Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Tato studijní opora je spolufinancována Evropským sociálním fondem a státním rozpočtem České republiky. číslo projektu: CZ.1.07/1.1.07/02.0097 Učíme se.

Podobné prezentace


Prezentace na téma: "Tato studijní opora je spolufinancována Evropským sociálním fondem a státním rozpočtem České republiky. číslo projektu: CZ.1.07/1.1.07/02.0097 Učíme se."— Transkript prezentace:

1 Tato studijní opora je spolufinancována Evropským sociálním fondem a státním rozpočtem České republiky. číslo projektu: CZ.1.07/1.1.07/ Učíme se pomáhat a chránit

2 Bezpečnost WiFi sítí Osnova: Pojem WiFi a jeho standardy Způsoby zabezpečení WiFi sítí Postup nastavení zabezpečení WiFi sítě pod operačním systémem Microsoft Windows 7 Bezpečnost WiFi sítí

3 Pojem WiFi Wireles Fidelity  Bezdrátový přenos dat Wi-Fi  Obchodní značka Wi-Fi-Aliance  Sdružuje 300 společností, jejich produkty jsou certifikované Wi-Fi-aliancí na základě standardu IEEE , což zaručuje kompatibilitu mezi certifikovanými zařízeními pro bezdrátový přenos dat WiMax  Předpokládaný nástupce Wi-Fi založený na standardu IEEE  Neoblíben z důvodu vysoké ceny a nekompatibility s Wi-Fi produkty Bezpečnost WiFi sítí

4 Standardy WiFi IEEE ( Institute of Electrical and Electronic Engineers) IEEE  Uveden v roce 1997  Pravidla a technické parametry pro lokální bezdrátové sítě  Přenosové pásmo 2412 – 2472 MHz, 2,4 GHz (3 nepřekrývající se kanály)  Přenosová rychlost 1 a 2 Mb/s (nízká rychlost) IEEE a  Uveden v roce 1999  Přenosové pásmo 5005Mhz MHz (pásmo 5 GHz)  K dispozici 24 nepřekrývajících se kanálů  Přenosová rychlost 25 Mbit/s (teoretická 50 Mbit/s.) IEEE b (Wi-Fi)  Uveden v roce 1999  Přenosové pásmo 2412 – 2472MHz, pásmo 2,4 GHz(3 nepřekrývající se kanály č. 1, 6 a 11)  Přenosová rychlost 6 Mbit/s (teoretická 11 Mb/s)  Absence zabezpečení přenosu dat  Nezajištěna kvalita služeb (QoS) Bezpečnost WiFi sítí

5 Standardy WiFi IEEE g  Uveden v roce 2003, dnes nejpoužívanější  Přenosové pásmo 2412 – 2472 MHz, 2,4 GHz (3 nepřekrývající se kanály )  Přenosová rychlost 25 Mbit/s (teoretická 50 Mbit/s.)  Výhodou zpětná kompatibilita se zařízeními IEEE b. IEEE h  Uveden v roce 2003  Přenosové pásmo 5 GHz jako IEEE a  Podpora dynamické volby kmitočtu (DFS) a automatické regulace výkonu (TPC), potlačujících jak rušení, tak vzájemné ovlivňování s jinými systémy resp. službami  Možnost využívat sítě mimo budovy  Přenosová rychlost 25 Mbit/s (teoretická 50 Mbit/s.) Bezpečnost WiFi sítí

6 Standardy WiFi IEEE n  Uveden v roce 2009  Přenosové pásmo 2,4 nebo 5 GHz (vyšší datová propustnost)  Přenosová rychlost 300 Mbit/s (teoretická 600 Mbit/s.)  Podporuje MIMO zařízení (Multiple Input, Multiple Output – mnohonásobný vstup i výstup). Používá více vysílačů a přijímačů, aby se zlepšil signál IEEE y  Uveden v roce 2008  Přenosové pásmo 3650 – 3700 MHz, 3,7 GHz (veřejné pásmo v USA) IEEE ac  Uveden v roce 2013  Přenosové pásmo 2,4 a zároveň 5 GHz (vyšší datová propustnost)  Přenosová rychlost teoretická 1000 Mbit/s Bezpečnost WiFi sítí

7 Standardy WiFi Bezpečnost WiFi sítí Přehled standardů IEEE Standard IEEERok vydáníPásmo [GHz] Max. přenosová rychlost [Mbit/s] , a g19992, n20032, y20082,4 nebo ac20132,4 a zároveň 51000

