Wszystkie zabezpieczenia stosowane w sieciach bezprzewodowych podzielić
można na dwa typy: autoryzacji oraz transmisji. Pierwsze ma na celu
jednoznaczne potwierdzenie tożsamości użytkownika i nadanie mu pewnych
przywilejów, natomiast drugie służy zabezpieczeniu transmisji przed
podsłuchaniem, co w sieciach Wi-Fi zdarza sie niezwykle często. Nowsze
standardy jak WPA2 to połączenie obydwu typów zabezpieczeń, mające na
celu zapewnienie maksymalnego bezpieczeństwa pod każdym względem na
niezwykle wysokim poziomie.
Istnieją jeszcze inne polityki bezpieczeństwa, zdefiniowane w dość
nietypowych regułach. Przykładem może być brak jakichkolwiek
zabezpieczeń i autoryzacja wszystkich użytkowników, co charakteryzuje
kiepskiej jakości Hot Spot lub Access Point niedoświadczonego
użytkownika. Inny przykład to skonfigurowane QoS oraz rygorystyczne
reguły firewalla, typowe dla gorących punktów wysokiej jakości...
Oficjalne początki sieci bezprzewodowych sięgają roku 1999 kiedy to
IEEE ratyfikowało standard 802.11, będący oficjalną regulacją
specyfikacji technicznej i softwarowej urządzeń pracujących w sieciach
Wi-Fi. Wraz z wejściem pierwszych sieci bezprzewodowych wprowadzone
także pierwsze zabezpieczenia.
Ukrycie ESSID
Zapewne każdy kto z sieciami bezprzewodowymi zetknął się chociaż raz
wie iż każdy punkt dostępowy rozsyła gdzie tylko się da swoją nazwę.
Jej znajomość umożliwia nawiązanie połączenia z siecią, jednak w
przypadku kiedy nie znamy ESSID połączenie nie jest możliwe, a wiec
potencjalny włamywacz nie może uzyskać dostępu do sieci.
Właśnie dlatego już w pierwszych Access Pointach wprowadzono możliwość
wyłączenia rozgłaszania nazwy sieci. Być może zabezpieczenie to w
przeszłości było skuteczne, jednak dziś zdobycie ESSID nie stanowi
żadnego problemu. Włamywacz ma dwie możliwości:
pierwsza z nich zakłada iż ma on dużo czasu i mało chęci; wystarczy
uruchomić program typu NetStumbler (Windows) lub Kismet (Linux/BSD) i
poczekać aż jeden z klientów nawiąże połączenie z siecią, wtedy właśnie
wysyła on czystym tekstem ESSID ukrytej sieci, które zostaje
przechwycone przez nasz analizator,
opcja druga jest nieznacznie trudniejsza, wymaga jednak jedynie jednego
aktywnego klienta; uruchamiamy program Kismet i sprawdzamy listę
dostępnych klientów, kopiujemy adres MAC jednego z nich i korzystając z
narzędzia AirCrack doprowadzamy do zresetowania jego połączenia z
siecią, co zmusza go do ponownego wysłania ESSID, który jak w
poprzednim przypadku zostaje przechwycony przez nasz komputer.
Szczegóły ominięcia tego zabezpieczenia, jak i wszystkich innych
podatnych na atak wymienionych w tym artykule, zostały opisane na
stronach siostrzanego projektu warxing.pl. Ominiecie ukrycia ESSID to
kwestia kilku minut, dlatego nie należy stosować tego zabezpieczania
bez wsparcia innymi, lepszymi metodami autoryzacji.
Filtracja MAC
Znany z LAN sposób na autokonfiguracje sieci znalazł swoje zastosowanie
w Wi-Fi. Pierwsze punkty dostępu posiadały jedynie najprostszą wersję
DHCP, przydzielającą, bądź nie, IP w zależności od zgodności z tablicą
adresów MAC. Nowsze Access Pointy filtrują dodatkowo po nazwach
komputera oraz wymagają zgodności MAC ze statycznym IP konfigurowanym
przez użytkownika.
Jednak w erze rozwijających się technologii i to zabezpieczenie nie
mogło dłużej pozostać pewne. Z czasem producenci prowadzili do swoich
„radiówek” możliwość zmiany adresu MAC dowolny, wybrany przez
użytkownika.
