Wireless LAN a Műegyetemen Biztonsági problémák A vezeték nélküli helyi hálózatok a médium alapvető tulajdonságaiból adódóan más biztonsági jellemzőkkel bírnak, mint vezetékes társaik. A legfontosabb különbségek e tekintetben abból adódnak, hogy a jel térben hová jut el vezetékes és vezeték nélküli hálózatokban. Mind réz, mind optikai vezetékekben a jelterjedés gyakorlatilag a kábelben – vagy legalábbis a kábel vonalán – történik. Ezzel szemben a vezeték nélküli helyi hálózatokban a rádiófrekvenciás jel minden irányban terjedhet, amerre azt a tereptárgyak lehetővé teszik, illetve a visszaverődések, elhajlások által elősegítik. Természetesen az alkalmazott antennák karakterisztikája is nagy mértékben befolyásolja a jelek terjedését. A hálózati forgalom – pontosabban az átvitt jelek – lehallgatásának lehetőségét tekintve ez azt jelenti, hogy vezetékes hálózatok esetén mindenképen a kábel közelébe kell jutni ahhoz, hogy lehallgathassuk a hálózatot. Réz kábelek esetén a lehallgatás gyakorlatilag triviális a vezetékekhez történő galvanikus csatlakozással, de rendszerint lehetséges a vezetékekhez való közvetlen hozzáférés nélkül is, az azok körüli elektromágneses tér analizálása alapján. Optikai hálózatok lehallgatásához pedig feltétlenül szükséges a közvetlen hozzáférés az optikai szálakhoz. Szemben ezekkel a vezeték nélküli hálózatok lehallgatásához elegendő, ha a támadó a kommunikáló lokális hálózati eszközöktől távolabb – az adott szituációtól függően akár 50-100 méterre – helyezi el a lehallgatáshoz használt eszközt. Szintén lényeges különbség a lehallgatás bonyolultságát illetően, hogy míg a vezetékeken átvitt jelek lehallgatásához valamilyen többé-kevésbé speciális eszközre van szükség, addig a vezeték nélküli közegen átvitt jelek egy egyszerű hálózati kártyával vehetők sok esetben. A pusztán passzív lehallgatás mellett a hálózatra aktív állomásként való csatlakozásról hasonlók mondhatók el. Vezetékes hálózatok esetén a csatlakozáshoz szükséges a hálózati vezetékhez való hozzáférés, legyen az akár optikai, akár réz vezeték. Pl. egy csavart érpáros Ethernet LAN esetén praktikusan egy működő fali csatlakozó aljzatot vagy switch portot kell találnia annak, aki csatlakoztatni akarja a gépét a hálózathoz. Vezeték nélküli hálózat esetén egyéb intézkedés hiányában egyszerűen elég annyi, hogy az állomás a hálózat hatósugarába kerüljön. Ez – a médium korábban említett tulajdonságai miatt – rendszerint nehezen ellenőrizhető, és még nehezebben akadályozható meg. A (passzív) lehallgatás és a hálózathoz való illetéktelen (aktív) hozzáférés problémája tehát egyaránt létezik vezetékes és vezeték nélküli helyi hálózatoknál is, de a vezeték nélküli hálózatok esetén ezek a problémák rendszerint sokkal gyakoribbak. Természetesen mindkét médium fajta esetén lehetőség van ezen problémák kiküszöbölésére vagy a kockázatoknak megfelelő mértékű enyhítésére, adminisztratív és műszaki eljárásokkal, intézkedésekkel.
Műegyetemi jellemzők és peremfeltételek A Műegyetemen megkezdtük a vezeték nélküli hálózati infrastruktúra kialakítását. A hozzáférést az egyetem olyan területein tettük lehetővé, ahol a hallgatók szabadidejüket töltik. A továbbiakban viszont gyakorlatilag az egyetem összes olyan területén tervezzük wireless LAN kiépítését, ahol elképzelhető hordozható számítógép (laptop, tablet PC, PDA) vagy más vezeték nélküli hálózati végberendezés használata, és ami „közterület”, azaz ott tartózkodhat az egyetem bármely hallgatója vagy munkatársa.
