IT-Koko

Zabezpečení bezdrátový sítí je velmi důležité, protože se signál šíří volně vzduchem bez ohledu na zdi budov nebo jiné překážky. Ani to, že síť má malý dosah nemusí být překážka. Útočník vybavený směrovou anténou se může připojit do sítě vzdálené několik set metrů nebo dokonce několik kilometrů, i když síť sama o sobě má dosah pár desítek metrů. Různé typy zabezpečení se vyvíjely postupně, proto strarší poskytují pouze omezené možnosti zabezpečení sítě, které se dají snadno prolomit. Neznalí uživatelé mohou také doplatit na to, že bezdrátové zařízení se prodávají bez nastaveného zabezpečení, nebo s nějakým výchozím nastavením, které je u všech zařízení daného typu stejné. Například heslo: „password“. Na internetu jsou databáze s tímto nastavením, proto takto zabezpečenou síť dokáže prolomit i běžný uživatel se schopností hledání na googlu.

Bezpečnost bezdrátových sítí můžeme rozdělit do dvou hlavních skupin:

• šifrování = zabezpečení přenášených dat před odposlechem
• autorizace = řízení přístupu oprávněných uživatelů

Nyní tedy popíšu jednotlivě nejpoužívanější typy zabezpečení.

Skrytí SSID

SSID (Service Set Identifer) je identifikační jméno, které označuje síť. Ale pozor nepleťte si s názvem sítě, to je něco jiného. Skrytí SSID je nejjednodužší zabezpečení, ale také nejlépe prolomitelné.

Útočník neuvidí síť v seznamu dostupných bezdrátových sítí, ale například s pomocí programu NetStumbler ji může odhalit. Při připojování klienta k přípojnému bodu je totiž SSID volně přenášen, proto ho lze jednoduše zachytit. Aby útočník nemusel čekat, než se nějaký klient připojí, tak se při zachytávání SSID také používá takzvané provokace, kdy útočník vyšle do sítě datové rámce, které přinutí klienty znovu se asociovat.

Kontrola MAC adresy

Trochu pokročilejší zabezpečení, ale pořád snadno prolomitelné. Na přístupový bod se nastaví seznam MAC adres klientů, kteří mají dovoleno se připojit. Ostatním klientům připojení odmítne.

Útočníkovi však stačí chvíli zachytávat komunikaci mezi přístupovým bodem a autorizovaným klientem a může zachytit povolenou MAC adresu. Když útočník MAC adresu zachytí, může jí podstrčit jako svojí a bude vystupovat jako oprávněný uživatel.

WEP (Wired Equivalent Privacy)

Je původní zabezpečení wifi standardu 802.11 z roku 1999 a zabezpečuje rádiovou část sítě. To znamená, že zabezpečuje komunikaci mezi klientem a přístupovým bodem. Za ním již bezpečnost nezajišťuje.

WEP používá proudovou šifrovací metodu RC4 pro utajení informací a pro ověření správnosti metodu CRC-32 kontrolního součtu. Tyto metody nebudu dál rozebírat, můžete si o nich něco najít na internetu. Nám bude stačit, že se zpráva šifruje podle nějakého klíče a poté se zase po přenosu dešifruje.

Klíč může být 64 bitový, 128 bitový nebo i 256 bitový, ale to pouze uvádějí výrobci. Ve skutečnosti je klíč 40 bitový, 104 bitový nebo 232 bitový a pouze se před klíč přidá 24 bitů takzvaného inicializačního vektoru, což jsou v podstatě náhodná data.

Dnes už je toto zabezpečení hodně zastaralé a je známo hodně způsobů jak toto zabezpečení obejít. Útočníci mohou zachytávat komunikaci mezi přístupovým bodem a klientem (jako při zachytávání MAC adresy). Po zachycení dostatečného množství paketů (pro neznalé, paket = něco jako malý balíček dat, na které se dělí přenášená data), většinou tak mezi 5 až 10 miliony, za pomocí programů jako AirSnort nebo WEPCrack mohou rozluštit šifrovací klíč.

