Bezpieczeństwo sieci Wi-Fi []

BEZPIECZESTWO SIECI BEZPRZEWODOWYCH WI-FIE-ksika pobrana z portalu www.elibre.pl

Data napisania: 2007

www.elibre.pl portal o e-publikacjach i technoologii e-papieru

Spis Treci

WSTP ............................................................................................................................ 3 Rozdzia I: Oglne informacje o sieciach bezprzewodowych ..................................... 6 1.1 Historia powstania .................................................................................................. 6 1.2 Najwaniejsze standardy 802.11............................................................................. 7 1.3 Zasada dziaania ...................................................................................................... 9 1.4 Zalety sieci Wi-Fi ................................................................................................. 11 Rozdzia II: Wardriving badanie zabezpiecze sieci Wi-Fi ................................... 14 Rozdzia III: Zagroenia wynikajce z korzystania z sieci Wi-Fi ............................ 18 3.1 Ataki i wamania do sieci...................................................................................... 19 3.1.1 Podsuch ......................................................................................................... 19 3.1.2 Podszywanie si pod adres IP ........................................................................ 20 3.2 Niewiadomo administratorw o zagroeniach................................................. 21 3.3 Zagroenia fizyczne .............................................................................................. 22 Rozdzia IV: Bezpieczestwo sieci bezprzewodowych .............................................. 24 4.1 Ukrycie SSID ........................................................................................................ 25 4.2 Filtracja MAC ....................................................................................................... 25 4.3 WEP ...................................................................................................................... 26 4.3.1 Zasada dziaania ............................................................................................. 26 4.3.2 Wady protokou WEP .................................................................................... 28 4.3.3 Firmowe rozszerzenia protokou ................................................................... 30 4.3.4. Dlaczego stosuje si WEP ............................................................................ 31 4.4. WPA..................................................................................................................... 31 4.4.1 Zasada dziaania mechanizmu WPA ............................................................. 32 4.4.2. Wady i problemy protokou .......................................................................... 34 4.5. WPA2 (802.11i) ................................................................................................... 35 4.6. Uwierzytelnianie i szyfrowanie (w sieciach bezprzewodowych) ........................ 38 4.6.1. Standard IEEE 802.1x................................................................................... 38 4.6.2. EAP ............................................................................................................... 39 4.6.3. PPPoE (Point-to-Point Protocol over Ethernet) ............................................ 40 4.6.4. VPN (Virtual Private Network) .................................................................... 40 4.7. WPS (Wi-Fi Protected Setup) .............................................................................. 41 4.8. Dekalog administratora sieci ............................................................................... 43 4.9. Fizyczne zabezpieczenia sieci ............................................................................. 44 4.9.1 Zabezpieczenia przed kradzie .................................................................... 44 4.9.2 Zabezpieczenia przed dziaaniem czynnikw atmosferycznych. .................. 45 Rozdzia V. Utworzenie dobrze zabezpieczonej sieci Wi-Fi w praktyce. ................ 47 5.1 Sie niezabezpieczona .......................................................................................... 48 5.2 Wyczenie rozgaszania nazwy SSID sieci ......................................................... 50 www.elibre.pl portal o e-publikacjach i technoologii e-papieru

5.3 Filtracja MAC ....................................................................................................... 51 5.4 Szyfrowanie WEP ................................................................................................. 53 5.5 Szyfrowanie WPA ................................................................................................ 54 5.6 802.11i najlepsze zabezpieczenie ..................................................................... 55 Rozdzia VI: Inne sieci bezprzewodowe ..................................................................... 56 6.1. Podczerwie (IrDA) ............................................................................................. 56 6.2. Bluetooth .............................................................................................................. 56 6.3. Wimax .................................................................................................................. 57 6.4. VectraStar ............................................................................................................ 58 6.5. LMDS i MMDS ................................................................................................... 59 6.7. FSO ...................................................................................................................... 59 6.8. Porwnanie technologii bezprzewodowych ........................................................ 60 Wnioski .......................................................................................................................... 61 Bibliografia .................................................................................................................... 62 Wykaz rysunkw .......................................................................................................... 63


WSTP

Celem mojej pracy jest przedstawienie zagroe, z jakimi mona si spotka korzystajc z sieci bezprzewodowych oraz pokazanie w jaki sposb si przed nimi zabezpieczy. Zagroenia te zwizane s najczciej z prb nieautoryzowanego dostpu do sieci lub przechwytywaniem przesyanych danych. Sieci standardu 802.11, nazywane popularnie Wi-Fi, s obecnie jedn z najprniej rozwijajcych si technologii IT. Dziesi lat temu mao kto sysza o bezprzewodowym Internecie, a dzisiaj sprzeda urzdze obsugujcych sieci standardu 802.11 siga milionw sztuk i obroty firm produkujcych sprzt sieciowy liczone s w miliardach dolarw. Nie ma chyba miasta, w ktrym nie byaby zainstalowana chociaby jedna sie Wi-Fi. Dziki sieci bezprzewodowej Internet zaczyna pojawia si coraz czciej w maych miasteczkach i wsiach, gdzie poczenie z globaln sieci byo wczeniej zbyt kosztowne ze wzgldu na problemy z doprowadzeniem kabli. Mona powiedzie, e sieci Wi-Fi powstaj jak grzyby po deszczu i w wikszych miastach liczba zainstalowanych sieci bezprzewodowych moe dochodzi nawet do tysica. W pierwszym rozdziale chciabym przedstawi podstawy dziaania sieci standardu 802.11 oraz pokaza, dlaczego stay si one tak popularne. Mimo tak wielkiej iloci sieci bezprzewodowych w miastach, nie s one zabezpieczone w odpowiedni sposb. Wedug danych zawartych w ksice Wi-Foo Sekrety bezprzewodowych sieci komputerowych w 2002 roku spord znalezionych 580 punktw dostpowych tylko 30% byo zabezpieczone mechanizmem WEP, 19% uywao domylnego identyfikatora SSID a lekko ponad 18% sieci nie posiadao adnego zabezpieczenia i posugiwao si domylnym SSID. Badania te byy przeprowadzone w Stanach Zjednoczonych 5 lat temu, jednak od tego czasu niewiele si zmienio. Chcc sprawdzi jak to wyglda dzisiaj, zdecydowaem si na przeprowadzenie podobnych bada w mojej miejscowoci. Wyniki tych bada przedstawione w rozdziale Wardriving wyszukiwanie sieci pokazuj jak szybko rozwija si technologia Wi-Fi oraz jak mao ludzi zwraca uwag na bezpieczestwo sieci bezprzewodowych. Wielu wacicieli punktw dostpowych, z ktrych korzysta maa ilo uytkownikw twierdzi, e nie ma si czego obawia i nawet jeli kto www.elibre.pl portal o e-publikacjach i technoologii e-papieru

skorzysta z jego sieci do przegldania stron i sprawdzenia poczty to nic si nie stanie. Niestety sporo osb popenia ten sam bd mylc - jeeli nic si zego nie dzieje z poczeniem to znaczy, e jest dobrze. Jest to bdne przekonanie i niektrzy mog sobie zda z tego spraw dopiero po fakcie. Jeli kto wykorzysta nasze cze do nielegalnych celw do akcji moe wkroczy organ cigania a spotkanie z nimi nie naley do przyjemnoci. Dokadniej opisz to w rozdziale III ksiki zatytuowanym: Zagroenia wynikajce z korzystania z sieci Wi-Fi. Na szczcie przed nieautoryzowanym poczeniem idzie si w atwy sposb obroni, wystarczy tylko powici troch czasu na ustawienia zabezpiecze, jakie oferuj punkty dostpowe. Pierwszym dobrym zabezpieczeniem, jaki zastosowano w sieciach standardu 802.11 by protok WEP (Wired Equivalent Privacy). Chciabym w tym miejscu podkreli sowo by poniewa w roku 2001 zabezpieczenie to zostao zamane i w dzisiejszych czasach zapewnia tylko minimalny stopie ochrony. Mimo to powiciem sporo miejsca szyfrowaniu WEP, dlatego e jest to w dalszym cigu najczstsze zabezpieczenie stosowane w sieciach Wi-Fi. O wiele lepszym poziomem bezpieczestwa moe pochwali si protok WPA, ktry opiera si na podobnym dziaaniu co WEP, jednak pozbawiony jest wikszoci wad poprzedniego systemu. Prace nad WPA (Wifi Protected Access) rozpoczy si zaraz po pierwszych doniesieniach o zamaniu WEP, a jaki czas pniej zosta on wdroony do dziaania. Mechanizm WPA jeli zostanie poprawnie zaimplementowany i dobrze zarzdzany, jest bardzo silnym zabezpieczeniem oraz bardzo trudnym do zamania. W pniejszym czasie pojawi si kolejny mechanizm szyfrowania - 802.11i, ktry jest rozszerzeniem WPA i dlatego czsto jest nazywany WPA2. Wprowadzony w styczniu biecego roku system WPS, pozwala na bardzo atw konfiguracj zabezpiecze sieci Wi-Fi. Poniewa technologia ta jest bardzo przyjazna dla uytkownika mona si spodziewa, e bdzie stosowana coraz czciej. Zasad dziaania systemu WPS opisuj w kolejnym podrozdziale. W rozdziale V pokazuj w praktyce saboci opisanych przeze mnie zabezpiecze. Do tego celu wykorzystaem zrobion specjalnie do tej prezentacji sie bezprzewodow skadajc si z punktu dostpowego i 2 komputerw. Trzeci komputer laptop posuy mi do zademonstrowania, w jaki sposb omija kolejne zabezpieczenia. Z przeprowadzonych bada wynika, e tylko szyfrowanie WPA2 moe skutecznie zabezpieczy sie Wi-Fi przed nieautoryzowanym dostpem. www.elibre.pl portal o e-publikacjach i technoologii e-papieru

W

ostatnim

rozdziale opisaem

stopie

bezpieczestwa

innych

sieci

bezprzewodowych ni te oparte na standardzie 802.11, s to sieci wykorzystujce podczerwie oraz fale radiowe na rnych czstotliwociach i pomimo, e do popularnoci Wi-Fi im wiele brakuje to za kilka lat moe ktry z tych standardw bdzie najczciej uywany.