Ebben a környezetben a lehallgatás és a hálózathoz való illetéktelen hozzáférés különböző természetű problémaként jelentkezik. A lehallgatás veszélye a felhasználókat fenyegeti, hiszen az esetlegesen lehallgatható hálózati forgalomban a felhasználók által vagy a számukra küldött érzékeny információk szerepelhetnek. Az illetéktelen hozzáférés veszélye viszont az üzemeltetőt, ebben az esetben a BME EISZK-t fenyegeti, hiszen az ő felelőssége, hogy a hálózati infrastruktúra szolgáltatásait csak az arra jogosult felhasználók vehessék igénybe. A biztonsági megoldások kiválasztásánál az alábbi feltételeket kell figyelembe vennünk: •
A módszer felhasználókat közvetlenül érintő része nem lehet gyártó specifikus, hanem lehetőleg szabványosnak vagy kvázi szabványosnak, és az eszközök széles körén implementáltnak kell lennie. Ugyanis nem áll módunkban egy adott gyártót vagy terméket kötelezően előírni a felhasználók számára.
•
Feltétlenül működnie kell a felhasználók gépén Windows 2000, Windows XP, valamint Linux operációs rendszerrel. Lehetőleg működnie kell Windows 98, Windows ME, Windows Mobile, Mac OS X és Net/Open/FreeBSD operációs rendszerrel.
•
A felhasználók számának tekintetében a módszernek skálázhatónak kell lennie. A vezeték nélküli hálózat használatára jogosultak köre esetünkben az összes műegyetemi polgár (hallgatók, oktatók, és az egyetem más alkalmazottai), illetve esetenként az egyetem vendégei. Ez a tízezres nagyságrendet jelenti, pillanatnyilag kb. 15-20000 potenciális felhasználót.
•
A módszernek alkalmasnak kell lennie vendég felhasználók fogadására. Azaz könnyen kell tudni biztosítani hozzáférést ideiglenesen az egyetem vendégei számára, illetve a vendégeknek nem szabad, hogy túl komplikált legyen a hálózat használatba vétele saját számítógépükkel.
•
A módszernek mind az üzemeltető, mind a felhasználók megfizethetőnek kell lennie.
számára
Lehallgatás A fentiek alapján a lehallgatás problémájára a következőket mondhatjuk el: •
A vezeték nélküli hálózat felhasználóinak saját érdeke, hogy a hálózaton átvitt érzékeny információikat megfelelő módon védjék lehallgatás ellen. Az esetek döntő többségében a felhasználók kezében vannak az ehhez szükséges eszközök. A megoldást rendszerint kriptográfiai eljárások használata jelenti.
•
A hálózat üzemeltetőjének nem feladata a felhasználók hálózati forgalmának lehallgatás elleni védelme. Természetesen amennyiben lehetősége van rá, akkor jó, ha az üzemeltető megszűnteti vagy enyhíti a lehallgatás veszélyét.
•
A hálózat üzemeltetőjének feladata a felhasználók tájékoztatása a lehallgatás veszélyéről a lehetőségeknek megfelelően, hiszen ebben az esetben a felhasználók nagy része nem rendelkezik a szükséges ismeretekkel.
Ezen túl elmondható az is, hogy a hálózat üzemeltetőjének több okból érdeke is a felhasználók tájékoztatása a lehallgatás veszélyéről csak úgy, mint a védelem a lehallgatás ellen. Egyrészt ugyanis az érzékeny információk lehallgatásából később adódhatnak más biztonsági incidensek a hálózaton, amivel az üzemeltetőnek is foglalkoznia kell. Másrészt a lehallgatás számtalan olyan esemény forrása lehet, amely a felhasználó megelégedettségét csökkenti, többek közt az üzemeltetővel is.