W sieci komputerowej MAC i IP to informacje powszedniejsze niż dla
użytkowników Windows kolejna aktualizacja krytyczna. Przesyłane są one
z każdym pakietem danych, zaś ich przechwycenie nie wymaga żadnego
specjalistycznego sprzętu i oprogramowania. Wystarczy teraz zmienić
MAC, podać IP, obliczyć maskę sieci i zgadnąć bramę (254 możliwe hosty
odsiewany nmapem, resztę można sprawdzić ręcznie) by uzyskać dostęp do
łącza internetowego. W praktyce to maksimum 30minut pracy.
Wired Equivalent Privacy
Szyfrowanie WEP, bo tak skraca się tą angielską nazwę, było trzecim
zabezpieczeniem wprowadzonym wraz z sieciami bezprzewodowymi. WEP to
pierwsze szyfrowanie i pierwsze poważne spojrzenie na kwestie
bezpieczeństwa sieci oraz danych krążących w eterze. To jedno z
najczęściej stosowanych rodzajów zabezpieczeń, dostępne na obecną
chwilę w każdym AP, jednak obniżające wydajność połączenia. Zadanie
jakie miało ono spełniać wspaniale ujął w swojej książce Andrew S.
Tanenbaum:
Wspaniale powiedziane: standardowym poziomem bezpieczeństwa w
przewodowej sieci LAN jest brak jakichkolwiek mechanizmów
zabezpieczających, więc zadanie postawione przed protokołem WEP nie
jest specjalnie wygórowane i protokół ten radzi sobie z nim całkiem
nieźle.
Standard określa specyfikacje kluczy 40- i 104-bitowych do których
dołączany jest wektor inicjujący (IV) o długości 24 bitów. Dlatego
właśnie mówi się o kluczach 64- i 128-bitowych, choć jest to
stwierdzenie niepoprawne techniczne.
Z pozoru WEP wydawać się może dobrym sposobem na zabezpieczenie sieci,
jednak ze względu na słabości wektora IV oraz klucza RC nie jest to
dobre rozwiązanie. Możliwe jest kilka typów ataków na sieć zaszyfrowaną
WEP. Powstały juz narzędzia umożliwiające złamanie klucza w przeciągu
połowy godziny, co przy odpowiednim ruchu w sieci oraz wprawie
włamywacza nie stanowi większego problemu.
WEP posiada każdy punkt dostępu i pomimo swoich słabości odstrasza
część potencjalnych włamywaczy. Dlatego jeśli Twój AP nie posiada
żadnego mocniejszego zabezpieczenia zastosuj te szyfrowanie! -
skutecznie wydłuży ono czas pracy włamywaczy oraz zniechęci część z
nich. WEP zabezpiecza Cię także przed przypadkowym podsłuchaniem Twoich
danych krążących w eterze.
IEEE 802.1x
802.1x to standard kontroli dostępu do sieci przewodowych i
bezprzewodowych opracowany przez IEEE. Umożliwia on uwierzytelnienie
urządzeń podłączonych do portu sieci LAN oraz punktu dostępu sieci
Wi-Fi, ustanowienie połączenia punkt-punkt oraz uniemożliwienie dostępu
użytkownikowi nieautoryzowanemu. 802.1x oparto na protokole EAP.
Kariera 802.1x w sieciach bezprzewodowych rozpoczęła się gdy na jaw
wyszły wszystkie słabości WEP. Wtedy to wielu dostawców
zaimplementowało standard w bezprzewodowych punktach dostępu, by
zapewnić bezpieczeństwo sieci przynajmniej na poziomie autoryzacji
(podsłuch nadal jest możliwy). Zastosowanie uwierzytelnienia 802.1X
eliminuje niebezpieczeństwo nieautoryzowanego dostępu do sieci już na
poziomie warstwy dostępu.
Zazwyczaj uwierzytelnianie jest przeprowadzane przez zewnętrzny serwer
RADIUS (ang. Remote Authentication Dial In User Service), zaś Access
Point pełni jedynie funkcje pośrednika. 802.1x został wprowadzony jako
integralna część WPA, co stanowi kolejną warstwę zabezpieczeń tego
standardu, o czym napisze dalej.
WiFi Protected Acces
Z uwagi na słabości WEP, IEEE stworzyła najpierw szkielet protokołów
uwierzytelniających 802.1x, a następnie 802.11i, w którym określono
szyfrowanie ramek algorytmem AES i dodanie mechanizmów MIC i TKIP oraz
autoryzacje 802.1x. Protokołem przejściowym między WEP a 802.11i jest
WPA o nieco ograniczonych możliwościach, rozwiązujący jednak problem
bezpieczeństwa na starszych Access Pointach przez aktualizacje
firmware.