Rozdzia I: Oglne informacje o sieciach bezprzewodowych

1.1 Historia powstania

W XX wieku najistotniejsz technologi stanowio gromadzenie, przetwarzanie i dystrybucja informacji. Dziki temu powstaa oglnowiatowa sie telefoniczna, radio i telewizja, narodzi si i w zawrotnym tempie rozwija przemys komputerowy, zaczto tworzy sieci by wymienia si informacjami. Pod koniec XX wieku bardzo szybko zacza rozwija si komunikacja bezprzewodowa, ktra non stop jest ulepszana. Chocia moe wydawa si to dziwne, jednak czno bezprzewodowa nie jest wcale niczym nowym. Ju w 1901 roku woski fizyk G. Marconi zademonstrowa bezprzewodowy telegraf czcy statek z ldem za pomoc kodu Morsea.1 Teraz, 100 lat pniej, mona powiedzie, e idea przesyu informacji falami radiowymi zostaa w peni wykorzystana. Histori narodzin bezprzewodowych sieci komputerowych opisa bardzo dokadnie Jeff Duntemann w swojej ksice Przewodnik po sieciach Wi-Fi: Sieci bezprzewodowe maj swoj histori. Prac nad bezprzewodowymi lokalnymi sieciami komputerowymi zostay rozpoczte w roku 1971 na uniwersytecie na Hawajach eksperymentem o nazwie ALOHANET. System zbudowany w ramach tego eksperymentu by drogim, wyposaonym w due anteny systemem majcym na celu rozwizanie dosy powanego problemu przesyania danych midzy wydziaami uniwersytetu rozmieszczonymi na czterech wyspach. Jednak zasady budowy byy takie same jak zasady rzdzce przesyaniem danych midzy komputerem zainstalowanym w pracowni a komputerami zainstalowanymi w pokojach dziecinnych. W 1992 roku firma SUN Microsystems zaprojektowaa niewielki podrczny komputer o nazwie Star 7 majcy moliwoci tworzenia sieci bezprzewodowych na czstotliwoci 900 MHz. Produkt ten nigdy jednak nie pojawi si na rynku. ()Zademonstrowany na pokazie handlowym na targach COMDEX w 1994 roku system WaveLAN () skada si z laptopa z zainstalowan kart PCMCIA, poczonym z komputerem osobistym

1

Sieci komputerowe Andrew S. Tanenbaum


oddalonym o kilka krokw. Przepustowo systemu wynosia 1,6 Mb/s, co na tamte czasy byo wielkoci znaczc. () System WaveLAN dziaa i to bardzo dobrze. Mimo e by bardzo drogi, znaleli si jednak odbiorcy, ktrym by niezbdnie potrzebny. Gwnie byli to wysoko opacani konsultanci tworzcy niestandardowe rozwizania pewnych problemw w duych korporacjach. Dziki nim ten system, jak i wiele podobnych systemw, sta si pocztkiem rozwoju sieci bezprzewodowych. Kada z firm zajmujcych si sieciami bezprzewodowymi miaa wasny schemat czenia danych w pakiety i wysyania ich za porednictwem fal radiowych. Niestety, aden z tych schematw nie by w stanie porozumiewa si z innymi. W latach 90tych zaprojektowano wiele technologii bezprzewodowych, ale z powodu rnych standardw i braku wsppracy midzy dwoma sieciami adna nie zyskaa wikszej popularnoci. Wszystko zmienio si w 1997 roku, kiedy to Instytut Inynierii Elektrycznej i Elektronicznej (IEEE) opublikowa standard 802.11. Od tamtej pory nastpi bardzo gwatowny rozwj sieci Wi-Fi. Kolejno pojawiay si coraz to szybsze standardy: 802.11, 802.11b, 802.11a, 802.11g, a niedawno 802.11n. Obecnie do budowy sieci najczciej wykorzystuje si standard 802.11g, ktry pracuje na czstotliwoci 2,4 GHz i moe teoretycznie pracowa z prdkoci 54 Mb/s. Jeszcze szybszy standard 802.11n, ju powoli zaczyna wypiera poprzednikw i

najprawdopodobniej za rok lub dwa to wanie ten standard bdzie najczciej stosowany w sieciach Wi-Fi, a za par lat z pewnoci pojawi si nowy.

1.2 Najwaniejsze standardy 802.11

Grupa standardw 802.11 dotyczcych sieci bezprzewodowych zostaa sporzdzona przez organizacj IEEE w celu stworzenia wsplnego standardu zapewniajcego kompatybilno i niezawodno urzdze wytwarzanych przez rnych producentw. Poniej przedstawiam krtk charakterystyk najbardziej istotnych standardw rodziny 802.11. 802.11 zatwierdzony w 1997 roku by pierwszym standardem, w celu odrnienia od grupy 802.11 pniej nazywany 802.11y. Zastosowana


czstotliwo fal radiowych wynosia 2,4 GHz natomiast dostpna przepustowo miecia si w przedziale od 1 do 2 Mb/s. 802.11b wprowadzony dwa lata pniej standard zosta znacznie poprawiony pod wzgldem przepustowoci, pozwala na przesyanie danych z maksymaln prdkoci 11 Mb/s. Dziki temu sieci bezprzewodowe zaczy si cieszy coraz wikszym zainteresowaniem. Podobnie jak poprzedni standard, 802.11b korzysta z czstotliwoci 2,4 GHz. 802.11a zatwierdzony przez IEEE w 1999 roku, jednak wprowadzony do uytku dopiero w 2001 roku. Do przesyu danych drog radiow zastosowano czstotliwo 5 GHz, co pozwolio na zwikszenie przepustowoci do 54 Mb/s. Standard ten pomimo wyszej prdkoci nie zyska na popularnoci, poniewa by za pno wprowadzony, pobiera wicej mocy, by droszy od pozostaych i mia mniejszy zasig ni 802.11b. 802.11g powsta z poczenia niektrych technik poprzednich standardw. Wykorzystuje pasmo 2,4 GHz oraz pozwala przesya dane z prdkoci do 54 Mb/s. Zosta zatwierdzony w 2003 roku. Standard 802.11g jest cakowicie zgodny w d ze standardem 802.11b. Jednak wykorzystanie starszych urzdze powoduje w praktyce redukcj prdkoci do 11 Mb/s. Obecnie standard ten jest najczciej wykorzystywany do tworzenia sieci bezprzewodowych. 802.11n najnowsze dzieo komitetu IEEE jest aktualnie w trakcie tworzenia. Teoretycznie standard ma pracowa z maksymaln

przepustowoci 540 Mb/s, w praktyce bdzie to okoo 100-200 Mb/s. Planowane zakoczenie prac ogoszono na 2008 rok. Mimo to producenci ju zaczli wprowadza na rynek urzdzenia zgodne z tym standardem oparte na wersji 1.0 szkicu 802.11n. 19 stycznia 2007 roku zostaa zaakceptowana wersja 2.0 tego standardu. Jeeli uda si zrealizowa wszystkie zaoenia teoretyczne to niewykluczone, e za par lat 802.11n zastpi obecnie uywany 802.11g.


1.3 Zasada dziaania

Sieci komputerowe standardu 802.11 dziaaj w wydzielonym widmie fal radiowych o czstotliwoci 2,4 GHz lub 5 GHz. W wikszoci krajw widmo to zostao zarezerwowane dla pocze typu punkt-punkt oraz dla technologii radiowych widma rozproszonego, ktre nie wymagaj licencji. Poniewa pasmo 2,4 GHz nie jest chronione, mog korzysta z niego inne urzdzenia, niezwizane z Wi-Fi takie jak: telefony bezprzewodowe i kuchenki mikrofalowe. W Polsce urzdzenia radiowe mog by stosowane bez pozwolenia, jeeli speniaj nastpujce warunki:2 w pamie 2400 2483,5 MHz, gdy stosuj modulacj szerokopasmow i moc wypromieniowywana EIRP nie przekracza 100mW w pamie 5470 5725 MHz, gdy pozwalaj na sterowanie moc (w zakresie minimum 3dB) w celu uniknicia zakce, umoliwiaj dynamiczny wybr czstotliwoci (DFS) oraz moc wypromieniowywana EIRP nie przekracza 1W Z pasma 2,4 GHz korzysta wikszo standardw rodziny sieci 802.11, wyjtkiem jest jedynie 802.11a, w ktrym to do przesyu fal radiowych zastosowano czstotliwo 5 GHz. Wikszo sprztu Wi-Fi dostpnego obecnie na rynku, oparta jest na standardzie 802.11g, dlatego te w swojej pracy skoncentruj si gwnie na sieciach tego typu oraz 802.11b, poniewa jeszcze sporo sieci dziaa w starszym systemie. Pasmo 2,4 GHz zostao podzielone na 14 podczstotliwoci (kanaw), aby umoliwi dziaanie kilku sieci Wi-Fi na jednym terenie. Nie jest to jednak standard midzynarodowy i kade pastwo na wiecie moe wykorzystywa inne podziay czstotliwoci. W Polsce jak i prawie w caej Europie (z nielicznymi wyjtkami) wykorzystywanych jest 13 podczstotliwoci. We Francji na przykad, mona korzysta tylko z 4 kanaw. Po drugiej stronie oceanu zakres czstotliwoci wykorzystywanych w sieciach standardu 802.11 nieco si rni, w USA kanaw jest 11, natomiast w Japonii mona korzysta z wszystkich 14. Czstotliwoci wyspecyfikowane dla kadego z tych kanaw s czstotliwociami rodkowymi dla pasm o szerokoci 22 MHz a odlego midzy nimi wynosi zaledwie 5 MHz. Powoduje to nakadanie si2

Dz.U z 2005r Nr 230, Poz. 1955 Rozporzdzenie Ministra Infrastruktury z dnia 24 padziernika 2005 r. w sprawie urzdze radiowych nadawczych lub nadawczo-odbiorczych, ktre mog by uywane bez pozwolenia radiowego


kanaw z kilkoma innymi pooonymi wyej lub niej. Aby unikn interferencji w przypadku dziaania kilku sieci, odlegoci pomidzy kanaami powinny wynosi przynajmniej 25 MHz. Jeeli ta odlego bdzie mniejsza, przepustowo sieci moe znacznie si obniy. W przypadku dziaania na przykad 3 sieci bezprzewodowych w jednej okolicy powinno si ustawi kanay 1, 6 i 11. Sieci Wi-Fi mog dziaa w dwch trybach pracy: w trybie ad hoc (rwnorzdnym) oraz w trybie infrastrukturalnym. Pierwszy typ sieci jest zwykle stosowany w poczeniach tymczasowych i moe si skada si z kilku urzdze. Klienci cz si ze sob kady z kadym i nie maj poczenia z wiksz lokaln sieci komputerow ani z Internetem.

