Jak zabezpečit WiFi?
Ing. Rita Pužmanová, CSc., MBA, nezávislá specialistka v oblasti sítí a školitelka (Cisco), ve svém článku na Lupě vysvětluje možnosti zabezpečení bezdrátových síťí. My se Vám pokusíme zprostředkovat to nejpodstatnější z jejího článku a porovnat různé typy zabezpečení.
Pužmanová ve svém článku konstatuje, že zabezpečení WiFi sítí ve světě i v České republice doznalo značných změn k lepšímu. Uživatelů užívajících k zabezpečení bezdrátových sítí nejlepší ochranu – 802.11i/WPA2, je již 42 %.
Počet uživatelů, zabezpečujících své sítě kvalitní ochranou, roste menším tempem, ale to je, podle Pužmanové, způsobeno nasycením trhu resp. tím, že jsou tyto produkty již delší dobu dostupné. Navíc uživatelé využívají i jiné způsoby zabezpečení. Asi jedna třetina všech provozovatelů sítí používá virtuální privátní sítě VPN (na bázi IPSec, Internet Protocol Security, nebo SSL, Secure Sockets Layer).
Třetina uživatelů také implementuje systémy IPS (komplexní systémy někdy označované jako WIDP, Wireless Instrusion Detection/Prevention), které detekují neautorizované uživatele či falešné přístupové body.
WEP rychle překonaný ochránce
Specialistka a školitelka v oblasti sítí, Rita Pužmanová důrazně varuje provozovatele WiFi před používáním WEPu (Wired Equivalent Privacy), tento systém měl poskytovat stejnou úroveň zabezpečení, jako je zvykem u tradičních lokálních sítí. Bohužel se ukázalo, že tuto ochranu lze prorazit za několik minut. Nefunkčnost WEP způsobuje chyba algoritmu RC4, který v něm byl použit. Na ochraně WEP nachází, Pužmanová ještě dost nedostatků, kterými opodstatňuje své tvrzení, že spoléhat pouze na WEP je čistý hazard.
Víme, na co nespoléhat. Na co se tedy spolehnout můžeme?
802.1x
Zabezpečení přístupu k bezdrátové síti lze vylepšit mechanismem EEE 802.1x (Port Based Network Access Control) z roku 2001. Tato metoda nemá zabezpečit data, ale umožnit pomocí vzájemné autentizace kontrolu přístupu k síti. Autentizaci lze provádět prostřednictvím několika desítek metod, v rámci EAP (Extensible Authentication Protocol; RFC 3478). Protokol 802.1x je součástí i pozdějších zabezpečení WEP a WEP2.
WPA (WiFi Protected Acces) a 802.11i/ WPA 2
Existují dvě „nadstavby“ výše zmíněného zabezpečení: WPA (WiFi Protected Acces) a 802.11i/ WPA 2. První jmenovaný je přechodné zabezpečení slučitelné, jak s WEP (využívá stejný šifrovací mechanismus), tak se svým předchůdcem 802.1x a nástupcem 802.11i/WPA2.
Tyto zabezpečení využívají několik bezpečnostních opatření:
- MIC (Message-Integrity Check) – Pro kontrolu integrity zpráv
- TKIP (Temporal Key Integrity Protocol) – dynamicky se měnící klíč pro každý paket a prodlouženou délku vektoru IV na 48 bitů.
WPA2 garantuje v současné době nejvyšší možnou úroveň zabezpečení. Výhodou je vzájemná autentizace na základě 802.1x nebo na základě PSK a silné šifrování na bázi AES (protokol CCMP, Counter-mode CBC (Cipher Block Chaining) MAC (Message Authentication Code) Protocol), volitelně však také RC4 pro zpětnou slučitelnost s WPA.
Od roku 2002 musí všechny certifikované produkty WLAN toto zabezpečení podporovat. Problém ovšem nastane, pokud jeden z uživatelů sítě používá starší produkt, typicky pak WEP. Jak upozorňuje Rita Pužmanová, úroveň zabezpečení WiFi je vždy úměrná zabezpečení jejího nejslabšího uživatele.
Pokud není jiná možnost, než sdílet síť s uživatelem zabezpečeným pouze WEP, doporučuje Pužmanová umístit zařízení s WEP na separátní virtuální LAN (subnet) a povolit výhradně očekávaný provoz ze známých stanic. Dále je možné nastavit upozornění při útocích na WEP, na něž je možné rychle zareagovat prostřednictvím vypnutí napadeného AP, překlíčováním zařízení a fyzickou lokalizací útočníka.
Nastavení zabezpečení je pro mnohé uživatele příliš náročné…
Pro mnohé uživatele je nastavení zabezpečení jako je WEP2 příliš složité. Vyplývá to z výzkumu společnosti JupiterResearch. Na to reagovala WiFi Aliance zavedením volitelného programu WiFi Protected Setup (WPS). Tento program pomáhá nezkušeným uživatelům nastavit jejich zabezpečení.
Nejjednodušší varianta WPS je užití šifrovacího klíče, který je buď vygenerován, nebo předprogramovaný a součástí uživatelského balíčku (podobně jako PIN u SIM karty). Vyšší stupeň zabezpečení WPS využívá tokeny nebo bezkontaktní karty. Přiblížení karty nebo tokenu k bezdrátovému zařízení iniciuje výměnu klíčů.
Nejvyšším stupňem zabezpečení je využití USB paměti flash, jejímž prostřednictvím se manuálně přenesou potřebné informace do všech klientských zařízení v síti. Na závěr Rita Pužmanová dodává, že můžeme mít sebelepší techniku, ale pokud selže člověk, software ani hardware nás nespasí.
Celý článek „Bezpečnost WiFi záleží jen na vás“ naleznete zde.
Zdroj: Lupa.cz
Odpovědět na příspěvek