Wi-Fi sítě a jejich zabezpečení

Bankovní institut vysoká škola Praha Katedra Informačních technologií a elektronického bankovnictví

Wi-Fi sítě a jejich zabezpečení

Bakalářská práce

Autor:

Radek Fritz Informační technologie, Manažer projektů IS

Vedoucí práce:

Písek

Ing. Břetislav Bakala

Červen, 2010

Prohlášení: Prohlašuji, že jsem bakalářskou práci zpracoval samostatně a s použitím uvedené literatury.

V Písku dne 10.6.2010

Radek Fritz

2

Poděkování: Tímto děkuji panu Ing. Břetislavu Bakalovi, vedoucímu bakalářské práce, za cenné rady, odborné informace, věcné připomínky a dohled nad mojí prací.

Radek Fritz

3

Anotace V dnešní době, kdy je připojení k internetu nezbytnou součástí života téměř všech lidí ve vyspělém světě, je nutností provozovat takové sítě, které nám umožní připojení k internetu prakticky všude. Takovouto možnost nám poskytují zejména bezdrátové sítě standartu IEEE 802.11 známé pod označením jako sítě WiFi. Tyto sítě jsou navrhovány a budovány tak, aby do nich měly přístup všichni uživatelé, kteří mají patřičná oprávnění využívat služby této sítě. Existují zde ale také možnosti, jak se do bezdrátových sítí připojit, bez patřičného oprávnění, a zneužívat služeb těchto sítí. Proto je potřeba bezdrátové sítě před těmito ,,útoky“ zabezpečit. Obsahem mé bakalářské práce je zhodnocení všech možností zabezpečení WiFi sítí, představení možností neoprávněného přístupu a užívání těchto sítí, včetně možnosti ochrany před těmito přístupy. Další částí mé práce je praktická implementace konkrétního zabezpečení v soukromé WiFi síti, na jejímž návrhu, výstavbě a provozu se sám podílím.

Annotation Nowadays, when the internet connection is an essential part of the life of almost all the people in the developed world, there is a need for conducting such kind of network that will be able to provide internet access practically everywhere. This opportunity is offered especially by a wireless standard network of IEEE 802.11, also known as a Wi-Fi. These networks are designed and constructed so that all the users, who have an appropriate license, could access the network services. There also exist a way how people can connect to the wireless network without the appropriate license, therefore there is a demand for ensure wireless networks against these “ attacks”. The subject of my bachelor thesis is the estimation of all the possible ways of the Wi-Fi networks security as well as the introduction of the possibilities of an unauthorized access and also the use of these networks including security possibilities against these methods. Another part of my thesis is practical implementation of concrete security for private Wi-Fi network, that design and construction I am involved in.

4

Obsah Obsah

.

.

.

.

.

.

.

.

.

.

5

.

.

.

.

.

.

.

.

.

7

1.1. Úvod do Teorie WiFi

.

.

.

.

.

.

.

7

1.2. Standard 802.11 .

.

.

.

.

.

.

.

8

1.3. Struktura bezdrátové sítě .

.

.

.

.

.

.

11

.

.

.

.

.

.

.

11

.

.

.

.

.

.

12

.

.

.

.

.

.

13

1.4.1. Ovládací software

.

.

.

.

.

.

14

1.4.2. Čipová sada

.

.

.

.

.

.

.

15

1.4.3. Access point

.

.

.

.

.

.

.

16

1.4.4. PCI WiFi karty .

.

.

.

.

.

.

18

1.4.5. USB WiFi adaptér

.

.

.

.

.

.

19

1.4.6. Antény .

.

.

.

.

.

.

.

19

2. Zabezpečení WiFi sítí

.

.

.

.

.

.

.

22

2.1. Úvod do bezpečnosti WiFi sítí .

.

.

.

.

.

22

2.2. Základy bezpečnosti v IT

.

.

.

.

.

23

2.3. Základy bezpečného používání WiFi

.

.

.

.

.

24

2.4. Zablokování vysílání SSID

.

.

.

.

.

25

.

.

.

.

25

.

.

.

.

26

2.5.1. Slabiny zabezpečení filtrováním MAC adres .

.

.

26

1. Teorie WiFi

1.3.1. Ad-hoc sítě

1.3.2. Infrastrukturní sítě 1.4. Hardware pro WiFi Sítě .

.

.

2.4.1. Slabiny zabezpečení skrytím SSID 2.5. Filtrování MAC adres

2.6. WEP

.

.

.

.

.

.

2.6.1. Slabiny zabezpečení WEP

.

.

.

.

.

.

27

.

.

.

.

.

28

2.7. IEEE 802.1x

.

.

.

.

.

.

.

.

30

2.8. WPA

.

.

.

.

.

.

.

.

32

2.8.1. WPA2 .

.

.

.

.

.

.

.

33

.

.

.

.

34

.

.

.

.

36

.

2.8.2. Slabiny zabezpečení WPA WPA2 2.9. Závěr kapitoly zabezpečení WiFi sítí

.

5

3. Praktická implementace zabezpečení WiFi

.

.

.

.

37

3.1. Úvod do problematiky .

.

.

.

.

.

.

37

3.2. Popis WiFi sítě .

.

.

.

.

.

.

.

37

3.2.1. Provider

.

.

.

.

.

.

.

39

3.2.2. Podpůrná stanice

.

.

.

.

.

.

40

3.2.3. Uživatel č. 1.

.

.

.

.

.

.

.

42

3.2.4. Uživatel č. 2.

.

.

.

.

.

.

.

43

3.2.5. Uživatel č. 3.

.

.

.

.

.

.

.

43

3.2.6. Uživatel č. 4.

.

.

.

.

.

.

.

44

.

.

.

.

.

.

45

.

.

.

.

.

.

46

3.3.2. Implementace Filtrování MAC adres .

.

.

.

47

3.3.3. Implementace WPA2 .

.

.

.

.

.

48

4. Závěr

.

.

.

.

.

.

.

.

.

.

49

Zdroje

.

.

.

.

.

.

.

.

.

.

50

.

.

.

.

.

.

.

.

.

52

3.3. Implementace zabezpečení 3.3.1. Implementace WEP

Seznam příloh

6

1. Teorie WiFi V této kapitole bude charakterizováno co to je WiFi, k čemu se používá a z jakých částí se tato technologie skládá. Dále se práce v tomto bodu bude zabývat tím, jaké jsou druhy WiFi a k čemu se tyto jednotlivé modulace používají. V závěru kapitoly se věnuji všem zařízením, které tato technologie využívá ke svému provozu.

1.1. Úvod do teorie WiFi V dnešní době se používání bezdrátových sítí k datovým přenosům na uživatelské úrovni. Stalo prakticky nejpoužívanějším způsobem přenášení dat. Mezi technologiemi umožňující nám tyto přenosy jednoznačně převládají bezdrátové sítě WiFi. Využívání služeb těchto sítí je pro uživatele velni praktické, zejména díky možnosti částečné mobility uživatele a možnosti připojit se do jakékoliv sítě, do které má uživatel oprávnění k připojení, pomocí zařízení obsahující WiFi modul (notebook, mobilní telefon, PDA,…). Mezi další výhody WiFi sítí patří také relativní jednoduchost výstavby těchto sítí. Jelikož se jedná o bezdrátovou technologii, můžeme tyto sítě budovat a používat i tam, kde by použití kabelové sítě bylo prakticky nerealizovatelné, a nebo by její zřizování bylo finančně neúnosné. Mezi nevýhody bezdrátových sítí WiFi patří zejména možnost rušení sítě vnějšími vlivy a také možnost nabourání se do sítě, neoprávněného užití služeb sítě a zneužití dat, procházejících touto sítí. Oba tyto rušivé vlivy se dají vyloučit. Rušení sítě se dá omezit na minimum zejména vhodnou výstavbou sítě a volbou spolehlivých vysílacích frekvencí. Neoprávněným přístupům můžeme zabránit zejména zavedením patřičného zabezpečení sítě. Wi-Fi je standard pro lokální bezdrátové sítě (WLAN) a vychází ze specifikace IEEE 802.11. Název původně neměl znamenat nic, ale časem se z něj stala slovní hříčka vůči Hi-Fi (tzn. analogicky k high fidelity – vysoká věrnost), která by se dala chápat jako zkratka k wireless fidelity (bezdrátová věrnost). Původním cílem Wi-Fi sítí bylo zajišťovat vzájemné bezdrátové propojení přenosných zařízení a dále jejich připojování na lokální (např. firemní) sítě LAN. S postupem času začala být využívána i k bezdrátovému připojení do sítě Internet v rámci rozsáhlejších lokalit a tzv. hotspotů. Wi-Fi zařízení jsou dnes prakticky ve všech přenosných počítačích a i v některých mobilních telefonech. Úspěch Wi-Fi přineslo 7

využívání bezlicenčního pásma, což má negativní důsledky ve formě silného zarušení příslušného frekvenčního spektra a dále častých bezpečnostních incidentů. Následníkem Wi-Fi by měla být bezdrátová technologie WiMax, která se zaměřuje na zlepšení přenosu signálu na větší vzdálenosti. [1]

1.2. Standard 802.11 Standard 802.11 představuje označení standardizačního institutu IEEE – jde o standard definující bezdrátové sítě v nelicencovaném pásmu 2,4 a 5 GHz. Licencování jednotlivých pásem má svoje opodstatnění, jelikož rádiových frekvencí není neomezené množství. Tyto frekvence jsou přidělovány a zpoplatněny. Za tímto účelem vzniklo takzvané pásmo ISM které je vyhrazeno pro průmyslové, vědecké a lékařské potřeby. Pásmo 2,4 GHz vyčlenil pro tyto účely evropský institut ETSI i americký FCC. Dříve nebylo moc využíváno, ale s postupem času se začínalo používat stále více, proto v roce 1997 zveřejnil standardizační institut IEEE standard sítě pracující v pásmu ISM pod názvem 802.11. Tato norma se postupně rozvíjela od základní přenosové rychlosti 2Mb/s k dnešní rychlosti 11Mb/s v pásmu 2,4GH a 54Mb/s v pásmu 5GHz. Standard 802.11 zahrnuje šest druhů modulací pro posílání radiového signálu, přičemž všechny používají stejný protokol. Nejpoužívanější modulace jsou definované v dodatcích k původnímu standardu s písmeny a, b, g. 802.11n přináší další techniku modulace. Původní zabezpečení bylo vylepšeno dodatkem i. Další dodatky (c–f, h, j) pouze opravují nebo rozšiřují předchozí specifikaci. Standardy 802.11b a 802.11g používají 2.4 gigahertz (GHz) pásmo. Proto mohou zařízení interferovat s mikrovlnnými troubami, bezdrátovými telefony, s Bluetooth nebo s dalšími zařízeními používajícími stejné pásmo. Oproti tomu standard 802.11a používá 5 GHz pásmo a není tedy ovlivněn zařízeními pracujícími v pásmu 2.4 GHz. [2]

Používaný frekvenční rozsah je ale v každé zemi odlišný, v některých státech není povolené plné využívání frekvenčního spektra, a to z důvodu využití frekvence za jiným účelem. V České republice povoluje ČTÚ (Český telekomunikační úřad) plné využití daného frekvenčního spektra, jako je tomu ve většině zemí Evropy i USA.

8

Standard

2,4

Maximální Fyzická rychlost vrstva [Mbit/s] 2 DSSS a FHSS

Pásmo Rok vydání [GHz]

Původní IEEE 802.11 1997 IEEE 802.11 a

1999

5

54

OFDM

IEEE 802.11 b

1999

2,4

11

DSSS

IEEE 802.11 g

2003

2,4

54

OFDM

IEEE 802.11 n

2009

2,4 nebo 5 600

IEEE 802.11 y

2008

3,7

MIMO

54

Tabulka č.1. Přehled standardů IEEE 802.11

IEEE 802.11 a Doplněk IEEE 802.11a na rozdíl od IEEE 802.11 pracuje v pásmu 5 GHz s výrazně vyšší přenosovou rychlostí - 54 Mbit/s. Pro její dosažení se poprvé v paketových komunikacích používá ortogonální multiplex s kmitočtovým dělením (OFDM). Výhoda IEEE 802.11a oproti původnímu standardu není pouze ve vyšší rychlosti, ale také v použitém kmitočtu, protože kmitočtové pásmo 5 GHz je méně vytížené než pásmo 2,4 GHz a také dovoluje využití více kanálů bez vzájemného rušení (IEEE 802.11a nabízí až osm vzájemně nezávislých a nepřekrývajících se kanálů).

IEEE 802.11 b Doplněk IEEE 802.11b poskytuje vyšší přenosové rychlosti v pásmu 2,4 GHz, a to až 11 Mbit/s. Pro jejich dosažení využívá nový způsob kódování, tzv. doplňkové kódové klíčování (Complementary Code Keying, CCK) s použitím DSSS (Direct Sequence Spread Spectrum) na fyzické vrstvě. Doplněk specifikuje, že podle momentálního rušení prostředí se dynamicky mění rychlost: 11 Mbit/s; 5,5 Mbit/s; 2 Mbit/s či 1 Mbit/s.

IEEE 802.11d Doplněk IEEE 802.11d upravuje IEEE 802.11b pro jiné kmitočty s cílem umožnit nasazení těchto sítí v místech, kde pásmo 2,4 GHz není dostupné. Doplněk byl schválen v roce 2001.

9

IEEE 802.11 g Doplněk IEEE 802.11g je obdobou IEEE 802.11a s tím rozdílem, že je specifikován pro pásmo 2,4 GHz, stejně jako IEEE 802.11b. Pro dosažení vyšší rychlosti, až do 54 Mbit/s, se používá na fyzické vrstvě OFDM, a navíc se používá DSSS pro zpětnou kompatibilitu s IEEE 802.11b. Pro modulaci se používá podle hodnoty odstupu signálu od šumu QPSK, BPSK, 16-QAM či 64-QAM. Podporované rychlosti v závislosti na modulaci jsou následující: 54 Mbit/s (64-QAM), 48, 36 a 24 Mbit/s (16-QAM), 18 a 12 Mbit/s (QPSK), 9 a 6 Mbit/s (BPSK). Další rychlosti jsou stejné jako u 802.11b: 11 Mbit/s (CCK), 5,5Mbit/s (CCK), 2 Mbit/s (DQPSK) a 1 Mbit/s (DBPSK). Doplněk byl schválen v roce 2003.

IEEE 802.11 n Skupina IEEE 802.11n studuje různé možnosti nastavení parametrů fyzické vrstvy a MAC podvrstvy pro zvýšení datové propustnosti. Mezi tyto možnosti patří použití více antén, změny kódovacích schémat a změny MAC protokolů. Aktuální cíl skupiny je přenosová rychlost minimálně 100 Mbit/s nad MAC vrstvou. Navíc má IEEE 802.11n zajistit vyšší dosah se zachováním co největší rychlosti a zvětšit odolnost proti rušení.

IEEE 802.11v IEEE 802.11v vytváří jednotné rozhraní pro management zařízení v bezdrátové síti. Stanice budou moci provádět funkce managementu zahrnující monitoring a konfiguraci buď centralizovaně, nebo distribuovaně prostřednictvím mechanismu na druhé vrstvě. Přispívá také k rekonfiguraci stávající MIB (Management Information Base), která obsahuje informace o měření kvality média. [3]

10

1.3. Struktura bezdrátové sítě WiFi síť může být vybudována různými způsoby, podle toho k čemu bude tato síť sloužit. Ve všech případech má podstatnou funkci identifikátor sítě SSID (Service Set Identifier), což je posloupnost až 32 ASCII znaků, kterými se sítě identifikují. Tento SSID identifikátor je vysílán na úrovni broadcastu v pravidelných intervalech. Všichni klienti, kteří se chtějí připojit do těchto bezdrátových sítí, si nejdříve naskenují využití dané frekvence a po zobrazení SSID se mohou do sítě připojit. Zařízení, které vysílá SSID a ke kterému se připojujeme nazýváme Access Point.

1.3.1. Ad-hoc sítě Jde o propojení stanic systémem peer-to-peer, počítače spolu komunikují přímo, nezávisle na jiném prostředníkovi, tudíž jsou si všechny účastnické stanice rovny. Vytvoření těchto sítí je podmíněno vzájemným rádiovým dosahem jednotlivých stanic, kdy vzájemná komunikace probíhá pomocí vysílání SSID. Sítě Ad-hoc se nejčastěji používají k propojení dvou a více počítačů z nějakého specifického důvodu na omezený čas - například výměna dat, LAN párty, atd. Rychlost datových přenosů v sítích Ad-hoc dosahuje maximálně 11 Mb/s. Pro dlouhodobější spojení se ale toto spojení již nevyužívá. Vytvoření této sítě je uživatelsky náročnější, proto je pro většinu lidí jednodušší si data vyměnit přes nějaký datový nosič (flash disk, CD, …) nebo se připojit do sítě přes Access point s DHCP serverem.