Rys. 1. Sie typu ad hoc Ilustracja wasna, wykorzystano zdjcia z www.hp.com


Z topologi sieci infrastrukturalnych mamy do czynienia wwczas, gdy w sieci znajduje si przynajmniej jeden punkt dostpowy, pozwalajcy uzyska poczenie z sieci kablow i caym wiatem.

Rys. 2. Sie typu infrastrukturalnego Ilustracja wasna, wykorzystano zdjcia z www.dlink.com oraz www.hp.com

Wikszo

dziaajcych

sieci

bezprzewodowych

pracuje

w

trybie

infrastrukturalnym, ale opisane przeze mnie w dalszej czci pracy metody zabezpiecze odnosz si do obydwu typw sieci.

1.4 Zalety sieci Wi-Fi

Sieci bezprzewodowe Wi-Fi z dnia na dzie zyskuj coraz bardziej na popularnoci, dzieje si tak, dlatego e rozwizuj kilka problemw, z ktrymi sieci przewodowe nie mogy sobie poradzi. Instalujc sie standardu 802.11 w budynku, nie musimy tak jak w przypadku zwykej sieci wierci dziur w cianach na kable i cign ich przez cay dom lub budynek firmy. Oprcz wzgldw estetycznych waciwoci sieci bezprzewodowych idealnie znajduj zastosowanie w starszym budownictwie i zabytkach, gdzie jakiekolwiek wiercenie jest prawnie zabronione. Chcc poczy ze sob dwa budynki znajdujce si po przeciwnych stronach drogi, moemy napotka na spory problem. Po pierwsze musimy uzyska od gminy lub www.elibre.pl portal o e-publikacjach i technoologii e-papieru

miasta pozwolenie na przekop pod drog, co nie jest atwym zadaniem, a po drugie to samo przecignicie kabla pod drog w ziemi jest kosztownym przedsiwziciem. W takim wypadku ponownie przychodz nam z pomoc fale radiowe, mona poczy dwa budynki sieci bezprzewodow bardzo szybko, atwo i niedrogo. Kolejnym miejscem gdzie Wi-Fi zdobywa popularno s mae miasta i wsie. Sieci bezprzewodowe pozwalaj na wsplne uytkowanie przez kilka osb jednego szerokopasmowego poczenia z Internetem bez koniecznoci cignicia kabli, co przy lunej zabudowie domw musiaoby si skoczy na pocigniciu kilku kilometrw kabla. Dziki technologii bezprzewodowej komputery zaczynaj powoli odrywa si od biurka. Mona siedzie z laptopem w dowolnym miejscu domu i korzysta z Internetu a poczt przeglda siedzc w ogrodzie. Wiele osb korzysta te z sieci standardu 802.11 w czasie podry, darmowe punkty dostpowe zwane hot spotami umieszczane na lotniskach, dworcach i kawiarniach pozwalaj za darmo uzyska dostp do Internetu. Sieci bezprzewodowe okazay si bardzo przydatne na konferencjach i zebraniach, gdzie uytkownicy mog czy si bez przeszkd i wymienia notatkami. Oprcz wymienionych przeze mnie przykadw zastosowa sieci Wi-Fi mog znale zastosowanie praktycznie wszdzie. Sieci bezprzewodowe mog obsugiwa take inne urzdzenia ni komputery, na przykad kamery, ktre s montowane w miejscach gdzie doprowadzenie kabli jest utrudnione. Du zasug wysokiej popularnoci sieci bezprzewodowych jest take spadajca cena urzdze oraz bogaty ich wybr. Mona odnie wraenie, e nie ma miesica, w ktrym nie pojawiby si na rynku nowy produkt rozwizujcy jaki problem i udoskonalajcy komunikacj w sieciach standardu 802.11. Kupujc dzisiaj najtaszy punkt dostpowy, zapacimy nieco ponad 100 z, a cena bezprzewodowych kart sieciowych zaczyna si ju od 50 z wzwy. Dziki rozwojowi technicznemu i duej konkurencji na rynku, ceny w dalszym stopniu bd obniane a sieci Wi-Fi bdzie przybywa coraz wicej. Oprcz pokazanych zalet zwizanych z wykorzystaniem sieci bezprzewodowych maj one take wady. Nie da si okreli zasigu ich dziaania, poniewa fale radiowe rozchodz si we wszystkich kierunkach i mog przenika przez ciany. Z wasnego dowiadczenia wiem, e fale radiowe przechodz nawet przez kilka cian. Na przykad www.elibre.pl portal o e-publikacjach i technoologii e-papieru

sygna z punktu dostpu umieszczonego na 3 pitrze w budynku dochodzi do mieszka na parterze i pozwala na korzystanie z Internetu. Osoba nieupowaniona moe podczy si do naszej sieci i znajdowa si w miejscu, w ktrym najmniej si tego spodziewamy. Potencjalny wamywacz moe by nawet oddalony o kilka bd kilkanacie kilometrw, jeeli tylko posiada anten o duym zysku. Ta waciwo sieci standardu 802.11 powoduje, e bardzo ciko namierzy intruza. Mona to zrobi za pomoc specjalnych urzdze korzystajcych z satelit GPS, ale rozwizania te s bardzo drogie i mog sobie pozwoli na nie jedynie wielkie firmy.


Rozdzia II: Wardriving badanie zabezpiecze sieci Wi-Fi

Wardriving

to

wyszukiwanie

miejsc,

w

ktrych

dostpne

s

sieci

bezprzewodowe. Do tego celu wykorzystuje si komputery przenone (laptop lub palmtop) wyposaone w bezprzewodow kart sieciow oraz anten, najczciej dookln. Czynno ta polega najczciej na jedeniu samochodem z wczonym laptopem z zainstalowanym programem do wyszukiwania sieci. Najpopularniejszym programem tego typu jest uywany przez wikszo wardriverw darmowy program NetStumbler. Wyszukuje on na bieco dostpne sieci bezprzewodowe podajc bardzo przydatne informacje: nazw SSID sieci, standard 802.11 b lub g, typ poczenia (infrastrukturalny lub ad hoc), si sygnau, poziom szumw oraz co chyba najwaniejsze - poziom zabezpieczenia (brak lub WEP/WPA), jednak nie pokazuje czy zastosowano filtracj MAC

Rys. 3. Program NetStumbler w dziaaniu Ilustracja wasna.


Oprcz terminu wardriving uywa si take warchalking i w zasadzie jest to to samo, tylko e do przemieszczania w tym wypadku zamiast samochodu wykorzystuje si si wasnych ng. Osoby wyszukujce sieci Wi-Fi oznaczaj czasami miejsca, w ktrych mona uzyska poczenie. Najczciej rysowane s kred charakterystyczne znaki, widoczne na rysunku poniej. Pierwszy oznacza niezabezpieczon sie oglnie dostpn, drugi sie zabezpieczon filtracj MAC, a ostatni, e w sieci wczone jest szyfrowanie WEP lub WPA.

Rys. 4. Znaki warchalkingowe, rdo: www.wardriving.pl

Prawo w Polsce jak i w wikszoci krajach nawet nie wspomina o opisywanym zjawisku. Samo wyszukiwanie dostpnych sieci, nie jest zatem czynnoci nielegaln. Korzystanie z sieci niezabezpieczonych w aden sposb, te jest wedug prawa dozwolone. Do sieci takich moe poczy si kady kto chce, a skoro nie ma jakichkolwiek zabezpiecze to znaczy, e sie jest udostpniona dla wszystkich. W czasie pisania mojej pracy spotkaem si z wieloma badaniami na temat poziomu zabezpiecze sieci Wi-Fi. Wyniki tych bada byy bardzo rne jednak jak by nie popatrze to ilo niezabezpieczonych sieci bezprzewodowych jest ogromna. Poniej przedstawi wyniki niektrych ze znalezionych bada.


Miejsce

Rok

Ilo sieci

Niezabezpieczone

WEP lub WPA

rdoWi-Foo Sekrety Bezprzewodowych Sieci Komputerowych

Los Angeles

2002

580

70 %

30 %

Pary

2006

1000

29,5 %

70 %

Kaspersky Lab www.viruslist.pl Kaspersky Lab www.viruslist.pl http://2007.confide nce.org.pl

Londyn

2007

800

35 %

65 %

Krakw

2007

1449

40 %

60 %

Jak wida niezabezpieczonych sieci jest bardzo duo, nawet w Paryu gdzie otrzymano najlepsze wyniki to na 1000 sieci okoo 300 z nich nie posiada adnych zabezpiecze. Podobne badania postanowiem przeprowadzi na terenie mojego miasta i okolic. W trakcie mojej przygody z wardrivingiem korzystaem z laptopa HP nx6325 z wbudowan kart sieciow Broadcom 802.11a/b/g WLAN. Do wyszukiwania sieci Wi-Fi skorzystaem z opisanego ju programu Netstumbler. Badania przeprowadzaem jadc samochodem z wczonym komputerem umiejscowionym na fotelu pasaera. Trasa mojej przejadki prowadzia przez miasta: Rybnik, Gliwice, Katowice, Sosnowiec i Chorzw. Udao mi si zebra w tym czasie dane na temat 747 sieci. Spord wszystkich sieci tylko 308 (41 %) byo zabezpieczonych mechanizmem szyfrowania WEP lub WPA a 439 (59 %) nie posiadao adnych zabezpiecze.


Du grup sieci znalezionych przeze mnie stanowiy punkty dostpu Livebox Telekomunikacji Polskiej. Kada z tych sieci ma unikaln nazw SSID neostrada_****, przy czym pierwsza cz nazwy jest zawsze taka sama a zamiast gwiazdek s rne znaki. Na uwag zasuguje fakt, e wikszo z tych sieci bya poprawnie zabezpieczona, tylko 4 spord 85 znalezionych Liveboxw nie posiaday zabezpiecze. Spord wszystkich 747 sieci a 28 posiadao standardowe nazwy SSID (np. default, linksys, drink) i nie miay wczonego szyfrowania WEP/WPA. Mog si domyla, e login i haso tych punktw dostpowych jak te adres IP byy ustawione standardowo. Jak wida wyniki moich bada troch odbiegaj od innych ale jest to spowodowane tym, e nie wziem pod uwag filtracji MAC. Program Netstumbler wykrywa sieci, w ktrych zastosowano filtracj adresw MAC jako niezabezpieczone. Z moich obserwacji i przeprowadzonych prb czenia si z niezabezpieczonymi sieciami wynika, e filtracj MAC zastosowano w okoo 15 % sieci. Przy takim zaoeniu procent zabezpieczonych sieci wynisby nie 41, a 56 % natomiast z 59 do 44% zmniejszyaby si ilo sieci niekorzystajcych z WEP lub WPA. Wyniki moich bada w postaci pliku badanie.ns1 otwieranego za pomoc programu Netstumbler zamieciem na pycie CD doczonej do pracy.


