klíč se pouţívá pro výměnu bezpečných klíčů a pro další komunikaci mezi klienty se pouţívá bezpečný klíč. Toto pouţití vyuţívá většina VPN. VPN směšovače se z důvodu narušení bezpečnosti při potenciálním odposlechu se musejí
33
pravidelně měnit klíče v průběhu relace. VPN můţeme vyuţít i při změnách šifrování v rámci jedné relace, které mohou sníţit úspěšnost útoků na šifrovací klíče.
3.2. Bezpečnost bezdrátové komunikace Bezdrátové řešení není nikdy bez problémů. Rádiové spojení na náchylné na rušení všemi moţnými zařízeními. Optické bezdrátové sítě nebo sítě zaloţené na infračerveném záření se nemusí snést s různými překáţkami mezi zdrojem a cílem komunikace. Dosah a rychlost vysílání závisí na tom, jaké kmitočty pouţijeme a s kvalitou přenosu je omezena velikost sítě i počet systémů, které se mohou nacházet v rámci daného prostoru, aby nemohlo dojít k neţádoucímu rušení.
3.2.1. Vzdálený přístup Velkým rizikem pro bezpečnost podniku je například, kdyţ zaměstnanec přistupuje do podnikové sítě zvnějšku a to, buď z domova, od klienta nebo z nějakého místa na cestě při pracovních povinnostech. Další bezpečnostní problém je bezdrátový přístup. Tento přístup se provádí pomocí rádiové sítě: veřejně přístupovou WLAN. Pravidla pro zabezpečení vzdáleného přístupu: Zabezpečení na straně vzdáleného uţivatele: - autentizace uţivatele, - šifrování přenášených dat, - personál threat management, - osobní firewall, - vynucení bezpečnostní politiky, - ochrana lokálně uloţených dat, - ochrana zařízení. Zabezpečení na straně podnikové sítě: - autentizace uţivatele, - šifrování přenášených dat, - řízení přístupu, - network threat management, - autorizace, řízení přístupu k jednotlivým prostředkům, - vynucení bezpečnostní politiky, - host theat management.
34
3.2.2. Vysílání SSID „Každé AP pravidelně vysílá administrativní signalizaci, kterým ohlašuje svou přítomnost. Zpráva obsahuje různé informace o AP, například SSID (název sítě), podporované rychlosti a sílu signálu. Tyto zprávy můžeme chápat jako jistý typ námluv. Jako sirény tak AP kolem sebe volají.“ [1] Na jednu stranu vypadá funkce jako vynikající. V některých příkladech to je skutečnost. Kdyţ ve Windows XP zvolíme funkci Zobrazit dostupné sítě, seznam sítí se generuje právě podle přijatých signalizačních rámců. Tato funkce je velmi pohodlná, ale pouze v případě, ţe se nacházíme u nějakého veřejného přístupového bodu. Jen v této situaci velmi snadno zjistíme SSID, které potřebujeme pro připojení k síti. Na druhé straně je nevhodné vysílání SSID, a to z bezpečnostního pohledu. Útočník můţe získat moţnost nalézt a identifikovat naši síť. Výrobci hardwaru zavedli proptietární řešení tohoto problému, které se nazývá uzavřená síť. AP se stále vysílá administrativní signalizaci, prázdná je hodnota SSID. Například NetStumbler, nástroj pro detekci AP, naši bezdrátovou síť neuvidí. Standardní SSID - Správce sítě často pouţívá veřejný SSID, který je nastaven na přístupný bod a vysílá ke všem bezdrátovým zařízením, které má ve svém rozsahu. „Nevysílající SSID (not broadcasting SSID) Většina přístupových bodů (AP) v základní konfiguraci posílá informaci o své skupině SSID. Pro větší bezpečnost se vypíná vysílání SSID. V závislosti na bezdrátovém softwaru se uživateli síť buď neukazuje, nebo je zobrazená jako nepojmenovaná síť. V každém případě, někdo potřebuje manuálně vstoupit do správy SSID pro připojení k síti. Tato metoda není bezpečná, protože pokaždé, když se někdo připojí k síti, odesílá SSID nekódovaným textem, i když síťové spojení je jinak zakódované. Bezpečnostní experti považují vypínání SSID za bezpečnostní slabinu. Měly by být používány i další druhy šifrování a identifikace – WEP a nebo WPA.“ [26] V současné době jsou nové bezdrátové přístupové body, které zablokují automatickou
SSID
vysílající
vlastnost
v pokusu
zlepšit
síťové
zabezpečení.
Bezdrátové přístupové body (AP), které jsou na pokročilejší úrovni, podporují vysílání mnohanásobných SSIDů.
3.2.3. Filtrace MAC adres MAC adresa (Media Access Control) je stanovena výrobcem u kaţdé ethernetové karty. MAC adresa se někdy nazývá jako hardwarová adresa. Tuto adresu mají i bezdrátové karty. Filtrace MAC adres je zaloţena proto, aby se v AP
35
udrţoval seznam autorizovaných MAC adres a povolení provozu pouze kartám s těmito adresami. Problém je, ţe většina bezdrátových karet mívá ovladač, který umoţňuje uţivateli změnit MAC adresu. Například SpoofMAC je nástroj, který také umoţňuje měnit MAC adresu. Tento program je dostupný na Internetu. Zdrojová a cílová adresa
se
posílá
nešifrovaná,
proto
můţe
dojít
k tomu,
ţe
útočník
můţe
odposlechnout hodnoty povolených MAC adres. Po odposlechnutí si můţe svoji bezdrátovou kartu nastavit tak, aby pouţila takovou adresu, která je platná. Pokud bude karta povaţována za kartu s povolenou MAC adresou, AP bude přesvědčeno, ţe jde o legitimní provoz.
