Zabezpečení bezdrátové sítě

Zabezpečení bezdrátové sítě (wireless security) slouží k tomu, aby se do sítě k počítačům nedostali neoprávnění uživatelé, kteří by mohli ostatním způsobit nějakou škodu. Mezi nejběžnější typy zabezpečení patří Wired Equivalent Privacy (WEP) a Wi-Fi Protected Access (WPA). WEP je jedna z nejméně bezpečných forem zabezpečení. Za pomoci speciálního softwaru jako je Aircrack je možné heslo takto zabezpečené sítě do pár minut nalézt. WEP je starý IEEE 802.11 standard z roku 1999, který byl v roce 2003 nahrazen WPA. V dnešní době je standardem WPA2.

Dnes je běžné, že má každý notebook bezdrátovou síťovou kartu a může se tak snadno připojovat k bezdrátovým sítím. Má to velké výhody, ale zároveň je připojení k těmto sítím náchylnější k bezpečnostním problémům. Crackeři přišli na způsob, jak se poměrně snadno nabourat do bezdrátové sítě a tímto způsobem se dostat i do sítí drátových. Z tohoto důvodu začali společnosti zavádět bezpečnostní politiky, které chrání jejich důležité zdroje před neoprávněným přístupem. Běžně používanými prostředky pro prosazení těchto politik jsou Wireless Intrusion Prevention/Detection System (WIDS/WIPS).

Nebezpečí pro uživatele v poslední době vzrostlo díky tomu, že se bezdrátové sítě velmi rozšířily. Když byla tato technologie poprvé představena, tak hrozilo poměrně málo nebezpečí. Crackeři se tím ještě pořádně nezabývali a na pracovištích to byla spíše vzácnost. Nicméně je tu velký počet bezpečnostních rizik spojených s bezdrátovými protokoly, šifrovacími metodami a nerozvážností samotných uživatelů. S příchodem bezdrátových technologií začaly být crackovací metody mnohem sofistikovanější. Crackování tak začalo být mnohem jednodušší a objevily se nástroje, které jsou dostupné zdarma a jsou jednoduché na ovládání (viz výše zmíněný aircrack).

Ve firmách, kde nejsou žádné bezdrátové přístupové body se nikdo nezabývá bezdrátovou bezpečností. Notebook bez této technologie dnes skoro nenalezneme. Když se však tento počítač připojí do drátové sítě a má bezdrátovou síťovou kartu, tak toho cracker může využít a skrze ni do této sítě získat přístup.

Pozadí[editovat | editovat zdroj]

Problém s firemními bezdrátovými sítěmi obecně, zejména tedy s WLAN, je nutnost jejich zabezpečení. Mnoho přístupových bodů dříve nedokázalo posoudit zda ten který uživatel je oprávněn přistupovat k síti nebo ne. Ačkoli se tento problém vyskytuje již dlouho u mnoha typů kabelových sítí (dříve bylo možné přijít k jakékoliv ethernetové zásuvce a získat přístup k lokální síti), neznamenal nikdy výrazné nebezpečí, neboť mnoho organizací má adekvátní fyzické zabezpečení. Nicméně od doby co se signál vzduchem dostává přes hranice budov a pozemků, je fyzické zabezpečení do jisté míry irelevantní.

Kdokoliv v geografickém dosahu nezabezpečené bezdrátové sítě může zachytit a nahrávat její provoz, získat neoprávnění přístup k interním síťovým prvkům stejně jako k internetu a zneužít získané informace k provádění nelegální činnosti. Takováto narušení bezpečnosti daly vzniknout vážným obavám o zabezpečení jak firemních tak domácích sítí.

Pokud zabezpečení routeru není aktivováno, nebo jej vlastník deaktivuje, vytváří tím volně dostupný wifi hotspot. Jelikož většina laptopů 21. století obsahuje vestavěný prvek pro bezdrátovou komunikaci, nepotřebují žádné doplňky třetích stran jako PCMCIA kartu nebo USB dongle. Vestavěná wifi síť může být v zařízení povolena, aniž by si to vlastník uvědomil, a vystavuje tak zařízení neoprávněnému přístupu jakéhokoliv jiného zařízení s wifi, které je poblíž.