Rozdzia III: Zagroenia wynikajce z korzystania z sieci Wi-Fi

W starych dobrych czasach korzystanie z Internetu byo przywilejem wskiego grona osb, a wiele innych prbowao go zdoby wszelkimi moliwymi sposobami. Powszechnym sposobem uzyskiwania nieautoryzowanego dostpu by wardialing, czyli dzwonienie pod numery telefonw z dugiej listy z nadziej natrafienia na sygna modemu. Kiedy si to udao, naleao zgadn nazw uytkownika oraz haso.3 Obecnie podobna technika wykorzystywana jest do poszukiwania sieci bezprzewodowych przez wardriverw. Wystarczy przejecha przez miasto z wczonym laptopem i z anten dookln, by znale kilka bd kilkadziesit sieci Wi-Fi. Podobnie tak jak kiedy, by si poczy, trzeba zgadn nazw uytkownika oraz haso, jednak w przypadku sieci bezprzewodowych uzyskanie poczenia jest o wiele atwiejsze. Jak ju napisaem wczeniej, wiele punktw dostpowych nie posiada adnych zabezpiecze i moe si z nimi poczy kady, kto chce. Zarwno w tym rozdziale jak i w dalszych bd czsto uywa okrele haker oraz kraker w stosunku do osb, przed ktrymi naley zabezpieczy sie bezprzewodow. Pomidzy tymi dwoma okreleniami jest wielka rnica, jednak nie bd odchodzi od tematu pracy i rozpisywa si nad histori uycia sowa haker. Instalujc sie Wi-Fi powinnimy zabezpieczy j przed wszystkimi osobami chccymi skorzysta z nieautoryzowanego dostpu do cza niezalenie od tego, jakie maj zamiary.

Wi-Foo Sekrety bezprzewodowych sieci komputerowych - Andrew Vladimirov, Konstantin V. Gavrilenko, Andrei A. Mikhailovsky

3


3.1 Ataki i wamania do sieci

3.1.1 Podsuch

Jeli zainstalowalimy sie Wi-Fi bez adnych mechanizmw bezpieczestwa, znajdujcy si pobliu haker moe bez problemu skorzysta z poczenia internetowego moe przeglda strony internetowe albo sprawdza poczt. Nie jest to jednak dziaalno zbyt szkodliwa, ale moe by uciliwa. Oprcz tego osoba nieuprawniona moe w atwy sposb przechwyci wysyane i odbierane dane. Przechwytywanie pakietw przypomina podsuchiwanie rozmw telefonicznych. Napastnik wyposaony w laptop lub palmtop z obsug sieci Wi-Fi, moe za pomoc programu do przechwytywania pakietw obserwowa dyskretnie ruch sieciowy i rejestrowa niektre lub wszystkie przesane dane w pliku dziennika a nastpnie w wolnej chwili je przeanalizowa. W sieciach kablowych chcc podsuchiwa przesyane informacje trzeba zainstalowa program bezporednio na interesujcym komputerze lub by podczonym do tej samej sieci LAN. Sieci bezprzewodowe dziaajce za porednictwem fal radiowych otwieraj programom przechwytujcym pakiety cay wszechwiat moliwoci.

Rozprzestrzenianie si fal radiowych nie ogranicza si tylko do takiego medium jak kabel, w zwizku z tym wszdzie tam, gdzie docieraj sygnay radiowe emitowane przez sieci Wi-Fi, program przechwytujcy moe je podsuchiwa bez niczyjej wiedzy. Napastnik nie musi by nawet podczony do tej samej wewntrznej sieci, jak to ma miejsce w sieciach kablowych. Stanowi to powane zagroenie przede wszystkim wtedy, gdy sygnay sieci bezprzewodowej docieraj do miejsc, o ktrych nie wiemy lub nie mamy nad nimi kontroli. Jeli biura firmy znajduj si na przykad w biurowcu na 10 pitrze, osoby znajdujce si pitro wyej i pitro niej najprawdopodobniej mog odbiera sygnay naszej sieci i przechwytywa pakiety a my nie mamy adnych moliwoci, by si o tym choby dowiedzie. Jeeli posiadamy w domu prywatn sie lub dostp do Internetu za pomoc sieci Wi-Fi to osoba mieszkajca w budynku obok, moe za pomoc anteny o duym zysku skierowanej na nasz dom podsuchiwa przesyane przez nas dane. Jeszcze gorsz rzecz jest tzw. manipulacja danymi,


wamywacz moe przechwytywa i zmienia wysyane lub odbierane przez nas wiadomoci. Aby uniemoliwi hakerom uzyskania poufnych informacji, jakie s przesyane przez sieci standardu 802.11, naley zaimplementowa wiele warstw szyfrowania, co pozwoli na ukrycie danych. Do tego celu naley wdroy mechanizmy zabezpiecze WEP, WPA oraz mona uy wielu technologii, takich jak IPSec, SSH lub SSL. Sposb dziaania i si zabezpiecze tych technologii przedstawi w dalszej czci pracy.

3.1.2 Podszywanie si pod adres IP

Spord wielu rnych atakw, ktre moe przeprowadzi napastnik najgorszy jest atak o nazwie podszywanie si pod adres IP. W odrnieniu od ryzyka, e kto na przykad podejmie atak typu DoS w stosunku do naszego systemu, ryzyko podszywania si pod adres IP jest do due, a nawet powane. Atak ten wykorzystywany jest czsto przez osoby chcce zachowa anonimowo. Podszywanie si pod inny adres IP jest swego rodzaju kradzie tosamoci. Haker korzystajcy z obcego adresu IP moe robi jakie nieetyczne lub nielegalne operacje, na przykad wysya spam lub przesya pliki z dziecic pornografi. Jeeli organom cigania uda si dotrze do miejsca, z ktrego wysyano dokumenty to odpowiedzialno spadnie na niewinn osob, pod ktr podszy si haker. W celu lepszego zobrazowania zagroenia przedstawi przykad osoby wysyajcej spam. Spamer korzystajc z laptopa i anteny o duym zysku moe znajdowa si nawet kilka kilometrw od naszej sieci. Jeeli sie nie jest zabezpieczona lub jest, ale w sabym stopniu, napastnik podczy si i moe podszy si pod nasz adres IP. Korzystajc z programu wysyajcego poczt elektroniczn rozsya na cay wiat dziesitki tysicy listw na godzin, a kady z tych listw bdzie posiada nasz adres IP. Jeeli sprytny napastnik bdzie wysya spam o drugiej w nocy, kiedy wszyscy pi, natomiast komputery i poczenie komputerowe s wolne, to jest dua szansa, e nawet si nie zorientujemy, co si wydarzyo. Prawdopodobnie dowiemy si o tym dopiero nastpnego dnia, kiedy to dostawca usug internetowych odetnie nam dostp z powodu rozsyania spamu.


Jeli nasz adres IP zamiast do rozsyania mieci posuy do przesania pornografii lub do kradziey poufnych danych, to wtedy zamiast braku Internetu o poranku, moe zapuka do drzwi policja, a udowodnienie im, e to nie my wykonalimy atak moe by trudniejsze ni zdobycie wszystkich szczytw omiotysicznikw. Nawet, jeeli kto dostrzee w pobliu sieci, z ktrej dokonano przestpstwa osob z laptopem i dodatkow anten, organy cigania bd miay duy problem z odnalezieniem tej osoby i udowodnieniem, e to akurat ona dokonaa tego przestpstwa. Jeli przed atakiem napastnik zmieni adres MAC swojej

bezprzewodowej karty sieciowej, a po ataku usun z komputera wszystkie dane i narzdzia do wykonania ataku to dowiedzenie jego winy bdzie praktycznie niemoliwe. Jeeli by nawet udao si nam zapa napastnika na gorcym uczynku, to zdy on si rozczy z sieci, a do czasu przyjazdu policji ju go pewnie nie bdzie. Moe normalnie odej, sami nie mamy prawa go zatrzyma. W sieciach przewodowych wykonanie takich nielegalnych operacji jest znacznie trudniejsze, dlatego te powinnimy zadba by zabezpieczy sie Wi-Fi przed zagroeniami pochodzcymi z rnych stron.

3.2 Niewiadomo administratorw o zagroeniach

Wiele osb opiera si na nieprawdziwym przekonaniu, e tylko wielkie firmy naraone s na ryzyko pynce ze strony hakerw i krakerw. Jest to mit, jednak szeroko rozpowszechniony. Oczywicie due firmy to miejsca, w ktrych znajduj si najwiksze pienidze i najbardziej poufne dane, jednak kady dowiadczony napastnik myli najpierw o swoim bezpieczestwie i grocych mu konsekwencjach prawnych, dlatego zawsze na pocztek wybiera sobie cele atwiejsze. Poza tym kraker bez adnych dowiadcze rozpocznie od wamania si do czegokolwiek, bez zwracania uwagi na to czyja to sie i do czego suy. Wielkie firmy zwykle posiadaj dobrze wyszkolony personel odpowiedzialny za bezpieczestwo, dobr i przestrzegan polityk bezpieczestwa oraz narzdzia wzmacniajce bezpieczestwo, co oczywicie zwiksza szans wykrycia napastnika. Z drugiej strony wielkie firmy s bardziej podatne na powstawanie luk w bezpieczestwie


spowodowanych przez instalowanie w ich sieciach niedozwolonych urzdze bezprzewodowych oraz s znacznie bardziej podatne na ataki socjotechniczne. W przypadku mniejszych firm lub sieci domowych wiele atakw nie zostaje wykrytych lub s wykrywane za pno. Powody, dla ktrych krakerzy interesuj si sieciami niewielkich firm oraz sieciami domowymi, zostay ju szczegowo omwione i s oczywiste dla kadego, kto interesuje si bezpieczestwem systemw informatycznych. S to: anonimowy dostp, mae prawdopodobiestwo wpadki, darmowe pasmo oraz atwo wamania si. Oto problemy zwizane z bezpieczestwem, z ktrymi borykaj si niewielkie firmy: Przepracowany administrator sabo znajcy si na sieciach bezprzewodowych albo czsta nieobecno w pracy jedynego wykwalifikowanego administratora. Uycie prostych, tanich urzdze sieci bezprzewodowych z ograniczonymi funkcjami bezpieczestwa (jeeli firma nie korzysta z rozwiza open source moe mie tylko to, na co j sta). Brak scentralizowanego serwera uwierzytelniania. Brak bezprzewodowego systemu IDS oraz centralnego rejestru zdarze. Brak polityki korzystania z sieci bezprzewodowej. Brak rodkw na zlecenie profesjonalnego audytu sieci bezprzewodowej.