8 Způsoby zabezpečení WiFi sítí Bezpečnost WiFi sítí Šifrování Pokrytí prostoru signálem Nevysílání SSID Filtrování MAC adresy Vypnutí DHCP Změna přihlašovacího jména a hesla konfigurace

9 Způsoby zabezpečení WiFi sítí Šifrování  Stěžejní způsob zabezpečení bezdrátových sítí (šifrování paketů proudících mezi bezdrátovými zařízeními Šifrovací protokoly (postupy)  WEP (Wired Equivalent Privacy) – rok 1999  Díky zranitelnosti šifrovacího algoritmu RC4, délce klíče a kolizím je lehce překonatelnou ochranou, jeho použití se nedoporučuje ani pro domácnosti  WEP2  Zesílení 128 bitového šifrování, ale i tak původní mezery tohoto zabezpečení zůstaly (útočníkovi jen zabere o něco více času WEP2 prolomit  Použit zpravidla na zařízeních, která hardwarově nestačila na novější šifrování WPA. Bezpečnost WiFi sítí

10 Způsoby zabezpečení WiFi sítí Šifrovací protokoly (postupy)  WPA (Wi-FI Protected Access) - rok 2002  Zásadní vylepšení však spočívá v dynamicky se měnícím klíči – TKIP (Temporal Key Integrity Protocol)  Je vylepšena také kontrola integrity (správnosti) dat, použití metody MIC (Message-Integrity Check)  Nabízí 2 možnosti zabezpečení sítě Pomocí autentizačního serveru (RADIUS), který zasílá každému uživateli jiný klíč (podnikové řešení) Pomocí PSK (Pre-Shared Key), kdy každý uživatel má stejný přístupový klíč (malé podnikové sítě nebo domácnosti)  WPA2 (IEEE i)– rok 2004  Šifruje pomocí protokolu CCMP (Counter-Mode/Cipher Block Chaining Message Authentication Code Protocol) se silným šifrováním AES (Advanced Encryption Standard)  Dynamicky mění 128 bitový klíč (MAC - Message Authentication Code)  Kontroluje integritu a ochranu proti útokům snažícím se zopakovat předchozí odposlouchanou komunikaci (replay) pomocí metody MIC Bezpečnost WiFi sítí

11 Způsoby zabezpečení WiFi sítí Pokrytí prostoru signálem  Při plánování bezdrátové sítě je dobré se zamyslet:  Kde všude budeme potřebovat signál  Použít takový typ antény, která pokryje signálem jen námi požadovaný prostor  Téměř vždy je tento požadavek nesplnitelný a zároveň s požadovaným prostorem pokryjeme signálem i prostor nežádoucí  Snažme se tento prostor aspoň minimalizovat použitím sektorové nebo směrové antény Bezpečnost WiFi sítí

12 Způsoby zabezpečení WiFi sítí Nevysílání SSID (jméno sítě)  U všech bezdrátových přístupových bodů lze v nastavení „vypnout“ vysílání SSID, tzn., kdo nezná jméno sítě, nemůže se do ní připojit.  Bez použití speciálního software je pro útočníka síť „neviditelná“ Filtrování MAC adresy  Vhodné použít tam, kde se připojují stále stejní klienti  V konfiguraci přístupového bodu lze zadat MAC adresy síťových karet, pro které chcete přístup sítě povolit.  Lze také zadaným MAC adresám přístup zakázat Vypnutí DHCP  Nastavení IP adres na serveru ručně  Doporučuje se v případě, že uživatel nechce mít síť zašifrovanou (je poměrně obtížné zjistit rozsah IP adres v síti pro korektní připojení  Vypnuté DHCP je považováno za doplněk zabezpečení Bezpečnost WiFi sítí

13 Způsoby zabezpečení WiFi sítí Změna přihlašovacího jména a hesla konfigurace  Při realizaci přístupu do konfigurace bezdrátového zařízení se doporučuje ihned po přihlášení změnit přihlašovací jméno a heslo do konfigurace  Pokud se útočník již nějakým způsobem dostane do sítě, není pro něj problém přihlásit se do standardní konfigurace bezdrátového zařízení a získat nad vaší sítí plnou kontrolu.  Útočník zpravidla pozná dle přihlašovacího layoutu (výstupu) typ zařízení a zná i výrobcem dané přihlašovací údaje Bezpečnost WiFi sítí

