Szyfrowanie WEP. Szyfrowanie WPA

Transkrypt

1 Jeżeli planujemy korzystać z sieci bezprzewodowej, musimy ją tak skonfigurować, aby tylko wybrane osoby miały do niej dostęp. W innym wypadku staniemy się ofiarami bardzo powszechnych włamań, ktoś niepożądany może podkraść nasze hasła, czytać nasze e, podkradać pieniądze z naszego internetowego konta w banku. Jeżeli nie zabezpieczymy dobrze swojej sieci może także dojść do sytuacji, gdy sąsiedzi będą korzystać z naszego łącza internetowego, przez co będzie działać wolniej. Poniżej przedstawiono kilka opcji zabezpieczeń sieci bezprzewodowej. Szyfrowanie WEP WEP jest nadal dostępną metodą zabezpieczeń sieci w celu obsługi starszych urządzeń, jednak nie jest zalecana. Na początku trzeba wygenerować cztery różne klucze szyfrowania. W przypadku standardowego szyfrowania 64-bitowego, które może być zastosowane na wszystkich urządzeniach Wi-Fi, każdy z kluczy to dziesięciocyfrowa liczba szesnastkowa. W większości nowych AP znajduje się program, który umożliwia generowanie tych czterech kluczy na podstawie wprowadzonej frazy będącej pewną sekwencją liter lub wyrazów, takich jak na przykład: Ala ma kota" lub sierotka ma rysia". Dla danej karty sieciowej oraz punktu dostępu ta sama fraza zawsze spowoduje wygenerowanie tych samych czterech kluczy szyfrowania( oczywiście można też generować samemu klucz szyfrowania w postaci znaków zapisanych w kodzie szesnastkowym ). Można spotkać także urządzenia, które generują z frazy tylko jeden klucz. Następnie użytkownik musi dystrybuować te cztery klucze (lub jeden klucz, jeśli w danej instalacji sieciowej potrzebny jest tylko jeden klucz) do wszystkich bezprzewodowych kart sieciowych, które będą się łączyć z punktem dostępu. Proces ten, czyli dystrybucja kluczy jest krytyczną operacją dotyczącą bezpieczeństwa sieci Wi-Fi. Gdy wszystkie punkty dostępu oraz wszystkie bezprzewodowe karty sieciowe znajdujące się w sieci mają już wprowadzone wszystkie cztery klucze, to można włączyć mechanizm szyfrowania WEP. Od tej chwili cały ruch sieciowy między punktem dostępu a bezprzewodowymi kartami sieciowymi będzie szyfrowany. Po uruchomieniu szyfrowania WEP nie trzeba już wykonywać żadnych innych operacji związanych z tym mechanizmem, aż do chwili podjęcia decyzji o zmianie kluczy. Najlepiej zmieniać klucze jak najczęściej, ponieważ jak przedstawimy niżej, szyfrowanie WEP jest bardzo słabym zabezpieczeniem, a częsta zmiana kluczy może trochę to bezpieczeństwo podnieść. Szyfrowanie WPA 1 / 5