3.3 Zagroenia fizyczne

Zagroenia zwizane z funkcjonowaniem sieci standardu 802.11

nie

sprowadzaj si tylko do atakw hakerw i ludzi chccych skorzysta z naszego cza. Zakadajc sie bezprzewodow musimy wzi pod uwag take zmienne warunki atmosferyczne. Istniej trzy czynniki, ktre mog przerwa czno a nawet uszkodzi urzdzenia sieciowe i kady z nich jest w takim samym stopniu niebezpieczny. Chodzi tu o wiatr, opady deszczu lub niegu i temperatur. Mocne podmuchy wiatru mog zniszczy anteny a take maszty, jeli s niesolidnie zrobione. Kolejnym niebezpieczestwem dla sprztu s opady deszczu oraz www.elibre.pl portal o e-publikacjach i technoologii e-papieru

niegu. W tym wypadku najbardziej naraone s punkty dostpu umieszczone na zewntrz, nieznajdujce si w dobrze zabezpieczonych skrzynkach. W momencie pojawienia si dziury lub szpary, przez ktr woda dostaaby si do rodka mona by raczej pewnym, e po solidnych opadach deszczu urzdzenia zostan zalane i nasza sie przestanie dziaa. Dotyczy to take anten zamknitych w tubach (yagi). Jeli do rodka dostanie si spora ilo wody to moe w znaczcym stopniu zakci sygna, poniewa woda nie przepuszcza fal radiowych. Jeli chodzi o temperatur to sprawa dotyczy tylko punktw dostpu, latem urzdzenia wystawione na dziaanie promieni sonecznych mog przegrza si i odmwi dziaania. W zimie take duy spadek temperatury moe powodowa zmiany w dziaaniu tych urzdze. Przed niszczcym dziaaniem pogody na sprzt sieciowy mona si w bardzo atwy sposb zabezpieczy, ale o tym pniej. Jeli wszystkie urzdzenia sieci WLAN znajduj si w budynku to wtedy adne z wymienionych wyej zagroe fizycznych nie dotycz.


Rozdzia IV: Bezpieczestwo sieci bezprzewodowych

Pierwsz i najwaniejsz czynnoci, jak powinno wykona si po uruchomieniu sieci Wi-Fi jest zmiana standardowych ustawie punktu dostpu: nazwa uytkownika, haso, identyfikator SSID oraz numer IP punktu dostpu. Pozwoli to na zabezpieczenie sieci przed bezporednimi atakami na nasz access point. Nazwa uytkownika oraz haso musi by unikalne i zoone, by nie mona byo go zama atakami brute force. Jeeli ustawimy sabe haso to nawet przy zastosowaniu najbezpieczniejszego szyfrowania WPA2, kraker chccy wama si do naszej sieci moe mie bardzo atwe zadanie. Aby dobrze zabezpieczy si przed atakami siowymi, haso powinno by dugie i skada si z liter, liczb i znakw. Jedynym problemem, jaki moe tu wystpi jest trudno zapamitania takich hase. eby sobie to uatwi, proponuj zastosowa jeden z przykadw przedstawionych poniej. Pierwszym sposobem na zapamitanie hasa jest wymylenie jakiej frazy i zamienienie kilku liter na cyfry, na przykad: majc wybrane haso onstoiipatrzy mona przeksztaci je na 0n100iipa3. atwe do zapamitania i trudne do zamania. Drugim sposobem, ktry take polecam jest zaszyfrowanie wybranej frazy prostym szyfrem. Mona przesun kada liter alfabetu o 2 pozycje w lewo, wtedy atwe haso marcin stanie si niezrozumiaym cigiem liter octekp. Identyfikator SSID take powinien zosta zmieniony w taki sposb by napastnik nie mg w stanie okreli, do kogo ta sie naley. Nie zaleca si stosowania w nazwie imion i nazwisk oraz nazw firm, zamiast tego mona zastosowa skrty. Na przykad, gdy w firmie Energo-Elektro zostanie zainstalowany punkt dostpu, sie mona nazwa wifiee1 zamiast rzucajcego si w oczy SiecEnergoElektro. Adres IP punktu dostpu take powinien zosta zmieniony, ochroni to przed atakami z wewntrz sieci. Domylne ustawienia urzdze s atwo dostpne w Internecie i kady moe znale informacj, pod jakim numerem IP kryje si dany access point. Aby uniemoliwi atwy dostp takim uytkownikom wystarczy zmieni adres na inny.


4.1 Ukrycie SSID

W sieciach bezprzewodowych kady punkt dostpowy rozsya dookoa swoj nazw gdzie tylko si da. Jej znajomo umoliwia nawizanie poczenia z sieci, jednak w przypadku, kiedy nie znamy SSID poczenie nie jest moliwe, a wic potencjalny wamywacz nie moe uzyska dostpu do sieci. Wanie dlatego ju w pierwszych Access Pointach wprowadzono moliwo wyczenia rozgaszania nazwy sieci. By moe zabezpieczenie to w przeszoci byo skuteczne, jednak dzi zdobycie SSID sieci nie stanowi adnego problemu. Potencjalny wamywacz moe uruchomi program NetStumbler i poczeka a jeden z klientw nawie poczenie z sieci, wtedy bowiem wysya on czystym tekstem SSID ukrytej sieci. Ominicie ukrycia nazwy SSID to kwestia kilku minut, dlatego nie powinno si stosowa tego zabezpieczania bez wsparcia innymi, lepszymi metodami autoryzacji.

4.2 Filtracja MAC

Ten rodzaj zabezpieczenia zapewnia wikszo punktw dostpowych. Funkcj filtrowania adresw MAC mona skonfigurowa tak, aby tylko wybranym uytkownikom udzieli dostpu do sieci. Mona zastosowa j take w drug stron: moliwo korzystania z sieci bezprzewodowej maj wszyscy oprcz wybranych uytkownikw. Mechanizm ten polega na zapisywaniu do tablicy adresw MAC bezprzewodowych kart sieciowych, ktre maj (nie maj) mie dostp do sieci. Podobnie jak ukrywanie nazwy SSID, filtracji MAC nie powinno stosowa si jako jedyne zabezpieczenie, bowiem za pomoc odpowiednich narzdzi w atwy sposb mona zmieni adres MAC karty sieciowej i podszy si pod innego uytkownika.


4.3 WEP

Podstawowym rodkiem bezpieczestwa zalecanym przez standard 802.11 jest protok warstwy cza danych WEP (ang. Wired Equivalent Privacy), ktry zgodnie z nazw zapewni ma sieci bezprzewodowej bezpieczestwo nie gorsze ni na poziomie standardowego bezpieczestwa przewodowej sieci LAN.4 Standardowym poziomem bezpieczestwa w sieciach przewodowych jest brak jakichkolwiek mechanizmw zabezpieczajcych, wic zadanie postawione przed protokoem WEP nie jest specjalnie wygrowane i pomimo e w 2001 roku opublikowano ju sposb jego zamania to i tak jest on wykorzystywany w wikszoci sieci. WEP jest to wbudowany program zarwno w punkty dostpu jak i we wszystkie karty sieciowe radiowe. Mechanizm WEP zabezpiecza dane przesyane w sieci bezprzewodowej, szyfrujc to, co przechodzi midzy bezprzewodowymi punktami dostpu a bezprzewodowymi kartami sieciowymi. Osoba z zewntrz prbujca si podczy do naszej sieci, wyposaona w program do przechwytywania pakietw zamiast konkretnych informacji ujrzy tylko niezrozumiay cig liter i znakw. Urzdzenia zgodne ze standardem Wi-Fi musz mie zainstalowan kompatybiln posta szyfrowania WEP. Niektrzy producenci sprztu sieciowego rozszerzaj standard WEP po to, by uczyni go bardziej niezawodnym, jednak z powodu niezgodnoci tych rozszerze z innymi, nie zawsze wychodzi to na dobre.

4.3.1 Zasada dziaania

Szyfrowanie w mechanizmie WEP odbywa si w oparciu o szyfr strumieniowy RC4 znany te jako ARC4 lub ARCFOUR. Algorytm RC4 zosta opracowany przez Ronalda Rivesta w 1987 roku i pozostawa utrzymany w tajemnicy a do roku 1994, kiedy to zosta opublikowany w Internecie na jednej z grup dyskusyjnych. Algorytm generuje strumie kluczy, ktry jest poddawany operacji XOR z zawartoci tekstu wejciowego. Algorytm ten oprcz sieci bezprzewodowych stosowany jest w wielu innych produktach, takich jak Lotus, Oracle a take SSL i SSH. Algorytm RC4 dla4

Sieci komputerowe Andrew S. Tanenbaum


szyfrowania WEP wybrany zosta z tego powodu, e jest stosunkowo prosty i szybki w dziaaniu i nie spowalnia dziaania sieci w taki sposb jak inne bardziej skomplikowane algorytmy. Sposb, w jaki odbywa si szyfrowanie kadego pakietu najlepiej przedstawia ilustracja zawarta w ksice Andrew S. Tanenbauma.