WPA dzieli się na dwa rodzaje:
1) Personal, które opiera się na kluczu PSK, stąd nazwa WPA-PSK, do zastosowań domowych
2) Enterprise, korzystający z serwera RADIUS, do zastosowań profesjonalnych
WPA korzysta z serwera autoryzacji 802.1x, jednak jego domowa odmiana
używa jednego klucza dla wszystkich użytkowników, co pozwala ominąć
stosowanie zewnętrznego serwera Radius. Zasadnicza różnica między WPA a
802.11i tkwi w różnych metodach szyfrowania. WPA jako rozwiązanie
kompatybilne wsteczne ze starszymi Access Pointami
Mimo iż w WPA zastosowano algorytm Michael (MIC) odpowiedzialny za
uniemożliwienie ataków z odwracalnością klucza to nadal pozostał ten
sam, znany z licznych błędów, algorytm RC4. Póki co jedyny możliwy atak
możliwy jest do przeprowadzenia na sieci szyfrowanej WPA-PSK z
słownikowym kluczem, jednak nie jest wykluczone iż w przyszłości
powstaną narzędzia umożliwiające włamanie do każdej sieci szyfrowanej
WPA (oczywiście nie mówię o ominięciu autoryzacji 802.1x, jednak
podsłuch będzie możliwy).
Point-to-Point Protocol over Ethernet
Opisywany protokół został napisany z przeznaczeniem na autoryzacje w
sieciach LAN poprzez kartą sieciową Ethernet. Często służy on jednak do
łączenia z ogólnoświatową siecią WAN poprzez zastosowanie odpowiedniego
modemu, czego znakomitym przykładem jest usługa Neostrada
Telekomunikacji Polskiej.
Jak się jednak okazało PPPoE sprawdza się doskonale w sieciach
bezprzewodowych. W sytuacji kiedy autoryzacja za pomocą 802.1x wygląda
dość nieprofesjonalnie (częste logowanie) ten protokół jest
alternatywą. Jego zalety to jednorazowa konfiguracja sieci (za pomocą
wbudowanych kreatorów systemów Windows 2003/XP/2000), niezwykle podobna
do tej znanej nam z Neostrady. Tak samo jak 802.1x, PPPoE współpracuje
z serwerem RADIUS, chociaż rozwiązanie to można oprzeć na odpowiednim
pliku konfiguracyjnym.
Niestety PPPoE jest wpierane tylko przez profesjonalne i drogie punkty
dostępu. Rozwiązaniem jest konfiguracja odpowiedniego komputera oparta
na Linux, MT lub BSD. Ze względu na cenę MT w przyszłości na łamach
Wi-Fi Live pojawi się opis konfiguracji PPPoE na FreeBSD, będący
kontynuacją serii artykułów o tym systemie.
Virtual Private Network
Wirtualne Sieci Prywatne, w skrócie VPN, to dobry sposób na
zabezpieczenie transmisji, w przypadku, kiedy nie mamy dostępu do
Access Pointa lub z innych względów nie chcemy wprowadzać szyfrowania
ruchu w całej sieci Wi-Fi.
VPN umożliwia tworzenie wirtualnych sieci wykorzystujących technologie
tunelowania (protokół PPTP). Przez tunel taki płynie ruch w ramach
sieci prywatnej, pomiędzy klientami końcowymi, za pośrednictwem
publicznej sieci (takiej jak Internet) w taki sposób, że węzły tej
sieci są przezroczyste dla przesyłanych w ten sposób pakietów. Dane
przesyłane takim tunelem mogą być szyfrowane i kompresowane co zapewnia
wysoką wydajność i bezpieczeństwo takiego rozwiązania.
W sieci Wi-Fi zastosowanie VPN jest uzasadnione w dwóch przypadkach:
1) chcemy uchronić nasze dane przed wścibskim administratorem
2) zależy nam na bezpieczeństwie transmisji w nieszyfrowanej sieci
VPN jest używane także przez włamywaczy, kradnących cudze łącza internetowe.
Artykuł ten nie opisuje wszystkich możliwych kombinacji zabezpieczeń.
Wielu doświadczonych administratorów stosuje bardzo nie typowe metody
oraz różne kombinacje opisanych przeze mnie sposobów. Wymaga to jednak
dużej wiedzy, nakładów oraz sprzętu. Jeśli myślisz poważnie o
bezpieczeństwie w swojej sieci warto zastosować system wykrywania
intruzów, temat ten jednak został pominięty gdyż wykracza po za
tematykę tego tekstu.
źródło : hack.pl
|