3.2.4. Protokol WEP Mezi základní slabinu patří prolomení klíče brutální silou. Další slabinou je chybná implementace WEP. Větší problém neţ je prolomení, je implementace klíčů. Jsou dva základní faktory pro standardní implementaci: - klíč pro skupinu uţivatelů; - dlouhodobé trvání platnosti klíče. Podstata chybné implementace Brutální síla Dvěma způsoby můţeme prolomit protokol WEP. První způsob je brutální síla. V tomto případě se při dostatečném výpočetním výkonu můţe testováním různých klíčů najít ten správný. V dnešní době je prolomení 40ti bitového klíče moţné během několika minut. Klíč o délce 128 bitů je povaţován za neprolomitelný. Slabina v implementaci „Aby byla zvýšena bezpečnost prolomení klíče používaného pro šifrování obsahu
paketů, používá
se náhodně generovaný
24bitový
řetězec nazývaný
initialization vector (IV). Hlavičku
protokolu
WEP
si
lze
zjednodušeně
představit
na
základě
následujícího obrázku. To co je žlutě, je otevřený text. To co je oranžově, je zašifrováno.“ [22]
3.2.5. RADIUS server Při připojení k poskytovateli Internetu pomocí vytáčeného připojení, DSL, nebo Wi-Fi je u některých poskytovatelů vyţadováno přihlašovací uţivatelské jméno a heslo. Tato informace je poslána do Network Access Server (NAS) zařízení přes Point-to-Point Protocol (PPP). Poté je předána RADIUS serveru přes RADIUS protokol. RADIUS server ověří pravost informace pouţitím autentizačních schémat. Pokud je
36
uţivatelské jméno a heslo přijato, server autorizuje přístup k poskytovateli internetu a vybere IP adresu a další parametry spojení. RADIUS server bude také upozorněn na spuštění nebo ukončení sezení, takţe uţivatel můţe platit přesně podle těchto RADIUS informací nebo mohou být tyto pouţity pro statistické účely. Na Obrázku č. 7 vidíme schéma RADIUS serveru.
Obrázek č. 7: Schéma RADIUS serveru [28]
3.2.6. Digitální certifikát Pro zajištění bezpečného přístupu k osobním stránkám podporuje webový server technologii SSL, která automaticky vytváří kanál pro šifrovanou komunikaci mezi
klientem
a
serverem.
Sluţby,
které
na
webovém
serveru
běţí,
mají
vygenerovány své certifikáty podepsané certifikační autoritou UTB. Tyto certifikáty si internetové prohlíţeče stahují automaticky sami a uţivatelé je obvykle jen potvrdí (buď při kaţdém startu klienta anebo častěji jen jednou do doby, neţ vyprší jejich platnost a jsou pak nahrazeny novými). Někteří klienti, jako např. Internet Explorer verze 6, vyţadují ověření certifikátu proti certifikátu certifikační autority, kterou byl podepsán. Pokud nemají k dispozici certifikát příslušné certifikační autority, informují při kaţdém startu klienta uţivatele
o
tom,
ţe
pouţitý
zabezpečovací
certifikát
nelze
ověřit.
Pro moţnost ověření certifikátu je proto nutné importovat do operačního systému pracovní stanice uţivatele platný certifikát certifikační autority UTB.
37
Závěr k této kapitole: V kapitole jsou popsány jednotlivé metody a způsoby šifrování. Dále jsou podrobně popsány jednotlivé
moţnosti
bezpečnosti
bezdrátové
komunikace,
do kterých patří například RADIUS server a digitální certifikát, které jsem pouţila v praktické části.
38
4. Útoky na bezpečnost sítě V této kapitole, kterou jsem nazvala Útoky na bezpečnost sítě se dozvíte jaké jsou potenciální útoky na bezdrátové sítě. V další části se dočtete jak postupu útočník, v případě, ţe chce získat naše heslo a připojit se na naši Wi-Fi síť. Mezi potenciální útoky na bezdrátové sítě patří: - falšování identity zdroje (address spoofing) – při útoku přes falešnou adresaci se mění zdrojová adresa datagramu z adresy zakázané na adresu povolenou pro vstup do podnikové sítě. Útočník, který můţe pouţít falešnou zdrojovou adresu, můţe vypadat jakou důvěryhodný uţivatel a můţe poţadovat sluţby. Zjišťování informací o oprávněných uţivatelích patří mezi jednu z nejnebezpečnějších dopadů falešné adresace. Útočník můţe při tomto útoku zjistit informace o účtech uţivatelů, heslech, můţe i přidat nebo změnit konfiguraci vnitřního serveru, - man-in-the-middle (MITM) – v tomto případě se také vyuţívá falšování. Útočník se vydává za jednu z důvěryhodných stran v dané konverzaci. Mezi tyto útoky patří i zachytávání zpráv, které jsou přenášeny sítí. Kdyţ útočník dokáţe udrţet konverzaci po určitou dobu, tento útok bývá velmi často úspěšným. Útočník musí byt schopný posílat pakety a odposlouchávat odpovědi. Tohoto je schopný, kdyţ umístí svoje zařízení na cestě mezi oprávněným uţivatelem a cílovou stanicí nebo změní cestu oběma komunikujícím stranám, aby vedla přes jeho zařízení. Cílovou stanicí je oběť, - útoky na přístupová hesla – moţným zdrojem útoků na síťové systémy jsou slabá hesla. Pomocí různých mechanismů, protokolových analyzátorů, falešnou IP adresací nebo
prostřednictvím
programů
podobného
typu
jako
je
trojský
kůň
nebo
opakovaných pokusů o uhodnutí hesla můţeme heslo odhalit. V případě opakovaných pokusů o uhodnutí hesla je důsledkem nejen uhodnutí hesla, ale i blokování přístupu ke sluţbám pro oprávněné uţivatele, - útoky prostřednictvím odposlechu (sniffing) – datagramy se získávají někde po cestě nebo vypracovanou odbočkou. Tímto způsobem můţeme získat přímo z datagramu informace. Můţeme je měnit, ničit, získávat přístup ke zdrojům sítě v rámci otevřených spojení a analýzou datagramů odhalovat informace o vnitřní síti a uţivatelích, - útoky vedoucí k odmítnutí sluţby (Denial of Service) – v tomto případě nejsou útoky zaměřeny na přístup do sítě, na zneuţití systému, ale znemoţňují práci uţivatele na cílovém systému. Zahlcení nebo vyčerpání některých síťových zdrojů je nejčastější děj. Mezi časté děje patří i sloţité výpočetní úlohy jako šifrování nebo dešifrování.