Rys. 5. Zasada dziaania mechanizmu WEP, rdo: Sieci komputerowe - Andrew S. Tanenbaum str 695

Z punktu widzenia uytkownika, dziaanie mechanizmu WEP jest w miar proste. Na pocztku trzeba wygenerowa cztery rne klucze szyfrowania. W przypadku standardowego szyfrowania 64-bitowego, ktre moe by zastosowane na wszystkich urzdzeniach Wi-Fi, kady z kluczy to dziesiciocyfrowa liczba szesnastkowa. Klucz mona utworzy wybierajc na przykad na chybi trafi dziesi przypadkowych cyfr szesnastkowych (cyfry od 0 do 9 oraz litery od A do F). Wygenerowany w ten sposb klucz, bdzie wyglda mniej wicej tak: 52A45C914F. W wikszoci nowych punktach dostpu znajduje si program, ktry umoliwia generowanie tych czterech kluczy na podstawie wprowadzonej frazy bdcej pewn sekwencj liter lub wyrazw, takich jak na przykad: Ala ma kota lub sierotka ma rysia. Dla danej karty sieciowej oraz punktu dostpu ta sama fraza zawsze spowoduje www.elibre.pl portal o e-publikacjach i technoologii e-papieru

wygenerowanie tych samych czterech kluczy szyfrowania. Mona spotka take urzdzenia, ktre generuj z frazy tylko jeden klucz a nie cztery. Nastpnie uytkownik musi dystrybuowa te cztery klucze (lub jeden klucz, jeli w danej instalacji sieciowej potrzebny jest tylko jeden klucz) do wszystkich bezprzewodowych kart sieciowych, ktre bd si czy z punktem dostpu. Proces ten, czyli dystrybucja kluczy jest krytyczn operacj dotyczc bezpieczestwa sieci Wi-Fi. Trzeba pamita, e naley wpisa czterdzieci cyfr szesnastkowych z absolutn dokadnoci. Nie moe by adnej pomyki. Sytuacja wyglda lepiej, gdy proces ten moe by zastpiony wpisaniem tej samej frazy do programu narzdziowego uruchamianego na wszystkich komputerach klienckich. Trudnoci z dystrybucj kluczy zostay w duej mierze rozwizane w protokole WPA, ale o tym pniej. Gdy wszystkie punkty dostpu oraz wszystkie bezprzewodowe karty sieciowe znajdujce si w sieci maj ju wprowadzone wszystkie cztery klucze, to mona wczy mechanizm szyfrowania WEP. Od tej chwili cay ruch sieciowy midzy punktem dostpu a bezprzewodowymi kartami sieciowymi bdzie szyfrowany. Po uruchomieniu szyfrowania WEP nie trzeba ju wykonywa adnych innych operacji zwizanych z tym mechanizmem, a do chwili podjcia decyzji o zmianie kluczy. Najlepiej zmienia klucze jak najczciej, poniewa jak przedstawi niej, szyfrowanie WEP jest bardzo sabym zabezpieczeniem, a czsta zmiana kluczy moe troch to bezpieczestwo podnie.

4.3.2 Wady protokou WEP

Sabo mechanizmu WEP opisa bardzo dokadnie Jeff Duntemann w ksice Przewodnik po sieciach Wi-Fi: ()liczby pseudolosowe, ktre tworz strumie klucza, s generowane za pomoc 24-bitowej liczby pocztkowej uywanej przez komputer do generowania liczb losowych. Liczb t nazywa si wektorem inicjalizacji (IV) initializator vector. Warto wektora inicjalizacji jest przesyana wraz z kad zaszyfrowan ramk w sposb bezporedni i niezaszyfrowany, w zwizku z czym haker moe przejrze dwie zaszyfrowane ramki i zorientowa si, czy zostay one zaszyfrowane za pomoc tego samego wektora inicjalizacji czy nie. Standardowo kada przesyana ramka jest www.elibre.pl portal o e-publikacjach i technoologii e-papieru

szyfrowana za pomoc innego wektora inicjalizacji. Problem polega jednak na tym, e istnieje tylko 16777216 rnych moliwych wartoci wektora inicjalizacji. Na pierwszy rzut oka mogoby si wydawa, e jest to dua liczba. Jeli jednak mamy do czynienia z sieci Wi-Fi, ktra jest w stanie przesa dane z szybkoci 11Mbps, to w przypadku cigego i intensywnego ruchu sieciowego mona wykorzysta wszystkie wartoci wektora inicjalizacji ju po okoo 6 godzinach. Po wykorzystaniu wszystkich wartoci wikszo obecnie sprzedawanych urzdze typu Wi-Fi resetuje warto wektora inicjalizacji do zera i ponownie rozpoczyna przesyanie danych w eter za pomoc drugiego zestawu 16777216 ramek, dziki czemu cierpliwy haker ma w tym momencie dostp do penego drugiego zestawu ramek zaszyfrowanego za pomoc tych samych wspczynnikw wektorw inicjalizacji. Po kilku godzinach wysyany jest trzeci zestaw ramek, i tak w kko. Tym sposobem zamanie zabezpieczenia WEP zajmuje hakerowi kilka lub kilkanacie godzin. Gwodziem do trumny technologii WEP jest obecno sabych wartoci wektora inicjalizacji. Z powodu pewnych wasnoci matematycznych algorytmu okoo 2% wszystkich 16777216 wartoci wektora inicjalizacji s to wartoci, ktre mog by zdrajcami. Powoduj one wyciekanie pewnych informacji zwizanych z

szyfrowanymi przez nie danymi. Warto wektora inicjalizacji kadej ramki doczona jest do ramki i to w postaci niezaszyfrowanej! Umoliwia to programom sucym do amania hase, takim jak na przykad AirSnort, wyszukiwanie sabych wartoci wektora inicjalizacji, a nastpnie zbieranie i gromadzenie pakietw zaszyfrowanych za pomoc tych wartoci a do momentu, gdy zbierze si ich wystarczajca liczba, by mona byo przeprowadzi amanie hasa. Wykorzystanie sabych wartoci wektorw moe skrci czas potrzebny na zamanie mechanizmu WEP w sposb dramatyczny. Czas ten mierzony ju jest nie w godzinach, ale w minutach. Istniej take inne sabe punkty, ktre powoduj, e zamanie zabezpieczenia WEP staje si szybsze i atwiejsze. W przypadku niektrych kart bezprzewodowych ponowna ich inicjalizacja powoduje zresetowanie sekwencji wektora IV do zera. Jeeli karta sieciowa bdzie regularnie inicjalizowana, to o wiele czciej bd wystpowa wektory IV o niskich wartociach ni o wartociach wysokich. Wzrasta przez to szansa, e haker zbierze wicej pakietw zaszyfrowanych za pomoc tych samych wektorw inicjalizacji. Drugim sposobem atakowania mechanizmu WEP jest brutalny atak siowy. Napastnik moe za pomoc programw zgadywa haso lub skorzysta z ataku www.elibre.pl portal o e-publikacjach i technoologii e-papieru

sownikowego. Na szczcie przed takim atakiem mona si atwo zabezpieczy, wystarczy stosowa mocne hasa, o ktrych pisaem ju na pocztku rozdziau IV.

4.3.3 Firmowe rozszerzenia protokou

Po wykryciu niedoskonaoci mechanizmu WEP firmy produkujce sprzt Wi-Fi zaczy rozszerza standardowy protok. Pierwsz reakcj wielu producentw byo zwikszenie dugoci klucza do 128 i wicej bitw (tak zwany WEP2), jednak rozwizanie to nie zwikszao przestrzeni wektorw inicjalizacyjnych IV i jedynie utrudnio przeprowadzenie atakw siowych. Pierwszym skutecznym rozwizaniem tego problemu bya najprawdopodobniej propozycja firmy RSA, indywidualnego kodowania kadego pakietu oraz wyeliminowania pierwszych bajtw strumienia klucza. Mechanizm ten nazwano WEPPlus i zosta on zastosowany przez firm Proxim w niektrych punktach dostpowych i kartach bezprzewodowych Orinoco. Firma Cisco wprowadzia rozwizanie o nazwie SAFE, ktre polega na cyklicznej wymianie kluczy i jest konfigurowane za pomoc centralnego serwera kontroli dostpu. Wymiana kluczy nastpuje w sposb niewidoczny dla uytkownika dziki mechanizmowi CCKM. Oferowane od sierpnia 2005 roku oprogramowanie McAfee Wireless Home Network Security zmieniao automatycznie klucze WEP co 3 godziny. Program ustawia nowe klucze szyfrowania zarwno w komputerze jak i w punkcie dostpu, i wsppracowa z wikszoci dostpnych na rynku routerw Wi-Fi.5 Firmowe rozszerzenia protokou WEP miay jedn wielk wad, urzdzenia jednej firmy nie dziaay ze sprztem sieciowym innych firm. Aby zabezpieczenia takie mogy zadziaa, caa sie musiaa by stworzona z urzdze tylko jednej firmy.

5

Networld nr 9/2005 str 19


4.3.4. Dlaczego stosuje si WEP

Pomimo, i szyfrowanie WEP moe zosta atwo i szybko zamane to moe si okaza, e jest to jedyne zabezpieczenie, jakie mona zastosowa. Dotyczy to starszego sprztu sieciowego, ktry nie obsuguje niczego innego poza WEP. Poza tym zawsze lepiej ze sabym zabezpieczeniem ni z adnym, gdy kto bdzie chcia skorzysta z czyjego cza a majc do dyspozycji wiele sieci w okolicy, wybierze sie, ktra nie posiada adnych zabezpiecze. Istnieje wiele powodw, dla ktrych zabezpieczenie WEP bdzie jeszcze dugo stosowane niezalenie od tego jak bezpieczne bd rozwizania w przyszoci. Mechanizm WEP jest obsugiwany przez kade urzdzenie standardu 802.11. Jest atwy w konfiguracji. Nowe urzdzenia bd wybieray taki poziom zabezpiecze, ktry umoliwi ich wspprac ze starszym sprztem. Wiele osb nadal twierdzi, e WEP stanowi wystarczajce zabezpieczenie.