I když je toto zabezpečení jednoduché prolomit v každém případě ho doporučuji zapnout, protože většinou trvá dlouho, třeba i několik hodin, než útočník zachytí dostatečné množství paketů. Proto si myslím, že útočníci nebudou chtít čekat několik hodin jenom aby se připojili k internetu. U sítí s důležitými nebo soukromými daty samozřejmě doporučuji volit lepší zabezpečení, protože to si útočníci určitě klidně počkají. Doporučuji také kombinaci WEP zabezpečení například s kontrolou MAC adresy. Útočník bude muset zachytit více dat. Sice ne o moc, ale proč to nepoužít, když mu aspoň ztížíme práci.

Sám používám toto zabezpečení, protože pro domácí síť ho považuji za dostatečné.

WPA (Wi-Fi Protected Access)

Funguje podobně jako WEP, ale pro šifrování komunikace používá TKIP (Temporal Key Integrity Protocol). TKIP používá stejný šifrovací algoritmus jako WEP, ale standardně se 128 bitový klíčem a používá dynamické dočasné klíče, to znamená, že TKIP mění klíč asi po každých 10 000 přenesených paketech. Autentizace do WPA sítě je prováděna buď pomocí PSK (Pre-Shared Key), v tomto případě obě strany používají stejnou heslovou frázi, nebo RADIUS serverem, v tomto případě je zase autentizace ověřena přihlašovacím jménem a heslem.

WPA vzniklo s cílem využít hardware podporující WEP, ale vhodnými doplňky, hlavně prácí s klíči, se snaží eliminovat jeho slabá místa. Samozřejmě zkušenější útočník tuto ochranu prolomit dokáže, ale určitě je WPA silnější zabezpečení než WEP.

Vylepšením WPA vzniklo WPA2, které je ve standardu 802.11i. Vylepšuje šifrovací algoritmus, tedy používá blokovou šifru AES (Advanced Encryption Standart) místo RC4, které používá WEP a WPA. Bohužel ale WPA2 nelze použít na starších zařízeních.

Tak tohle byl poslední díl z mého seriálu o základech wifi sítí. Doufám, že aspoň někomu pomohl

Další seriál bude nejspíš o programování v delphi nebo photoshopu, takže nezapomeňte sledovat můj RSS kanál

Při vytváření sítě se musí stanice asociovat s přístupovým bodem. Asociace je něco jako připojení ethernetového kabelu. Stanice vyšle žádost o připojení a přístupový bod ji buď přijme nebo odmítne. Stanice se může asociovat (připojit) pouze k jednomu přístupovému bodu. Na druhé straně k přístupovému bodu se může připojit více stanic. U přístupových bodů střední třídy to bývá přibližně maximálně 250, ale pak se samozřejmě dělí přenosová rychlost, proto se při větším počtu stanic raději používá více přístupových bodů. Tento poměr se nazívá agregace. Tu garantují provozovatelé internetu, například 1:5 (5 stanic na 1 přístupový bod). Tento údaj je velmí důležitý, protože pokud jedna stanice zatěžuje příliš přístupový bod, ostatním se sníží přenosová rychlost. Čím méně stanic je připojeno k jednomu bodu, tím samozřejmě lépe pro nás jako klienty.

Základní stavební blok 802.11 je BSS (Basic Service Set), tedy základní soubor služeb. Jde o skupinu stanic, které spolu komunikují. Tato komunikace probíhá v takzvaném BSA (Basic Sevice Area), tedy území dosahu těchto stanic. Pokud se stanice nachází v BSA může komunikovat s dalšími členy BSS dvěma způsoby. Podle toho se typy sítě dělí na dvě hlavní.

Ad-hoc

Nebo-li nezávislé sítě. V tomto typu sítě spolu stanice komunikují přímo, nezávisle na prostředníkovi. Nejčastějším použitím je propojení několika počítačů na krátký čas například kvůli výměně dat nebo takzvané LAN party. Stanice musí být ve vzájemném rádiovém dosahu, proto sítě ad-hoc nejsou vhodné pro rozsáhlejší prostory a členitější sítě. Jejich vytvoření vyžaduje správnou konfiguraci, proto mnoho lidí dá přednost připojení přes přístupový bod, který síť nastaví sám. Sítě ad-hoc přístupový bod nemají, proto samozřejmě ani distribuční systém.

Dále se budu zabívat hlavně infrastrukturními sítěmi, protože ad-hoc sítě se používají málokdy. Většinou se místo této sítě použije ethernetový kabel. Nastavení je jednodužší a přenosová rychlost vyšší.