39
Jak postupuje útočník [24]: Pokud se útočník snaţí ovládnout určitý počítač nebo získat nějaká data, nejprve si vyhledává moţnost, jak toho dosáhnout. Nejdříve ho tak zajímá, které sluţby počítač nabízí. K tomu pouţije skenování portů. Tím objeví, které porty jsou otevřeny, a podle nich si můţe odvodit o jaké sluţby se jedná. Ovšem jak jiţ bylo napsáno, sluţby můţou běţet i na jiných neţ svých výchozích portech. Proto útočník provede staţení takzvaného banneru sluţby. Jedná se o akci, kdy se ke sluţbě přihlásí a většinou server (sluţba) ho přivítá určitou hláškou. Právě tato hláška obsahuje jméno programu, který na tomto portu běţí a dále informaci o verzi programu nebo platformě či operačním systému. Útočník provede staţení banneru u kaţdé sluţby. Další kroky jsou jasné: Útočník se snaţí odchytit hesla k určitým sluţbám nebo je získat sociotechnikou od uţivatelů. Nejlehčím způsobem je nalezení nějakého exploitu. To mu umoţní zjištění verze a jmen programů, které běţí na serveru. Nyní se zmíním o jednotlivých technikách pojmenovaných jako Connect, Stealth SYN, FIN, X-MAS, NULL, ACK, Window, UDP a Idle skenování. Connect skenování (pouze TCP) Jméno tohoto skenování vychází ze způsobu, jakým je prováděno. Jedná se totiţ o klasické připojování k TCP portům, kde proběhne obvyklý TCP handshake. K tomuto skenování vám stačí i obyčejný Telnet. Zadáte IP adresu a port vzdáleného počítače a Telnet se k němu bude snaţit připojit. Kdyţ se spojení podaří, port je otevřen, v opačném případě nikoliv. Stealth SYN skenování (pouze TCP) Pro ověření, zda je port otevřen, není potřeba úplného spojení, ale stačí, kdyţ nám server odpoví TCP paketem s příznaky SYN+ACK. My uţ neodpovíme, tudíţ spojení nebude navázáno a naše IP adresa nebude zapsána v logovacích souborech. FIN, X-mas a Null skenování (pouze TCP) Spočívá v posílání neočekávaných dat na porty. Pokud na portu běţí nějaká sluţba, měly by být tyto pakety ignorovány. Pokud na portu nic neběţí, měl by být zpátky poslán TCP paket s příznaky RST a ACK. UDP skenování (pouze UDP) Toto je jediné skenování, které umí odhalit otevřené UDP porty. Skenování tedy spočívá v
posílání prázdných UDP paketů oběti na skenované porty. Pokud
na portu není ţádná sluţba, tak nám zpátky přijde ICMP paket s tím, ţe port je nedostupný. V opačném případě nám přijdou nějaká data z onoho UDP portu, nebo nepřijde nic.
40
Idle skenování (pouze TCP) Tento způsob skenování je z technik uváděných v tomto článku nejsloţitější a nejzajímavější. Nabízí nám totiţ moţnost skenovat oběť, aniţ by se k ní někdy dostala naše IP adresa. K provedení tohoto skenování je vyuţíváno prostředníka a určitých faktů o síťové komunikaci. Způsoby ochrany proti skenování Zamezit takovémuto skenování je velice obtíţné. Můţeme alespoň sníţit dopady tohoto skenování tím, ţe vypneme všechny nepotřebné sluţby. Trasování Pomocí trasování můţeme odhalit hlavní směšovače, které se nacházejí mezi námi a cílovým počítačem. To je dobrý začátek v odhalování základních stavebních kamenů síťové infrastruktury. Poslední zařízení před cílovým počítačem bývá zpravidla směrovač, který zpracovává pakety pro celou cílovou síť. Bude tedy hlavním cílem, který si útočník vybere. Obrana proti trasování Spočívá v nastavení směrovače tak, aby neodpovídal na ICMP pakety. Výhodnější je však povolit komunikaci ICMP protokolem pouze v sítích, ke kterým máme důvěru a všechny ostatní sítě blokovat. Útoky na Firewally Identifikace Firewallu „U většiny firewallů jsou známa jejich slabá místa, proto je pro útočníka významné zjistit, jaký firewall mu stojí v cestě. Většina firewallů zanechává svojí přítomností v síti jednoznačnou elektronickou stopu. To znamená, že pomocí skenování a pročítání úvodních bannerů může útočník poměrně snadno zjistit typ, verzi a konfigurační pravidla téměř každého firewallu.“ [24] Přímé skenování Nejjednodušší způsob jak identifikovat firewall je skenování specifických portů. Stačí pouze vědět, co hledat. Obrana proti přímému skenování Metody jsou ve velké míře shodné s těmi, které jsme uváděli pro ochranu před skenováním portů. Buď musíme blokovat tyto skeny na hraničních směrovačích sítě.
41
Útoky typu DoS „DoS
(Denial
Of
Service
–
odepření
služby)
jsou
útoky
způsobující
nedostupnost služeb systému či sítí. Tyto útoky způsobují buď zahlcení síťových linek či prostředků serveru. Narušit činnost sítě nebo systému je totiž často mnohem jednodušší než do ní získat přístup. Protokoly TCP/IP byly navrženy pro použití v otevřeném a důvěryhodném prostředí, takže i verze používané v současné době obsahují mnoho zděděných nedostatků. Mnohé operační systémy a síťová zařízení navíc obsahují chyby v implementaci těchto protokolů, takže jen velice těžko DoS útokům odolávají.“ [24] Obsazení přenosové kapacity linky Nejskrytějším a zároveň jedním z nejjednodušších způsobů útoků je obsazení kapacity přenosové linky. Pomocí tohoto útoku můţe útočník prakticky zablokovat přístup do sítě. K těmto útokům vedou dvě moţné cesty. V prvním případě útočník pouţije linku s vyšší kapacitou neţ je kapacita cílové linky. Ve druhém případě zaútočí z více počítačů, které mohou být připojené linkami s menší kapacitou Přivlastnění systémových zdrojů Pouţívá se například metoda SYN FLOOD, která vyuţívá toho jak funguje navazování TCP spojení. To
probíhá ve třech
krocích. V běţném případě je
ze specifického portu systému A odeslán paket SYN (synchronizace) na specifický port systému B. Před přijetím paketu je port systému B ve stavu LISTEN (naslouchání). Jakmile je paket přijat, přejde port do stavu SYN_RECV (přijat SYN) a na port systému A je odeslán paket SYN/ACK (synchronizace/potvrzení). Chyby v programech Chyby v programech způsobují, ţe aplikace operační systém nebo logika hardwaru není schopna zpracovat neobvyklé situace navozené útočníkem. Neobvyklá situace vzniká například zadáním neočekávaných argumentů, nebo datových vstupů. Útoky na DNS a systémy směrování paketů Zaloţeny na manipulaci se směrovacími tabulkami, která můţe způsobit znepřístupnění sluţeb. Většina směrovacích protokolů má jen velmi slabou nebo dokonce ţádnou autentizaci. Nedostatečná autentizace umoţňuje útočníkům změnit směrovací tabulky a přesměrovat tak datový tok do svojí sítě nebo do takzvané černé díry. Útoky „jinudy“ „Doteď jsme se zabývali útoky na sítě, kdy se útočník pokouší dostat do sítě zdánlivě jediným možným místem, které může být dobře zabezpečeno. Ale mnohdy se stává, že se do sítě dá proniknout i jinak. Nejčastější varianty bývají tyto dvě. První z nich je nezabezpečený nebo
jen špatně zabezpečený Wi-Fi access point.
