Bezdrátová technologie Wi-Fi zbavená roušky tajemství | Kapitola 5

Jak by se dalo očekávat, tak bezpečnost Wi-Fi sítí není ani zdaleka tak vysoká jako u normální metalické sítě. Určitě vás někdy napadlo, že když signál putuje vzduchem, tak zda jej někdo nedokáže odchytit. Nebo třeba také využít vaše AP pro neoprávněný přístup k internetu nebo u firem k odcizení diskrétních dat. Z těchto důvodů se už od počátku začaly do Wi-Fi zařízení zabudovávat různé obranné mechanismy, jejichž kvalita byla a je na různé úrovni.

SSID: (Service Set ID) - Označuje se jím název Access Pointu. Pokud jej tedy pojmenujeme například Ap_PcTuning.NET, tak právě pod tímto názvem jej uvidí všichni klienti, jež budou scanovat dostupné sítě. SSID je tedy logický identifikátor dané bezdrátové podsítě. Může být manuálně nakonfigurován na stanici, nebo dokáže informaci o něm přístupový bod pravidelně vysílat, či může být vysílání SSID vypnuto a klient se na něj sám dotáže (probe).

WEP: Už od protokolu 802.11b byl volitelně integrován do všech Wi-Fi zařízení. Poskytuje alespoň minimální úroveň zabezpečení, avšak je velice překvapivé, že i v dnešní době se najde opravdu hodně sítí, které nejsou zabezpečeny ani tímto základním faktorem. Pracuje na symetrickém principu, kdy se pro šifrování i dešifrování používá stejný klíč o různé délce - minimálně však 40-bitů. WEP však neověřuje uživatele samotného, ale pouze fyzickou adresu (MAC) jeho síťové karty.

Později byl tento klíč obohacen o 24-bitový, pravidelně se měnící vektor. Tím je pak zaručeno, že šifra se sama obměňuje s každým paketem zaslaným do sítě. Celkově je tedy na úrovni 64-bitů. V dnešní době se však již používá zabezpečení na úrovni 128-bitů, kdy samotný klíč má hodnotu 104-bitů a měnící se vektor pak 24. 

Bohužel však WEP není příliš kvalitní způsob ochrany, ale jako prvotní bod posloužit může. Tento klíč je možno prolomit a to buď krádeží HW a nebo pomocí odposlechu například notebookem vybaveným příslušným softwarem.

Avšak vždy se doporučuje zapnout WEP šifrování a to na nejvyšší možnou úroveň. Získáte tím alespoň nějaký malý stupeň zabezpečení a alespoň pár lidem zabráníte v přístupu.

802.1x: Velmi brzo si výrobci a i samotní uživatelé začali uvědomovat veliké nedostatky, které jim protokol WEP přinášel. Začalo se tedy pracovat na nové normě, jež měla umožnit lepší úroveň přihlašování uživatelů na základě šifrování a distribuci klíčů. Vznikl tedy protokol EAP (Extensible Authentication Protocol), jež blokuje přístup k síti neoprávněným uživatelům. Samotné ověřování pak provádí systém RADIUS, jenž identifikuje uživatele podle seznamu povolených klientů a těm také povolí přístup k samotné síti.

Podstatnou výhodou je také dynamičnost šifrovacích klíčů TKIP (Temporal Key Integrity Protocol), jež jsou známy vždy jen stanici, ke které se uživatel připojuje a po odhlášení se mažou. Avšak ani toto opatření nezabránilo v průniku. I při této metodě ochrany existují způsoby průlomu hesla.

802.11i: Pro získáni co největší možné hodnoty obrany byla časem zavedena nová robustnější norma. Nejjednodušším přechodem bylo navržení WPA protokolu, jenž nepotřeboval žádné HW úpravy stávajících Wi-Fi zařízení, ale stačilo pouze změnit software či firmware. Ten odstranil zásadní nedostatky protokolu WEP a umožnil autentizaci na základě 802.1x (čili využití EAP a TKIP). Později však byl proveden upgrade i HW vybavení a tudíž přišly protokoly CCMP - tato zkratka označuje spojení dalších protokolů Counter Cipher block chaining Message authentication code Protocol - jež zaručuje silnější šifrování díky využití AES (Advanced Encryption Standart) právě v režimu CCM (tento režim kombinuje režim CTR Counter Mode pro utajení a CBC-MAC pro ověření autentizace a integrity).

Právě pro tyto vysoké možnosti zabezpečení si získala norma 802.11i označení RSN (Robust Security Network) a dokáže zcela nahradit vlastnosti a schopnosti WEP klíčů.

MAC fiter: V 802.11i byla zavedena tato funkce, jež nám umožňuje povolit přístup pouze vybraným uživatelům na základě vypsání fyzické adresy jejich Wi-Fi zařízení. Ta je pro každé zařízení zcela jedinečná a tudíž umožní přesně vymezit okruh povolených uživatelů. Avšak i tato ochrana se dá prolomit a po získání adresy nějakého povoleného uživatele v síti se dá pomocí programů změnit již zadanou MAC adresu vaší Wi-Fi karty. Tato funkce není žádnou novinkou, avšak je to základní prvek ochrany a tudíž ji zde popisuji zvlášť.

VPN: Nejvyšší způsob zabezpečení přenášených dat je na základě VPN (Virtual Private Network). Je to spojení mezi dvěma body. Toto spojení je pak šifrováno pomocí vysoce spolehlivých algoritmů (například PPTP, CHAP...). Používá se především pro spojení dvou vzdálených sítí a nebo pro připojení uživatele k vzdálené sítí (například zaměstnanec z domova se napojuje k firemní síti). V obou případech se pak ale sítě chovají jako by byly fyzicky spojeny (zaměstnanec se stává součástí firemní sítě).

Základních deset bodů pro bezpečnost:

1. V Access Pointu zaveďte tabulku povolených MAC adres
2. Zapněte WEP na 128bitový klíč
3. Pravidelně klíče WEP měňte
4. Nepovolujte DHCP a adresy přidělujte ručně
5. Pokud je to možné, nastavte také tabulku povolených IP adres
6. Zakažte SSID Broadcast
7. Znemožněte fyzický přístup uživatelů k AP
8. Pravidelně kontroluje síť i logy z AP
9. Omezte výkon tak, aby síť zbytečně nepřesahovala půdu vaší firmy
10. Pokud chcete opravdu zajistit bezpečnost, používejte VPN

Bohužel jak už tomu u počítačových sítí bývá, tak nikdy nelze dosáhnout 100% ochrany. Vždy se dá nalézt způsob, jak ochranu prolomit a získat to, co je potřeba. Avšak čím větší ochranu máte, tím se snižuje počet potencionálních útoků a průlomů.