Bezpecnost bezdrátových sítí Bc. Jan Petlach, 5. ročník

2 Úvodem Ze stále narůstajícím počtem bezdrátových sítí a s tím souvisejícím množstvím dat, které jsou přes dané bezdrátové sítě přeneseny je důležité, aby každá z těchto sítí byla dobře zabezpečena. I když to může mnoho z nás považovat za standard a povinnost provozovatelů těchto sítí, realita je úplně jiná. Nejen v Praze probíhají testy, jak jsou zabezpečeny sítě a není to nikterak slavné, zabezpečených je jen asi 40 procent. Používají se metody wardrivingu V Blansku není zabezpečení o nic lepší. Zdejší 2 poskytovatelé používají WEP a není vůbec obtížné se k nim dopracovat.

3 Jaké máme možnosti?

4 Pravidla pro bezpečnou síť Vymezit prostor a omezit únik signálu Vhodně umístit antény Nevysílat identifikátor sítě Filtrovat MAC adresy Filtrovat protokoly Provádět autentizaci Provádět šifrování Filtrovat IP adresy Implementovat firewall Uplatnit RADIUS server Žádná z těchto metod ovšem není zázračná, proto je nutné dbát na lepší zabezpečení bezdrátových sítí.

5 WEP klíče Šifrování probíhá na transportní vrstvě – šifrují se tedy veškeré rámce, které vedou od klienta k AP a ne pouze určité služby K šifrování se používá algoritmus RC4, který používá proudovou šifru. Právě to je největší problém, jelikož již v roce 2001 v tomto algoritmu byly objeveny bezpečnostní nedostatky. Zašifrování stejné zprávy symetrickou šifrou pokaždé generuje stejnou šifrovanou zprávu. Proto je součástí WEP ještě inicializační vektor IV, který se mění s každým paketem a doplňuje klíč o 24 bitů. Generování IV zajišťuje vysílací strana, která nejenže s jeho pomocí sestaví šifrovaný stream, ale také ho přidá do záhlaví rámce. Unikátních IV je jen 2 24 a po jejich vyčerpání se IV začínají opakovat – na klíč stačí tedy 16 miliónu paketů

6 WPA Je zpětně slučitelné s WEP a předně slučitelné s WPA2 WPA používá stejný šifrovací algoritmus RC4 jako WEP, kvůli jednoduchému upgradu firmwaru stávajících zařízení, ale určitě s sebou přináší řadu vylepšení. Standardně používá 128 bitový dynamický klíč Předností WPA jsou dynamické klíče, které jsou výhodné pro podnikové sítě

7 IEEE802.1x – PPP, EAP Skládá se ze tří částí – PPP, EAP a 802.1x samotného PPP je velmi úspěšný protokol. Jeho použití začalo v komutovaných metodách vzdáleného přístupu a dnes jej najdeme na mnoha místech Internetu. PPP mnoho komponent, avšak pro bezpečnou wifi je důležitá pouze část ověřování. Před tím než dojde k čemukoliv síťové vrstvě, zajistí PPP ověření uživatele na vrstvě linkové. Obecně je požadováno jméno a heslo PPP je užito pro identifikaci uživatele předtím než je mu přístup umožněn – dle výsledku buď dostane nebo nedostane IP adresu EAP byl původně určen pouze pro protokol PPP. Zajišťuje pro něj rámec (transportní mechanismus) pro všechny druhy ověřovacích metod, nicméně není jeho nedílnou součástí. EAP definované do této specifikace je pouze jen rozšíření EAP do sítě typu 802

8 IEEE802.1x – komponenty IEEE 802.1x používá 3 komponenty, které mají své pojmenování: –supplicant - uživatel nebo klient, který chce být ověřen –authentication server - ověřovací server –authenticator - zařízení mezi klientem a ověřovacím serverem

9 IEEE802.1x – průběh ověřování

10 WPA2 Schváleno v červnu roku 2004 Některé součásti WPA2 používá dočasné řešení pro zabezpečení WPA. To je pouze podmnožina bezpečnostních mechanizmů navržených pro i, které nevyžadovaly víc než softwarový upgrade pro zařízení. Nové bezpečnostní mechanizmy v rámci WPA musely odstranit zásadní nedostatky protokolu WEP, tedy prakticky nulovou autentizaci a velmi slabé šifrování statickým klíčem Autentizace se zlepšila prostřednictvím použití přístupu podle 802.1x, EAP, nebo alternativně přednastaveného sdíleného klíče PSK Pro šifrování se místo WEP použil nový protokol pro šifrování dynamickým klíčem, TKIP (Temporal Key Integrity Protocol), a zavedl se také management klíčů K šifrování se používá také metoda AES

11 WPA2 - pokračování AES je považován za dostatečný šifrovací mechanizmus i pro vládní účely, na rozdíl od slabého mechanizmu RC4, který se používal v protokolech WEP i TKIP. V i se mění šifrovací klíče automaticky i podobně jako WPA nabízí dvojí režim pro autentizaci, PSK a 802.1x, a autentizace probíhá oboustranně. Použití AES pro šifrování si však může vyžádat úpravy i v hardwaru kvůli náročnosti šifrování U každé WLAN je nutné ověřit, zda a případně jak bude možné takový provést její upgrade, aby WPA2 podporovala. Typicky přístupové body a koncová přenosná zařízení budou vyžadovat nový hardware či nový firmware. Některé novější produkty již mohou mít zabudovanou podporu pro šifrování podle AES, přesto však budou potřebovat upgrade softwaru nebo firmwaru pro plnou podporu i i zcela nahrazuje WEP. To ovšem není zadarmo: vyžaduje od bezdrátových zařízení takové schopnosti, které většina z nich dnes ještě nemá, zejména s ohledem na procesní možnosti pro silné šifrování.

12 Přehled kvality jednotlivých zabezpečení

13 Závěr Ne vždy je nutné pro kvalitní zabezpečení použít WPA2. Pro domácí sítě, malé kanceláře a malé podniky postačí stávající WPA, protože pro ně WPA2 neznamená výrazný posun, respektive nutnost Žádné bezpečnostní řešení v síti nemůže být stoprocentní. Ani nová norma i nezaručuje, že odolá všem budoucím útokům. WPA2 ale bude dostatečně dobře připraveno pro nutné bezpečnostní situace, s nimiž se zejména podnikové sítě potýkají. Nicméně technické možnosti zařízení nestačí, vždy bude na koncovém uživateli, aby se seznámil s bezpečnostními mechanizmy, porovnal je se svými potřebami a nakonfiguroval příslušnou podporu pro zvolené bezpečnostní řešení. Bezpečnost WLAN nebude ani s novou normou řešitelná pouhým důvěřivým přístupem plug’n’play