42
V takovém případě se útočník nemusí trápit s překonáváním firewallu, stačí mu pouze se úspěšně připojit k tomuto AP.“ [24] Dalším z případů můţeme popsat jako, ţe se do vnitřní sítě připojí svým notebookem oprávněný uţivatel. Protoţe se mu však nechce respektovat omezení připojení k internetu stanovená bezpečnostní politikou, vyuţije k připojení na internet svůj mobil s neomezeným připojením. Tento uţivatel většinou nemá na počítači nainstalován ţáden firewall, nebo ho nemá dostatečně dobře nakonfigurovaný. Útočníkovi pak stačí zjistit jeho IP adresu a cesta do sítě je volná.
Závěr k této kapitole: Tato kapitola obsahuje popis jednotlivých potenciálních útoků na bezdrátové sítě. Dále je zde uvedeno jak postupuje útočník v případě, ţe se snaţí o ovládnutí určitého počítače. Jsou zde popsány jednotlivé techniky útoku, například útoky na firewall, útoky typu DoS, útoky na DNS a systémy směrování paketů a také útoky „jinudy“.
43
Praktická část
44
5. Vytvoření a zabezpečení Wi-Fi sítě vhodné pro malou firmu V praktické části jsem si vytvořila Wi-Fi se zabezpečením WEP. Myslím si, ţe zabezpečení WEP je velmi jednoduché, proto jsem se názorně pokusila získat heslo pomocí programu Aircrack. Pomocí programů Aircrack a NetStumbler jsem si nejdříve zobrazila dostupné bezdrátové sítě. Poté jsem provedla samotné získávání hesla v programu Aircrack. Pomocí CD s programem
Aircrack, které jsem zakoupila na
internetu. V programu jsem do příkazového řádku zadávala příkazy, za účelem získání hesla a připojení se na Internet. Získání hesla a připojení se na Internet, bylo úspěšné. Získání hesla bylo jednoduché, proto jsem se rozhodla, ţe se pokusím o lepší zabezpečení. Zabezpečení, u kterého bude podobný postup o mnoho sloţitější. Jako lepší způsob zabezpečení jsem vybrala RADIUS server a digitální certifikát. Bohuţel jsem měla k dispozici pouze modem, který nepodporuje RADIUS server a digitální certifikát, proto jsem zvolila zabezpečení pomocí protokolu WPA2. Postup tohoto zabezpečení uvádím v další části této kapitoly. Tento způsob je vhodný pro firmy, které nepotřebují příliš důkladné zabezpečení svých dat v počítačích. Pro firmy, které svoje data potřebují velmi důkladně chránit, jsem pouţila zakoupený router od společnosti Zyxel, který podporuje RADIUS server a digitální certifikát. Postup tohoto zabezpečení uvádím na konci této kapitoly. Nyní popíši postup při vytvoření sítě Wi-Fi: Pomocí instalačního CD od společnosti O2, jsem provedla nastavení, které uvidíte v několika následujících bodech. Společnost O2 je poskytovatelem internetu v mém bytě a CD bylo součástí balíčku. Jedním z prvních kroků je odsouhlasení licenčního ujednání. Pokud bych zde nezaškrtla odsouhlasení, Průvodce by nás dále nepustil. V dalším kroku Průvodce sám provede kontrolu všech potřebných poţadavků pro vytvoření sítě. Musíme splňovat poţadavky na Microsoft Internet Explorer, Flash player, Operační systém, Rychlost procesoru, Volné místo na systémovém disku a Operační paměť. V následujícím kroku se nás program zeptá jaký typ instalace chceme pouţit, zda chceme nastavit připojení k internetu nebo nastavit bezdrátovou síť nebo připojit další počítač. V dalším kroku nám Průvodce nalezl Firewall. Při vytváření sítě Wi-Fi musí být Firewall vypnutý, proto jsem ihned Firewall vypnula. Firewall nalezneme pod nabídkou Start v Ovládacích
panelech.
pokračovat ve vytváření sítě Wi-Fi.
45
Po
vypnutí Firewallu můţeme dále
Dále
po
nás Průvodce
poţaduje
výběr
modemu,
který
pouţíváme.
Po zaškrtnutí správného modelu můţeme pokračovat dále. V našem případě pouţíváme modem Huawei, protoţe nám tento modem zakoupili od provozovatele našeho Internetu. V následujícím kroku program poţaduje výběr připojení k Internetu, který chceme pouţívat. Dále nám program nabídne několik síťových karet, které nalezne v našem počítači. Musíme zvolit, kterou kartu chceme pouţívat. V dalším kroku nám průvodce pomocí animace ukáţe, jak předně máme mít zapojená kabel v modemu v počítači. Přesně které zásuvky pouţít, pro správné dokončení vytvoření sítě Wi-Fi. V dalším kroku se nám zobrazí, ţe další potřebné aplikace pro vytvoření sítě byly úspěšně nainstalovány. Při nastavení bezdrátové sítě se nám zobrazí nalezená síťová karta, kterou jsme si zvolili dříve. V tomto případě musíme potvrdit, ţe chceme pouţívat tuto síťovou kartu. Při kontrole bezdrátové připojení se nám objevila chyba, protoţe bezdrátové připojení ještě nebylo plně funkční. Na obrázku č. 8 vidíme potřebné informace o bezdrátové síti jako je název sítě, šifrování a šifrovací klíč.