Obrázek č.1. Příklad sítě Ad-hoc

11

1.3.2. Infrastrukturní sítě Protikladem sítí Ad-hoc jsou infrastrukturní sítě. Typická infrastrukturní síť obsahuje jeden nebo více speciálních komunikačních prvků, zvané access point. Tyto AP taktéž vysílají na úrovni broadcastu své SSID a klient si na základě tohoto vysílání může vybrat ke kterému se připojí. Access point plní funkci rozhraní mezi drátovou a bezdrátovou sítí, tzv. most neboli bridge. Požadavek k připojení do sítě vždy vychází ze strany klienta a Access point na základě oprávnění klienta přístup do sítě buď povolí, nebo zamítne. Pokud spolu tedy chtějí komunikovat dva klienti, tato komunikace vždy probíhá nejdříve přes Access pint, který zde plní funkci prostředníka. Klient může být vždy připojen jen na jeden přístupový bod, ale na tento bod může být připojeno teoreticky neomezené množství klientů. V praxi se tento počet reguluje na řádově desítky klientů, a to zejména z důvodu sdílení přenosové kapacity mezi uživateli. Tyto sítě jsou z hlediska přístupu uživatelů jednodušší, ale jsou mnohem náročnější a nákladnější na výstavbu a provoz, než sítě určené ke krátkodobému užití, např. Ad-hoc.

Obrázek č.2. Příklad infrastrukturní sítě

12

1.4. Hardware pro WiFi sítě Při výstavbě WiFi sítě se můžeme setkat s celou řadou produktů různých značek, výrobců, kvality i ceny. Stejně jako je tomu i u jiného hardwaru existují zde značková zařízení renomovaných firem (Cisco, Nokia, …), tak i zařízení méně známých výrobců a to především z levné asijské produkce. Při výběru hardwaru pro stavbu sítě ale mohou dobře posloužit i tyto komponenty, vždy vybíráme podle požadavků konkrétní sítě. Všechny komponenty mají dvě části, kterými se mohou výrazně lišit od konkurence, a to zejména ovládací software, určený pro správu zařízení a čipová sada, na níž je zařízení vystavěno. V poslední době se stává velmi moderním trendem instalování WiFi modulů i do spotřební elektroniky, jako například multimediální přehrávače nebo tiskárny. Tyto moduly se nepoužívají jako u klasických počítačů k vytvoření sítě, nýbrž pouze k nárazovému přijímání dat. WiFi modul se také stává neodmyslitelnou součástí všech moderních mobilních telefonů. Zde se používá pro připojování do sítí, zejména za účelem sdílení připojení k internetu.

1.4.1. Ovládací software Ovládací software slouží u WiFi zařízení jako komunikační rozhraní mezi zařízením a uživatelem. Používá se především k nastavování parametrů jednotlivých prvků sítě, zjišťování informací o provozu a jeho monitorování (počet přihlášených uživatelů, počet připojení, množství prošlých dat, atd.) nebo i pro ARP dotazy. U méně složitějších zařízení, většinou sloužící jen k připojení do sítě (PCI a PCMCIA karty, USB adaptéry, …), se ovládací software redukuje jen na ovládací prvky již obsažené v operačním systému počítače. Složitější aktivní prvky (acces pointy, bridge, rotery, …) mají již větší nároky na nastavení a ovládání, proto je ovládací software u těchto zařízení nahrán do jejich paměti. Je několik způsobů jak s těmito síťovími prvky pracovat: -

kompletní softwarový průvodce instalací a nastavením pomocí tzw. ,,wizardů“

-

SNMP (Simple Network Management Protocol)

-

Telnet

-

Správa přes webové rozhraní (nejčastější a nejoblíbenější)

13

Klientský software (,,wizard“) Tento způsob práce s prvky sítě se nejčastěji používá u zařízení, se kterým pracují uživatelé jen se základními znalostmi používání síťového hardwaru. Je typický pro uživatele, kteří se jen potřebují připojit do sítě, např. pomocí acccess pointu. Software je zde zpracován formou průvodců, tzv. ,,wizardů“. Tento software provede uživatele kompletní instalací a nastavení access pointu krok za krokem tak, aby uživatel neopomenul žádné z důležitých nastavení.

SNMP (Simple Network Management Protocol) Je jednoduchý, široce rozšířený a užitečný standardizovaný protokol, který slouží k získávání nebo nastavování hodnot na určitém zařízení. Podporu SNMP má velká řada zařízení, například aktivní síťové prvky, počítačová čidla, tiskárny, přístupové body nebo pomocí softwaru a ovladačů ji mohou získat osobní počítače a servery. Hodnoty můžeme získávat v pravidelném intervalu a ty pak jednoduše ukládat do databáze spolu s časem a následně vykreslit do grafu. Přehledně tak můžeme zobrazit třeba vytížení procesoru, průběh teploty nebo datový tok na portu přepínače. Protokol SNMP vyžaduje pro komunikaci dvě strany. Jednou entitou je správce (manager) a druhou agent. SNMP pracuje ve dvou režimech činnosti: •

Správce posílá dotazy agentovi a přijímá odpovědi. Hodnoty tedy může získávat i více správců a mohou se ptát kdykoliv.

•

Agent zasílá oznámení (trapy) na adresu správce. V nějakých definovaných situacích (překročení nějaké hodnoty nebo i v pravidelném intervalu) odesílá agent jednomu správci hodnoty.

Protokol SNMP nyní existuje ve třech verzích. SNMPv1 a SNMPv2c používají pro autentizaci community string, v podstatě textové heslo. V SNMPv3 je možno využít autentizaci pomocí jména, hesla a šifrování. SNMP používá pro komunikaci UDP protokol, díky čemuž je velmi rychlé, ale může dojít ke ztrátě (nedoručení) zasílané informace (paketu). Od verze 2 je implementována kontrola doručení, takže ke ztrátě by nemělo dojít. [4]

14

TELNET - Telecommunication NetworkTelnet Jde o protokol fungující na aplikační vrstvě. Využívá se v počítačových sítích a na internetu pro spojení typu klient-server pomocí protokolu TCP, k této komunikaci využívá port č.23. Protokol telnet umožňuje ovládat vzdálená zařízení pomocí tzv. terminálu s příkazovým řádkem. Hlavní nevýhodu tohoto způsobu ovládání je, že nepodporuje šifrování a proto jeho používání představuje značné bezpečnostní riziko. Náhradou za tento protokol může být SSH (Secure Shell), který již komunikuje šifrovaně.

Webové rozhraní V dnešní době nejrozšířenější způsob nastavování síťových prvků. Velikou výhodou tohoto způsobu je fakt, že se provádí pomocí internetového prohlížeče, který je součástí všech operačních systémů. Tím odpadá nutnost instalování speciálních ovládacích programů, jako tomu je u jiných způsobů nastavování. Další výhodou je poměrně jednoduché uživatelské prostředí, se kterým mohou pracovat i síťoví laici. Používání tohoto webového rozhraní v praxi vypadá tak, že se do internetového prohlížeče zadá defaultní adresa zařízení, přes kterou se k tomuto prvku připojíme. K povolení přístupu do nastavení musíme ale také zadat jméno a heslo, kterým se ověří totožnost uživatele, aby nedocházelo k napadnutí zařízení neoprávněnou osobou. Dalším způsobem jak zařízení ochránit, je mít k němu povolený přístup jen z intranetu nebo ethernetu, a tudíž zabránit možnosti připojit se k zařízení odkudkoliv z internetu.

1.4.2. Čipová sada Jako je mozkem každého počítače procesor, pak mozkem každého WiFi hardwaru je čipová sada (neboli chipset). Čipová sada je složena z různého množství integrovaných obvodů a plní funkci řízení toku dat. Chipset určuje základní vlastnosti zařízení, funkce ovládacího softwaru a další. Největší podíl na trhu má firma Intersil, jejíž čipové sady řady PRISM se staly součástí téměř všech WiFi zařízení. Existují zde ale také další výrobci jak sou například Atmel, AMD, Intel, Atheros, atd.

15

1.4.3. Access point Access point komunikuje s bezdrátovými zařízeními ve svém dosahu a stará se o směřování (routování) provozu mezi bezdrátovými klienty a zpravidla také mezi pevnou kabelovou sítí. U access pointů je nutné dbát na několik důležitých věcí. Především musíme vědět, že každý access point má omezené množství najednou připojených uživatelů. Levnější access pointy dokáží najednou připojit jen okolo třiceti uživatelů, výkonnější přístupové body připojí okolo 60 uživatelů, ale také i 254 uživatelů najednou. Připojení více uživatelů najednou ale přináší nevýhodu v tom, že všichni mezi sebou sdílejí přenosovou kapacitu access pointu. Co se rychlostí týká, kromě staršího a dnes nejrozšířenějšího WiFi 802.11b, tedy sdílené rychlosti až 11 Mbit/s, jsou k dispozici i další rychlosti, většina z nich ale není standardizována a závisí na použité čipové sadě. Správný access point by měl umět pracovat s DHCP servery tak, že do sítě řízené DHCP serverem ho jen připojíte a on si sám nakonfiguruje své připojení do sítě. Kromě DHCP klienta také přístupový bod většinou obsahuje DHCP server, takže automaticky přiděluje adresy bezdrátovým klientům, což je z hlediska klientů velmi usnadňující funkce. WiFi zařízení se musí řídit jednotným standardem, takže odlišnosti jsou spíše v možnostech, které access point nabízí pro svoji správu, nikoliv v základních funkcích. Kvalitnější výrobky nabízejí například tyto funkce: povolovat či zakazovat přístup uživatelů rozpoznaných podle MAC adresy, limitovat jim vyhrazenou přenosovou kapacitu, AP může mít i svůj firewall, atd. [5]

Obrázek č.3. Příklady vzhledu access pointů

16

Každý Access Point může pracovat v různých režimech, což umožňuje provádět specifické funkce. Některé režimy mohou kombinovat několik funkcí, což zvyšuje funkčnost tohoto zařízení. Základní režim Access Point umožňuje bezdrátovou komunikaci mezi každým klientem vybaveným bezdrátovou kartou/adaptérem a Access Pointem. Uživatelé (klienti) se do bezdrátové sítě připojují v režimu Infrastructure. Rozšířením základního režimu je Access Point Client, zařízení pracuje podobně jako bezdrátová karta/adaptér využívaná klienty. Tento režim je nutno používat, když je potřeba připojení

několika

LAN uživatelů

v

domácnosti,

kanceláři,

budově,

prostřednictvím bezdrátového spojení. Access Point může spolupracovat se switchem, který poskytuje odpovídající počet LAN připojení. Pokud potřebujeme rozšířit bezdrátovou síť, použijeme režim Repeater (regenerator). Zařízení přijímá požadovaný tok dat a odesílá jej dál. Tento režim se často používá ve větších budovách pro zajištění lepšího pokrytí. Kvůli tomuto způsobu práce se maximální průchodnost Access Pointu sníží o 50%. Pro vytváření přímých Point-to-Point spojů, tj. bezdrátových mostů, se používá režim Bridge (Point to Point). Zařízení využívá statického routování založeného na MAC adresách Access Pointů. Tento režim umožňuje připojení vzdálených součástí pevně zapojených sítí. Tato spojení jsou chráněna proti přístupu z jiných zařízení. Pro tento režim jsou doporučována zařízení pocházející od stejného výrobce, jelikož není standardizován. Můžeme také využívat kombinaci některých režimů, například Bridge a Access Point: Bridge (Point to Point) with AP mode. Spojení point-to-point však nevylučuje možnost připojení bezdrátových klientů. Pro tvorbu vícenásobných okruhů používáme režim Bridge (Point to Multipoint). Tento režim umožňuje připojení z jednoho místa do více pozic, tj. soubor bezdrátových mostů. Využívá statického routování založeného na MAC adresách Access Pointů. Umožňuje také připojení více vzdálených součástí pevně zapojených sítí. Tato spojení (stejně jako při spojení Point to Point) jsou chráněna proti přístupu z jiných zařízení. I pro tento režim jsou doporučována zařízení pocházející od stejného výrobce, jelikož není standardizován. [6]

17

1.4.4. PCI WiFi karty PCI je počítačová sběrnice pro připojení periferií k základní desce, zpravidla je na jedné základní desce více těchto, na sobě nezávislých, periférií. Jednou z nich může být WiFi karta sloužící pro připojení do bezdrátové sítě. Každá tato karta je opatřena malou odnímatelnou anténou, kterou v případě špatného signálu můžeme vyměnit za výkonnější. Základní antény zpravidla postačí pro příjem signálu v uzavřených budovách, pokud se ale chceme připojit k nějaké větší venkovní infrastrukturní sítí, musíme anténu vyměnit za anténu externí, tudíž výkonnější. Standardní PCI WiFi karty jsou určeny jen pro stolní počítače, ale nyní se již vyrábí tzv. Mini PCI WiFi karty, které se mohou používat i v PCI portech notebooků. Tyto karty poskytují všechny služby stejně jako klasické PCI WiFi karty, s tím rozdílem, že mají pouze integrovanou anténu, bez možnosti výměny, tudíž mají jen velmi malý dosah. Ideální je použití těchto WiFi karet v uzavřených prostorách (kanceláře, školy, atd.) Další možností, jak se připojit do bezdrátové sítě, jsou PCMCIA WiFi karty. Toto zařízení stačí prakticky jen zasunout do PCMCIA slotu notebooku, projít nastavení tytu Plug'n'Play a ihned se můžeme připojit do bezdrátové sítě. Velikou výhodou je možnost připojení externí antény, k některým typům síťových karet, a tudíž zlepšit příjem signálu. Tato možnost připojení je velmi oblíbená zejména u mobilních uživatelů sítě. Většina karet podporuje bezdrátové připojení k síti pomocí standardu IEEE 802.11b/g. Tudíž umožňuje přenos dat rychlostí až 54 Mb/s v bezlicenčním frekvenčním pásmu 2,4GHz. Prakticky všechny tyto karty podporují bezpečnostní standarty WiFi jako jsou např. WEP, WPA, WPA2, atd. [7]

Obrázek č.4. Příklady vzhledu PCI WiFi karty, PCMCIA WiFi karty a Mini PCI WiFi karty

18

1.4.5. USB WiFi adaptér Tento typ připojení se využívá především u notebooků, které nemají Wifi modul již v sobě zabudován. Zařízení se připojuje přes univerzální port USB přímo, nebo může být připojeno přes USB kabel (max. 5m), tato varianta se volí pokud kvalita přijímaného signálu není dostačující a tudíž potřebujeme umístit adaptér na místo s lepším příjmem. Toto zařízení, díky nenáročnosti zapojení a používání mohou užívat i uživatelé laici, kteří zde ocení zejména vysoký stupeň mobility zařízení. Většina USB WiFi adaptérů má v sobě integrovanou anténu, ale některé nabízejí možnost připojení výkonnější externí antény. Adaptéry podporují standarty 802.11g/b/n a také bezpečnostní standarty WPA/WPA2 a WEP.