Operační systémy jako Linux, Mac OS, nebo MS Windows umožňují jednoduše nastavit počítač jako přístupový bod lokální sítě k internetu a umožnit tak ostatním počítačům v okolí přistupovat skrze něj k internetu. Nicméně nedostatek informací o bezpečnosti takových sítí mezi uživateli vede k tomu, že přístup k připojení může získat i neoprávněný příchozí. Neoprávněný přístup se většinou děje bez toho, aniž by si toho všiml operátor bezdrátové sítě. Za jistých okolností k tomu může dojít dokonce i bez vědomí neoprávněného uživatele (automatické připojení zařízení k nezabezpečenému přístupovému bodu).

Kdy dojde k ohrožení[editovat | editovat zdroj]

Bezdrátové zabezpečení je sice pouze aspektem počítačové bezpečnosti, nicméně organizace mohou být právě v tomto směru vysoce citlivé na jeho narušení. Pokud si zaměstnanec (důvěryhodná entita) přinese bezdrátový router a připojí jej k nezabezpečenému switchportu, bude celá síť vystavena komukoli v dosahu vytvořeného signálu. Nebo pokud zaměstnanec přidá bezdrátové rozhraní k počítači v síti pomocí USB portu, může vytvořit průlom v zabezpečení sítě a umožnit tak neoprávněný přístup k důvěrným materiálům. Nicméně existují efektivní protiopatření (zakázání otevřených switchportů a omezení přístupu k síti v konfiguraci WLAN) které umožňují jak ochranu sítě, tak dat ke kterým síť poskytuje přístup. Tyto opatření ale musí být uplatňována jednotně pro všechna zařízení v síti.

Výhoda mobility[editovat | editovat zdroj]

Bezdrátové sítě jsou dnes velmi běžné jak v domácnostech, tak ve firmách a na veřejně přístupných místech. Možnost připojovat se k internetu, bez nutnosti sedět doma u počítače má velké výhody a dnes už je samozřejmostí. Velkou nevýhodou bezdrátových sítí ale je jejich náchylnost k napadení a obtížná zabezpečitelnost. Crackeři ale našli jednoduchý způsob jak bezdrátovou technologii prolomit, a dokonce ji využívají k prolomení bezpečnosti kabelových sítí. Proto musí organizace věnovat zvláštní pozornost právě zabezpečení svých sítí a ochraně před neoprávněným přístupem ke svým důvěrným datům. Pro zajištění bezdrátové bezpečnosti jsou proto užívány Prevence narušení bezdrátových systémů (WIPS) nebo Systémy detekce bezdrátového průniku (WIDS).

Rádiové rozhraní a riziko jeho ohrožení[editovat | editovat zdroj]

Když byla bezdrátová technologie zavedena, představovala poměrně málo nebezpečí, jelikož snaha o zachování této technologie byla vysoká, ale snaha o narušení je vždy vyšší. Různorodost nebezpečí číhajících na uživatele bezdrátových technologií se s jejich rostoucím ohlasem a přístupností pouze navyšuje. Každý protokol či šifrovací metoda dnes představují specifická ohrožení s nimi spjaté a crackovací metody se díky bezdrátové technologii staly mnohem důmyslnějšími a inovativnějšími.

Bezpečnostní opatření[editovat | editovat zdroj]

Existuje řada bezpečnostních opatření, které se liší ve své efektivitě a praktičnosti.

Skrytí SSID[editovat | editovat zdroj]

Nejjednodušší, ale neefektivní metodou zabezpečení bezdrátové sítě, je skrytí SSID (identifikátoru bezdrátové sítě). Přístupový bod poté nevysílá identifikátor SSID. Tato metoda poskytuje velmi malou ochranu proti většině útoků, protože je možné identifikátor SSID velmi jednoduše odposlechnout (přenáší se v otevřené formě).

Filtrování MAC adres[editovat | editovat zdroj]

Jedna z nejjednodušších technik je povolení přístupu pouze předem schváleným MAC adresám. Většina přístupových bodů obsahuje filtr MAC adres. Vzhledem k tomu, že se přenášené MAC adresy nijak nešifrují, může je útočník jednoduše odposlechnout a následně naklonovat na svoji síťovou kartu. Poté se může vydávat za libovolného klienta a přístup mu je povolen.

Statické IP adresy[editovat | editovat zdroj]

Přístupové body většinou klientům přidělují IP adresy pomocí DHCP. Vyžadování ručního nastavení IP adresy klientem ztíží průnik do sítě méně sofistikovaným útočníkům, ale poskytuje malou ochranu proti zkušeným vetřelcům.