Obrázek č. 8: Data o bezdrátové síti V dalším kroku se nám ukáţe úspěšné dokončení instalace bezdrátové sítě.
46
Na obrázku č. 9 vidíme schéma jak postupovat při získávání hesla sítě.
start
detekce a výběr bezdrátové sítě
znám známe e SSID SSID ? ?
pom ocí i nj ekce death paketů zj i stím e SSID sítě
zač nem e s odposl echem sítě
zač nem e s odovozováním WEP kl íč e urychl ím e získávání IV generováním provozu paketů
m ám e dost IV pro odvození WEP kl íč e ?
pokrač uj em e s odposl echem
nastavím e si zj i štěný WEP kl íč na naši bezdrátové kartě zm ění M AC naší bezdrátové karty na M AC kl i enta sítě
z odposl echnutého provozu zj i stím e M AC adresu některého z při poj ených kl i entů
podaři l o se při poj i t do sítě ?
anal ýzou provozu v síti zj i stím e bránu, DNS a vhodnou IP
při děl i l o vám IP adresu DHCP?
konec
Obrázek č. 9: Schéma procesu získávání hesla
47
Na obrázku č. 10 vidíme v programu Network Stumbler seznam všech sítí Wi-Fi, které jsou v našem dosahu. Nejdůleţitější pro nás je, ţe zde vidíme naší Wi-Fi bakule, její MAC adresu (fyzickou adresu) a kanál, na kterém vysílá.
Obrázek č. 10: Nalezené sítě Wi-Fi pomocí programu Network Stumbler
48
5.1. Získání hesla pomocí programu Aircrack Pomocí zakoupeného CD s programem Aircrack jsem do příkazového řádku vkládala příkazy, které jsem získala pomocí zdroje [13].
Tady jsem do příkazového řádku napsala příkaz airmon-ng. Tento příkaz nám zobrazí aktuální rozhraní (interface). Pak jsem zadala příkaz start wlan0 11. V tomto případě se nám spustí monitorovací reţim (airmon), rozhraní wlan0 a kanál 11. (Obrázek č. 11)
Obrázek č. 11: Zobrazení aktuálního rozhraní
49
Kdyţ nyní spustíme bez parametrů airmon, ukáţe diagnostiku. Diagnostika je výčet
aktivních
rozhraní.
Přibylo
nám
rozhraní mon0,
které
jsem vytvořila
v předchozím kroku, aby monitoroval kanál 11. Toto je jen softwarové (virtuální) rozhraní oproti fyzickému. Wlan0 a mon0 jsou dvě softwarová rozhraní na jedné fyzické kartě. Příkaz iwconfig nám ukáţe stav těchto rozhraní. Důleţité tady je, ţe jsme v monitoru mode. Vidíme všechny cesty na síti, i kdyţ nejsou určeny pro náš počítač. (Obrázek č. 12)
Obrázek č. 12: Zobrazení aktivního rozhraní Na obrázku č. 13 jsem napsala příkaz airodump-ng mon0. Tento příkaz slouţí k zachytávání síťového provozu na mon0. Ukáţe nám všechny další rozhraní, které uvidí na síti.
Obrázek č. 13: Zachytávání síťového provozu
50
Na obrázku č. 14 vidíme i naši bakuli. Vidíme, ţe je na kanálu č. 11 a má WEP šifrování. V prvním sloupci vidíme i její MAC adresu, kterou jsem viděli i v Network Stumblerovi. Pak jsem
zadala
příkaz
airdump-ng
–c 11 –w bakule
--bssid
00:1B:9E:92:58 mon0. Tady zachytáváme všechny pakety na kanálu 11, s MAC adresou našeho routeru a zapisujeme do bakule.
Obrázek č. 14: Zachytávání paketů Předchozí příkaz nám spustí zachytávání. Beacons jsou pakety, které jsme odeslali my, abychom vyvolali přirozenou cestu mezi routerem a námi. Tento způsob je neefektivní a zachytáváme málo datových paketů. Kdyţ se jedná o pravidelný poţadavek, slouţí pro identifikaci okolních routerů. Stane se tak jen jednou za čas, aby nebyl na síti zbytečný provoz. #Data jsou datové pakety, kterých potřebujeme nasbírat co nejvíce. Jsou to vlastně všechna data, která letí vzduchem. Datové pakety jsou šifrované šifrovacím klíčem, který chceme získat. (Obrázek č. 15)
Obrázek č. 15: Zachytávání datových paketů
51
Na obrázku č. 16 jsem zadala příkaz aireplay. Tento příkaz slouţí na packet inection, tedy vysílání námi určených paketů přesto, ţe do přirozeného datového provozu nepatří. Nejdříve si spustíme test. Test nám ukázal všechno v pořádku.
Obrázek č. 16: Vysílání paketů
Nyní příkazem aireplay pošleme routeru falešné poţadavky o autentizaci. Pokusíme se spojit s routerem tak, aby router přijímal pakety od nás. Aireplay-ng -1 (útok 1, falešná autentizace) 0 (čas, jaký má čekat mezi pokusy) –a (MAC adresa routeru) a interface. Na obrázku vidíme, ţe autentizace byla úspěšná a náš počítač vytvořil propojení (asociaci) s routerem. Asociace s routerem byla úspěšná, můţeme mu začít odesílat pakety, apod. si vynutili jeho odpověď a poté začne na síti provoz, který je šifrovaný a můţeme ho odchytit. (Obrázek č. 17)
Obrázek č. 17: Falešné poţadavky o autentizace
52
Spuštění je stejné jako v předchozím případě, jen místo -1 0, tam dáme -3 (třetí útok, běţné arp poţadavky). Na arp poţadavky router odpovídá. Tady musíme chvilku počkat. (Obrázek č. 18)
Obrázek č. 18: Poţadavky o autentizaci
Na obrázku č. 19 vidíme příkaz airdump, který uţ určitý čas běţí a pod ním aireplay.