Obrázek č.5. Příklad vzhledu USB WiFi adaptéru a adaptéru s externí anténou

1.4.6. Antény Anténa je zařízení určené k přeměně střídavé vysokofrekvenční energie, která je přivedena na její vstupní svorky, na vysokofrekvenční elektromagnetické pole, které je vyzářeno do prostoru. Toto platí u vysílacích antén, přijímací antény jsou naopak schopné při umístění do vysokofrekvenčního elektromagnetického pole, vytvářet na svých svorkách energii, která je přímo úměrná tomuto poli. Každá anténa má své specifické vlastnosti, a při výběru WiFi antén, klademe důraz především na tyto parametry: Zisk antény udává jakou intenzitou vyzařuje signál v požadovaném směru. Tato vlastnost je především ovlivněna směrovostí a účinností antény. Zisk se udává v dB

19

a vyjadřuje kolikrát bude vysílaný nebo přijímaný signál zesílen oproti dané hodnotě. Zisk Wifi antén se u antén používaných v interiérech pohybuje okolo 2dB, u antén používaných na delší venkovní spoje může dosáhnout hodnot až 30dB a více. Polarizace nám udává rovinu, ve které se bude signál šířit. Anténa může mít různé polarizace, tuto vlastnost ovlivňuje zejména jejich konstrukce, ale existují i antény, jejichž polarizaci můžeme snadno změnit, například otočením o 90°, a tudíž změnit její polarizaci na opačnou. Anténa může mít polarizaci eliptickou, cirkulární, smíšenou nebo vertikální a horizontální (nejčastější způsob polarizace). Většina běžně používaných antén mají vertikální nebo horizontální polarizaci (YAGI, síta, paraboly, atd.). Atypické antény s kruhovou polarizací se používají jen v místech, kde se vyskytuje možnost velkého rušení signálu, nebo na dálkové spoje. Vyzařovací úhel je spektrum, ve kterém je možné zachytit signál vysílací antény. Tato vlastnost je dána zejména konstrukcí antény. Sektorové antény mají za úkol pokrýt signálem pouze dané území, většinou okolo 90° – 120°, oproti tomu všesměrové antény pokrývají signálem celou oblast kolem sebe, tj. 360°. Opakem všesměrových antén jsou antény směrové, tyto se používají zejména na přímé spoje v místech s velkým vnějším rušením a zpravidla mají vyzařovací úhel v rozmezí 7° - 25°. Ne vždy je ale nutné antény pro WiFi kupovat, existují zde totiž možnosti, zhotovit si anténu požadovaných vlastností doma, a to za zlomek pořizovací ceny v obchodech. U těchto zařízení ale nemáme zaručenou jistotu správné funkce, proto se doporučuje je používat jen u spojů na krátkou vzdálenost a tam kde se vyskytuje minimum rušivých vlivů. Další vlastností, na kterou je potřeba dát pozor u doma vyrobených antén, je vyzářený výkon. Jelikož ČTU povoluje v pásmu 2,4GHz maximální vyzářený výkon 100mW, musíme vyzařovací výkon těchto antén před použitím změřit, abychom tuto hranici nepřekročili. Existuje mnoho druhů antén používaných pro WiFi zařízení. Antény můžeme dělit podle konstrukce, nebo podle způsobu využití. Pokud chceme signálem pokrýt celou danou oblast, použijeme anténu všesměrovou. Tyto antény jsou nejčastěji tvořeny leptaným plošným spojem uvnitř plastové trubky nebo důmyslnou soustavou navzájem sfázovaných zářičů. Nejčastěji se používají pro příjem signálu, jako základní antény u uživatelského WiFi hardwaru (PCI karty, USB adaptery, access pointy, ...). Zisk těchto antén se pohybuje do 10 dBd a mohou mít jak vertikální, tak horizontální polarizaci.

20

Tam, kde je třeba vykrýt větší souvislý prostor se používají antény sektorové. Každá sektorová anténa má vyzařovací úhel, v jehož spektru pokrývá oblast signálem. Nejlevnější sektorové antény mívají vyzařovací úhel cca 30 stupňů, kvalitnější a dražší antény složené z více sfázovaných zářičů pokrývají až 180 stupňů. Lze sehnat sektorové antény jak s horizontální, tak i s vertikální polarizací. Pokud potřebujeme spoj typu Point to Point, mezi dvěmi WiFi prvky (např. bridge), je zde nejvýhodnější použít směrovou anténu. Tyto antény se vyrábějí buď v provedení YAGI nebo jako parabolické reflektory. YAGI antény jsou dlouhé tyče s mnoha sfázovanými půlvlnnými dipóly, které navzájem rezonují a zesilují přijímaný či vysílaný signál. Výhodou YAGI antén jsou kompaktní rozměry a nižší cena. Naopak nevýhodou jsou horší mechanické a fyzikální vlastnosti. Parabolické reflektory jsou tvořeny zářičem (dipól) a parabolickým reflektorem (síto, plná parabola). Zářič ozařuje parabolickou plochu, která vlnění soustředí do úzkého paprsku. Tyto antény mohou mít zisk i 30 dBd a vyzařovací úhel menší než 10 stupňů. Specifickou skupinou jsou antény s kruhovou polarizací. Jsou to "šroubovice" s vyzařovacím úhlem cca 30 stupňů, jejichž hlavní výhoda spočívá ve schopnosti přijímat jak horizontální, tak vertikální polarizaci. Používají se v lokalitách s mnoha odrazy, kde může docházet k přepolarizování signálu. Naopak jsou silně nevhodné pro point-to-point spoje, jelikož dokáží spolehlivě zarušit vše kolem sebe. [8]

Obrázek č.6. Příklady vzhledu všesměrové, sektorové a směrové antény

21

2. Zabezpečení WiFi sítí V této kapitole se věnuji všem možnostem zabezpečení WiFi sítí, popisu jak tyto zabezpečovací mechanizmy fungují, kde a jak se aplikují. Dále zde uvádím, jaké mají jednotlivé možnosti zabezpečení nedokonalosti a slabiny, tudíž jak se dají narušit. Tato kapitola je brána jako teoretická část následující kapitoly, kde se budu věnovat praktické implementaci některých zde uvedených možností zabezpečení.

2.1. Úvod do bezpečnosti WiFi sítí V dnešní době, kdy se klade stále větší důraz na mobilitu všech uživatelů datových sítí, se stává nejčastějším přenosovým médiem vzduch, respektive rádiové vlny. Signály těchto sítí se šíří volně prostorem, a tudíž zde vzniká veliké bezpečnostní riziko zachycení těchto signálů neoprávněnými uživateli. Zde nastává problém, který si většina provozovatelů a uživatelů bezdrátových sítí neuvědomuje, a nechává tyto sítě nezabezpečené. Neoprávnění uživatelé tudíž mohou tyto sítě napadnout a zneužívat služeb sítě, nebo mohou zcizit soukromá data, která sítí protékají. Neoprávnění uživatelé se mohou do nezabezpečených sítí připojit nejen z místa, který pokrývá signál z antény nezabezpečeného zařízení, ale s použitím směrové antény s patřičným výkonem, mohou síť napadnou i ze vzdálenosti několika kilometrů. Zabezpečení WiFi sítí se vyvíjelo stejně jako sama WiFi technologie. Tudíž zde existují zabezpečovací mechanizmy, které byly určeny pro použití na dnes již velmi zastaralých zařízeních. Problémem je, že někteří uživatelé používají toto zabezpečení ještě dnes a tudíž jsou sítě zabezpečeny jen velmi málo. Dalším problémem je, že WiFi prvky se prodávají bez použití zabezpečení, nebo jen se zabezpečením defaultním, nastaveným u výrobce. Pokud si tedy sám zákazník na sítovém prvku ochranu neaktivuje, popřípadě nezmění tovární nastavení, zůstává WiFi síť téměř nezabezpečena. Mnozí lidé si ale dnes již nutnost zabezpečení svých sítí uvědomují, a toto riziko nepodceňují. Podle statistik je v Praze dnes již zabezpečeno 84% WiFi sítí, což je oproti stavu v roce 2005, kdy bylo zabezpečeno jen 45% přístupových bodů, velmi příznivě rostoucí trend. Nejpoužívanějším druhem zabezpečení stále zůstává šifrování WEP, užívá jej 58% zařízení, ale i tato statistika se zlepšuje a stále více uživatelů přechází na dokonalejší metody šifrování.

22

2.2. Základy bezpečnosti v IT Pokud chceme pracovat s daty, která mají vyšší stupeň zabezpečení, je nutné nejen chránit přenosy těchto dat v sítích, ale také zabezpečit samotné koncové počítače, ve kterých se data nacházejí. Tyto stanice je potřeba chránit proti útokům „z venku“ nejčastěji z internetu, a to pomocí antivirů, Firewallů a Antispywarů. Dalším způsobem jak napadnout pracovní stanice jsou útoky „zevnitř“ a to přímo z počítače, kde jsou data uložena. Těmto útokům můžeme zabránit jednak nastavením oprávnění k manipulaci s důvěrnými daty jen některým uživatelům, ale zejména použitím bezpečnostních hesel. Antivirový systém se skládá z v několika částí, které sledují všechna vstupní a výstupní místa kudy by se mohl vir dostat do počítače. Každý antivir má v sobě databázi počítačových virů a pravidelně kontroluje všechna uložená, ukládaná i proudící data a porovnává je se svojí databází. Všechny tyto aktivity mohou probíhat na pozadí a dá se je předem naplánovat. Další nedílnou součástí jsou pravidelné aktualizace virových databází, které si nejčastěji antivirový program stahuje ze svého domácího serveru. Pokud antivirový program najde infikovaný soubor může jej buď odstranit, jen odstranit vir ze souboru nebo přesunout do tzv. karantény. Firewall je, jak je již z názvu patrné, virtuální zeď, která má za úkol rozpoznat jaká komunikace je legální či ilegální a na základě tohoto ji povolit nebo zakázat. Pokud toto nemůže určit dotáže se uživatele na povolení komunikace a ten sám rozhodne jestli tento proces povolit nebo zamítnout. Spyware jsou programy které se infiltrují do registrů operačního systému a odtud mohou odesílat data bez vědomí uživatele. Nejčastěji se tyto programy šíří jako součásti shareware a adware softwaru, při jejichž instalaci proniknou do systému. Chránit se proti těmto útokům můžeme pomocí Antispywarů (např. Spybot S&D, Ad-Aware, Spyware Terminator), kteří kontrolují a čistí registry.

Heslo je posloupnost znaků, které slouží zejména při identifikaci totožnosti uživatele. Každý uživatel si tvoří svoje hesla, ale mnozí nedodržují základní pravidla pro tvorbu bezpečných hesel, a tudíž vystavují svoje data velikému riziku. Pokud si uživatel chce vytvořit bezpečné heslo, měl by se řídit těmito pravidly: nedávat do hesla cokoliv co se spojuje s danou osobou (jména, datum narození, tel. číslo), používat dostatečnou délku hesla (ideální délka je 8 znaků), používat do hesla speciální znaky (? ! # & @ $), vhodné je také si hesla v pravidelném intervalu pozměňovat.

23

2.3. Základy bezpečného používání WiFi Pokud chceme k bezdrátovému přenosu dat používat technologii WiFi, měli bychom dodržovat základní pravidla pro používání této technologie, abychom svoje data zbytečně nevystavovali nebezpečí. Kromě použití všech dostupných forem zabezpečení, je dobré dodržovat několik zásad bezpečného používání. Nenechávat zabezpečení zařízení v implicitním nastavení výrobce. Pro nastavení zařízení se každý uživatel musí nejdříve autorizovat jménem a heslem, častou chybou se stává ponechání těchto dvou údajů v původní formě, kterou mají zařízení od jednoho výrobce vždy stejnou (nejčastěji ve tvaru jméno:adnim heslo: admin). Do takto nezabezpečeného zařízení není žádný problém se dostat. Pojmenování identifikátoru sítě SSID. Tento identifikátor je také implicitně nastaven ve výrobě a mnoho uživatelů si jej nezmění, nebo jen pozmění na zřejmé hodnoty jako jsou jméno firmy, adresa, jméno oddělení nebo jména produktů, a tím se identifikují útočníkovi. Umístit router nebo access point do středu budovy, kterou svým signálem má pokrývat, a tím minimalizovat možnost uniku signálu a tím pádem jeho zneužití. S úniky signálu je také spjata volba vhodného vysílacího výkonu, který bude vhodný pro pokrytí jen vyžadovaného prostotu. Pokud potřebujeme vytvořit bezdrátový spoj tytu point-topoint, doporučuje se použít směrovou anténu s co nejmenším vyzařovacím úhlem, aby bylo pro případného útočníka těžší signál zachytit. Provádět preventivní prohlídky provozu v bezdrátové síti. Existují programy (např. NetStumbler) s jejichž pomocí je možno kontrolovat, zda se do sítě připojují jen uživatelé kterým je přístup povolen. Změnit si adresování v podsíti. Většina zařízení používá jako implicitní IP adresu směrovače 192.168.1.1. Když se do takové sítě připojí neoprávněný uživatel, který předpokládá implicitní nastavení IP adres a nastaví si svou adresu na hodnoty 192.168.1.0 do sítě se připojí bez problémů. Proto je dobré používat neobvyklé adresování v síti. Vypínat Wifi zařízení, když je nepoužíváme. Tento způsob je velmi nepohodlný, ale je zároveň jeden z nejbezpečnějších. Tam, kde to podmínky umožňují je dobré zařízení vypínat, zejména pokud bude delší dobu nepoužíváno. V neposlední řadě je třeba dbát na fyzické zabezpečení, jednotlivých prvků sítě, proti útokům i případnému zcizení. Tomuto zabráníme umístěním zařízení do prostor s omezeným přístupem, nebo použitím bezpečnostních skřínek. [9]

24

2.4. Zablokování vysílání SSID SSID (Service Set Identifier) je jedinečný identifikátor bezdrátové sítě, jehož podobu si volí zřizovatel sítě. SSID tvoří kombinace maximálně 32 libovolných znaků, kterou nazýváme ASCII řetězec. Všechna zařízení komunikující v bezdrátové síti si mezi sebou vyměňují tyto SSID identifikátory a na základě vzájemné shody je komunikace buď povolena nebo zakázána. Takto spolu mohou komunikovat buď jen dvě stanice v síti typu Ad-hoc, nebo při nastavení více klíčů na jednom zařízení může spolu komunikovat více stanic najednou v tzv. infrastrukturní síti. Název sítě si každý může změnit podle sebe v osobním nastavení access pointu, stejně tak i podobu SSID kódu. Všechna zařízení mají tovární nastavení tohoto kódu stejná, proto je potřeba tento údaj ihned při spuštění sítě změnit na složitější kód, jinak bychom síť nechali jen s velmi malým zabezpečením a tudíž snadno napadnutelnou. SSID identifikátor sítě je vysílán, v pravidelných intervalech, na úrovni broadcastu všem uživatelů sítě, a také všem stanicím, které jsou v dosahu bezdrátové sítě. Těmto stanicím stačí pouze zadat scanování sítí v dosahu a sítě se jim automaticky zobrazí v nabídce bezdrátových sítí. Tomuto můžeme zabránit vypnutím vysílání SSID na přístupovém bodu a tudíž skrytí sítě. Pokud se do takovéto sítě chce připojit další uživatel, musí znát přesnou podobu SSID a po zadání tohoto kódu na své stanici se mu zobrazí bezdrátová síť, v jejímž je dosahu se samozřejmě musí nacházet. Tato metoda se ale nedoporučuje používat k zabezpečení Wifi sítě, zejména díky poměrně jednoduchému prolomení. Vhodnější je ji používat jako doplňkovou metodu s kombinací ještě jiných možností zabezpečení.

2.4.1. Slabiny zabezpečení skrytím SSID Pokud se do sítě kde je zablokováno vysílání SSIS chce připojit autorizovaný uživatel, access point tomuto uživateli poskytne informaci o svém SSID. Tato informace se přenáší nekódovaně a pomocí speciálního softwaru (Kismet, v BackTrack 3, ...) ji může útočník odposlechnout a na základě znalosti kódu se do sítě připojit. Dalším způsobem je vyvolání automatického odpojení některého z uživatelů, taktéž pomocí softwaru (např. aireplay-ng), a při jeho znovupřipojení odposlechnou SSID. Moderní přístupové body poskytují možnost vysílání více SSID kódů a tím vytvářejí virtuální access pinty na kterých se dají aplikovat různá bezpečnostní opatření. Přesto se použití samotného zabezpečení skrytím vysílání SSID nedoporučuje.

25

2.5. Filtrování MAC adres MAC adresa, nebo také fyzická adresa, je jednoznačný identifikátor síťových zařízení. Toto platí pro klasické síťové karty, tak i pro bezdrátové prvky. Tato adresa je se skládá ze 48 bitů a nejčastěji se zapisuje jako šestice dvojciferných hexadecimálních čísel oddělených pomlčkami. MAC adresy zapisuje do zařízení výrobce a vždy musí být celosvětově jedinečná. Výrobce dostane první polovinu adresy danou od mezinárodní přidělovací autority a druhou polovinu si zvolí sám. V operačním systému windows zjistíme MAC adresu, zadáním příkazu ipconfig /all do příkazového řádku. Jedinečnosti každé MAC adresy, se dá využít k řízení provozu v síti. Většina WiFfi access pointů a routerů má funkci filtrování MAC adres (MAC control) , neboli řízení provozu jednotlivých uživatelů, na základě jejich MAC adresy. Každé zařízení, kde je toto bezpečnostní opatření použito, má ve své paměti tabulku, kde jsou zapsány MAC adresy uživatelů, kteří mají oprávnění využívat služeb tohoto zařízení. Tyto tabulky vyplňuje a udržuje správce sítě přes jednu z možností konfigurace zařízení. Uživatel, při inicializaci připojení do sítě, odesílá na dané zařízení žádost o připojení, která také obsahuje jeho MAC adresu. Zařízení porovná adresu ze žádosti s adresami ve své tabulce, a pokud dojde ke shodě, povolí uživateli přístup, a odešle uživateli kladnou odpověď spolu s informacemi nutnými pro připojení. Pomocí filtrování MAC adres, můžeme také nastavovat práva pro užívání sítě jednotlivým uživatelům, například povolit jen sdílení internetu, a zakázání přístupu k datům na ethernetu.