Védelem a lehallgatás ellen Sajnos a jelen műszaki lehetőségek mellett a lehallgatás ellen leginkább a felhasználók tudnak csak védekezni, és mi, a hálózat üzemeltetői keveset tudunk ehhez hozzátenni. A felhasználóknak lehetősége van biztonságos, a hálózati forgalmat titkosító protokollokat használniuk (pl. ssh, scp, SFTP, HTTPS, IPSec ESP), amelyek gyakorlatilag minimálisra csökkentik az érzékeny információk lehallgatásának veszélyét. Ezzel szemben az üzemeltetőnek nincs igazán jó lehetősége a lehallgatás elleni védelemre.
Védelem az adatkapcsolati rétegben A vezeték nélküli szakaszon, az adatkapcsolati rétegben az alábbi lehetőségek vannak a lehallgatás elleni védekezésre: •
WEP (Wired Equivalent Privacy): Az IEEE 802.11 szabványban szereplő WEP eljárást egyrészt azért nem tudjuk alkalmazni, mert a közös kulcs miatt esetünkben nem védene a potenciális támadók nagy része ellen. Hiszen a WEP eredeti, jelenleg szabványos változata úgy használ szimmetrikus kulcsú titkosítást, hogy a kulcsot az összes felhasználónak ismernie kell. Viszont ahogy sok más esetben is, nálunk is szükség lenne a felhasználók egymás elleni védelmére is. Másrészt a WEP-nek több jól ismert hibája is van, amelyeknek következtében gyakorlatilag semmiféle védelmet nem nyújt a lehallgatás ellen azon támadók számára sem, akik nem ismerik a közös kulcsot. Ezen problémák kiküszöbölésére a WLAN eszközök gyártói a WEP különféle kisebb módosításait dolgozták ki, de ezek nem szabványos megoldások, hanem gyártó-specifikusak, így a mi esetünkben nem alkalmazhatók.
•
IEEE 802.11i: Közben az IEEE is elkezdte a 802.11 szabvány módosítását ezen problémák kiküszöbölésére, ezzel foglalkozik a 802.11i munkacsoport. A 802.11i szabvány még nem készült el.
•
WPA (Wireless Protected Access): Mivel a 802.11i-re még várni kell, a WiFi Alliance 2002-ben kidolgozta a WPA ajánlást, amely a WEP hibáinak kiküszöbölésére szolgál, és a 802.11i draft bizonyos elemeiből áll. A WPA lényege, hogy egyrészt kvázi szabvány lévén lehetővé teszi a biztonságos vezeték nélküli hálózatok interoperábilis implementálását, másrészt a szabványos 802.11 eszközökön általában hardware módosítás nélkül, csupán software-ben is megvalósítható. A WPA meg is felelne a céljainknak, de sajnos egyelőre még csak viszonylag kevés termékben implementálták, ezért nem követelhetjük meg a felhasználóinktól.
Védelem a hálózati rétegben Lehetőség van arra is, hogy a lehallgatás elleni védelmet remote access IPSec VPN kialakításával valósítsuk meg. Ez lehet szintén központilag kötelezővé tett védelem, amikor a felhasználónak mindenképp IPSec titkosítást kell használnia a teljes hálózati forgalmához. Itt a titkosítás nem az adatkapcsolati, hanem a hálózati rétegben történik. A „távoli” VPN felhasználók tehát a wireless LAN felhasználói, a „védett” hálózat pedig – ami a VPN gateway mögött található – az Internet. A vezeték nélküli hálózatról csak IPSec forgalmat engedünk a vezetékes hálózatba, és azon belül is csak a VPN gatewayhez, így a felhasználók az Internetet csak úgy tudják elérni, ha a forgalmukat a saját gépüktől először IPSec titkosítással a VPN átjáróhoz küldik, ami majd visszafejti a titkosított csomagokat, és továbbítja azokat a tényleges cél cím felé. Ezt a megoldást azért nem alkalmazzuk a Műegyetem vezeték nélküli hálózatán, mert egyrészt nehéz lenne olyan VPN software-t találni az egyetem számára megfizethető áron, amiben minden számunkra fontos operációs rendszerre van
könnyen használható VPN kliens. Másrészt ha egy felhasználó a műegyetemi vezeték nélküli hálózatról VPN kliens segítségével szeretne bejelentkezni valamilyen távoli védett hálózatra, akkor két VPN kliensnek kellene egyszerre működnie a számítógépén úgy, hogy az egyik IPSec tunnel belsejében menjen a másik IPSec tunnel, ami az esetek többségében feltehetőleg problematikus lenne.