Obrázek č. 19: Zobrazení asociace
53
Na obrázku č. 20 vidíme ještě asociaci a test v aireplay.
Obrázek č. 20: Zobrazení asociace a testu
V levém horním obrázku vidíme příkaz airodump, který uţ má nyní hodně datových
paketů.
Pod
ním
běţí
aireplay, který stále posílá arp poţadavky
na router a ten odpovídá. Dal nám uţ hodně paketů. V pravém horním obrázku vidíme jak běţí aireplay, který drţí asociaci. (Obrázek č. 21)
Obrázek č. 21: Zachytávání paketů, asociace
54
V horním obrázku vidíme, ţe uţ mám 67 000 paketů, které airdump zapisuje na disk do souboru bakule-01.cap. Spustíme aircrack s tímto názvem jako parametr. (Obrázek č. 22)
Obrázek č. 22: Zapisování na disk Na obrázku č. 23 vidíme, ţe aircrack rozpozná, ţe jde o WEP a začne dešifrovat.
Obrázek č. 23: Začátek dešifrování
55
Na obrázku č. 24 vidíme, ţe po 18 sekundách máme heslo hexadecimálním tvaru. Nezáleţí na sloţitosti hesla.
Obrázek č. 24: Výsledek dešifrování
56
Na obrázku č. 25 vidíme připojení na internet. Nejdříve musíme kartu vypnout z monitorovacího reţimu, vidíme na pravém obrázku. Kdyţ vypneme mon0, zrušíme virtuální monitorovací rozhraní, ale fyzické zůstane stále nastaveno v monitorovacím reţimu. Přesto musíme vypnout všechna rozhraní. V obrázku vlevo nahoře jsme příkazem iwconfig spustili na rozhraní wlan0 připojení na síť bakule s klíčem, který jsme získali z aircracku, který vidíme na dolním obrázku. Poté nám uţ jen stačí, zapnou DHCP klienta na wlan0.
Obrázek č. 25: Připojení na internet
Pomocí programu Aircrack jsme zjistili, ţe heslo k naší síti Wi-Fi lze velmi snadno získat. Rozhodla jsem se, ţe zvolím další moţnosti zabezpečení naší sítě. Pouţiji například WPA2-PSK, zabezpečení certifikátem nebo moţnost RADIUS. Při tvorbě zabezpečení naší sítě Wi-Fi jsem zjistila, ţe mám modem, podporuje RADIUS pouze externě. Rozhodla jsem se pro nákup routeru, abych mohla pouţít zabezpečení RADIUS. Proto nyní ukáţu nejlepší zabezpečení naší Wi-Fi, pokud nemáme modem, který by podporoval RADIUS a zabezpečení pomocí certifikátu a RADIUS.
57
5.2. Zabezpečení pomocí modemu nepodporující RADIUS server V této části se pokusím o nejlepší variantu zabezpečení naší bezdrátové sítě Wi-Fi bez pomoci moţnosti RADIUS. Rozhodla jsem se pouţít šifrování WAP2-PSK pomocí standardu AES. Do internetového prohlíţeče jsem zadala adresu http://10.0.0.138. Otevřela se mi stránka se moţnostmi zabezpečení a nastavení naší bezdrátové sítě W-Fi. Na obrázku vidíme název naší sítě pod SSID. Dále jsem vybrali moţnost šifrování WPA2PSK a poté jsme měli moţnost výběru ze standardů TKIP a AES. Jako lepší variantu jsem zvolila AES, u kterého je obtíţnější získání hesla. (Obrázek č. 26)
Obrázek č. 26: Nastavení modemu na šifrování WPA2-PSK Dále (Obrázek č. 27) jsem chtěla nastavit filtraci
MAC adres. Potřebovala
jsem zjistit naši MAC adresu. Proto jsem si otevřela příkazový řádek a napsala do něj příkaz ipconfig /all. Tímto příkazem se mi také zobrazila například i naše IP adresa, Maska sítě a další informace.
58
Obrázek č. 27: Zjištění MAC adresy Poté co jsem získala naši MAC adresu, vrátila jsem se do internetového prohlíţeče. Do našeho nastavení a zabezpečení sítě jsem dopsala naši MAC adresu. Díky uvedení naší MAC adresy by se na naši síť neměl připojit nikdo jiný. I toto zabezpečení lze prorazit. (Obrázek č. 28)
Obrázek č. 28: Nastavení MAC adresy na modemu
59
5.3. Zabezpečení pomocí digitálního certifikátu a RADIUS serveru pomocí routeru V této části se pokusím zabezpečit naši Wi-Fi síť pomocí routeru, který podporu RADIUS server. V několika dalších krocích uvidíte postup při zabezpečování přes RADIUS server a digitální certifikát. Nejdříve si musíme nastavit, aby byl router aktivní. Pro tyto účely jsme si museli koupit router, který podporuje RADIUS. Tento router má interní RADIUS (Obrázek č. 29).
. Obrázek č. 29: Nastavení routeru Dále přejdeme do panelu Trusted AP. Tady zadáme jména a hesla povolených uţivatelů.
60
V dalším kroku (Obrázek č. 30) musíme nastavit vlastnosti sítě pod Protokolem sítě Internet (TCP/IP).
Obrázek č. 30: Nastavení Protokolu sítě Internet (TCP/IP) Nyní si musíme najít naši Wi-Fi síť s RADIUS serverem. Pokračujeme kliknutím na vlastnosti (Obrázek č. 31).
Obrázek č. 31: Nastavení naší sítě
61
Pod vlastnostmi nalezneme nastavení klíče. V našem případě zadáváme ověření v síti WPA a šifrování dat AES (Obrázek č. 32).
Obrázek č. 32: Nastavení ověření a šifrování Dále musíme nastavit ověřování. Pod Typem protokolu EAP musíme vybrat Protokol PEAP (Protecte EAP). Dále musíme kliknout na vlastnosti (Obrázek č. 33).
Obrázek č. 33: Nastavení ověření
62
Nyní si musíme nainstalovat potřebný certifikát, který podporuje tento router. V několika krocích nainstalujeme potřebný certifikát (Obrázek č. 34).