2 WPA zostało wprowadzone jako następca szyfrowania WEP, bezpieczniejsze i pozbawione wad poprzednika. Jedynym minusem tego zabezpieczenia jest dosyć spore obciążanie sieci. WPA dzieli się na dwa rodzaje: Personal - opiera się na kluczu PSK (Pre-Shared Key) długości od 8 do 63 znaków oraz Enterprise - korzystający z serwera RADIUS. Niestety szyfrowanie WPA nie jest dostępne w każdym AP, jeśli jednak twój Punkt Dostępowy oraz karty klienckie je obsługują i dla bezpieczeństwa sieci zrobisz wszystko - użyj właśnie WPA. Należy wspomnieć też o WPA2, które poza inną metodą szyfrowania (AES-CCMP) nie różni się niczym w porównaniu do WPA (RC4/TKIP). Nie zaleca sie używania protokołu WEP. Bezpieczniejszy jest protokół WPA2. Jeśli protokoły WPA i WPA2 nie działają, zaleca się uaktualnienie karty sieciowej do karty obsługującej jeden z tych protokołów. RADIUS (Remote Authentication Dial-In User Service) RADIUS jest protokołem, umożliwiającym autentykację, autoryzację oraz rozliczanie (AAA - Authencication, Authorization, Accounting). Schemat działania jest bardzo prosty: klient chcący uzyskać dostęp, np. do Internetu wysyła do urządzenia NAS (Network Access Server, którego rolę w sieciach bezprzewodowych pełni Access Point) swój adres MAC. Jest on przesyłany do serwera RADIUS, na którym zapisane są informacje o wszystkich autoryzowanych użytkownikach (login, hasło, adres MAC). Jeżeli dany adres MAC znajdował się na serwerze, zostaje wysłana prośba o podanie loginu i hasła. Gdy weryfikacja przebiegnie poprawnie klient uzyska dostęp do sieci. Mimo, że login oraz hasło, których używamy przy logowaniu się do serwera RADIUS są szyfrowane (MD5), należałoby zabezpieczyć także całe nasze połączenie (WEP/WPA). Minusem RADIUS-a jest konieczność postawienia dodatkowego serwera, na którym mógłby on działać oraz to, że nie każdy AP potrafi z nim współpracować. VPN (Virtual Private Network) Dzięki VPN, za pośrednictwem publicznej sieci (Internetu), możemy utworzyć bezpieczny tunel pomiędzy dwoma klientami/sieciami prywatnymi/klientem a siecią prywatną. W celu autentykacji stosuje się zazwyczaj kombinację login oraz hasło/certyfikaty/klucze prywatne. Jednym ze sposobów podniesienia bezpieczeństwa sieci VPN jest zastosowanie zbioru protokołów kryptograficznych znanych jako IPsec. Gwarantuje on, że dane które przesyłamy przez Internet pozostają w niezmienionej formie oraz są praktycznie nie do odczytania dla nikogo poza adresatem/odbiorcą (użycie szyfrowania). Na chwilę obecną jest to najbezpieczniejszy i najskuteczniejszy sposób zabezpieczania sieci bezprzewodowych. Zmiana SSID SSID (ang. Service Set IDentifier) - jest to nazwa naszej sieci jaką widzą wszyscy użytkownicy w jej zasięgu. Domyślne SSID jest to zazwyczaj nazwa urządzenia (np. d-link lub linksys ) lub nazwa proponowana przez operatora dostarczającego sprzęt. My jako użytkownicy sieci mozemy zmienić nazwę sieci na dowolną - maksymalnie 32 znaki, nie należy jednak w nazwie 2 / 5

3 sugerować kto jest właścicielem sieci. Umieszczenie w nazwie naszego nazwiska lub innych danych osobowych też nie jest dobrym pomysłem. Jak działa pozyskanie SSID Za każdym razem gdy do sieci bezprzewodowej "dołącza" się nowy klient (taki, który ma prawo do niego się dołączyć) - SSID między jego komputerem a access pointem (AP) przesyłany jest zwykłym nieszyfrowanym tekstem. Oznacza to, że wystarczy program nasłuchujący oraz odrobina cierpliwości aby poznać nazwę nawet ukrytego SSID.Gdy sieć ma niewielu użytkowników musimy uzbroić sie w cierpliwość i czekać az ktoś będzie próbował sie do niej dołączyć. Możemy jednak rozłączyć użytkownika na kilka sekund udając AP( więc jeżeli podczas pracy przy komputerze zaobserwujesz nagłe rozłączenie sie powiadom o tym administratora) Nasuwa się pytanie czy warto ukryć nazwę SSID? Zazwyczaj jest to większa niewygoda dla użytkowników sieci, niż zwiększenie jej bezpieczeństwa. Możemy mieć przez to problem na przykład z połączeniem się z własną siecią. Z drugiej strony jest to jakieś wstępne, małe zabezpieczenie, ale jak wiadomo podstawą to zabezpieczenie w postaci WPA i innych, ukrywanie SSID może być tylko małym dodatkiem. Zmiana hasła punktu dostępowego Jedną z najważniejszych czynności jakie powinniśmy wykonać zabezpieczając naszą sieć WiFi to zmiana domyślnego loginu i hasła punktu dostępowego(standardowo login i hasło to słowo "admin" ). Jeśli tego nie zrobimy to nic po naszych zabezpieczeniach w postaci WPA czy ukryciu nazwy SSID. Każdy będzie mógł zalogować sie na naszym routerze i przejąć nad nim kontrolę. Filtracja adresów MAC Filtracja adresów MAC polega na tym, że tworzymy listę adresów kart sieciowych, które AP wpuści do sieci. Wszystkie inne karty sieciowe są automatycznie przez AP odrzucane. Samo filtrowanie adresów bez połączenia z szyfrowanie protokołów jest bezużyteczne gdyż nowe routery lub karty sieciowe posiadają opcje zmiany adresu MAC. Dzięki takiemu routerowi każdy użytkownik może nadać spobie dowolny adres, przez co może się podszyć pod osobę, która posiada uprawnienia do danej sieci. 3 / 5