WEP[editovat | editovat zdroj]

WEP (Wired Equivalent Privacy) je původní šifrovací standard pro bezdrátové sítě, který byl ale v srpnu 2001 prolomen. Na nových zařízeních je stále podporován, ale je doporučováno používat WPA2.

WPA[editovat | editovat zdroj]

Wi-Fi Protected Access, tj. chráněný přístup k Wi-Fi (WPA a WPA2) jsou bezpečnostní protokoly, které řeší problémy WEP. Pokud je použito slabé heslo, jako slovníková fráze, nebo kratší řetězec, může být WPA a WPA2 prolomeno. Při použití dostatečně dlouhých hesel (např. 14 náhodných písmen) nebo passphrase (např. 5 náhodně zvolených slov) je předsdílená fráze (PSK – pre-shared key) prakticky neprolomitelná. Druhá generace WPA bezpečnostního protokolu (WPA2) je založena na konečném IEEE 802.11i dodatku ke standardu 802.11 a je v souladu se standardem FIPS 140-2. Podle těchto šifrovacích schémat může kterýkoliv klient, který zná šifrovací klíč, číst síťový provoz.

WPA (Wi-Fi Protected Access) je softwarové/firmwarové vylepšení protokolu WEP. Všechna bezdrátová zařízení, která uměla pracovat s WEPem je možné jednoduše upgradovat a není potřeba kupovat žádné nové vybavení. WPA je odvozená od 802.11i bezpečnostního standardu, který byl vyvinut pracovní skupinou IEEE 802.11, aby nahradil WEP. Šifrovací protokol TKIP byl vyvinut pro WPA, aby poskytnul vylepšení pro WPA, které může být implementováno jako upgrade firmwaru existujících 802.11 zařízení. WPA profil také volitelně podporuje algoritmus AES-CCMP, který je preferován v 802.11i a WPA2.

WPA Enterprise podporuje autentizaci pomocí RADIUS serveru přes protokol 802.1x. WPA Personal používá k zajištění bezpečnosti předsdílené tajemství (pre-shared key, PSK), který je dlouhý 8 až 63 znaků. PSK může být také zadán jako 64 znakový hexadecimální řetězec. Slabý předsdílený klíč může vést k prolomení za pomoci slovníkových útoků odchytáváním zpráv při čtyřcestné výměně, když se klient znovu připojuje po odepření autentizace. Pomocí crackovacích programů, jako je třeba aircrack-ng je možné prolomit slabou heslovou frázi za méně, než minutu. Další nástroje pro prolomení WEP/WPA jsou AirSnort a Auditor Security Collection. I přesto je WPA bezpečné, pokud je použita dobrá heslová fráze, nebo 64 znaků dlouhý hexadecimální řetězec.

Erik Tews (muž, který vytvořil fragmentovaný útok proti WEP) odhalil způsob prolomení WPA TKIP implementace na PacSec bezpečnostní konferenci v Tokyu v říjnu 2008, při prolomení šifrovaného paketu mezi 12 až 15 minutami. Zpráva o tomto prolomení byla poté nafouknuta médii, útok je však pouze částečně úspěšný a funguje pouze na krátkých datových paketech. Nemůže dešifrovat WPA klíč a navíc vyžaduje specifickou implementaci WPA.

Zabezpečení pomocí 802.11X[editovat | editovat zdroj]

IEEE 802.1X je IEEE Standard, který zajišťuje ověření identity uživatele pomocí RADIUS serveru (typicky jméno+heslo). Využívá šifrování WPA nebo WPA2 s protokolem EAP. Na straně klienta zajišťuje autentizaci suplikant (např. wpa supplicant).

Přenosná zařízení[editovat | editovat zdroj]

Se vzrůstajícím počtem mobilních zařízení s rozhraním 802.1x, bezpečnost takových zařízení se stává problémem. Zatímco otevřené standardy jako Kismet jsou zaměřeny na zabezpečení laptopů^[1] řešení založené na přístupových bodech (angl. Access Point) by mělo rozšířit také k mobilním zařízením. Řešení založené na hostiteli pro mobilní telefony a PDA s rozhraním 802.1x.