2.5.1. Slabiny zabezpečení filtrováním MAC adres Velikou bezpečnostní slabinu tohoto zabezpečení představuje fakt, že si MAC adresu svého síťového prvku může přepsat každý uživatel, podle své potřeby. MAC adresu můžeme změnit buď pomocí speciálního softwaru přímo na síťovém zařízení, ale snadnější způsob změny nám umožňuje modifikace MAC adresy v registrech operačního systému. Pro neoprávněné připojení je potřeba nejdříve získat informace o uživatelích a provozu sítě. Tyto informace získáme odchycením vzorků paketů ze sítě, pomocí tzv. sniffer softwaru (např. Ethereal). Tyto informace obsahují také MAC adresy autorizovaných uživatelů. Poté už stačí

změnit si svoji MAC adresu na adresu

autorizovaného uživatele a do sítě se bez problémů dostaneme. Prolomení zabezpečení filtrováním MAC adres není tudíž moc náročné, proto se řadí do méně bezpečných a doporučuje se používat pouze jako doplňkové zabezpečení.

26

2.6. WEP WEP (Wired Equivalent Privacy) byl prvním šifrovacím protokolem, určeným pro zabezpečení WLAN sítí, definovaný v prvním standartu IEEE 802.11, již v roce 1997. Původně bylo plánováno použití tohoto šifrovacího protokolu v drátových sítích, ale kvůli slabému kryptografickému základu k tomu nedošlo. Protokol WEP používá pro šifrování algoritmus RC4 s tajným klíčem o velikosti 40 nebo 104 bitů a inicializační vektor dlouhý 24 bitů. Pro zabezpečení obsahu používá ICV (Integrity Check Value, kontrolní hodnota integrity), která se vypočítává pomocí CRC-32 (Cyclic Redundancy Code, cyklický kód určený na detekci chyb) který je též zašifrovaný. Šifrování přenášených dat se provádí klíčem, který je složen z uživatelského klíče a inicializačního vektoru. Tento klíč je buď ve formě 64 nebo 128bitů. Na začátku se z nešifrovaného textu vypočítá pomocí CRC kontrolní součet, který poté slouží k ověření integrity dat, tento součet se připojí za přenášenou zprávu. Poté dojte ke spojení inicializačního vektoru a uživatelského klíče, z jejichž kombinace se vypočte šifrovací klíč pomocí RC4 algoritmu. Tento šifrovací klíč musí mít stejnou velikost jako přenášená zpráva s kontrolním součtem. Jako další se mezi šifrovacím klíčem a zprávou provede logický výhradní součet (XOR). Nakonec se k výsledku ještě připojí iniciační vektor, který je potřeba k dešifrování zprávy, a šifrovaná zpráva je připravená k odeslání. Na přijímací straně poté proběhne dešifrování zprávy, obdobně jako při šifrování. RC4 je proudová šifra, která byla vyvinuta již v roce 1987 pro společnost RSA, a dnes je ve verzi RC4 stále nejpoužívanější proudová šifra. Používá se například i u zabezpečení komunikačního protokolu SSL(Secure Socket Layer). Největší výhodou, a také zároveň důvodem proč se stále používá, je její rychlost. Je až desetkrát rychlejší než jiné šifry, proto se velmi hodí zejména do šifrování komunikace probíhající v reálném čase. I přes všechny slabiny, které se za dobu jejího užívání objevily, se stále považuje za bezpečnou šifru. Bohužel při implementaci této šifry, do bezpečnostního protokolu WEP, se nedodrželo základní a nejdůležitější pravidlo šifry, to je nutnost dodržení unikátnosti inicializačního vektoru. Inicializační vektor je 24 bitová hodnota, která v kombinaci s “tajným klíčem” slouží pro šifrování pomocí RC4 algoritmu. Důvodem použití inicializačního vektoru v šifře WEP, je změnění statičnosti kódu. Unikátnost inicializačního vektoru patří mezi zcela základní požadavky šifry RC4. Bohužel při návrhu bezpečnostního protokolu WEP nebylo přesně určeno, jakým způsobem se má inicializační vektor generovat, což je

27

považováno za největší chybu v tomto protokolu. Dalším nedostatkem, způsobeným špatnou implementací inicializačního vektoru, je nedodržení jeho dostačující délky. Proto po několika hodinovém provozu ve středně velké síti, jsou všechny kombinace inicializačního vektoru vyčerpány a musí se začít používat opakovaně stejné kombinace. CRC-32 je algoritmus, který se v protokolu WEP používá k ověření integrity datagramů (ICV). I tato kontrola integrity může být narušena, a to tak, že datagram se dá odchytit a vhodnou změnou některých bitů, se změní i kontrolní součet a tudíž zařízení bude brát datagram jako neplatný. Toto může být může být využito dokonce i pro útok na samotný WEP klíč. WEP plus a WEP 2 jsou novějším vylepšením základního bezpečnostního protokolu WEP. Tyto nové verze poskytují vyšší úroveň zabezpečení, a zejména napravují chyby známé z první verze. Dnes se již nedoporučuje používat tyto vylepšené verze

zabezpečení

WEP,

jelikož

hardware

který

již

podporuje

WEP

plus

a WEP 2, umožňuje i použití dokonalejších způsobů šifrování, jako například WPA. WPA by mělo mít přednost před jakoukoliv variantou zabezpečení protokolem WEP. [10]

2.6.1. Slabiny zabezpečení WEP Útok hrubou silou (brutal-force attack) spočívá v postupném zkoušení všech možných hodnot šifrovacího klíče. Známý začátek a nedostačující délka inicializačního vektoru, nám nabízí pouze omezený počet kombinací šifrovacího klíče, který má délku buď 40 nebo 104bitů. Útok hrubou silou jde v reálném čase uskutečnit pouze u 40 bitového šifrovacího klíče, jehož realizace, s pomocí botnetu, trvá řádově hodiny. Proti tomuto útoku se můžeme bránit buď častou změnou šifrovacího klíče, nebo aktivací omezeného počtu žádostí o autentizaci za jednotku času. Způsob ochrany omezením počtu autentizací má ale nevýhodu v tom, že pokud nastavíme časovou hranici pro opakování autentizace příliš nízkou, nemusí se povést ani autentizace oprávněného uživatele. Nespolehlivější obranou proti tomuto útoku je použití vícebitového klíče. Narušení bezpečnosti injekcí paketů je možné zejména proto, že standard IEEE 802.11 nevyžaduje změnu iniciačního vektoru u každého paketu. Protokol WEP šifruje a zabezpečuje pomocí ICV jen datovou část paketů, a zároveň umožňuje opakování inicializačního vektoru se statickým klíčem. Toto nám umožňuje zachytit libovolný paket a znovu jej odeslat, aniž by byl identifikovaný jako zdvojený, stačí změnit Sequence number. Podle standardu IEEE není pro protokol WEP definována žádná ochrana proti

28

injekci paketů. Některá zařízení ale injekci částečně zabraňují tím, že inicializační vektory přijatých rámců si ukládají do vyrovnávací paměti (cache), a poté ignorují rámce se shodnými inicializačními vektory. Vyrovnávací paměť má jen omezenou kapacitu, po jejíž překročení se začnou uložené informace přepisovat novými. FMS útok je pojmenován podle autorů Fluhrer, Mantin, Shamir, kteří v roce 2001 popsali možnosti prolomení šifry RC4. Tento útok počítá s tím, že existují inicializační vektory, které vedou k odhalení vlastností privátní části klíče. Pro úspěšné uskutečnění tohoto útoku je potřeba znát alespoň několik prvních bajtů šifrovaného textu, což ale není neřešitelný problém, neboť všechny IP a ARP pakety začínají hodnotou 0xAA. Dříve byl popsán BF-FMS (brutal-force FMS), který se ale od běžného útoku hrubou silou na šifrovací klíč v principu liší. FMS-BF potřebuje obrovské množství zachycených dat, ale jen relativně malý výpočetní výkon. Na klasický BF nám stačí jeden nebo dva pakety, ale potřebujete velmi veliký výpočetní výkon. Proti tomuto útoku se můžeme bránit použitím delších a složitějších inicializačních vektorů, bohužel toto umožňuje jen doplněk WEP+. KoreK je útok založen na nástroji s názvem chopchop. Při tomto útoku je možné bez znalosti klíče dešifrovat pakety zabezpečené WEP protokolem. Při kontrole integrity, může útočník upravit šifrovaný paket, stejně tak i jeho odpovídající algoritmus CRC. V protokolu WEP platí, že každý vybraný bajt v šifrované zprávě vždy závisí na tomtéž bajtu nešifrované zprávy. Díky tomuto platí, že pokud se poslední bajt šifrované zprávy oddělí, zpráva se sice poruší, ale rovněž tím lze uhodnout hodnotu odpovídajícího nešifrovaného bajtu a podle toho šifrovanou zprávu opravit. Tato upravená zpráva se opětovně zašle na access point a pokud odhad byl správný zpráva se přenese. Opakováním tohoto útoku pro všechny bajty zprávy lze dešifrovat pakety WEP a obnovit proud klíčů. Proti tomuto útoku se můžeme bránit pouze použitím silnějších inicializačních vektorů, stejně jako je tomu u útoků FMS. Metoda zabezpečení bezdrátových sítí, pomocí protokolu WEP, je pořád jedním z nejrozšířenějších druhů zabezpečení. I když prolomení tohoto zabezpečení není dnes již velkým problémem, a to zejména díky specializovanému softwaru (např. AirSnort), který v sobě kombinuje hned několik možností průniku do sítí, popsaných výše. Na tento fakt upozorňuje stále více odborníků, kteří doporučují protokol WEP již nepoužívat, a postupně přecházet na dokonalejší zabezpečovací metody. [10]

29

2.7. IEEE 802.1x Standard 802.1x (Port Based Network Acces Control) slouží k blokování přístupu do WiFi sítí, a to pomocí vzájemné autentizace. Funkce autentizace je založena na protokolu EAP. Jednu z hlavních předností standardu 802.1x představuje fakt, že se autentizuje i samostatný uživatel (např. pomocí jména a hesla) a ne jen stanice. Ověření správnosti uživatelských jmen a hesel provádí tzv. RADIUS server. Mezi další funkce tohoto standardu patří management a distribuce šifrovacích klíčů stanicím, u kterých již proběhla pozitivní autentizace. Tyto šifrovací klíče jsou dynamické a mají pouze omezenou životnost, používají se k šifrování rámců pouze na daném portu, pouze po omezený čas, dokud se stanice neodpojí nebo neodhlásí. Pomocí tohoto standardu můžeme nejen blokovat přístup neautorizovaným uživatelům, ale i nastavovat práva na používání služeb sítě pro autorizované uživatele. EAP (Extensible Authentication Protocol) protokol byl původně navržen pro rozšíření Point-to-Point spojů, ale později byl použit i ve standardu 802.1x. Tento protokol nabízí několik možností autentizace, ale pouze některé z nich se v praxi rozšířily. Možnosti autentizacce se dají srovnávat podle dvou kritérií: míra poskytovaného zabezpečení a náročnost implementace. Metoda EAP-MD5 (Message Digest 5), je nejjednodušší na implementaci, ale zároveň poskytuje nejnižší úroveň zabezpečení. Proto se nedoporučuje tuto autentizační metodu vůbec používat, jelikož neodolá ani nejjednodušším útokům, jako je například slovníkový útok na heslo. Uživatelé se zde sice autentizují pomocí hesla, ale autentizaci access pointů tato metoda neumožňuje. Jako jediná z metod EAP také nepodporuje dynamické generování klíčů. Další variantou EAP je protokol LEAP. Tento protokol vyvinula firma Cisco, původně pouze pro schválení standardu 802.1x. Tento protokol je stejně náchylný na slovníkové útoky jako předchozí EAP-MD5, ale díky jeho snadné implementaci

se

poměrně často používá k autentizaci v domácím prostředí. Přesto se významněji nerozšířil, a to zejména proto, že pracuje pouze na klientských adaptérech firmy Cisco. Další možností autentizace je pomocí protokolu TSL, poskytnout nevyšší možnou úroveň zabezpečení, ale za cenu náročné a nákladné implementace. Vzájemná identifikace, klienta a autentizačního serveru, probíhá pomocí certifikátu, který poskytuje certifikační autorita. Metoda TSL poskytuje i dynamickou obnovu klíčů a je odolná proti naprosté většině útoků. Rozšířením tohoto protokolu je TTSL. Tento protokol poskytuje

30

stejnou míru zabezpečení, ale jeho implementace je značně jednodušší. U této metody potřebuje digitální certifikát pouze autentizační server, který se pomocí tohoto certifikátu autentizuje vůči klientovi. Samotný klient pro svoji autentizaci nejčastěji používá heslo. Středem mezi úrovní zabezpečení a náročností na implementaci je protokol PEAP. Tento protokol je z hlediska přijatelných nákladů a dostačující bezpečnosti ideálním řešením pro zabezpečení. Autentizace ze strany serveru probíhá také pomocí digitálního certifikátu, jako u metody TTSL, a klient se autentizuje pomocí jedné z metod EAP např. EAP-MD5. RADIUS server má za úkol ověřování správnosti identifikačních údajů o klientovi. Komunikace s tímto serverem probíhá přes access point, který pokud detekuje nového klienta, mu odešle výzvu k autentizaci. Klient na výzvu odpoví zprávou, která obsahuje jeho identifikační údaje, tato zpráva je poslána zpět access pointu, který ji pomocí RADIUS protokolu pošle RADIUS serveru, který použitím některého z autentizačních schémat (např. EAP), prověří pravost identifikační informace. Pokud RADIUS server najde ve své databázi shodný údaj, odešle přístupovému bodu povolení k přístupu daného klienta do sítě. Access point o tomto informuje klienta a následně pro něj otevře příslušný port. Pokud tento shodný údaj není nalezen, server odešle access pointu zamítnutí přístupu klienta do sítě. Spolu s povolením přístupu do sítě, může RADIUS server poskytnout klientovi i další informace, jako například IP adresu a další parametry potřebné pro provoz v síti. Dále také může kontrolovat provoz klienta a to tak, že mu při povolování přístupu určí dobu po kterou může být připojen, rychlost připojení, využívání jen některých služeb, nebo jiná omezení. Jako náhrada protokolu RADIUS by měl sloužit nový protokol DIAMETER který, narozdíl od RADIUS severu (UDP), používá jako transportní vrstvu TCP. Slabiny zabezpečení pomocí IEEE 802.1x se odvíjejí především od autentizačních metod, které jsou zde použity. Mezi další nevýhodu patří fakt, že s počítači připojenými na neautorizovaný port, není možné komunikovat, což je velmi nepraktické zejména pro vzdálenou

správu

počítačů.