4.4. WPA

Po zamaniu mechanizmu szyfrowania WEP w sierpniu 2001 roku, stowarzyszenie Wi-Fi Alliance zmuszone zostao do szybkiego stworzenia innego protokou szyfrujcego pozwalajcego na lepsze zabezpieczenie sieci

bezprzewodowych. W tym czasie opracowywany by ju standard 802.11i ale by on dopiero w trakcie projektowania i trzeba byo znale szybsze rozwizanie. Nowy mechanizm mia by pozbawiony wszystkich bdw z WEP oraz musia wsppracowa z urzdzeniami ju wyprodukowanymi. Przy projektowaniu nowego mechanizmu zabezpiecze, skorzystano z niektrych rozwiza technicznych wykorzystanych we wczeniejszym WEP, a take z nowych pomysw standardu 802.11i. Po kilku miesicach pracy narodzi si nowy standard nazwany WPA (Wi-Fi Protected Access)


4.4.1 Zasada dziaania mechanizmu WPA

Mechanizm WPA rozwizuje prawie wszystkie problemy wystpujce w WEP: Zostaa wyduona dugo kluczy szyfrowania w stosunku do WEP z 40 do 128 bitw. Dziki czemu brutalny atak siowy na klucze sta si praktycznie nie moliwy. Standard WPA take korzysta z algorytmu RC4, jednak klucze szyfrowania w standardzie WPA zmieniane s regularnie i w sposb automatyczny. Dla wikszego bezpieczestwa, wymiana ta przebiega w zaszyfrowany sposb. Klucze zmieniane s bardzo czsto, dziki czemu napastnik nie bdzie w stanie przechwyci wystarczajcej liczby pakietw, tak jak miao to miejsce w WEP, by odszyfrowa warto klucza. Zwikszono dugo wektora IV z 24 do 48 bitw. Dostpnych jest teraz 281 trylionw rnych wartoci inicjalizacji. Jak pisaem w poprzednim rozdziale, w mechanizmie WEP moliwych byo niecae 17 milionw wartoci, jest to wic rnica kolosalna. W WPA zastosowany zosta mechanizm uwierzytelniania wzajemnego, dziki czemu jest on odporny na ataki typu czowiek w rodku. Zastosowano technologi MIC (Michael), ktra ma na celu uniemoliwienie napastnikowi przechwycenia pakietw z danymi. MIC posuguje si cile okrelon funkcj matematyczn, przy pomocy ktrej zarwno nadajnik jak i odbiornik licz, a nastpnie porwnuj wyniki. Przy braku zgodnoci przyjmuje si, e miaa miejsce prba przejcia danych i pakiet taki zostaje odrzucony.

Mechanizm WPA zosta zaprojektowany tak, by spenia wymagania zarwno duych jak i maych sieci. Projektanci wzili pod uwag fakt, e nie wszystkie sieci s podobne do siebie wielkie i rozlege sieci maj inne wymagania ni sieci skadajce si z kilku uytkownikw. W obu tych przypadkach mechanizm ten dziaa zupenie inaczej. W duych, centralnie zarzdzanych sieciach WPA obsuguje uwierzytelnianie oraz wymian kluczy za pomoc serwera RADIUS. Jest to serwer, ktry zarzdza centralnie uwierzytelnianiem w sieci oraz dystrybucj kluczy szyfrowania.


Z tego powodu mechanizm WPA mona podzieli na dwa rodzaje:

1. Personal, ktry opiera si na kluczu PSK, std nazwa WPA-PSK, do zastosowa domowych 2. Enterprise, korzystajcy z serwera RADIUS, do zastosowa profesjonalnych

Uwierzytelnianie w sieciach Wi-Fi moe si odbywa na wiele rnych sposobw ujtych w standardzie 802.1x. W wielkich sieciach firmowych rozproszonych w wielu miejscach system 802.1x moe by bardzo skomplikowany, a jego wdroenie moe zaj nawet kilkanacie dni. Dokadniej temat uwierzytelniania opisz w dalszej czci pracy. W maych sieciach skadajcych si z jednego punktu dostpu protok uwierzytelniania 802.1x jest rwnie wykorzystywany, jednak nie ma w nich serwera RADIUS, dziki temu cay system jest mniej skomplikowany. Brak serwera odpowiedzialnego za dystrybucj kluczy moe okaza si problemem dla administratora lub waciciela sieci. Musi on bowiem rcznie wprowadzi klucz szyfrowania do wszystkich urzdze Wi-Fi korzystajcych z sieci. Wprowadzony klucz pozostaje zapisany w pamici urzdzenia i jest on nazywany kluczem wstpnie przydzielonym PSK (ang. pre-shared key). Czynno ta wykonywana jest w taki sam sposb jak w mechanizmie WEP, trzeba wpisa 32 cyfry szesnastkowe lub fraz, na podstawie ktrej generator utworzy odpowiedni klucz. Wielk wad szyfrowania WEP by fakt, e ludzie zmieniali klucze bardzo rzadko, a niekiedy nawet wprowadzone klucze nie byy zmieniane nigdy. Byo to spowodowane problemem zwizanym z wpisywaniem do kadego urzdzenia nowych kluczy, wszystkie trzeba wpisa rcznie, co w przypadku wikszej sieci stanowio spory problem. Przy staej wartoci klucza osoba nieuprawniona do korzystania z sieci moga w do krtkim czasie zebra odpowiedni ilo pakietw by zama zabezpieczenie WEP. Pomys lecy u podstaw mechanizmu WPA, polega na regularnej automatycznej zmianie kluczy wykonywanej, co pewien stay, okrelony przez administratora czas. Za zmian kluczy odpowiedzialny jest protok TKIP (ang. Temporal Key Integrity Protocol). TKIP powiksza rozmiar klucza z 40 do 120 bitw oraz podmienia pojedynczy klucz statyczny WEP kluczami generowanymi dynamicznie i rozprowadzanymi przez serwer identyfikacyjny. TKIP stosuje metodologi hierarchii i zarzdzania kluczami, www.elibre.pl portal o e-publikacjach i technoologii e-papieru

pozbawiajc intruzw moliwoci przewidywania, ktry klucz WEP nadaje si do wykorzystania. Hierarchia kluczy TKIP pozwala na wymian pojedynczego klucza WEP na okoo 500 miliardw moliwych kluczy dajcych si uy do danego pakietu danych.6 Jeeli przedzia czasu odnawiania klucza zostanie wyznaczony zgodnie z intensywnoci ruchu w sieci to napastnik nie bdzie w stanie zebra tylu pakietw, by wystarczyy do zamania klucza. Przedzia czasu zmiany klucza moe by ustawiony w punkcie dostpu lub w bramie bezprzewodowej. Domylna warto tego przedziau wynosi 60 minut, co w zupenoci wystarcza dla maych sieci domowych lub biurowych. Jeeli mamy do czynienia z wikszymi sieciami o duej przepustowoci zaleca si skrci ten czas do 10-15 minut. Przy takich ustawieniach, na dzie dzisiejszy aden haker nie jest w stanie zebra wystarczajcej iloci pakietw w tak krtkim czasie. Odnawianie kluczy zajmuje kilka sekund, dlatego nie zaleca si skracania czasu do mniej ni 10 minut, poniewa moe to spowolni dziaanie sieci. Jak ju napisaem wczeniej w mechanizmie WPA zastosowano ten sam algorytm szyfrowania RC4, co w WEP. Zosta on uyty dlatego, e jest prosty i atwy do zaimplementowania a ponadto nie obcia zbytnio procesora i pomimo faktu, i WEP mona bardzo atwo zama to przez zastosowanie wyej wymienionych udoskonale mechanizm WPA sta si bardzo mocnym zabezpieczeniem.

4.4.2. Wady i problemy protokou

Pomimo, e WPA jest bardzo silnym zabezpieczeniem ma on te sabe punkty, wynikajce z samej koncepcji tego mechanizmu. Nie dotyczy to wykorzystywanym w nim algorytmie RC4. Moe si zdarzy, e mechanizm WPA wyczy punkt dostpu na jaki czas. Dzieje si tak, jeeli w cigu 60 sekund test MIC (Michael) da wynik negatywny w przypadku wicej ni dwch pakietw. Z jednej strony jest to dobre rozwizanie, poniewa w takim przypadku mona przypuszcza, e kto prbuje dosta si do sieci. Z drugiej strony pozwala to wamywaczowi na zaatakowanie sieci atakiem typu odmowa usugi (DoS), za pomoc celowo uszkadzanych pakietw, co moe doprowadzi do wyczenia punktu dostpu.6

http://www.tomshardware.pl/network/20030710/nktwpa-02.html


Stowarzyszenie Wi-Fi Alliance zaprojektowao standard WPA, by mg by zastosowany na sprzcie wyprodukowanym ju wczeniej, za pomoc aktualizacji oprogramowania. Niestety jak si okazao pniej, byo to czasami kopotliwe. Mona wymieni kilka podstawowych problemw zwizanych z aktualizacjami starszego sprztu. Wystarczy, e jedno urzdzenie w sieci nie bdzie w stanie zaktualizowa si do dziaania z WPA to automatycznie ucierpi bezpieczestwo caej sieci. Zdarzao si, e w starszym sprzcie mimo prb aktualizacji, mechanizm WPA nie dziaa. Byo to spowodowane faktem, i WPA wymaga wikszej mocy obliczeniowej ni WEP. W takim przypadku trzeba byo zainwestowa w nowe urzdzenia lub korzysta dalej z szyfrowania WEP z nadziej, e nic si nie wydarzy. Niektrzy producenci sprztu nie udostpniali aktualizacji oprogramowania, w zwizku z czy trzeba byo korzysta z oprogramowania typu Open Source. Mechanizm WPA nie dziaa ze starszymi systemami operacyjnymi. Microsoft wprowadzi obsug tego standardu w Windows XP, jednak nie udostpni aktualizacji dla starszych systemw typu Windows 98. Uytkownikom korzystajcym z wczeniejszych systemw pozostaje jedynie szukanie alternatywnego oprogramowania, co czsto wie si ze sporym wydatkiem.

Niektre z wymienionych przeze mnie problemw zwizanych z WPA wynikay std, e mechanizm ten by przygotowywany w duym popiechu. Omwiony przeze mnie mechanizm WPA jest czci technologii wzitych z przyszego standardu 802.11i, ktry pniej zosta nazwany przez organizacj Wi-Fi Alliance mianem: WPA2.

4.5. WPA2 (802.11i)

Standard IEEE 802.11i zosta wprowadzony w czerwcu 2004 roku. Prace nad tym standardem trway na tyle dugo, e w midzyczasie wprowadzono inne rozwizania majce na celu podniesienie sabego poziomu bezpieczestwa sieci bezprzewodowych. Rozwizaniem takim byo stworzenie WPA, ktry wykorzystuje www.elibre.pl portal o e-publikacjach i technoologii e-papieru

wiele funkcji nowego standardu 802.11i. Zasadnicza zmiana w stosunku do specyfikacji WPA to rezygnacja z algorytmu RC4 na rzecz szyfrowania AES (Advanced Encryption Standard). Za zarzdzanie kluczami i integralno komunikatw odpowiada pojedynczy skadnik uywajcy protokou CCMP (Counter mode Cipher Block Chaining (CBC) Message Authentication Code (MAC) Protocol). Mona powiedzie, e WPA2 to poprawiony i zaakceptowany przez IEEE WPA.