Bezpečnost v mobilních zařízení spadá do tří kategorií:

Ochrana proti ad-hoc sítím
Připojování k podvodným přístupovým bodům
Schémata vzájemného ověřování jako WPA2

Řešení bezdrátového systému prevence narušení nyní nabízí bezdrátovou bezpečnost pro mobilní zařízení.^[2]

Zařízení mobilního monitorování pacientů se stávají nedílnou součástí zdravotnického průmyslu a tato zařízení se nakonec staly metodou volby pro přístup a provádění kontroly zdravotního stavu u pacientů, kteří se nacházejí v odlehlých oblastech. U těchto typů systémů monitorujících pacienty, jsou bezpečnost a spolehlivost rozhodující.^[3]

Otevřené přístupové body[editovat | editovat zdroj]

V dnešní době je mnoho měst prakticky plně pokryto bezdrátovými sítěmi – infrastruktura pro bezdrátovou komunitní síť (která je podle některých budoucností Internetu) je tudíž již v základu postavena. Člověk se pak může volně pohybovat po dané lokaci a být zároveň neustále připojen k Internetu, pokud jsou okolní přístupové body zpřístupněny veřejnosti. Kvůli bezpečnostním rizikům jsou však tyto přístupové body často šifrované a uživatelé nevědí, jak zabezpečení překonat. Spousta uživatelů si myslí, že v rámci etikety by tyto přístupové body měly být veřejnosti otevřené, aby umožňovali volný přístup k internetu.

Hustota přístupových bodů může být i problém – je zde pouze limitovaný počet použitelných kanálů, které se navzájem překrývají. Každý kanál může zvládnout vícero sítí, ale ve spojení s mnoha soukromými bezdrátovými sítěmi (například v hotelovém komplexu) a omezeným počtem kanálu může dojít ke zpomalení přenosových rychlostí nebo jiným problémům.

Podle zastánců otevřených přístupových bodů by ovšem zpřístupnění bezdrátových sítí veřejnosti nemělo mít za následek žádné větší bezpečnostní rizika:

Bezdrátová síť se vztahuje pouze k malé geografické oblasti. Nesprávně nakonfigurovaný počítač připojený k internetu může být napaden kýmkoliv z jakéhokoliv místa na světě, kdežto u otevřeného přístupového bodu se toto riziko vztahuje pouze na klienty v jejím omezeném dosahu. Nicméně člověk by měl mít na paměti, že veřejně přístupný bod poskytne přístup do lokální sítě, často i ke sdíleným souborům a tiskárnám.
Jediná cesta jak opravdu zabezpečit komunikaci je použití koncového šifrování.
Pokud jsou služby jako sdílení souborů a tiskáren v lokální síti k dispozici, je doporučeno jejich používání ochránit autentizací (například heslem). Člověk by neměl předpokládat, že soukromá síť není přístupná z vnějšku.

Na druhou stranu, v některých zemích včetně Německa^[4] může být osoba poskytující veřejný přístupový bod odpovědná za nezákonné aktivity spáchané přes její přístupový bod. Navíc poskytovatel internetového připojení (ISP) může ve smlouvě zakazovat sdílení poskytnutého internetového připojení dalším osobám.

Související články[editovat | editovat zdroj]

Reference[editovat | editovat zdroj]

V tomto článku byl použit překlad textu z článku Wireless security na anglické Wikipedii.

↑ What is Kismet? [online]. kismetwireless.net [cit. 2008-02-06]. Dostupné online.
↑ End Point Wireless Security Solution Provides IT Control With User Flexibility [online]. newsblaze.com [cit. 2008-03-03]. Dostupné v archivu pořízeném dne 2008-04-23.
↑ Khamish Malhotra, Stephen Gardner, Will Mepham. A novel implementation of signature, encryption and authentication (SEA) protocol on mobile patient monitoring devices [online]. IOS Press [cit. 2010-03-11]. Dostupné v archivu pořízeném dne 2020-05-18.
↑ http://netzpolitik.org/2006/offene-netzwerke-auch-fuer-deutschland/

[1] What is Kismet? [online]. kismetwireless.net [cit. 2008-02-06]. Dostupné online.

[2] End Point Wireless Security Solution Provides IT Control With User Flexibility [online]. newsblaze.com [cit. 2008-03-03]. Dostupné v archivu pořízeném dne 2008-04-23.

[3] Khamish Malhotra, Stephen Gardner, Will Mepham. A novel implementation of signature, encryption and authentication (SEA) protocol on mobile patient monitoring devices [online]. IOS Press [cit. 2010-03-11]. Dostupné v archivu pořízeném dne 2020-05-18.

[4] ttp://netzpolitik.org/2006/offene-netzwerke-auch-fuer-deutschland/

[1]

[2]

[3]

[4]