Tento

protokol

nabízí

pouze

zamezení

přístupu

neautorizovaného uživatele na port počítačové sítě. Pokud se tedy útočník dostane přes tuto ochranu do sítě, která není již nijak chráněná zde volný přístup ke všemu. Proto se doporučuje používat 802.1x pouze jako doplňkové zabezpečení, určené jen pro kontrolu přístupu do sítí. [11]

31

2.8. WPA Důvodem vzniku bezpečnostního protokolu WPA (WiFi Protected Access), bylo řešení slabin zabezpečení WEP. Důležitým kritériem bylo, aby nový bezpečnostní protokol, mohl být používán u hardwaru, který dříve používal zabezpečení WEP. Do těchto zařízení je ale potřeba (pokud to výrobce umožňuje), nahrát nový firmware, jelikož šifrování je pouze softwarová záležitost. WPA bylo dříve jen dočasným řešením pro připravované zabezpečení protokolem WPA2. Ovšem i dnes poskytuje celkem dobrou míru zabezpečení. WPA je tudíž jakýmsi vylepšením protokolu WEP, které odstraňuje všechny jeho bezpečnostní problémy. Tyto slabiny řeší použitím několika technologií. Pro management klíčů a zejména pro autentizaci používá standard 802.1x (viz kap. 2.7.), kde se využívá autentizace pomocí několika desítek metod v rámci EAP (viz kap. 2.7.) a ověřování identity uživatel pomocí tzv. RADIUS serveru (viz kap. 2.7.). Častěji se ale používá pro autentizaci klienta metoda s předsdíleným heslem PSK. Pro kontrolu integrity zpráv se používá mechanismus MIC (Message-Integrity Check) a pro utajení dat používá WPA nový protokol TKIP (Temporal Key Integrity Protocol). PSK (Pre-Shared Key) se česky nazývá režim s předsdíleným heslem. Tato funkce je navržená především pro domácnosti a malé firmy, kde by autentizace pomocí protokolu 802.1x byla neúměrně nákladná a složitá na implementaci (například provoz RADIUS serveru). Při použití tohoto režimu je potřeba nejdříve na všech zařízeních, používaných v dané síti, zadat společnou sdílenou hodnotu tzv. “master key”, která bude použita jako výchozí hodnota pro protokol TKIP, z níž bude odvozovat šifrovací klíče. Každý uživatel, který chce vstoupit do takto zabezpečené sítě, musí nejdříve zadat heslo obsahující 8 až 63 tisknutelných ASCII znaků nebo 64 šestnáctkových číslic. Toto heslo je uloženo na přístupových bodech sítě, a ověření jeho pravosti provádějí access pointy samostatně. Největší bezpečnostní riziko zde představuje vkládání pouze slabých hesel, která neodolají ani útokům zaměřeným na slovníkové hledání hesla. TKIP zavádí dynamické generování klíčů, což má za důsledek používání jiných klíčů pro každý paket. Tím se odstraňuje jedna z nejzásadnějších chyb algoritmu RC4. Útočníkovi se tím zabrání odposlechnutí více datových rámců se stejným klíčem a tím získání klíče samotného. Další službou, poskytující protokol TKIP, je určení jedinečného počátečního šifrovacího klíče, který slouží k ověření každého jednosměrového vysílání

32

předsdílených klíčů. Dalším bezpečnostním prvkem je kontrolní součet pod kódovým názvem „Michael“, neboli MIC. MIC je algoritmus který pomocí kontrolního součtu ověřuje zda příchozí pakety pocházejí skutečně od toho kdo je uveden jako odesilatel, a zároveň umožňuje kontrolu zda paket nebyl na cestě pozměněn. Algoritmus MIC přidá ke každému datovému rámci informaci vypočítanou z datové části rámce, cílové a zdrojové MAC adresy, pořadového čísla paketu a náhodné hodnoty. Pokud nastane nějaká nesrovnalost v MIC, téměř jistě se vždy jedná o útok, proto se ihned přestanou používat staré klíče, které jsou nahrazeny klíči novými. [12]

2.8.1. WPA2 V roce 2004 byl schválen dodatek IEEE 802.11i, známější spíš pod označením WPA2, který již plně nahradil zabezpečení WEP. WPA i WEP byli pouze prozatímním řešením zabezpečení, než byla schválena norma 802.11i, která nese označení RSN (Robust Security Network). WPA2 pracuje na stejném principu jako WPA, jen s tím rozdílem, že WPA používá proudovou šifru RC4 a u WPA2 je použita bloková šifra AES. WPA2 také umožňuje využití TKIP, a to zejména kvůli zpětné kompatibilitě s WPA. Pro kontrolu integrity zpráv využívá WAP2 protokol CCMP, který funguje na podobném principu jako MIC. Kontrolní součet je založen na jiných hodnotách a počítá se v jednotlivých blocích zprávy. Autentizace u WPA2 probíhá obdobně jako u WPA, buď podle standardu 802.1x nebo použitím PSK. WPA2 nabízí také ještě možnost takzvané předběžné autentizace (pre-authentication), což je autentizace vůči access pointu, ke kterému se klient ještě nepřipojil. Toto funguje tak, že klient vyšle access pointu žádost o autentizaci, pomocí AP, na kterém je již připojen. Této vlastnosti se využívá především v rámci přechodu mezi několika WLAN sítěmi. AES (Advanced Encryption Standard) je symetrický šifrovací algoritmus, což znamená, že používá jeden sdílený klíč, který slouží k zašifrování i dešifrování dat. Délka tohoto klíče je 128, 196 nebo 256 bitů. Hlavní výhodou tohoto šifrování je veliká rychlost, proto se hodí pro šifrování velkých objemů dat. Hlavní nevýhodou je použití sdíleného šifrovacího klíče. Je nutné, aby si komunikující strany předaly tento klíč zabezpečenou cestou a zároveň je důležité používat kvalitní bezpečné klíče, aby šifra nebyla prolomitelná. Toto by se dalo odstranit použitím asymetrické šifrovací metody (RSA), která používá dva druhy klíčů, privátní a veřejný. Asymetrické algoritmy jsou ale velmi

33

pomalé, proto jsou prakticky nepoužitelné pro šifrování většího objemu dat. Ideální je tyto dvě metody kombinovat, na přenos dat používat algoritmus AES a na přenos použitého sdíleného klíče, který je velmi malý, používat algoritmus RSA. AES je blokový šifrovací algoritmus, který je aplikován na data s pevně danou délkou. Pokud jsou šifrovaná data delší, zpracovávají se po jednotlivých blocích, a pokud jsou data kratší, je potřeba je doplnit na odpovídající délku. Základní implementace AES spočívá v tom, aby se šifra aplikovala na jednotlivé bloky tak, jak jdou za sebou, tomuto se říká ECB (Electronic Codebook) a jeho použití se nedoporučuje. Výsledkem totiž je, že stejné bloky otevřeného textu budou zašifrovány vždy stejně, což má za důsledek výskyt stejných schémat, jako v původním dokumentu. Proto se v praxi používají schémata, která toto odstraňují, například CBC (Cipher Block Chaining). Ten funguje tak, že před zašifrováním se odpovídající blok otevřeného textu XORuje předcházejícím blokem zašifrovaného textu. To znamená, že jednotlivé bloky jsou na sobě závislé, abychom dešifrovali konkrétní blok, musíte dešifrovat i všechny předchozí. První blok, který logicky nemá předcházející, se XORuje, náhodně definovaným nultým blokem, který také nazýváme inicializační vektor. Tento blok se použije k dešifrování prvního bloku a pak zahodí. (zdrojový kód, příkladu šifrování pomocí algoritmu AES, viz příloha č.1.). [13]

2.8.2. Slabiny zabezpečení WPA WPA2 Možnosti útoku na WPA a WPA2 se z větší části shodují. WPA2 používá velmi silné šifrovací mechanismy AES, které doposud nebyly překonány. Slabé místo zde tedy nepředstavuje šifra, ale spíše konfigurace jednotlivých komponentů sítě. Například v autentizačních procesech, pomocí standardu 802.1x, je možnost napadení RADIUS serveru. Při implementaci PSK, dochází často k použití jen slabých hesel, a tudíž vystavení se možnostem slovníkových útoků. Útok na RADIUS klienty se provádí pomocí ARP poisoning, který sleduje provoz mezi access pointem a serverem. ARP (Address Resolution Protocol). Je to protokol sloužící pro nalezení cílové MAC adresy na základě znalosti IP adresy, které odesílatel potřebuje pro zapouzdření paketu do rámce, určeného cílové stanici. Access point zjistí cílovou IP adresu tak, že vyšle na úrovni broadcastu dotaz obsahující cílovou IP adresu. Uživatel se shodnou IP adresou odešle aacess pointu odpověď, která již obsahuje jeho MAC adresu. Tuto informaci si access point zapíše do své ARP cache a použije pro zapouzdření rámce pro cílovou stanici. Tato vzájemná komunikace se dá zneužít.

34

Neautorizovaný uživatel se připojí do sítě (pomocí access pointu) a pošle ARP zprávu obsahující IP adresu autorizovaného zařízení, kterou sváže se svou vlastní MAC adresou. Na základě této informace si stanice aktualizuje svoji cache a místo s autorizovaným access pointem komunikuje s neoprávněným uživatelem, který se za něj pouze vydává. Tímto postupem se útočník může dostat k RADIUS heslu, které pokud není dostatečně silné, může útočník napadnout síť s cílem získat šifrovací klíč. Tento postup je obdobný jako při prolamování zabezpečení pomocí filtrování MAC adres. Útočník zašle vybranému klientovi deautentizační paket, který donutí klienta k opětovné autentizaci. RADIUS server tedy musí znova vyslat šifrovaný klíč, který je na základě chybné autentizace doručen útočníkovi. K odhalení tohoto sdíleného klíče použije útočník slovníkový útok. Tento útok není nijak náročný, a pro zkušenějšího uživatele je otázkou hodin. Podmínkou útoku je vždy možnost připojení útočníka do LAN, jelikož RADIUS servery jsou vždy na pevné LAN síti, jedná se tudíž o útok na bezdrátovou síť prostřednictvím pevné sítě. K obraně proti těmto útokům se používá dostatečně silných hesel (min. 16 znaků), a také používání rozdílných hesel pro každé zařízení. Slovníkové útoky se řadí mezi útoky hrubou silou. Jsou určeny především na prolomení autentizačních procesů a to postupným (slovníkovým) zkoušením všech možných variant hesel. Před zahájením tohoto útoku je potřeba nejdříve odposlechnout způsob autentizačních procesů, použitých v dané síti. Toto se opět provede odpojením klientů a odposlechnutí informace při jejich opětovném připojení. Po zjištění použitého autentizačního procesu se může spustit program na hádání hesla. K těmto útokům je vhodné používat takový software, který umožňuje maximální využití výpočetní kapacity počítače, a tím značně zkrátí dobu potřebnou pro prolomení hesla. Tohoto softwaru je na internetu k dispozici mnoho, např. Cowpatty, genPMK, Lostboxen, Shmoo. Zrychlení prolomení hesla nám umožní použití dobrého slovníku, který je také možno stáhnout z internetu (např. www.aircrack-ng.org). Nejefektivnější způsob ochrany proti tomuto útoku je, jak zde již bylo několikrát zmíněno, používání dosti silných hesel. Použitím těchto hesel se doba, potřebná pro jeho prolomení, zvýší na řádově měsíce až roky, čímž se jeho prolomení stane prakticky neproveditelným. Doporučuje se nechat si generovat těžko prolomitelná hesla, speciální softwarem, například passGEN, Generátor, atd.

35

2.9. Závěr kapitoly zabezpečení WiFi sítí Jak je z celé této kapitoly patrné, existuje mnoho způsobů jak zabezpečit bezdrátovou síť, ale také zároveň existuje ještě víc postupů a návodů jak toto zabezpečení narušit. Proto je z hlediska bezpečného používání WiFi sítí nezbytné používat odpovídající zabezpečení. Implementace zabezpečovacích mechanizmů v bezdrátových sítích se dá rozdělit do dvou skupin, a to zabezpečení ve firemním prostředí a v domácnostech. Ve firemním prostředí se klade na bezpečnost dat a datových sítí jistě větší důraz než v domácnostech. Datová síť může být ve firmách buď infrastrukturní metalická, nebo bezdrátová WiFi síť, v praxi se využívá kombinace obou sítí, jelikož každá z těchto možností má své klady a zápory. Mezi nevýhody bezdrátových sítí patří zejména možnost jednoduššího útoku, a tím vystavení firemních dat riziku zneužití. Proto je nezbytné mít vybudovanou firemní strategii ochrany dat, která zahrnuje i implementaci zabezpečení bezdrátové části sítě. Ve firmách se doporučuje používat zabezpečení WPA/WPA2 a to s použitím standartu 802.1x s autentizací pomocí RADIUS serveru. Tato metoda je sice nákladnější a náročnější na implementaci, ale v prostředí kde síť využívá velké množství uživatelů, se vyplatí používat. Další otázkou je vzdálený přístup do firemní sítě z veřejných sítí (internet), zde je z bezpečnostního hlediska vhodné využít VPN (virtual private network) s protokolem Ipsec. Nedoporučuje se zde používat zabezpečení filtrováním MAC adres, neboť toto zabezpečení je vhodné jen do sítě, kde se vyskytuje maximálně 20 klientů. Dále je zde vhodné, stejně jako v domácnostech, dodržovat základní pravidla bezpečného používání WiFi, což zahrnuje elementární zabezpečení sítě. Domácí prostředí je většinou bráno jako prostředí, kde není potřeba zabezpečení na tak vysoké úrovni. Přesto je potřeba rizika nepodceňovat, a i zde používat odpovídající bezpečnostní prvky. Obecně platí, že zabezpečení je zde navrhováno tak, aby jeho náklady na instalaci a údržbu byly co nejmenší a aby také co nejméně omezovalo uživatele sítě. Zde je z hlediska bezpečnosti a provozu sítě výhodné použít kombinaci zabezpečení skrytím SSID, filtrováním MAC adres, WEP a WPA/WPA2-PSK. I zde je potřeba dodržovat základní pravidla bezpečného používání WiFi, těmito jsou změna továrního nastavení, volba vhodných hesel, omezení vysílání access pointu a mechanická ochrana zařízení. Bohužel přetrvává fakt, že nejslabším článkem celého systému zabezpečení sítí je člověk. Jedinou možností jak předejít tomuto riziku, je správná a dostatečná informovanost všech uživatelů sítě.

36

3. Praktická implementace zabezpečení WiFi V této kapitole se věnuji praktické implementaci jednotlivých způsobů zabezpečení ve WiFi síti, na jejíž výstavbě a provozu se sám podílím. Tato infrastrukturní síť se nachází v místě mého bydliště a slouží zejména ke sdílení internetového připojení. První část kapitoly se věnuje popisu infrastruktury sítě, jednotlivých uživatelů a hardwaru použitého v síti. Následující část obsahuje popis implementace zabezpečovacích mechanizmů v této síti.

3.1. Úvod do problematiky Ve městě Kdyně, kde žiji, jsou možnosti připojení k internetu velmi omezené. Je zde možnost připojení od soukromého provozovatele WiFi sítě. Toto připojení je sice finančně přijatelné, ale není moc stabilní a poskytované rychlosti jsou nedostačující. Další možností je připojení pomocí ADSL od mobilního operátora, zde je rychlost i stabilita připojení na velmi dobré úrovni, ale cena tohoto připojení je poměrně vysoká. Řešením této situace je vybudování vlastní infrastrukturní WiFi sítě, ve které uživatelé sdílí připojení k internetu od mobilního operátora, tímto se náklady dělí mezi uživatele a stávají se finančně únosnými. Kromě internetového připojení mohou uživatelé mezi sebou sdílet i data.

3.2. Popis WiFi sítě Tato WiFi síť se skládá z providera, kam je přivedeno již zmíněné připojení a který je zároveň uživatelem, dále z podpůrné stanice umístěné na kostelní věži, která umožňuje šíření signálu k dalším uživatelům č.1. – 4. Podrobnějšímu popisu jednotlivých stanic a uživatelů se věnuji v dalších kapitolách. Realizace této sítě mohla být uskutečněna pouze pomocí bezdrátové technologie standardu IEEE 802.11 známé jako WiFi. Použití jiné technologie (např.wimax ) by bylo finančně neúnosné a výstavba kabelové sítě je prakticky neproveditelná. Výhodou technologie WiFi je zejména cenová dostupnost použitého hardwaru a také vysílání v nelicencovaném pásmu, tudíž zde není nutné si od českého radiokomunikačního úřadu pronajímat vlastní frekvence. Většina spojů v této síti používá normu 802.11g, pracují tedy v pásmu 2,4 GHz. Spoj mezi providerem a stanicí na věži používá normu 802.11a tudíž pracuje v pásmu 5 GHz.