Infrastrukturní sítě

Používanější typ, který má přesně danou strukturu. O té jsem se již zmínil v komponentech. Důležitý je hlavně přístupový bod. Ten může komunikovat i s více než jednou stanicí. Proto spolu mohou komunikovat stanice i mezi sebou. V tomto případě je rozdíl od ad-hoc sítě takový, že data putují dvěma skoky. Nejdříve na přístupový bod a pak z něj.

V infrastrukturní síti může tedy fungovat každá stanice, která je v oblasti pokrytí a je schopna komunikovat s přístupovým bodem. Tato síť má sice větší nároky na spojovací kapacitu (větší počet skoků), ale ad-hoc má zase větší nároky na klientskou stanici a musí neustále udržovat spojení s každou stanicí s níž právě komunikuje. V infrastrukturní síti stačí udržovat pouze jedno spojení a přístupový bod může ukládat data pro stanici, která přešla do úsporného režimu.

Infrastrukturní sítě mají mnoho dalších výhod, například centrální správu. Nastavení je výrazně jednodušší. Většinou stačí pouze vybrat síť, kliknout na tlačítko připojit a přístupový bod vše nastaví sám.

V tomto díle stručně popíši hlavní fyzické komponenty. Každá wifi síť má čtyři (viz obrázek):

• distribuční systém
• přístupový bod (access point)
• bezdrátové médium
• stanice

Distribuční systém

Pokud je v síti více přístupových bodů, komunikují spolu právě přes distribuční systém. Distribuční systém je logická komponenta, která směruje data na určitou stanici. Většinou je systém řešen jako síťový most (bridge) s distribučním médiem, kterým jsou informace přenášeny. Médium je většinou ethernetový kabel.

Přístupový bod (access point, AP)

Nejdůležitější část wifi sítě. Právě AP přemosťuje spojení mezi kabelovou a bezdrátovou sítí. Access point také nabízí mnoho jiných funkcí, jako routování, směrování portů, ale hlavně také právě zabezpečení bezdrátové sítě.

Bezdrátové médium

Médium je nosič dat, takže vlastně bezdrátové médium je to samé co kabely u normálních sítí. Jak jsem již zmínil, ve wifi standartu 802.11 jsou to právě dvě frekvence: 2,4GHz a 5 GHz.

Stanice

Bezdrátové sítě se staví právě k přenášení dat mezi stanicemi. Stanicí může být jakékoli zařízení s wifi (počítač, notebook, mobilní telefon). Stanice nemusí být mobilní (přenosná). Wifi síť můžete mít i mezi stolními počítači, pokud je například nechcete nebo nemůžete spojovat ethernetovými kabely.

Obrázek jsem kreslil v malování tak se mi nesmějte

Jak jsem už zmínil důležité standardy jsou u nás pouze a,b,g,n. Ale pro přehled uvedu všechny:

IEEE 802.11 – Původní standard pro 1 a 2 Mbit/s rychlost s frekvencí 2.4 GHz (1999)
IEEE 802.11a – 54 Mbit/s, 5 GHz standard (1999, produkty od 2001)
IEEE 802.11b – Vylepšení 802.11 s podporou 5.5 a 11 Mbit/s (1999)
IEEE 802.11c – Bezdrátové přemostění (bridge); obsaženo v IEEE 802.1D standardu (2001)
IEEE 802.11d – Mezinárodní roamingový dodatek (2001)
IEEE 802.11e – Vylepšení QoS, včetně dlouhých (burst) paketů (2005)
IEEE 802.11F – Komunikace mezi bezdrátovými přístupovými body (2003) Stažen v březnu 2006.
IEEE 802.11g – 54 Mbit/s, 2.4 GHz standard (zpětně kompatibilní s 802.11b) (2003)
IEEE 802.11h – Správa spektra 802.11a (5 GHz) pro Evropu (2004)
IEEE 802.11i – Vylepšený autentifikační a šifrovací algoritmus (WPA2) (2004)
IEEE 802.11j – Dodatek pro Japonsko; nová frekvenční pásma pro multimedia (2004)
IEEE 802.11k – Vylepšení správy rádio zdrojů pro vysoké frekvence. (Navazuje na IEEE 802.11j)
IEEE 802.11l – (rezervováno a nebude použito)
IEEE 802.11m – Správa standardu: přenosové metody a drobné úpravy.
IEEE 802.11n – Vylepšení pro vyšší datovou propustnost
IEEE 802.11o – (rezervováno a nebude použito)
IEEE 802.11p – Bezdrátový přístup pro pohyblivé prostředí (auta, vlaky, sanitky)
IEEE 802.11q – (rezervováno a nebude použito, aby se nepletlo s 802.1Q)
IEEE 802.11r – Rychlé přesuny mezi přístupovými body (roaming)
IEEE 802.11s – Samoorganizující se bezdrátové sítě. (ESS Mesh Networking)
IEEE 802.11T – Předpověď bezdrátového výkonu – testovací metody
IEEE 802.11u – Spolupráce se sítěmi mimo 802 standardy (například s mobilními sítěmi)
IEEE 802.11v – Správa bezdátových sítí (konfigurace klientských zařízení během připojení)
IEEE 802.11w – Chráněné servisní rámce
IEEE 802.11x – (rezervováno a nebude použito)
IEEE 802.11y – Pro běh ve frekvenčním pásmu 3650 – 3700 MHz (veřejné pásmo v USA)

