• Technická podpora
• Technologie

Bezpečnost

Situace ve stavu zabezpečení bezdrátových sítí je bohužel stále ještě poměrně neutěšená. Částečně je to způsobeno nedostatečnými prostředky k zabezpečení, ale výraznou měrou se na této situaci podílí také lidský faktor, kdy většina správců nevyužije ani ty možnosti, které se nabízí již nyní (často ani nezmění defaultní heslo pro webovou administraci AP ... )

SSID

SSID (Service Set ID), kterým se označují přístupové body, představuje nejnižší stupeň bezpečnosti. SSID je identifikátor dané bezdrátové podsítě. Standardně je nastaveno vysílání tzv. "Beaconu" - což je speciální rámec, obsahující mimo jiné i SSID. Jakýkoliv klient toto vysílání může zachytit, a tím pádem ví, že je v dosahu přístupového bodu. Vysílání SSID je možné zakázat, a tím částečně znemožníme nezvaným hostům, aby se připojili do naší sítě (naše síť bude pro ně "neviditelná"). Bohužel je však možné objevit i AP, který SSID nevysílá, a to pomocí speciálního rámce (tzv. "Probe Request"), na který odpoví i "němý" přístupový bod (speciálním rámcem "Probe Response", který je hodně podobný Beaconu).

WEP

Protokol WEP (Wired Equivalent Privacy) pracuje jako volitelný doplněk k 802.11b pro řízení přístupu k síti a zabezpečení přenášených dat. Mnoho sítí stále ještě WEP nepoužívá (implicitně je vypnut). WEP používá k šifrování zpráv symetrickou šifru RC4 - princip spočívá v tom, že se odesílána zpráva na vysílači zašifruje nějakým klíčem, a přijímač ji stejným klíčem rozšifruje. Tento klíč musí být znám jak vysílající stanici, tak přijímací (ve standardu se jedná o 40-bitový klíč).

Někteří výrobci poskytují i vyšší úrovně zabezpečení ve formě 128-bitového šifrování (sdílený klíč má délku 104 bitů, inicializační vektor poté 24 bitů). I WEP je však možné poměrně snadno obejít. Za pomocí veřejně dostupného SW (např. AirSnort, WEPcrack), je možné prolomit WEP klíč pouhým sledováním a odposloucháváním provozu na síti. Např. u AirSnortu je údajně potřeba zachytit zhruba 100MB - 1GB dat, aby zjistil WEP klíč používaný danou sítí.

Hlavní problémy WEPu spočívají především ve statických klíčích (nijak neřeší automatickou distribuci nových klíčů, a tak si ho v případě změny musí každý uživatel sám ručně znovu nastavit)

Filtrování MAC adres

Některé přístupové body umožňují omezit přístup do sítě podle MAC adres. MAC adresa je jednoznačný identifikátor síťové karty (ať už "drátové", nebo bezdrátové). Někdy je tato funkce ještě rozšířena o možnost časového omezení nebo omezení šířky pásma pro danou MAC. Ani filtrování MAC adres není všespasitelné, přináší totiž několik problémů - mezi ty základní patří distribuce seznamu MAC adres a možnost falšovat MAC adresu.

WPA

Zkratka WPA označuje WiFi Protected Areas, a jedná se o jakousi předzvěst standardu 802.11i. WPA je také přijatý WiFi Aliancí, což je sdružení, které se stará o interoperabilitu jednotlivých zařízení a mezi jeho činnosti patří také udělování certifikátu "WiFi". Díky tomu, že se jedná o "uznaný standard", začínají se již prodávat zařízení s podporou WPA.

WPA používá pro šifrování komunikace protokol TKIP - Temporal Key Integrity Protocol - ten využívá stejný šifrovací algoritmus jako WEP, ale používá standardně 128-mi bitový klíč, a na rozdíl od WEPu obsahuje dynamické dočasné klíče - TKIP pracuje s automatickým klíčovým mechanismem, jenž mění dočasný klíč každých 10 000 packetů. Další výhodou TKIP je MIC - Message Integrity Check - kontrola integrity zpráv. MIC je podstatně lepší než dosud užívaný jednoduchý kontrolní součet CRC.

WPA2 (Wi-Fi Protected Access 2)

WPA2 označující se také jako IEEE 802.11i, je bráno jako zcela bezpečné, jelikož podporuje nové algoritmy a funkce zabezpečení. Přináší kvalitnější šifrování (šifra AES). Dnešní nová zařízení musí od března 2006 podporovat zabezpečení WPA2, jinak nejsou certifikována jako zařízení WiFi. WPA2 je vylepšená verze WPA, která se používalo dříve.

IEEE 802.1x WPA2

IEEE 802.1x není produktem pracovní skupiny 802.11 (která se věnuje bezdrátovým sítím), ale skupiny 802.1, která se zabývá LAN protokoly na vyšších vrstvách modelu ISO/OSI. Tím pádem je možné ho využít nejen v drátových sítích (kam byl původně určen), ale i v bezdrátových.

IEEE 802.1x zajištuje autentizaci uživatelů, integritu zpráv (šifrováním) a distribuci klíčů. Ověřování provádí přístupový bod na základě výzvy klienta pomocí externího autentizačního systému (např. Kerberos, nebo Radius).

Obecný postup autentizace podle 802.1x je následující:
1) přístupový server k síti, tj. switch nebo bezdrátový přístupový bod, vyšle klientovi na základě detekce jeho přítomnosti zprávu EAP REQUEST-ID.
2) klient odpoví zprávou, která obsahuje identifikační údaje uživatele; přístupový server zapouzdří celou zprávu EAP RESPONSE-ID do paketu RADIUS ACCESS_REQUEST a vyšle ji serveru RADIUS.
3) server RADIUS odpoví zprávou obsahujícím povolení/zákaz přístupu pro daného klienta
4) v případě povolení (SUCCESS) je příslušný port přístupu do sítě (přes nějž autentizační komunikace probíhala) otevřen pro data daného uživatele, který je na základě úspěšného výše popsaného procesu považován za autentizovaného. 802.1x používá k šifrování dat v další komunikaci pro každou autentizovanou stanici dynamické klíče. Tyto klíče jsou známy pouze dané stanici, mají omezenou životnost a využívají se k šifrování rámců na daném portu, dokud se stanice neodhlásí nebo neodpojí.
Dynamičnost klíčů 802.1x omezuje možnosti vetřelců. Už se ovšem prokázalo, že ani 802.1x není dostatečně odolný vůči útoku (již se prokázalo že lze použít typy útoků session hijacking a man-in-the-middle attack).

Ralsko Net, s.r.o.
telefon (+420) 777 916 741, info@ralskonet.cz
Kontaktní místo: Cvikovská 269, 471 25 Jablonné v Podještědí
Sídlo společnosti: Smetanova 440, 471 25 Jablonné v Podještědí
www.ralskonet.cz
 
Dokumenty ke stažení
Všeobecné obchodní podmínky
Náhled Smlouvy o poskytování telekomunikačních služeb
Rozhraní telekomunikační sítě
Ceník služeb
Specifikace služeb