37

Požadavkem na zdroj internetového připojení, které se v síti sdílí, byla hlavně maximální stabilita, jelikož na funkčnosti tohoto připojení závisí všichni jeho další uživatelé. Po porovnání všech dostupných možností bylo vybráno připojení přes pevnou linku od telekomunikačního operátora O2 Telefónica CZ, a to O2 Internet ADSL 8 M. Toto připojení umožňuje download až 8 Mb/s a upload až 512 kb/s. Tyto služby jsou poskytovány neomezeně za měsíční poplatek 600 Kč. Výhodou této služby, bylo poskytnutí hardwaru potřebného pro příjem, za symbolickou cenu při podepsání smlouvy o tříletém využívání služby. Podepsáním smlouvy o dlouhodobém využívání této služby jsme se také vyhnuli aktivačnímu poplatku účtovanému při zavádění služby. Náklady na měsíční provoz se, po ústní domluvě mezi uživateli, dělí mezi všechny rovným dílem, tudíž na jednoho vychází částka 120Kč, což je velmi příznivá cena. Náklady na výstavbu sítě se dělili obdobným způsobem, každý uživatel si zařízení pro svůj příjem hradil sám a na zařízení sloužící více uživatelům (například podpůrná stanice na kostelní věži) se skládali rovným dílem. Otázkou ale také bylo, za společnost O2 Telefinica CZ umožňuje takovéto sdílení svých služeb. S tímto dotazem jsem se obrátil na zákaznickou linku společnosti, odtud mi bylo sděleno, že tuto službu mohu dále sdílet ( text celého dopisu viz příloha č.2.). Sdílení internetového připojení není nijak řízeno, tudíž mezi sebou všichni sdílejí stejnou přenosovou kapacitu. Toto by mohlo být, při intenzivnějším využívání několika uživateli najednou (např. stahování většího objemu dat), problematické, ale prakticky všichni uživatelé jsou studenti a tuto službu využívají převážně jen o víkendech, síť tudíž není tolik vytížená a rychlosti jsou u všech uživatelů dostačující. Měření rychlosti připojení u uživatele odpovídá většinou hodnotám okolo 5,5 Mb/s download a 413 kb/s upload. Internetové připojení, mění na WiFi signál provider, který jej odesílá na stanici umístěnou na kostelní věži, odkud je možno jej odesílat všem uživatelům. Rozmístění jednotlivých uživatelů a stanic, spolu s šířením signálu, je znázorněné na mapě v příloze č.3. Síť je v provozu již dva roky a během této doby se její infrastruktura měnila. Při spuštění provozu musel být signál nejdříve odesílán uživateli č.1. a odtud teprve na podpůrnou stanici na věži. Tato koncepce nebyla nejvýhodnější, ale jiná se nenabízela, jelikož šíření signálu přímo mezi providerem a věží, jak je tomu dnes, nebylo možné díky husté stromové aleji, nacházející se mezi těmito stanicemi. Tato překážka byla ale po roce provozu odstraněna a koncepce sítě se mohla změnit. Další změnou, už ne infrastruktury, byl postupný přechod všech uživatelů na stabilnější normu 802.11g.

38

3.2.1. Provider Jak zde bylo již zmíněno, k tomuto uživateli je přivedeno připojení k internetu přes telefonní přípojku pomocí technologie ADSL, která umožňuje přenos dat v kabelové telefonní síti. Poskytovatelem této služby je společnost O2 Telefónica CZ a služba se jmenuje O2 Internet. Rychlost připojení, cena a další podrobnosti jsou uvedeny v předchozí kapitole. Poskytovatel tohoto připojení také dodal, za symbolickou cenu, hardware potřebný pro příjem, a to D-Link DSL-G664T (popis a fotodokumentace zařízení v příloze č.4.). Toto zařízení kombinuje funkci ADSL modemu, WiFi přístupového bodu a routeru. Zařízení má také 4 ethernet porty, pomocí kterých se připojují do sítě všichni uživatelé v místě providera. WiFi rozhraní se zde nevyužívá, jelikož při zkušebním provozu sítě tato WiFi část velmi často zamrzala a její provoz byl velmi nespolehlivý. Další nevýhodou přístupového bodu je, že podporuje pouze standardy IEEE 802.11b/g, které vysílají v pásmu 2,4 GHz. Zde byl totiž požadavek na vytvoření velmi stabilního spoje mezi providerem a podpůrnou stanicí umístěnou na kostelní věži, jelikož na tomto spoji závisí všichni ostatní uživatelé sítě. Tento spoj bylo tedy nejvýhodnější vytvořit pomocí standardu 802.11n, který pracuje v pásmu 5 GHz, tudíž je značně spolehlivější a nabízí přenosové rychlosti až 54Mb/s. Pro vytvoření spoje, mezi providerem a podpůrnou stanicí, byl tedy použit hardware UBNT NanoStation M5 (popis a fotodokumentace zařízení v příloze č.5.), který již umožňuje použít standard 802.11n. Zařízení má v sobě integrovanou anténu 2x 16 dBi, díky čemuž se nemusela pořizovat další externí anténa. Další výhodou hardwaru UBNT NanoStation M5, je využití časového multiplexu TDMA, který umožňuje připojení více klientů, bez snížení přenosové rychlosti. NanoStation je spojen s ADSL modemem datovým kabelem, přes jeden z ethernet portů a je umístěn na místě s přímým výhledem na kostelní věž s podpůrnou stanicí. Tento 5 GHz spoj je již rok v provozu a osvědčil se jako velmi spolehlivý a rychlý komunikační kanál. Všechny nedostatky, vykazující spoj v pásmu 2,4 GHz, jako je značné rušení fyzickými překážkami a malá propustnost spoje, tato nová koncepce odstranila a spolehlivost celé sítě se tím velmi zlepšila.

39

D-Link DSL-G664T Wireless ADSL WAN Connection Type Virtual Circuit IP address Subnet Mask Default Gateway DNS Server LAN IP Address Subnet Mask DHCP server

OFF Poskytovatel PPPoE Pvc0 88.102.141.227 255.255.255.255 194.228.196.65 194.228.41.65 192.168.2.1 255.255.255.0 from 192.168.2.20 to 192.168.2.35

UBNT NanoStation M5 Wireless Wireless Mode Name SSID Frequency Channel Mode Encryption Antenna WAN Network mode IP Address Subnet Mask Default Gateway DNS server LAN IP Address Subnet Mask DHCP server

AP AP_TH 5260 MHz 52 54 Mbps 802.11a WPA2 Adaptive router 192.168.2.23 255.255.255.0 192.168.2.1 192.168.2.1 192.168.3.22 255.255.255.0 OFF

Tabulka č.2. Nastavení D-Link DSL-G664T; UBNT NanoStation M5

3.2.2. Podpůrná stanice Podpůrná stanice je umístěna na kostelní věži a slouží k příjmu signálu od providera a jeho distribuování všem ostatním uživatelům sítě. Vedení farnosti v našem městě mám umožnilo tuto stanici zdarma instalovat na kostelní věž. Dále také můžeme bezplatně využívat elektrické přípojky, která je vyvedena do prostoru věže z důvodu napájení kostelních zvonů, k napájení instalovaných zařízení. Jedinou podmínkou bylo, že žádné z instalovaných zařízení, nesmí být z venku viditelné. Proto musela být všechna zařízení, včetně antén, instalována do interiéru kostelní věže. K šíření signálu WiFi je ideální přímá viditelnost, proto byly při instalaci antén využity mezery v bednění oken věže, čímž se splnila podmínka vlastníka nemovitosti a žádná z částí podpůrné stanice není z venku viditelná. Na přijímací straně podpůrné stanice je použito stejné zařízení jako na vysílací straně providera, a to UBNT NanoStation M5 (popis a fotodokumentace zařízení v příloze č.5.). Výhodou použití stejného hardwaru je zejména vzájemná kompatibilita a tím zvýšení spolehlivosti spoje. Použitý hardware má v sobě již integrovanou směrovou anténu, díky čemuž se na vytvoření tohoto spoje nemusí používat žádný další hardware. 40

NanoStation je zde v módu router se zapnutým DHCP serverem, čímž vytváří vlastní podsíť, kde každému dalšímu hardwaru přiděluje automaticky IP adresu. Zařízení má dva ethernetové porty RJ-45, přes které je kabelem spojeno s hardwarem určeným pro vysílání signálu, již k jednotlivým uživatelům. Podpůrná stanice má dvě vysílací části, z nichž každá pokrývá signálem jednu ze stran. První vysílací část pokrývá signálem oblast, kde se nachází pouze uživatel č.1. K tomuto je použitý hardware Ovislink wl 5460 (popis a fotodokumentace zařízení v příloze č.6.), ke kterému je připojena anténa typu YAGI (popis a fotodokumentace zařízení v příloze č.9.). Zde stačilo použít anténu směrovou, jelikož se na této vysílací straně připojuje pouze jeden uživatel. Na druhé vysílací části je použitý stejný hardware jako na vysílací části k prvnímu uživateli, pouze je zde použita jiná anténa. Na této straně se k podpůrné stanici připojují uživatelé č.2. – 4., mezi kterými je již značná vzdálenost. Proto se na vysílání musela použít parabolická anténa typu síto (popis a fotodokumentace zařízení v příloze č.11.), která umožňuje signálem pokrývat větší území. Všechna zařízení instalovaná do kostelní věže, musela být opatřena plechovou schránkou, jelikož hardware je zde vystaven značné klimatické zátěži, nebo je zde také možnost poškození hardwaru holuby, kteří obývají prostory věže.

UBNT NanoStation M5 Wireless Wireless Mode Name SSID Frequency Channel Mode Encryption Antenna WAN Network mode IP Address Subnet Mask Default Gatew. DNS server LAN IP Address Subnet Mask DHCP server

Station AP_TH 5260 MHz 52 54 Mbps 802.11a WPA2 Adaptive Router 192.168.3.26 255.255.255.0 192.168.3.1 192.168.3.1 192.168.1.1 255.255.255.0 from 192.168.1.150 to 192.168.1.165

Ovislink wl 5460 č.1

Ovislink wl 5460 č.2.

Wireless AP vez_214 2,4 GHz 4 802.11b / 802.11g WPA2 external WAN Fixed IP 192.168.1.3 255.255.255.0 192.168.1.1 192.168.1.1 LAN 192.168.1.3 255.255.255.0 OFF

Wireless AP G55_V3 2,4 GHz 9 802.11b / 802.11g WPA2 external WAN Fixed IP 192.168.1.33 255.255.255.0 192.168.1.1 192.168.1.1 LAN 192.168.1.33 255.255.255.0 OFF

Tabulka č.3. Nastavení UBNT NanoStation M5; Ovislink wl 5460 č.1. a 2.

41

3.2.3. Uživatel č. 1 Tento uživatel se připojuje také na podpůrnou stanici na kostelní věži, ale vzhledem k tomu, že se nachází na opačné straně než všichni ostatní uživatelé, musí mít na své straně vlastní vysílací stanici. Pro příjem signálu používá anténu YAGI (popis a fotodokumentace zařízení v příloze č.9.), která je umístěna na střeše uživatelova domu. Anténa je namontována na tyč, která na střeše sloužila k připevnění televizních antén a kabely byly svedeny do domu pomocí větrací šachty, tudíž se při instalaci nijak nemuselo zasahovat do nemovitosti. Uživatel používá pro příjem hardware D-Link DAP-1160 (popis a fotodokumentace zařízení v příloze č.7.) Toto zařízení má jen dva LAN porty, proto je zde použit, z důvodu potřeby připojení více počítačů, ještě switch TP-LINK TLSF1005D, který má 5 LAN portů. V prvním roce zkušebního provozu sítě, plnil tento uživatel funkci repeateru, který přijímal signál od providera a poté ho dále vysílal na podpůrnou stanici na kostelní věži. Tato koncepce byla velmi nespolehlivá, ale jiná se nenabízela, jelikož přímému šíření signálu mezi providerem a kostelní věží bránila hustá stromová alej a tento spoj zde nebylo možno vytvořit. Tato překážka byla ale postupem času odstraněna a kostelní věž se tím mohla stát stanicí poskytující signál všem uživatelům sítě, včetně uživatele č.1, který se nyní do sítě připojuje už jen jako klient.

D-Link DAP-1160 Wireless Wireless Mode Name SSID Channel Mode Encryption WAN IP Address Subnet Mask Default Gateway DNS server LAN IP Address Subnet Mask DHCP server

Router, client vez_214 4 802.11b / 802.11g WPA2 192.168.1.154 255.255.255.0 192.168.1.1 192.168.1.1 192.168.2.1 192.168.2.1 255.255.255.0 from 192.168.2.100 to 192.168.2.115

Tabulka č.4. Nastavení D-Link DAP-1160

42

3.2.4. Uživatel č. 2 Tento uživatel se nachází v těsné blízkosti věže, proto je zde příjem signálu, z vysílací strany podpůrné stanice, velmi dobrý. Pro příjem je zde použito zařízení TP-LINK TL-WR543G (popis a fotodokumentace zařízení v příloze č.8.), které plní jednak funkci access pointu a routeru, čímž vytváří v místě uživatele vlastní podsítˇ. Ve zkušebním provozu byla pro příjem signálu použita jen všesměrová prutová anténa o výkonu 5 dBi, která byla dodána jako základní anténa k použitému WiFi hardwaru. Postupem času se ale tato anténa ukázala jako nedostačující, spoj byl slabý a nespolehlivý zejména díky stromům bránicím šíření signálu, proto zde byla použita panelová směrová anténa o výkonu 14 dBi (popis a fotodokumentace zařízení v příloze č.10.). Tato nová anténa se nemusela instalovat na střechu domu, jako je tomu u všech ostatních uživatelů, stačilo ji jen umístit na venkovní parapet okna, odkud je přímí výhled na kostelní věž. Použitý hardware má 4 ethernet porty přes které se do sítě, pomocí metalické ethernet sítě, připojují všichni klienti v místě uživatele č. 2. Toto umožňuje sdílet, kromě internetového připojení, také určená data a aplikace.

3.2.5. Uživatel č. 3 Tento uživatel přijímá signál, stejně jako všichni uživatelé, z kostelní věže. Spoj mezi podpůrnou stanicí na kostelní věži a uživatelem č.3. je nejdelší v celé síti, tj. 0,5km. Proto se zde musela použít parabolická anténa typu síto, s výkonem 24 dBi (popis a fotodokumentace zařízení v příloze č.11.), která je instalována ve štítu budovy, odkud je nejlepší výhled na stanici ke které se připojuje. První rok provozu sítě používal uživatel připojení k internetu, pouze na jednom stolním počítači, a to pomocí WiFi síťové karty do PCI slotu D-link AirPlus XtremeG DWL-G520. Postupem času ale přešel na stejný hardware jako uživatel č. 2. a 4., a to AP a router TP-LINK TL-WR543G (popis a fotodokumentace zařízení v příloze č.8.). Důvodem změny hardwaru byla jednak potřeba připojení více počítačů k internetu v místě uživatele a také přechod celé sítě na dokonalejší metodu zabezpečení WPA. Původní hardware tuto možnost nenabízel.

43

3.2.6. Uživatel č. 4 Tento uživatel se také připojuje k podpůrné stanici na kostelní věži a to s pomocí stejného zařízení jako oba předchozí uživatelé, tj. TP-LINK TL –WR543G (popis a fotodokumentace zařízení v příloze č.8.). Zde byl pouze problém s příjmem signálu, jelikož uživateli brání ve výhledu na věž několik stromů a také značný výškový rozdíl. Tento problém se odstranil použitím směrové antény YAGI (popis a fotodokumentace zařízení v příloze č.9.), s dostatečným vysílacím výkonem. Tento uživatel se do sítě připojoval jako poslední, téměř po rok a půl dlouhém zkušebním provozu, proto jsme již věděli jaký hardware zde použít, aby byl provoz stabilní a spolehlivý. V současné době slouží připojení k internetu pouze pro jeden stolní počítač, ale hardware byl použit takový, aby se tato lokální síť mohla v budoucnu rozrůst.

TP-LINK TL –WR543G Parametr Wireless Wireless Radio Name SSID Channel Mode Encryption WAN IP Address Subnet Mask Default Gateway DNS server LAN IP Address Subnet Mask DHCP server

Uživatel č.2.

Uživatel č.3.

Uživatel č.4.