Obrázek č. 34: Import certifikátu Dále musíme vybrat, zda chceme pouţít automatický výběr certifikátu (Obrázek č. 35).
Obrázek č. 35: Tvorba certifikátu
63
Nyní musíme vytvoření certifikátu dokončit (Obrázek č. 36).
Obrázek č. 36: Dokončení certifikátu Nyní musíme vybrat protokol (Obrázek č. 37), který náš router podporuje. V našem případě je to certifikát NWA-3160 0019CB8B2288. Také musíme pod Konfigurací vybrat správný způsob ověření. V našem případě je to Zabezpečené heslo (EAP-MSCHAP v2).
Obrázek č. 37: Výběr certifikátu
64
Nyní se nám zobrazí, zda chceme pouţít automaticky přihlašovací jméno a heslo (Obrázek č. 38).
Obrázek č. 38: Potvrzení vlastností protokolu Při připojování na naši Wi-Fi síť. V pravém dolním rohu se nám zobrazí nápověda pro připojení. Po kliknutí na nápovědu se nám zobrazí obrázek č. 39. Nyní musíme doplnit uţivatelské jméno a heslo.
Obrázek č. 39: Zadání pověření
65
Závěr k této kapitole: V kapitole jsem vytvořila bezdrátovou síť Wi-Fi se zabezpečením WEP. Poté jsem se pokusila o prolomení hesla, vytvořené Wi-Fi sítě, pomocí programu Aircrack. Prolomení hesla této Wi-Fi sítě bylo úspěšné, proto jsem v další části provedla zabezpečení pomocí WPA2 prostřednictvím modemu, který nepodporuje RADIUS server a digitální certifikát. Jako další moţnost zabezpečení Wi-Fi sítě jsem zvolila zabezpečení pomocí RADIUS a digitální certifikát s routerem, který tuto moţnost podporuje.
66
Závěr V teoretické části této práce čtenáře seznamuji se základními pojmy počítačová síť, Wi-Fi a další pojmy, které s touto problematikou souvisí. Podrobněji popisuji část, která se týká Wi-Fi sítí. V hlavní části jsem se zaměřila na zabezpečení počítačové sítě. Část zaměřená na Wi-Fi síť byla inspirací a zdrojem pro praktickou část této práce. V předloţené části jsem věnovala pozornost historii a vývoji počítačových sítí a Wi-Fi, architekturám počítačových sítí, šifrování apod. Hlavním úkolem v této práci bylo zadání: popsání základního rozdělení pouţívaných
technologií
bezdrátových
sítí,
bezpečnosti
bezdrátové
komunikace a popis základních technologických charakteristik Wi-Fi sítí. V praktické části jsem se věnovala vytvoření Wi-Fi sítě, následně prolomení jejího hesla a důkladnějšího zabezpečení této Wi-Fi sítě. Snaţila jsem se popsat postup,
jak by mohlo být provedeno prolomení hesla zabezpečené
Wi-Fi sítě (v našem případě jsem pouţila program Aircrack). Po prolomení hesla jsem se pokusila
o
zabezpečení
pomocí
WPA2,
RADIUS
serveru
a digitálního certifikátu. Tohoto zabezpečení jsem docílila tak, ţe jsem příklad řešila bez předchozích zkušeností s tímto zabezpečením. Při řešení tohoto příkladu jsem postupovala z velké části intuitivně. Moje domněnka byla z počátku, ţe způsob zabezpečení pomocí RADIUS serveru a digitálního certifikátu, bude probíhat podobně jako při zabezpečení přes WEP nebo WPA. Hned po provedení několika prvních kroků jsem věděla, ţe tento způsob bude sloţitější. V našem případě jsem měla k dispozici modem, který nepodporoval RADIUS server a digitální certifikát. V případě námi vyskytnutého problému, jsem zvolila jako nejlepší zabezpečení, zabezpečení pomocí WPA2. Dále jsem si zakoupila router, který podporuje RADIUS server a digitální certifikát, abych mohla názorně ukázat postup při této moţnosti zabezpečení. Pro firmy, které nepotřebují příliš důkladné zabezpečení Wi-Fi sítě, bych doporučila provést zabezpečení pomocí modemu, který nepodporuje RADIUS server a digitální certifikát. Tento modem je levnější a provedení zabezpečení
je
jednoduché.
V případě,
kdy
firma
potřebuje
důkladné
zabezpečení dat v počítači, bych doporučila pouţit router, který podporuje
67
RADIUS server a digitální certifikát. Tento router je draţší a jeho nastavení pro zabezpečení sítě je náročnější, avšak vloţená data v našem počítači jsou lépe chráněna, neţ při zabezpečení WPA2.
68
Pouţité zdroje Odborné zdroje: [1]
BARKEN, Lea. Jak zabezpečit bezdrátovou síť Wi-Fi. Veselský Jiří. Brno : Computer Press, 2004. 174 s. ISBN 80-251-0346-3.
[2]
FEIBEL, Werner. Encyklopedie počítačových sítí. Blaţík Martin, Spěvák Libor. Praha : Computer Press, 1996. 1230 s. ISBN 80-85896-67-2.
[3]
HEJNA, Ladislav. Lokální počítačové sítě. Praha : Grada Publishing, 1994. 139 s. ISBN 80-85623-99-4.
[4]
HORSKÝ, Radek. Bezdrátové sítě Wi-Fi v rekordním čase. Praha : Grada Publishing, 2006 . 84 s. ISBN 80-247-1790.
[5]
HUNT, Craig. Konfigurace a správa sítí TCP/IP . Praha : Computer Press, 1997. 456 s. ISBN 8072260243.
[6]
KÁLLAY, Fedor, PENIAK, Peter. Počítačové sítě a jejich aplikace. Jeger Dag. [s.l.] : Grada Publishing, 1999. 312 s. ISBN 80-7169-407-X.
[7]
KÁLLAY, Fedor, PENIAK, Peter. Počítačové sítě LAN/MAN/WAN a jejich aplikace. Praha : Grada Publishing, 2003. 356 s. ISBN 80-247-0545-1.