14 Nastavení zabezpečení WiFi sítě pod Windows 7 Většina lidí má nedostatečné zabezpečení Wifi, a poskytuje tak přístup k internetu (a případně i ke svým datům) zcela zdarma i sousedům. Nastavení směrovače (Router)  Skrytí SSID SSID se dá snadno odhalit, ale přesto to může někoho odradit Na routeru nastavte volbu "Hide SSID?" na "Yes". Pokud máte schované SSID, musíte si ve Windows 7 zvolit možnost "Připojit i pokud síť nevysílá" pro automatické vytvoření spojení Bezpečnost WiFi sítí

15 Nastavení zabezpečení WiFi sítě pod Windows 7  Specifikace MAC adres pro přístup k síti Každá síťová karta (LAN, Wifi, Bluetooth) má svoje unikátní výrobní číslo, nazývající se MAC (Media Access Control) adresa. Ve Windows se podívejte na Wifi připojení po kliknutí na „Podrobnosti“ se zobrazí MAC adresa (Fyzická adresa) připojené (vaší) síťové karty, v našem případě Následně tuto MAC adresu (a adresy dalších počítačů) vložte v daném routeru do sekce "Access Control" a nastavte "MAC Access Mode" na "Access" (což povolí přístup jen specifikovaným MAC adresám). Bezpečnost WiFi sítí

16 Nastavení zabezpečení WiFi sítě pod Windows 7  Nastavení kanálu (chanel) Pokud daný router disponuje funkcí "AP Scan", lze zjistit, jaké jsou sítě v okolí. Je nutné mít rozdílné SSID od sousedů, a je více než vhodné nemít stejný kanál, ba ani kanál v rozsahu +1 či -1 od Wifi kanálu souseda Číslo kanálu může nabývat hodnot 1 až 13, a pokud jeden soused jede na "2" a druhý na "13", nastavte ten váš třeba na "10" či "8".  Nastavení zabezpečení / šifrování Tvoří nejdůležitější nastavení zabezpečení komunikace, ostatní výše uvedené metody jsou pouze doplňující, i MAC adresa se dá snadno zfalšovat a zjistit z vaší předchozí komunikace s AP. Řešení "Open system" či "Shared key" a odpovídající "zabezpečení" komunikace pomocí WEP-64či WEP-128 je snadno prolomitelné, i když jsou stále lepší než zcela otevřená síť. Pokud máte starou Wifi kartu, která podporuje pouze WEP, zapněte alespoň tento, a zvolte si silné heslo. Optimální pro domácí zabezpečení je WPA-PSK a silnější WPA2-PSK (tedy WPA zabezpečení s Pre-Shared Key), a šifrování alespoň pomocí TKIP (Temporal Key Integrity Protocol) či nejlépe AES (Advanced Encryption Standard). Bezpečnost WiFi sítí

17 Nastavení zabezpečení WiFi sítě pod Windows 7  Nastavení zabezpečení / šifrování Pokud váš router i karta podporuje WPA2-PSK, zvolte si je, jinak použijte WPA- PSK, a jako šifrování AES, pokud AES nějaké zařízení neumí, tak TKIP. Opět si nechte vygenerovat silné heslo (např. 30+ znaků), a poznamenejte si je na vašem PC např. do aplikace KeePass. Uvedené heslo si nemusíte pak pamatovat. Ve Windows si následně zvolte parametry: Bezpečnost WiFi sítí

18 Nastavení zabezpečení WiFi sítě pod Windows 7  Ostatní nastavení směrovače (routeru) Zapněte volbu: firewall (SPI - Stateful Packet Inspection) DoS protection Na routeru zapněte: Vypněte volbu: "Web Access from WAN„ Sambu a FTP (pokud ji nepoužíváte) Změňťe jméno a heslo administrátora na router (klasické admin/admin znamená, že router za pár hodin či minut nemusíte kontrolovat) Přestože máte firewall na routeru, ponechte si samozřejmě zapnutý firewall i na PC strojích (postačí kontrola příchozích připojení) Občas je vhodné podívat se na vašem routeru na otevřená Wifi připojení, změnit heslo administrátora, a samozřejmě Pre-Shared Key pro WPA(2). Nemusíte to dělat každý den, ale doporučuje se změna jednou za dva týdny. Pro zabezpečení domácí sítě postačuje skrytí SSID, filtr na MAC adresu (ACCEPT), správné zvolení channel, a šifrování WPA2-PSK/AES. Bezpečnost WiFi sítí


Stáhnout ppt "Tato studijní opora je spolufinancována Evropským sociálním fondem a státním rozpočtem České republiky. číslo projektu: CZ.1.07/1.1.07/02.0097 Učíme se."

Podobné prezentace


Reklamy Google