Enabled G55_V3 9 54 Mbps (802.11g) WPA2

Enabled G55_V3 9 54 Mbps (802.11g) WPA2

Enabled G55_V3 9 54 Mbps (802.11g) WPA2

192.168.1.156 255.255.255.0 192.168.1.1 192.168.1.1 192.168.2.1

192.168.1.158 255.255.255.0 192.168.1.1 192.168.1.1 192.168.2.1

192.168.1.161 255.255.255.0 192.168.1.1 192.168.1.1 192.168.2.1

192.168.3.103 255.255.255.0 from 192.168.3.100 to 192.168.3.105

192.168.5.105 255.255.255.0 from 192.168.5.100 to 192.168.5.115

192.168.6.106 255.255.255.0 from 192.168.6.100 to 192.168.6.115

Tabulka č.5. Nastavení TP-LINK TL –WR543G

44

3.3. Implementace zabezpečení Při spuštění provozu sítě se používal hardware umožňující zabezpečení pouze pomocí šifrováním WEP. Tato metoda je ale z mnoha důvodů nedostačující a toto zabezpečení dokáže prolomit každý více zkušený uživatel počítače. Abychom možnost útoku co nejvíce minimalizovali použili jsme nejdelší možnou délku klíče, tj. 128bit skládající se z 26 znaků. Zároveň se zabezpečením WEP zde bylo použito řízení přístupu do sítě pomocí filtrování uživatelských MAC adres. Toto zabezpečení je implementováno zejména na podpůrné stanici umístěné na kostelní věži, ke které se připojují jednotliví uživatelé. Zabezpečení pomocí filtrování MAC adres se doporučuje používat jen jako doplňkové zabezpečení, proto se v této síti používá vždy kombinace tohoto zabezpečení s jednou z možností šifrování. Po roce zkušebního provozu se koncepce celé sítě změnila. Tato změna vyžadovala použití novějšího hardwaru, který již umožňoval použití dokonalejšího zabezpečovacího mechanizmu WPA2. Tato metoda představuje v současné době nejsilnější možnou úroveň zabezpečeni, kterou při dodržení pravidel správné implementace není možné v reálném čase prolomit. Tento zabezpečovací protokol používá k ověření totožnosti uživatele buď RADIUS server nebo autentizační metodu s předsdíleným heslem PSK. V síti je použitá metoda PSK, jelikož zřizování RADIUS serveru by bylo moc nákladné a vzhledem k malému počtu uživatelů i neefektivní. Fyzické zabezpečení komponentů sítě se řeší pouze u podpůrné stanice na kostelní věži. Ostatní hardware je totiž instalován uvnitř domů jednotlivých uživatelů, tudíž k němu mají přístup jen osoby obývající tyto prostory. Kostelní věž je zajištěná dveřmi s mříží, od nichž vlastní klíče jen malá skupina lidí, tudíž zde nehrozí poškození ani odcizení hardwaru. Bezpečnostní mechanismy jsou aplikovány pouze na vysílacích stanicích. Na přístupových bodech jednotlivých uživatelů se nemusela zavádět žádná bezpečnostní opatření, jelikož ke všem těmto stanicím se uživatelé připojují pouze pomocí metalické ethernet sítě, do níž se mohou připojit jen uživatelé mající fyzický přístup k danému zařízení. Díky tomuto je zde vyloučen útok neoprávněné osoby, který je možný provést zejména v bezdrátových sítích. Mezi další bezpečnostní opatření patří možnost monitorování provozu v síti. Hardware, použitý na vysílání signálu k uživatelům, nabízí statistický přehled provozu v síti, který obsahuje i přehled uživatelů používající služby sítě. Pokud se v tomto přehledu objeví neautorizovaný uživatel, lze mu přístup odepřít.

45

3.3.1. Implementace WEP WEP je šifrovací protokol sloužící pro kódování komunikace v bezdrátových WiFi sítích. Pokud chceme tímto způsobem zabezpečit komunikaci mezi dvěma zařízeními, musí být na těchto zařízeních zadán stejný kódovací klíč, aby mohlo dojít k vzájemné synchronizaci šifrované komunikace. Příklad implementace uvádím na spoji mezi podpůrnou stanicí na kostelní věži a uživatelem č.2. Obdobným způsobem jako řešeno zabezpečení na tomto spoji je řešeno i u ostatních uživatelů. K vysílacímu zařízení Ovislink wl 5460 na podpůrné stanici se připojíme zadáním IP adresy ve webovém prohlížeči a následném vyplnění přístupového jména a hesla. Zde v sekci Access Point Setup je, kromě nastavení všech parametrů AP, také nastavení zabezpečení. V této nabídce můžeme zvolit v záložce Encryption, šifrování pomocí WEP. Po zvolení tohoto šifrováni se zobrazí tabulka, kde se WEP nastavuje. Tato tabulka obsahuje pole Key Length (volba délky klíče – 128bit), Key Format (formát klíče – HEX 26) a Encryption Key, pole pro zadání samotného kódovací klíče. Po vyplnění všech potřebných údajů, se nastavení uloží do paměti access pointu tlačítkem Apply Changes. Na přijímacím zařízení TP-LINK TL-WR543G se nastaví příjem šifrované komunikace podobně jako na vysílací straně. Management tohoto zařízení se také provádí přes webové rozhraní, které je také chráněno přihlašovacím formulářem. V menu se pod položkou Wireless Settings nachází nastavení zabezpečení WiFi části tohoto hardwaru. V nabídce Security Type máme možnost zvolit způsob šifrování komunikace, zvolíme WEP. Po volbě tohoto zabezpečení se zobrazí možnosti nastavení, WEP Key Format (formát šifrovacího klíče – Hexadecimal), Key Type (typ klíče – 128bit) a pole WEP Key pro zadání samotného šifrovacího klíče. Po vyplnění a uložení všech údajů dojte k synchronizaci obou zařízení, toto může trvat řádově minuty. Po úspěšné synchronizaci spolu zařízení již šifrovaně komunikují. Print screeny z nastavení zabezpečení obou zařízení (příloha č.12.). Při implementaci WEP, jsem dbal na všechna pravidla správného použití tohoto zabezpečení, zejména na dostatečnou délku WEP klíče, aby zabezpečení bylo co nejvíce efektivní. I při dodržení všech předepsaných pravidel ale tento způsob zabezpečení nenabízí dostatečnou ochranu sítě před útočníky. Proto bylo toto zabezpečení používáno v síti jen během zkušebního provozu a nyní je již nahrazeno dokonalejším WPA2.

46

3.3.2. Implementace Filtrování MAC adres Podstatou tohoto zabezpečení je řízení přístupu do sítě na základě MAC adresy uživatelů. Každý síťový prvek má svoji jedinečnou MAC adresu, kterou v operačním systému zjistíme zadáním příkazu ipconfig /all do příkazového řádku, pomocí této adresy se v síti identifikují jednotlivý uživatelé. Zabezpečení filtrováním MAC adres se implementuje na přístupových bodech, které se spravují přes webové rozhranní. Abychom mohli přes toto rozhranní spravovat síťový prvek, musíme při přihlašování k access pointu nejprve zadat vstupní jméno a heslo. Zde je v záložce Wireless Security služba Wireless Access Kontrol, kde se po aktivaci funkce zobrazí pole, kam se zadává uživatelova MAC adresa. K této adrese se může ještě napsat doplňková informace, například jméno uživatele. Po vyplnění všech potřebných informací se dá zvolit zda tomuto uživateli přístup zakázat, povolit nebo jen povolit určité služby. Po ukončení zadávání dat se nastavení potvrdí tlačítkem Apply Changes, a všechny zadané údaje se uloží do paměti access pointu. Všechny uložené údaje o uživatelích jsou přehledně zobrazené v tabulce s názvem Current Access Control List. Pokud se do sítě připojuje uživatel, zařízení porovná jeho MAC adresu se záznamy uloženými v této tabulce a na základě vzájemné shody přístup povolí, nestane-li se tak, přístup se automaticky zamítne. Upravovat záznamy v tabulce MAC adres mohou jen uživatelé, kteří mají již oprávnění pro vstup do sítě a zároveň znají přístupové jméno a heslo k access pointu. Pokud se tedy chce do sítě připojit nový uživatel, musí nejprve správce sítě zadat do tabulky novou MAC adresu, čímž povolí přístup novému uživateli. Print screeny z nastavení filtrování MAC adres (příloha č.13.) jsou z Access pointů Ovislink wl 5460, které jsou součástí podpůrné stanice na kostelní věži, a pokrývají signálem všechny uživatele sítě. Tento způsob zabezpečení je použit jen u podpůrné stanice, všechny ostatní zařízení jsou zabezpečeny šifrováním komunikace. Zabezpečení filtrováním MAC se dá, kromě bezdrátové části access pointu, také aplikovat na přístup do lokální LAN sítě, tvořené kabelovým rozvodem (příloha č.13.). Způsob této implementace je stejný jako u bezdrátové části, ale v naší síti se nepoužívá, jelikož zde není potřeba metalickou LAN síť nijak chránit.

47

3.3.3. Implementace WPA 2 WPA 2 je zatím nejdokonalejší šifrovací protokol, který vznikl jako náhrada protokolu WEP. Protokol WPA 2 odstraňuje všechny slabiny svého předchůdce WEP a při dodržení pravidel správné implementace se stává prakticky nenapadnutelným. Implementace tohoto zabezpečení se provádí obdobným způsobem jako u zabezpečení protokolem WEP. Pokud spolu tedy chtějí komunikovat dvě zařízení, po zabezpečeném kanále pomocí WPA 2, musí nejdříve dojít k vzájemné autentizaci, na základě shodného předsdíleného klíče. Vzájemná autentizace zařízení může trvat z důvodu složitosti šifrování i několik hodin. Toto byl při nastavování menší problém, jelikož při změně jakéhokoliv parametru zařízení, probíhala opětovná autentizace, která trvala vždy okolo dvou hodin. Příklad nastavení tohoto zabezpečení, uvádím na spoji mezi podpůrnou stanicí na kostelní věži a uživatelem 2., stejným způsobem jako zde, se nastavuje šifrování WPA 2 i u ostatních uživatelů. Na zařízení se připojíme přes webové rozhraní, a zde v záložce Setup Access Point, je možnost nastavení zabezpečení Security Setup. Po této volbě se otevře nové okno s názvem Wireless Security Setup, kde si již můžeme zvolit a následně nastavit požadované zabezpečení. V tomto okně jako první zvolíme způsob zabezpečení v záložce Authentication. Já jsem zvolil zabezpečení WPA2-PSK. Je zde také možnost zvolit jinou autentizační metodu než je PSK, a to RADIUS server. Při volbě RADIUS serveru se aktivuje pole, kam se zadá port a IP adresa příslušného autentizačního serveru. Tato metoda se ale v síti nepoužívá, vzhledem k velikosti sítě je ekonomičtější použití autentizační metody PSK. Jako další se v nabídce Encryption nastavuje kódování, WPA2 umožňuje kódování pomocí blokové šifry AES, proto jsem zvolil WPA2(AES). Poté je potřeba nastavit v nabídce Pre-Shared Key Format formát použitého klíče, zde je nastaveno Passphrase (heslo). Následně stačí už jen zadat samotný předsdílený klíč do pole Pre-Shared Key a nastavení je kompletní. Po uložení tlačítkem Apply Changes se access point restartuje, čímž se implementace WPA2 ukončí. Na přijímací straně se šifrování komunikace nastavuje obdobně. Zde stačí pouze v záložce Wireless Settings vybrat v poli Security Type použitou metodu zabezpečení WPA2-PSK. Dále zde do řádku PSK Passphrase zadat správnou hodnotu předsdíleného klíče, po uložení nastavení a následném restartu zařízení počkat než proběhne vzájemná autentizace. Print screeny z nastavení zabezpečení WPA u obou zařízení (příloha č.14.).

48

4. Závěr Dnes jsou již k dispozici možnosti zabezpečení, které poskytují velmi dobrou ochranu WiFi síti, jak na firemní tak i osobní úrovni. Firmy pracují s daty, které je potřeba chránit více, než je tomu u dat se kterými pracují např. v domácnostech. Proto si firmy najímají na zabezpečení svých dat odborníky, provádějí audity a kontroly bezpečnosti svých dat. Tudíž bezpečnostní stránku práce s WiFi nepodceňují a věnují tomuto tématu značnou pozornost. Bezpečnosti WiFi sítí, na osobní úrovni, se už ale taková pozornost nevěnuje. Zde jsou rizika velmi často podceňována, a odolnost těchto sítí proti útokům je většinou velmi malá. Toto je nejčastěji zapříčiněno neuvědomováním si existujících rizik, nebo neodbornou instalací sítě. Tyto dva faktory se dají odstranit dostatečnou informovaností o možnostech útoků na osobní data a jejich ochrany. Nejlepším řešením ale zůstává přenechání vybudování sítě a implementace odpovídajících zabezpečovacích mechanizmů odborníkům, kteří se orientují v této problematice a vytvoří síť, která je uživatelsky nenáročná a zároveň dostatečně zabezpečená. Bezpečnostní opatření v síti, kterou provozuji v místě mého bydliště a na jejíž výstavbě a provozu se sám podílím, jsem volil vždy nevyšší, jaké umožnil použitý hardware. Zároveň jsem se také nikdy nespoléhal jen na jeden způsob zabezpečení a vždy kombinoval minimálně dva. Důležitým faktorem je správná implementace zvoleného způsobu zabezpečení. Špatné použití bezpečnostního prvku se uvádí jako nejčastější slabina všech metod zabezpečení, proto jsem vždy postupoval podle návodů a doporučení odborníků, zveřejněných na internetu. Provoz sítě je v pravidelných intervalech monitorován a doposud nebyl zaznamenán žádný neoprávněný přístup, tudíž lze říci že zabezpečení sítě je dostačující a její provoz je bezpečný. Stejně jako se vyvíjejí metody zabezpečení, vyvíjejí se způsoby jak toto zabezpečení obejít, nebo prolomit, a tímto zneužívat služeb sítě nebo získat data která v síti proudí. Proto je potřeba sledovat vývoj bezpečnostních rizik a reagovat na to odpovídajícími metodami zabezpečení. Při dodržení všech doporučení a poznatků, zveřejněných v této práci, můžeme provozovat WiFi sítě a využívat jejich služby, aniž by tyto sítě a data v nich proudící, byly jakkoliv ohroženy.

49

Zdroje [1] Wikipedie, Wi-Fi [online] [cit. 2010-02-24]. Dostupný z WWW: < http://cs.wikipedia.org/wiki/WiFi >

[2] Wikipedie, IEEE 802.11 [online] [cit. 2010-02-24]. Dostupný z WWW: < http://cs.wikipedia.org/wiki/IEEE_802.11 >

[3] Access server, Fakulta elektrotechnická ČVUT [online] 30.12.2005, [cit. 2010-02-24]. Dostupný z WWW: < http://access.feld.cvut.cz/view.php?cisloclanku=2005113002 >

[4] Fórum samuraj-cz.com, SNMP [online] 20.12.2006, [cit. 2010-03-01]. Dostupný z WWW:

[5] Lupa.cz, Co je to přístupový bod? [online] [cit. 2010-03-02]. Dostupný z WWW: < http://tutorialy.lupa.cz/jak-na-wifi/access-point-co-to-je-a-cim-selisi/ >

[6] Dipol, internetový obchod se síťovými komponenty [online] [cit. 2010-03-02]. Dostupný z WWW:

[7] PC TUNING, Wi-Fi sítě - vše co jste kdy chtěli vědět [online]. 27.6.2008, [cit. 2010-04-10]. Dostupný z WWW: http://pctuning.tyden.cz/hardware/site-ainternet/11138-wi-fi_site-vse_co_jste_kdy_chteli_vedet_12?start=4 . ISSN 1214-0201.

[8] Jak na Wi-Fi?, Bezdrátové připojení k internetu [online] [cit. 2010-03-04]. Dostupný z WWW: < http://www.bezdratovepripojeni.cz/wi-fi/typy-anten/ >

[9] World of Wifi, Voip a WiFi zařízení pro domácnost a kanceláře[online] [cit. 2010-0315]. Dostupný z WWW: < http://www.world-of-wifi.cz/PublishedService?file=page&pageID=23&freePage=303 >

50

[10] SOOM.cz, Zabezpečení wifi sítí [online] 26.12.2008, [cit. 2010-03-17]. Dostupný z WWW: < http://www.soom.cz/index.php?name=usertexts/show&aid=652 >

[11] Svět sítí, Technologie pro zlepšení bezpečnosti datových sítí - standard 802.1x [online]. 9.2. 2004, [cit. 2010-03-25]. Dostupný z WWW: http://www.svetsiti.cz/view.asp?rubrika=Tutorialy&temaID=289&clanekID=290

[12] Fórum samuraj-cz.com, Cisco WiFi - základní principy a protokoly [online]. 3.11.2009, [cit. 2010-03-23]. Dostupný z WWW: http://www.samuraj-cz.com/clanek/cisco-wifi-zakladni-principy-a-protokoly/

[13] Aspnet, Michal A. Valášek: Symetrické šifrování AES [online]. 16.4. 2007, [cit. 2010-03-23]. Dostupný z WWW: < http://www.aspnet.cz/articles/147-symetricke-sifrovani-aes-rijndael-v-net.aspx >

Obrázky [3] Czech computer, Internetový obchod s výpočetní technikou [online] [2010-03-07]. Dostupný z WWW: < http://www.czechcomputer.cz/product.jsp?artno=34039 > < http://www.czechcomputer.cz/product.jsp?artno=24312 > < http://www.czechcomputer.cz/product.jsp?artno=67848 > [4] Czech computer, Internetový obchod s výpočetní technikou [online] [2010-03-07]. Dostupný z WWW: < http://www.czechcomputer.cz/product.jsp?artno=70750 > < http://www.czechcomputer.cz/product.jsp?artno=24310 > < http://www.czechcomputer.cz/product.jsp?artno=43347 > [5] Czech computer, Internetový obchod s výpočetní technikou [online] [2010-03-07]. Dostupný z WWW: < http://www.czechcomputer.cz/product.jsp?artno=60885 > < http://www.czechcomputer.cz/product.jsp?artno=64152 > [6] Czech computer, Internetový obchod s výpočetní technikou [online] [2010-03-07]. Dostupný z WWW: < http://www.czechcomputer.cz/product.jsp?artno=70918 > < http://www.czechcomputer.cz/product.jsp?artno=36287 > < http://www.czechcomputer.cz/product.jsp?artno=66706 >

51

Seznam příloh Šifrování dat AES

.