[8]
KÖHRE, Thomas. Stavíme si bezdrátovou síť Wi-Fi. Šiller Marek. Brno : Computer Press, 2004. 295 s. ISBN 80-251-0391-9.
[9]
PUŢMANOVÁ, Rita. Bezpečnost bezdrátové komunikace : Jak zabezpečit Wi-Fi, Bluetooth, GPRS či 3G. Brno : CP Books (Computer Press), 2005
69
[10]
SMOLÍK, Stanislav. Datová komunikace: 1.část – Počítačové sítě. Brno : Inţenýrské centrum Brno, 1994. 62 s.
[11]
SMOLÍK, Stanislav. Datová komunikace: 2.část. Brno : Inţenýrské centrum Brno, 1995. 99 s. 179 s. ISBN 80-251-0791-4.
[12]
THOMAS, Robert M. Lokální počítačové sítě. Spěvák Libor. Praha : Computer Press, 1996. 277 s. ISBN 80-85896-45-1.
Internetové zdroje: [13]
AUDAX, Dark. Aircrack [online]. 2010 [cit. 2010-03-11]. Simple WEP Crack. Dostupné z WWW:
.
[14]
Bezdrátový Internet a technologie Wi-Fi v České republice [online]. 2010 [cit. 2010-03-14]. Internet pro všechny. Dostupné z WWW: .
[15]
Certifikáty webového serveru [online]. 2006 [cit. 2010-04-08]. Stag. Dostupné z WWW: .
[16]
JEŢEK, David. Základy Wi-Fi: jak zabezpečit bezdrátovou síť? [online]. 2009 [cit. 2010-03-12]. Dostupný z WWW: .
[17]
LEDNICKÝ, Miroslav. Internet bez drátů [online]. 2008 [cit. 2010-03-03]. Dostupný z WWW: .
70
[18]
ODVÁRKA, Petr. Doporučení pro konfiguraci Wi-Fi sítí [online]. 2004 [2010-03-15]. Dostupný z WWW: .
[19]
Networking [online]. 2010 [cit. 2010-03-14]. SaFranNET. Dostupné z WWW: .
[20]
Slovník pojmů [online]. 2010 [cit. 2010-03-15]. HP. Dostupné z WWW: .
[21]
Typy bezdrátových sítí [online]. 2010 [cit. 2010-03-07]. Budnet. Dostupné z WWW: .
[22]
Crack A WEP Network In 3 Minutes With BackTrack 4 [online]. 2009 [cit. 2010-03-21]. Willineedit. Dostupné z WWW: .
[23]
Počítačová síť [online]. 2009 [cit. 2010-03-16]. Dostupný z WWW: .
[24]
RADIUS [online]. 2010 [cit. 2010-03-11]. Wikipedia. Dostupné z WWW: .
[25]
Wi-Fi [online]. 2009 [cit. 2010-03-14]. Dostupný z WWW: .
[26]
Zabezpečte si své PC za 10 minut [online]. 2009 [cit. 2010-03-08]. Dostupný z WWW: .
71
[27]
Zabezpečení Wi-Fi sítí [online]. 2008 [cit. 2010-03-26]. Soom. Dostupné z WWW: .
[28]
Radius server [online]. 2010 [cit. 2010-03-26]. Aradial. Dostupné z WWW:
72
Seznam obrázků Obrázek č. 1: Přehled rozdělení bezdrátových sítí [14] .................... 15 Obrázek č. 2: Schéma referenčního modelu OSI ............................ 16 Obrázek č. 3: Porovnání modelu TCP/IP a referenčního modelu OSI . 19 Obrázek č. 4: Přehled standardů IEEE 802.11 [25] ......................... 23 Obrázek č. 5: Porovnání rychlostí bezdrátových standardů [4] ......... 24 Obrázek č. 6: Porovnání WEP, WPA a WPA2 [9] ............................. 27 Obrázek č. 7: Schéma RADIUS serveru [28] .................................. 37 Obrázek č. 8: Data o bezdrátové síti ............................................. 46 Obrázek č. 9: Schéma procesu získávání hesla............................... 47 Obrázek č. 10: Nalezené sítě Wi-Fi pomocí programu NetStumbler ... 48 Obrázek č. 11: Zobrazení aktuálního rozhraní ................................ 49 Obrázek č. 12: Zobrazení aktivního rozhraní .................................. 50 Obrázek č. 13: Zachytávání síťového provozu ................................ 50 Obrázek č. 14: Zachytávání paketů .............................................. 51 Obrázek č. 15: Zachytávání datových paketů ................................. 51 Obrázek č. 16: Vysílání paketů ..................................................... 52 Obrázek č. 17: Falešné poţadavky o autentizace ............................ 52 Obrázek č. 18: Poţadavky o autentizaci ........................................ 53 Obrázek č. 19: Zobrazení asociace ............................................... 53 Obrázek č. 20: Zobrazení asociace a testu..................................... 54 Obrázek č. 21: Zachytávání paketů, asociace ................................ 54 Obrázek č. 22: Zapisování na disk ................................................ 55 Obrázek č. 23: Začátek dešifrování .............................................. 55 Obrázek č. 24: Výsledek dešifrování ............................................. 56 Obrázek č. 25: Připojení na internet ............................................. 57 Obrázek č. 26: Nastavení modemu na šifrování WPA2-PSK .............. 58 Obrázek č. 27: Zjištění MAC adresy .............................................. 59 Obrázek č. 28: Nastavení MAC adresy na modemu ......................... 59 Obrázek č. 29: Nastavení routeru ................................................. 60
73
Obrázek č. 30: Nastavení Protokolu sítě Internet (TCP/IP) ............... 61 Obrázek č. 31: Nastavení naší sítě ............................................... 61 Obrázek č. 32: Nastavení ověření a šifrování ................................. 62 Obrázek č. 33: Nastavení ověření ................................................. 62 Obrázek č. 34: Import certifikátu ................................................. 63 Obrázek č. 35: Tvorba certifikátu ................................................. 63 Obrázek č. 36: Dokončení certifikátu ............................................ 64 Obrázek č. 37: Výběr certifikátu ................................................... 64 Obrázek č. 38: Potvrzení vlastností protokolu ................................ 65 Obrázek č. 39: Zadání pověření ................................................... 65
74