Illetéktelen hozzáférés A hálózathoz történő illetéktelen csatlakozásokat meg kell akadályoznunk. Egyrészt azért, mert az érvényes felhasználási szabályzatok ezt megkövetelik. Másrészt pedig azért, mert a hálózat üzemeltetője bizonyos felelősséggel tartozik azért, ami a hálózatán történik, és ezek az események igen könnyen kézben tarthatatlanná válnak, ha a hálózatot bárki idegen is használhatja. A hálózathoz való csatlakozást tehát autentikációnak kell megelőznie, és az azonosításnak lehetőleg személy szerintinek kell lennie.
802.11 shared key A vezeték nélküli hálózathoz való illetéktelen hozzáférés megelőzésére az IEEE 802.11 szabvány a WEP algoritmuson alapuló osztott kulcsos autentikációt írja le. Ez a módszer sajnos a mi esetünkben nem alkalmazható, hiszen az összes felhasználónk által ismert közös kulcs feltehetőleg a legkisebb mértékben sem maradhatna a Műegyetem titka, így az annak az ismeretén alapuló autentikáció teljesen értelmetlenné válna.
MAC address A WLAN access pointok többsége, így az általunk használt típusok is lehetőséget nyújtanak arra, hogy ha egy állomás csatlakozni akar hozzájuk, akkor először egy RADIUS servernek küldjék el az állomás MAC címét, és a RADIUS server válasza alapján engedjék vagy ne engedjék az állomást csatlakozni a hálózathoz. Ehhez természetesen szükség van arra, hogy nyilvántartsuk a vezeték nélküli hálózat használatára jogosultak WLAN interface kártyáinak MAC címét. A módszer nagy előnye, hogy bármilyen operációs rendszerrel és WLAN interface kártyával működik, hiszen az autentikációban a felhasználó gépe csak teljesen passzívan vesz részt. Azaz a felhasználó gépének semmit sem kell az autentikáció érdekében tennie, mivel az access point a RADIUS server segítségével dönti el annak adatbázisa alapján, hogy beengedi-e a hálózatba az adott gépet. Hátránya a MAC address alapú autentikációnak viszont, hogy nem annyira biztonságos, hiszen az interface kártyák MAC címe rendszerint software-es úton módosítható. Ha tehát egy amúgy jogosulatlan felhasználó tudomására jut egy regisztrált MAC cím, akkor a saját WLAN interface kártyájába azt a címet programozva megszemélyesítheti a jogosult felhasználót, és így hozzáférést kaphat a vezeték nélküli hálózathoz. Regisztrált MAC címet pedig könnyen megtudhat a támadó, pl. úgy, hogy lehallgatja a vezeték nélküli hálózatot. (Az így lehallgatott címet persze csak akkor használhatja sikeresen, ha az adott helyen a cím jogos tulajdonosa éppen nem használja a hálózatot, hiszen különben a MAC címek ütközése hibát eredményezne.)