4 Dobór mocy nadawczej Należy ograniczyć moc nadawania punktu dostępowego do możliwego minimum. Wiąże sie to z poprawą bezpieczeństwa ale też i z funkcjonowaniem sieci. Jak wiemy kanały w standardzie 2.4 GHz nakładają sie na siebie (są tylko 3 niezależne kanały). Jeżeli potrzebny zasięg to np. okrąg o promieniu 20 metrów (mieszkanie) to bezsensownym rozwiązaniem jest montowanie sprzętu, które ma zasięg 100m - istnieje wtedy szansa, że: - zakłócimy innemu użytkownikowi działanie jego sieci. - jesteśmy bardziej podatni na ataki. - działanie sieci jest zależne od warunków pogodowyc. Dobór hasła Każde hasło powinno być dobrane tak aby było jak najbardziej skomplikowane. Musimy pamiętać o tym, że osoba włamująca się do naszej sieci może nas znać. Tu nasuwa się pierwsza zasada nadawania haseł: powinniśmy nie uzywac w tym celu naszego nazwiska, imienia, daty urodzin, numeru rejestracyjnego samochodu i innych podobnych słów związanych z naszą osobą. Aby ustrzec się włamania do naszej sieci powinniśmy używać długich haseł, zawierających więcej niż 8 znaków, używać specjalnych znaków w postaci &, *, $, stosować wielkie i małe litery na przemian, oraz cyfry.aby sprawdzić czy nasze hasło jest silne możemy skorzystać z testera haseł Tester oceni nam w skali punktowej moc naszego hasła. Dobranie haseł w ten sposób nie uchroni nas przez ich złamaniem, lecz bardzo utrudni dostep do naszej sieci. Programy do łamania sieci W sieci istnieje wiele poradników jak zlamać zabezpieczenia sieci WEP. Za najlepszy program do tego typu zadań uznawany jest kismet oraz airodump-ng. Powstała też specjalna dystrybucja LINUXA przeznaczona głównie do łamania zabezpieczeń zawierająca w sobie potrzebne programy. Krótko mówiąc łamanie sieci polega na przechwytywaniu paczek danych wysyłanych z punktu dostępowego do użytkownika. Następnie (w przypadku WEP) rozkodowanie paczek poprzez znany algorytm szyfrowania. Gdy sieć zabezpieczona jest protokołem WPA pozostaje tylko atak słownikowy. Najpopularniejszym programem wykorzystującym metodę słownikowa jest John the Ripper który obsługuje wiele algorytmów kryptograficznych np MD5,DES,RSA. // 4 / 5

5 Patrycja Fiedukiewicz Wyrażona powyżej opinia jest prywatnym poglądem autora wypowiedzi. 5 / 5