Základy wifi sítí – VI. Zabezpečení
Zabezpečení bezdrátový sítí je velmi důležité, protože se signál šíří volně vzduchem bez ohledu na zdi budov nebo jiné překážky. Ani to, že síť má malý dosah nemusí být překážka. Útočník vybavený směrovou anténou se může připojit do sítě vzdálené několik set metrů nebo dokonce několik kilometrů, i když síť sama o sobě má dosah pár desítek metrů. Různé typy zabezpečení se vyvíjely postupně, proto strarší poskytují pouze omezené možnosti zabezpečení sítě, které se dají snadno prolomit. Neznalí uživatelé mohou také doplatit na to, že bezdrátové zařízení se prodávají bez nastaveného zabezpečení, nebo s nějakým výchozím nastavením, které je u všech zařízení daného typu stejné. Například heslo: „password“. Na internetu jsou databáze s tímto nastavením, proto takto zabezpečenou síť dokáže prolomit i běžný uživatel se schopností hledání na googlu.
Bezpečnost bezdrátových sítí můžeme rozdělit do dvou hlavních skupin:
- šifrování = zabezpečení přenášených dat před odposlechem
- autorizace = řízení přístupu oprávněných uživatelů
Nyní tedy popíšu jednotlivě nejpoužívanější typy zabezpečení.
Skrytí SSID
SSID (Service Set Identifer) je identifikační jméno, které označuje síť. Ale pozor nepleťte si s názvem sítě, to je něco jiného. Skrytí SSID je nejjednodužší zabezpečení, ale také nejlépe prolomitelné.
Útočník neuvidí síť v seznamu dostupných bezdrátových sítí, ale například s pomocí programu NetStumbler ji může odhalit. Při připojování klienta k přípojnému bodu je totiž SSID volně přenášen, proto ho lze jednoduše zachytit. Aby útočník nemusel čekat, než se nějaký klient připojí, tak se při zachytávání SSID také používá takzvané provokace, kdy útočník vyšle do sítě datové rámce, které přinutí klienty znovu se asociovat.
Kontrola MAC adresy
Trochu pokročilejší zabezpečení, ale pořád snadno prolomitelné. Na přístupový bod se nastaví seznam MAC adres klientů, kteří mají dovoleno se připojit. Ostatním klientům připojení odmítne.
Útočníkovi však stačí chvíli zachytávat komunikaci mezi přístupovým bodem a autorizovaným klientem a může zachytit povolenou MAC adresu. Když útočník MAC adresu zachytí, může jí podstrčit jako svojí a bude vystupovat jako oprávněný uživatel.
WEP (Wired Equivalent Privacy)
Je původní zabezpečení wifi standardu 802.11 z roku 1999 a zabezpečuje rádiovou část sítě. To znamená, že zabezpečuje komunikaci mezi klientem a přístupovým bodem. Za ním již bezpečnost nezajišťuje.
WEP používá proudovou šifrovací metodu RC4 pro utajení informací a pro ověření správnosti metodu CRC-32 kontrolního součtu. Tyto metody nebudu dál rozebírat, můžete si o nich něco najít na internetu. Nám bude stačit, že se zpráva šifruje podle nějakého klíče a poté se zase po přenosu dešifruje.
Klíč může být 64 bitový, 128 bitový nebo i 256 bitový, ale to pouze uvádějí výrobci. Ve skutečnosti je klíč 40 bitový, 104 bitový nebo 232 bitový a pouze se před klíč přidá 24 bitů takzvaného inicializačního vektoru, což jsou v podstatě náhodná data.
Dnes už je toto zabezpečení hodně zastaralé a je známo hodně způsobů jak toto zabezpečení obejít. Útočníci mohou zachytávat komunikaci mezi přístupovým bodem a klientem (jako při zachytávání MAC adresy). Po zachycení dostatečného množství paketů (pro neznalé, paket = něco jako malý balíček dat, na které se dělí přenášená data), většinou tak mezi 5 až 10 miliony, za pomocí programů jako AirSnort nebo WEPCrack mohou rozluštit šifrovací klíč.
I když je toto zabezpečení jednoduché prolomit v každém případě ho doporučuji zapnout, protože většinou trvá dlouho, třeba i několik hodin, než útočník zachytí dostatečné množství paketů. Proto si myslím, že útočníci nebudou chtít čekat několik hodin jenom aby se připojili k internetu. U sítí s důležitými nebo soukromými daty samozřejmě doporučuji volit lepší zabezpečení, protože to si útočníci určitě klidně počkají. Doporučuji také kombinaci WEP zabezpečení například s kontrolou MAC adresy. Útočník bude muset zachytit více dat. Sice ne o moc, ale proč to nepoužít, když mu aspoň ztížíme práci.
Sám používám toto zabezpečení, protože pro domácí síť ho považuji za dostatečné.
WPA (Wi-Fi Protected Access)
Funguje podobně jako WEP, ale pro šifrování komunikace používá TKIP (Temporal Key Integrity Protocol). TKIP používá stejný šifrovací algoritmus jako WEP, ale standardně se 128 bitový klíčem a používá dynamické dočasné klíče, to znamená, že TKIP mění klíč asi po každých 10 000 přenesených paketech. Autentizace do WPA sítě je prováděna buď pomocí PSK (Pre-Shared Key), v tomto případě obě strany používají stejnou heslovou frázi, nebo RADIUS serverem, v tomto případě je zase autentizace ověřena přihlašovacím jménem a heslem.
WPA vzniklo s cílem využít hardware podporující WEP, ale vhodnými doplňky, hlavně prácí s klíči, se snaží eliminovat jeho slabá místa. Samozřejmě zkušenější útočník tuto ochranu prolomit dokáže, ale určitě je WPA silnější zabezpečení než WEP.
Vylepšením WPA vzniklo WPA2, které je ve standardu 802.11i. Vylepšuje šifrovací algoritmus, tedy používá blokovou šifru AES (Advanced Encryption Standart) místo RC4, které používá WEP a WPA. Bohužel ale WPA2 nelze použít na starších zařízeních.
Tak tohle byl poslední díl z mého seriálu o základech wifi sítí. Doufám, že aspoň někomu pomohl 
Další seriál bude nejspíš o programování v delphi nebo photoshopu, takže nezapomeňte sledovat můj RSS kanál 