802.1x Az IEEE 802.1x szabványban leírt EAPoL (Extensible Authentication Protocol over LAN) lehetővé teszi, hogy a (mind vezetékes, mind vezeték nélküli) lokális hálózathoz csatlakozni kívánó végberendezések azonosságát ellenőrizzük, mielőtt a hálózathoz való hozzáférésüket engedélyezzük. Az alkalmazott EAP típus többféle lehet, mint ahogy azt a neve is mutatja. Az EAP-TLS, az EAP-TTLS, a
LEAP és a PEAP azok az EAP típusok, amelyek lehetővé teszik, hogy a felhasználókat azonosítjuk. Az EAP-TLS protokollnál a felhasználó azonosítása nyilvános kulcsú tanúsítvány alapján történik. Így minden felhasználó számára külön tanúsítványt kellene készíteni, ami a mi esetünkben túl nagy adminisztrációs feladat lenne. A PEAP minden egyéb szempontból megfelelne, de sajnos a Windows rendszerekben implementált változata csak az MSCHAPv2 protokollt tudja a második fázisban használni, így a felhasználók jelszavának vagy kódolatlanul, vagy NT hashelt formában kell meglenniük a RADIUS server felhasználói adatbázisában. A mi esetünkben csak a UNIX hashelt változata áll rendelkezésre a felhasználók jelszavainak, ezért nem tudunk PEAP autentikációt használni. A LEAP nem szabványos, hanem Cisco specifikus megoldás. Ugyan több nem Cisco termékben is implementálták, de ennek ellenére még mindig messze nem olyan széles körben támogatott protokoll, hogy azt használni tudnánk. Az EAP-TTLS bizonyult a ma létező EAP típusok közül a mi esetünkben a legjobban használhatónak. Ez ugyan az EAP-TLS-szel és a PEAP-vel ellentétben nem része a Windows operációs rendszereknek, de létezik ingyenes EAP-TTLS software Windows 2000 és XP operációs rendszerekre. FreeBSD-re, MacOS X-re és Linuxra szintén van ingyenes, nyílt forráskódú EAP-TTLS software. Az EAPTTLS autentikáció második fázisában használható PAP, így megfelelőek a nálunk rendelkezésre álló UNIX hashelt felhasználói jelszavak. A fentiek alapján az EAP-TTLS meg is felelne a céljainknak. De sajnos a tapasztalatok azt mutatják, hogy bizonyos esetekben (Windows XP esetén gyakran, Windows 2000 esetén ritkábban) az EAP-TTLS supplicant, az operációs rendszer, valamint a WLAN interface kártya drivere nem képes megfelelően együttműködni, ezért a felhasználó nem tud csatlakozni a vezeték nélküli hálózathoz. Továbbá kisebb problémát jelent az is, hogy Pocket PC-re nincs ingyenesen használható EAP-TTLS software.
PPPoE A vezeték nélküli hálózaton használhatunk PPP over Ethernetet, annak ellenére, hogy az IEEE 802.11 hálózat nem Ethernet. Ebben az esetben a PPPoE célja kizárólag az lenne, hogy a PPP-ben meglévő autentikációs módszerek valamelyikét használjuk a WLAN felhasználók azonosítására. Ehhez az IPSec VPNhez hasonlóan természetesen arra van szükség, hogy a vezeték nélküli hálózatról csak a PPPoE forgalmat engedjük ki ahhoz a routerhez, amelyik a PPP tunnelt végződteti. Ennek a megoldásnak nagy előnye, hogy gyakorlatilag minden számunkra lényeges operációs rendszerre létezik PPPoE kliens software, amiely vagy már eleve az operációs rendszer része, vagy ingyenesen letölthető. További előny, hogy a PPPoE használata nem jelent szinte semmi többletterhelést a felhasználó gépén. A mi esetünkben viszont lényeges hátránya a PPPoE autentikációnak, hogy mivel a felhasználók jelszavának csak a UNIX hashelt változata áll rendelkezésünkre, ezért kénytelenek lennénk a PPP autentikációs eljárásai közül a PAP-et használni. Ez viszont azt eredményezné, hogy a jelszavak kódolatlanul jutnának el a felhasználó gépétől a routerig, így a vezeték nélküli szakaszon igen könnyen lehallgathatók lennének.