.

.

.

.

.

.

.

.

53

Dopis od společnost O2

.

.

.

.

.

.

.

.

55

Mapa rozmístění uživatelů

.

.

.

.

.

.

.

.

56

D-Link DSL-G664T .

.

.

.

.

.

.

.

.

57

UBNT NanoStation M5

.

.

.

.

.

.

.

.

58

Ovislink wl 5460

.

.

.

.

.

.

.

.

.

59

D-Link DAP-1160

.

.

.

.

.

.

.

.

.

60

TP-LINK TL-WR543G

.

.

.

.

.

.

.

.

61

YAGI směrová anténa

.

.

.

.

.

.

.

.

62

Sektorová panelová anténa

.

.

.

.

.

.

.

.

63

Parabolická anténa typu síto .

.

.

.

.

.

.

.

64

Print screeny z nastavení WEP

.

.

.

.

.

.

.

65

Print screeny z nastavení Filtrování MAC adres

.

.

.

.

.

66

Print screeny z nastavení WPA2

.

.

.

.

.

67

.

.

52

(Příloha č.1.)

Šifrování dat pomocí AES – zdrojový kód Šifrování dat pomocí třídy System.Web.Security.Cryptography.RijndaelManaged. Vstupem i výstupem všech těchto operací je pole bajtů. Chceme-li pracovat s textem, musíme ho převést na pole bajtů (třeba pomocí System.Text.Encoding.UTF8.GetBytes) a výsledek zakódovat, například pomocí Base64. // Vytvořit instanci AES/Rijdael algoritmu System.Security.Cryptography.RijndaelManaged aes = new System.Security.Cryptography.RijndaelManaged(); // Nastavit CBC block mode aes.Mode = System.Security.Cryptography.CipherMode.CBC; // Nastavit standardní PKCS7 padding posledního bloku aes.Padding = System.Security.Cryptography.PaddingMode.PKCS7; // Vygenerovat náhodný klíč aes.GenerateKey(); // Vygenerovat inicializační vektor (IV) aes.GenerateIV(); // Převést text na pole bajtů byte[] plainData = System.Text.Encoding.UTF8.GetBytes(this.TextBoxPlaintext.Text); // Zašifrovat data byte[] cipherData; using (System.Security.Cryptography.ICryptoTransform enc = aes.CreateEncryptor()) { cipherData = enc.TransformFinalBlock(plainData, 0, plainData.Length); } // Zobrazit výsledek this.MultiViewPage.SetActiveView(this.ViewResult); this.LiteralKey.Text = System.Convert.ToBase64String(aes.Key); this.LiteralIV.Text = System.Convert.ToBase64String(aes.IV); this.LiteralCiphertext.Text = System.Convert.ToBase64String(cipherData, Base64FormattingOptions.InsertLineBreaks).Replace("\r\n", "
");

V uvedeném kódu se náhodně vygeneruje klíč (mohl by se samozřejmě i výslovně definovat, pokud by byl pevně zadaný) a inicializační vektor. Poté se zašifrují data a vše uvedené (klíč, IV a ciphertext), což se zobrazí uživateli ve formě Base64. Za normálních okolností bývá IV přidán na začátek šifrovaného textu, neukládá se zvlášť, zde je pro názornost vypsán zvlášť.

53

(Příloha č.1.)

Dešifrování Dešifrování je realizováno obdobným kódem: // Vytvořit instanci AES/Rijdael algoritmu System.Security.Cryptography.RijndaelManaged aes = new System.Security.Cryptography.RijndaelManaged(); // Nastavit CBC block mode aes.Mode = System.Security.Cryptography.CipherMode.CBC; // Nastavit standardní PKCS7 padding posledního bloku aes.Padding = System.Security.Cryptography.PaddingMode.PKCS7; // Načíst klíč aes.Key = System.Convert.FromBase64String(this.TextBoxKey.Text); // Načíst IV aes.IV = System.Convert.FromBase64String(this.TextBoxIV.Text); // Načíst šifrovaná data byte[] cipherData = System.Convert.FromBase64String(this.TextBoxCiphertext.Text); // Dešifrovat data byte[] plainData; using (System.Security.Cryptography.ICryptoTransform dec = aes.CreateDecryptor()) { plainData = dec.TransformFinalBlock(cipherData, 0, cipherData.Length); } string plainText = System.Text.Encoding.UTF8.GetString(plainData); // Zobrazit výsledek plainText = plainText.Replace("\r\n", "
"); this.MultiViewPage.SetActiveView(this.ViewResult); this.LiteralPlaintext.Text = plainText;

54

(Příloha č.2.)

Dopis od společnost O2, týkající se sdílení internetového připojení Předmět podání: O2 Internet ADSL - informace o službě Zpráva zákazníka: Dobrý den Vlastním připojení od O2 a to ADSL 8 M. Mám dotaz, jestli mohu toto připojení sdílet přes menší WiFi síť, se svými známými, bydlícími ve stejném městě? Děkuji za odpověď

Vážený zákazníku, děkujeme za Váš dotaz. Dle Všeobecných podmínek pro poskytování veřejně dostupných služeb elektronických komunikací prostřednictvím pevných sítí společnosti Telefónica O2 Czech Republic, a.s. Vám sdělujeme ,že zákazník je oprávněn umožnit využití Služby i jiné osobě. Jeho odpovědnost vyplývající z využití Služby, včetně povinnosti platit vyúčtované ceny však není tímto dotčena. Zákazník je oprávněn umožnit užití Služby Uživateli anebo třetí osobě za úplatu pouze s předchozím písemným souhlasem Poskytovatele. Žádost Zákazníka o souhlas bude Poskytovatelem vyřízena nejpozději do 6 měsíců ode dne doručení žádosti Poskytovateli.

V případě dalších dotazů k užívání či provozu služeb, poskytovaných naší společností, nás můžete kontaktovat na bezplatné lince Centra péče o zákazníka 800 123 456.

S pozdravem Miroslav Bažant Telefónica O2 Czech Republic, a.s. Centrum péče o zákazníka

55

(Příloha č.3.)

Mapa rozmístění uživatelů, stanic a šíření signálu

Vzdálenosti od

do

metrů

Provider

Podpůrná stanice

200

Podpůrná stanice

Uživatel 1.

300

Podpůrná stanice

Uživatel 2.

90

Podpůrná stanice

Uživatel 3.

450

Podpůrná stanice

Uživatel 4.

230

56

(Příloha č.4.)

ADSL modem a WiFi přístupový bod D-Link DSL-G664T D-Link DSL-G664T TCP/UDP, ARP, RARP, ICMP, DHCP, DNS, RIPv1 (RFC 1058), RIP v2 (RFC1389), IGMP, PPPoE, IGMP, P2PP 4x RJ-45 Ethernet Rozhraní 1x RJ-11 ADSL ANSI T1.413 issue 2 ITU G.992.1 (G.dmt) ITU G.994.1 (G.hs) Standardy IEEE 802.3; IEEE 802.3u IEEE 802.11; IEEE 802.11b IEEE 802.11g Standardy: WiFi 802.11b/g Rychlost: 11 Mbit/s až 54 Mbit/s WiFi přístupový bod Bezpečnost: WEP 64/128 bitů Vysílací výkon: 15 dBm Provedení: Annex B Eychlost: 8 Mbit/s download, ADSL modem 1 Mbit/s upload Podpora protokolů PPPoE,PPPoA Rozměry 178 x 141 x 30 mm Hmotnost 360 g Komunikační protokoly

________________________________________________________________________ Zdroj vlastností zařízení a obrázku Alza, Internetový obchod s počítači a elektronikou [online] [2010-03-31]. Dostupný z WWW: < http://www.alza.cz/adsl-modem-a-wifi-pristupovy-bod-d-link-dslg664t-d64213.htm >

57

(Příloha č.5.)

UBNT NanoStation M5

UBNT NanoStation M5 Operační mód Frekvence Normy Rozhraní LAN port Modulace Procesor Šifrování

AP, Client, WDS 5,4 - 5.825 GHz 802.11a/n LAN, WiFI 2x RJ45 10/100 Mbps OFDM MIPS 24KC, 400 MHz WEP 64/128/152, WPA, WPA2, 802.1X Přenosová rychlost 300 Mbps Vyzař. úhel H/V 43°/ 15° Max. výst. výkon 27 dBm Zisk 16 dBi Chipset / OS Atheros / AirOS V Napájení 15 V, 0,8 A Rozměry 294 x 80 x 30 mm Hmotnost 0,4 kg

________________________________________________________________________ Zdroj vlastností zařízení a obrázku Suntech, Internetový obchod s výpočetní technikou [online] [2010-04-06]. Dostupný z WWW: < http://www.suntech.cz/produkt/90410/UBNT-NanoStation-M5outdoor-5-GHz-klient-vc-16-dBi-anteny.htm > 58

(Příloha č.6.)

Ovislink wl 5460 Ovislink wl 5460 Pracovní módy Standardy/pásmo Anténa

AP, bridge, klient, WDS 802.11b/g: 2,400 - 2,4835 GHz 2dBi odjímatelná, reversní SMA konektor Počet kanálů 13 Přenosová kapacita 54, 48, 36, 24, 18, 12, 9, 6 Mbps Modulace 64QAM, 16QAM, QPSK, BPSK CCK, DQPSK, DBPSK Management Web management, SNMP Výstupní výkon 18 dBm Porty 2x LAN: RJ-45 1x SMA připojení externí antény Bezpečnost 802.1x, WPA, WPA2, Web, MAC Access Control Napájení DC 12V, 800mA Rozměry 135 x 100 x 26mm Hmotnost 180g

________________________________________________________________________ Zdroj vlastností zařízení a obrázku 24IT, Servis výpočetní techniky [online] [2010-04-01]. Dostupný z WWW: < http://www.obchod24it.cz/d.16-3218.LAN_WIFI_AP_OvisLink_WL_5460_54_Mb_s_2x_RJ45.html >

59

(Příloha č.7.)

D-Link DAP-1160

D-Link DAP-1160 Pracovní módy

AP, AP Client, Bridge, Repeater, Router, WISP

Paměť

4 MB flash 16 MB DRAM DHCP Server, Statické, Dynamické Standardy/pásmo 802.11b/g 2,4 - 2,4835 GHz Přenosová kapacita Až 54 Mb/s Vysílací výkon +14 dBm Porty 2x LAN: RJ-45 1x SMA externí antény Bezpečnost 64/128-bit WEP, WPA WPA2, MAC control, SSID Napájení DC 9V, 800mA Rozměry 15 x 12 x 3,2 cm

________________________________________________________________________ Zdroj vlastností zařízení a obrázku Alza, Internetový obchod s počítači a elektronikou [online] [2010-04-09]. Dostupný z WWW: < http://www.alza.cz/bezdratovy-wifi-router-d-link-dap-1160d75206.htm >

60

(Příloha č.8.)

Bezdrátový router TP-LINK TL-WR543G TP-LINK TL-WR543G Pracovní módy WAN Type DHCP

AP, Client Router (WISP), Router Static IP, Dynamic IP, PPPoE, PPTP Server, Client, Router client, Statické, Dynamické Standardy/pásmo 802.11b/g: 2,400 - 2,4835 GHz Přenosová kapacita 54, 48, 36, 24, 18, 12, 9, 6 Mbps Podporované standardy IEEE 802.11b/g, IEEE 802.3, , IEEE 802.3x, IEEE 802.1x, CSMA/CA, CSMA/CD, TCP/IP, DHCP, ICMP, NAT, PPPoE, , LAN-to-LAN Bridging Vysílací výkon +17 dBm Porty 1x WAN: RJ-45 4x LAN: RJ-45 1x SMA pro připojení externí antény Bezpečnost Klonování MAC 64/128/152-bit WEP 802.1x, WPA-EAP a WPA-PSK, WPA2, WPA, LAN ACL (Access Control List) Napájení adaptér 220 VAC, Výstup 9 V, 0,8A. spotřeba max. 7 W Rozměry 17,4 x 11,1 x 2,8 cm

________________________________________________________________________ Zdroj vlastností zařízení a obrázku LAN-SHOP, Počítače od A do Z [online] [2010-03-31]. Dostupný z WWW: < http://www.lan-shop.cz/diskuse/routery-a-jine-wan-prvky/tplink/58356 > 61

(Příloha č.9.)

YAGI směrová anténa

YAGI směrová anténa Frekvenční rozsah Zisk WSWR Vyzařovací úhel svisle Vyzařovací úhel vertikálně Obrácené záření Impedance Konektor Rozměry Váha

2.4 - 2.48 GHz 17 dBi 2,0 : 1 28° 26° -20dBi 50 Ohm N-Female 50 x 7,5 cm 500 g

________________________________________________________________________ Zdroj vlastností zařízení a obrázku Wifishop, Internetový obchod s WiFi hardwarem [online] [2010-04-01]. Dostupný z WWW: < http://www.wifi-shop.cz/smerova-antena-gainmaster-yagi-17dbi#undefined > 62

(Příloha č.10.)

Sektorová panelová anténa

Směrová parabolická anténa typu síto Frekvenční rozsah Zisk Vyzařovací úhel horizontální Vyzařovací úhel vertikální Předozadní poměr Impedance VSWR Konektor Rozměry Váha Typ antény

2,4 – 2,5 GHz 14 dBi 15° 15° 25 dB 50 Ohm 1,5 N male 16 x 15 x 3 cm 430 g Directional outdoor

________________________________________________________________________ Zdroj vlastností zařízení a obrázku ITlevně, Internetový obchod s výpočetní technikou [online] [2010-04-11]. Dostupný z WWW: < http://www.itlevne.cz/zbozi/d-link-venkovni-18dbi-sektorovapanelova-antena-pigtail-0-5m-n-samec-rp-sma-/detail.aspx?p=z:70968 >

63

(Příloha č.11.)

Parabolická anténa typu síto

Parabolická anténa typu síto Frekvenční rozsah Zisk Vyzařovací úhel horizontální Vyzařovací úhel vertikální Předozadní poměr Impedance Maximální vstupní výkon Konektor Rozměry Váha Materiál

2,4 – 2,5 GHz 24 dBi 19° 19° 26 dB 50 Ohm 50W N male 60 x 92 x 38 cm 2,4 kg hliník

________________________________________________________________________ Zdroj vlastností zařízení a obrázku Itek, Internetový obchod s výpočetní technikou [online] [2010-04-02]. Dostupný z WWW: < http://pc.itek.cz/anteny-2-4-ghz-smerove/ACANT120-AndrewUNI-24-Smerova > 64

(Příloha č.12.)

Print screeny z nastavení WEP Ovislink wl 5460

Print screen nastavení zabezpečení WEP

TP-LINK TL-WR543G

Print screen nastavení zabezpečení WEP

65

(Příloha č.13.)

Print screeny z nastavení Filtrování MAC adres Ovislink wl 5460

Print screen nastavení Filtrování MAC adres

TP-LINK TL-WR543G

Print screen nastavení Filtrování MAC adres

66

(Příloha č.14.)

Print screeny z nastavení WPA2 Ovislink wl 5460

Print screen nastavení zabezpečení WPA2

TP-LINK TL-WR543G

Print screen nastavení zabezpečení WPA2

67