Protože wifi sítě jsou všude kolem nás, tak bychom o nich měli také něco vědět. Proto tu v několika dílech vysvětlím aspoň nějaké základy, které by měl každý uživatel wifi znát.

Wikipedie říká, že: „Wi-Fi (nebo také Wi-fi, WiFi, Wifi,wi-fi, wifi) je standard pro lokální bezdrátové sítě (Wireless LAN, WLAN) a vychází ze specifikace IEEE 802.11.“

Jak to ale vzniklo? Ke každé bezdrátové síti musí mít provozovatel patřičnou licenci pro vysílání v určité frekvenci. Této frekvenci se říká licencované pásmo. Frekvencí není nekonečné množství, proto tyto pásma jsou zpoplatněna vysokou částkou. Majitelé licencí si samozřejmě svá pásma chrání, aby v nich nikdo jiný nevysílal.

Protože rádiové vysílání mají i některé přístroje v domácnosti (například mikrovlná trouba), vzniklo bezlicenční pásmo ISM (2,4 GHz), které bylo vyhrazené pro průmyslové, vědecké a lékařské účely. Později se však o toto pásmo začali zajímat i výrobci bezdrátových sítí. Zpočátku každý měl vlastní technologie, ale časem zjistili, že mít jednotný standart je výhodnější. A tak v roce 1997 publikoval mezinárodní standardizační institut IEEE specifikaci standartu bezdrátové sítě pracující v pásmu ISM pod číslem 802.11. Tato bezdrátová síť nabízela rychlost, dnes už v uvozovkách, „neuvěřitelných“ 2 Mb/s.

V roce 1999 se tento standart rosšířil o dvě kvalitnější specifikace. 802.11b, která také pracuje v pásmu 2,4 GHz a má rychlost až 11 Mb/s, a 802.11a, která pracuje v novém bezlicenčním pásmu 5 GHz o rychlosti až 54 Mb/s.

Dnes asi nejpoužívanější revize přišla v roce 2003 pod označením 802.11g. Rychlost byla zvýšena na 54 Mb/s v pásmu 2,4 GHz.

Nejnovější standart 802.11n vznikl v roce 2008. Podporuje takzvané MIMO (Multiple-Input-Multiple-Output = mnohonásobný vstup a výstup) zařízení. To znamená, že používá více vysílačů a přijímačů aby se zlepšil signál. Standart 802.11n funguje v pásmu 2,4GHz i 5GHz a je zpětně kompatibilní s revizemi a,b,g. Přenosová rychlost může být až 600Mb/s.

Abyste měli jistotu, že své zařízení bude možno vždy propojit s ostatními, vznikla takzvaná WiFi aliance (dříve WECA). Tato aliance testuje zařízení pracujítí ve standardu 802.11 a těm co vyhovují kritériím propůjčí logo, které ujišťuje kupujícího, že jeho zařízení je schopno komunikovat s ostatními wifi zařízeními s tímto logem.

Jelikož wifi sítě s jednotným standartem mají mnoho výhod, rychle se rozšířily a zlevnily. Dnes se již někdy ani nevyplatí propojovat počítače pomocí klasických ethernetových kabelů.

A proč vůbec 802.11? Standardy vyvíjí jedenáctá pracovní skupina IEEE, která spadá pod standardizační komisi (IEEE 802).

Příště popíšu komponenty wifi sítí a krátce ještě další standardy.