IPSec A remote access IPSec VPN megoldást – ami már a lehallgatás elleni védekezési lehetőségként is felmerült – természetesen a felhasználók autentikálására is
lehetne használni. A problémák az IPSec VPN ilyen célú alkalmazásakor is azonosak a lehallgatás elleni védelemről szóló fejezetben leírtakkal.
Plug & play Kidolgoztunk egy módszert annak érdekében, hogy a felhasználóinkat a lehető leghatékonyabban tudjuk tájékoztatni a műegyetemi vezeték nélküli hálózat használatához szükséges beállításokról. Így ha valaki „default” WLAN beállításokkal elindítja a számítógépét ott, ahol van vezeték nélküli hálózat, és egy web browserrel megpróbál betölteni bármilyen oldalt, akkor helyette a műegyetemi WLAN használatáról szóló információs oldalra jut, ahol egyrészt részletes útmutatást talál arról, hogy mit kell beállítania a gépén, másrészt megtalálja és letöltheti a WLAN használatához esetlegesen szükséges további programokat. Ez a rendszer gyakorlatilag 3 fő elemből épül fel: •
Az általunk használt access pointok képesek egyszerre több SSID-t használni, így létre lehet hozni wireless VLAN-okat. A beacon keretekben természetesen csak az egy SSID-t tud egyszerre hirdetni az access point. Két VLAN-t használunk: Az egyik az Internet elérésére szolgál, ennek a használatához szükségesek a megfelelő autentikációs és egyéb beállítások. A másik VLAN a tájékoztatásra szolgál, ez használható autentikáció és titkosítás nélkül, és ennek az SSID-ját hirdeti az access point. Aki tehát nem állít be SSID-t, titkosítást és autentikációt, azaz a gépén „default” WLAN beállítások vannak, az ebbe a VLAN-ba fog kerülni.
•
Ebből a tájékoztatásra szolgáló VLAN-ból csak a DHCP server, két DNS server és egy webserver érhető el. A DNS server gyakorlatilag bármilyen domain névhez az előbb említett webserver IP címét adja vissza válaszul.
•
A webserver minden ismeretlen URL kérése esetén redirect üzenettel válaszol, és a tájékoztató oldalra irányítja át a felhasználó web browserét.
Az így kapott segítség alapján a felhasználó be tudja állítani a számítógépén a megfelelő paramétereket ahhoz, hogy a másik wireless VLAN-hoz csatlakozhasson, és azon keresztül teljes körű hozzáférést kapjon az Internethez. A tapasztalatok alapján ez a módszer igen jól működik Windows 2000, Linux és FreeBSD operációs rendszerekkel, de a Windows XP sajnos túl okosnak hiszi magát, és gyakran felülbírálja a felhasználó által megadott WLAN paramétereket, ezért azzal nem mindig használható a fent leírt rendszer.
Konklúzió Mivel jelenleg nem tudunk a céljainknak megfelelő módszert a forgalom lehallgatása elleni központi védelemre, ezért ezt a feladatot kénytelenek vagyunk a felhasználóinkra bízni. Az autentikációs módszerek közül a megfelelően biztonságos, és sok egyéb tekintetben is szimpatikus EAP-TTLS protokoll sajnos nem alkalmazható, mert sok esetben felhasználó oldali software problémák miatt nem működik. Ezért kizárásos alapon kénytelenek vagyunk a kevésbé biztonságos MAC address alapú autentikációt használni. A következő lépés feltehetőleg a WPA és valamilyen jelszavas EAP használata lesz, de erre még várni kell, mivel jelenleg csak nagyon kevés termékben van implementálva ez a funkcionalitás. A „plug & play” című fejezetben leírt rendszer alkalmazása egyelőre még kétséges, erről a közeljövőben a további tapasztalatok alapján fogunk dönteni.