Rys.6. Dziaanie mechanizmu 802.11i, rdo: http://www.networld.pl/artykuly/48492.html

Wydawa by si mogo, e zsumowanie owocw dotychczasowych prac prowadzonych nad bezpieczestwem sieci bezprzewodowych powinno da w sumie silne zabezpieczenie. Jednak ju w lipcu 2004 roku firma Aruba Wireless Networks poinformowaa o zamaniu standardu 802.11i. Dokadny opis ataku zosta przedstawiony na stronach portalu www.idg.pl: Aruba Wireless Networks zajmuje si zabezpieczeniami sieci

bezprzewodowych. Specjalistom z tej firmy udao si zama zabezpieczenia nowo wprowadzonego standardu - 802.11i. Aby mc zama zabezpieczenia, wamywacz musi uzyska - oprcz bezporedniego dostpu do zaatakowanej sieci - rwnie dostp do klucza, ktry suy do szyfrowania transmisji przechodzcej przez punkt dostpu. Jeeli wamywaczowi uda si dosta do takiego punktu dostpu, bez problemu moe www.elibre.pl portal o e-publikacjach i technoologii e-papieru

odczy z sieci dowolnego i - co najwaniejsze - zalogowanego uytkownika, ktry po takim rozczeniu automatycznie ponawia nawizanie poczenia. Jest to o tyle istotne, e podczas ponownego nawizania prby poczenia przez uytkownika mona j podsucha i zdoby potrzebne dane do uzyskania dostpu do sieci. Tak zdobyte dane analizowane s pniej uywajc metody "brute force". Oczywicie problem ten, wedug Joshua Wright z SANS Institute, mona rozwiza stosujc scentralizowane zarzdzanie kluczami. 7 W poprzednim standardzie - WPA, wystarczya aktualizacja softu by zadziaa w wikszoci starszych sieciowych kartach bezprzewodowych. W WPA2 natomiast to nie wystarcza, urzdzenia musz by specjalnie zaprojektowane do obsugiwania mechanizmu 802.11i. Poza tym pocztkowo systemy operacyjne nie obsugiway nowego standardu zabezpiecze. Microsoft opublikowa darmow poprawk

przeznaczon do uaktualnienia komponentw sieci bezprzewodowych w systemie Windows XP Service Pack 2. Dziki temu system bdzie w stanie obsuy WPA2.8 Podsumowujc, mechanizmy zawarte w metodzie 802.11i gwarantuj najwyszy poziom bezpieczestwa przez uwierzytelnianie uytkownikw, dobre szyfrowanie dynamicznie generowanym kluczem oraz kontrol integralnoci przesyanych danych. Mimo tego, e WPA2 zosta zamany jest w tej chwili najmocniejszym zabezpieczeniem. Atak zaprezentowany przez firm Aruba Wireless Networks jest na tyle skomplikowany, e tylko wykwalifikowani specjalici bd w stanie go wykona. Od tamtej pory nie pojawiy si adne informacje o zamaniu mechanizmu WPA2 innym sposobem. Nie byo te informacji o wykorzystaniu wyej wymienionego ataku przez hakerw. Od marca 2006 roku wszystkie urzdzenia korzystajce z sieci standardu 802.11 certyfikowane przez Wi-Fi Alliance musz by kompatybilne z WPA2.

7 8

http://wireless.idg.pl/artykuly/45535_1.html Poprawka jest dostpna pod adresm: http://support.microsoft.com/default.aspx?scid=kb;en-us;893357


4.6. Uwierzytelnianie i szyfrowanie (w sieciach bezprzewodowych)

4.6.1. Standard IEEE 802.1x

802.1x jest standardem IEEE uwierzytelnionego dostpu do przewodowych sieci Ethernet i bezprzewodowych sieci standardu 802.11. Standard IEEE 802.1x podwysza poziom zabezpiecze i uatwia ich wdraanie, poniewa oferuje obsug

scentralizowanej

identyfikacji

uytkownikw,

uwierzytelniania,

dynamicznego

zarzdzania kluczami i ewidencjonowania aktywnoci.9 Kariera standardu 802.1x w sieciach bezprzewodowych rozpocza si, gdy na jaw wyszy wszystkie saboci WEP. Wtedy to wielu dostawcw zaimplementowao 802.1x w bezprzewodowych punktach dostpu, by zapewni bezpieczestwo sieci przynajmniej na poziomie autoryzacji. Zastosowanie uwierzytelniania 802.1x eliminuje niebezpieczestwo nieautoryzowanego dostpu do sieci ju na poziomie warstwy dostpu. Zazwyczaj uwierzytelnienie jest przeprowadzane przez serwer RADIUS. Standard IEEE 802.1x jest oparty na protokole EAP. Alternatywnie IEEE 802.1x moe zosta tak skonfigurowany, aby umoliwia nieautoryzowanym klientom dostp do specjalnie wydzielonej podsieci wirtualnej zwanej VLAN. Podsie taka moe zosta przystosowana specjalnie na potrzeby goci. rodowisko standardu 802.1x skada si z trzech elementw: Klient w sieciach Wi-Fi jest to komputer zaopatrzony w bezprzewodow kart sieciow, ktry prbuje uzyska dostp do sieci przez punkt dostpu. W sieciach LAN jest to komputer czcy si ze switchem. Switch lub Access Point wymusza uwierzytelnienie klienta przed udostpnieniem portu LAN do uytku. Serwer uwierzytelniajcy dokonuje uwierzytelnienia i autoryzacji klienta. W chwili poczenia sprawdza uprawnienia uytkownika i przesya informacj do punktu dostpu, ktry udziela, bd nie udziela dostpu. W sieciach bezprzewodowych najczciej do tego celu wykorzystuje si RADIUS.http://technet2.microsoft.com/WindowsServer/pl/Library/908d13e8-c4aa-4d62-840186d7da0eab481045.mspx?mfr=true9


Rys. 7. Schemat dziaania standardu 802.1x, rdo: http://wss.pl/Articles/6880.aspx

4.6.2. EAP Dziaanie protokou EAP bardzo szczegowo opisa Microsoft na swoich witrynach internetowych: http://www.microsoft.com/poland/technet. Poniej przedstawiam krtki opis protokou znajdujcy si pod dokadnym adresem:10 W standardzie 802.1X protok EAP jest uywany do wymiany komunikatw podczas procesu uwierzytelniania. Protok EAP umoliwia korzystanie z dowolnej metody uwierzytelniania, na przykad certyfikatw, kart inteligentnych lub

powiadcze. Pozwala on rwnie na nieograniczon konwersacj midzy klientem EAP (np. komputerem bezprzewodowym) a serwerem EAP, takim jak serwer usugi uwierzytelniania internetowego (IAS, Internet Authentication Service). Na konwersacj skadaj si dania wysyane przez serwer, ktre dotycz podania informacji uwierzytelniajcych, oraz odpowiedzi wysyane przez klienta. Aby uwierzytelnienie powiodo si, klient i serwer musz korzysta z tej samej metody uwierzytelniania. EAP-TLS - Protok EAP-TLS (Transport Layer Security) to typ protokou EAP, ktry jest uywany w rodowiskach zabezpiecze korzystajcych z certyfikatw i stanowi najsilniejsz metod uwierzytelniania i ustalania klucza.

http://technet2.microsoft.com/WindowsServer/pl/Library/908d13e8-c4aa-4d62-840186d7da0eab481045.mspx?mfr=true

10


EAP-MS-CHAP v2 - EAP-Microsoft Challenge Handshake Authentication Protocol version 2 stanowi metod uwierzytelniania wzajemnego, ktra obsuguje uwierzytelnianie uytkownikw i komputerw w oparciu o hasa. Aby proces uwierzytelniania przy uyciu protokou EAP-MS-CHAP v2 zakoczy si powodzeniem, zarwno serwer, jak i klient, musz udowodni, e znaj haso uytkownika.

PEAP - Protok PEAP z protokoem EAP-TLS, ktry uywa certyfikatw do uwierzytelniania serwerw oraz kart inteligentnych lub certyfikatw do uwierzytelniania uytkownikw i komputerw klienckich.

4.6.3. PPPoE (Point-to-Point Protocol over Ethernet)

Protok ten zosta stworzony do autoryzacji w sieciach LAN. Czsto suy on take do czenia z Internetem poprzez zastosowanie odpowiedniego modemu, przykadem moe by usuga Neostrada wiadczona przez Telekomunikacj Polsk. Okazao si jednak, e protok PPPoE moe by zastosowany rwnie w przypadku sieci bezprzewodowych. Moe on stanowi alternatyw dla protokou 802.1x. Zalet PPPoE jest jednorazowa konfiguracja sieci (za pomoc wbudowanych kreatorw systemw Windows 2003/XP/2000), niezwykle podobna do konfiguracji Neostrady. Tak samo jak 802.1x, moe wykorzystywa serwer RADIUS. Niestety PPPoE jest wpierane tylko przez profesjonalne i drogie punkty dostpu. Rozwizaniem jest konfiguracja odpowiedniego komputera oparta na Linux, MikroTik lub BSD, ale czynno ta jest dosy skomplikowana.

4.6.4. VPN (Virtual Private Network)

Wirtualne Sieci Prywatne, w skrcie VPN, to dobry sposb na zabezpieczenie transmisji, gdy nie mamy dostpu do Access Pointa lub z innych wzgldw nie chcemy wprowadza szyfrowania ruchu w caej sieci Wi-Fi.


VPN umoliwia tworzenie wirtualnych sieci korzystajcych z technologii tunelowania (protok PPTP). Przez tunel taki pynie ruch w ramach sieci prywatnej, pomidzy klientami kocowymi, za porednictwem publicznej sieci (takiej jak Internet) w taki sposb, e wzy tej sieci s przezroczyste dla przesyanych w ten sposb pakietw. Dane przesyane takim tunelem mog by szyfrowane i kompresowane, co zapewnia wysok wydajno i bezpieczestwo takiego rozwizania. W sieci Wi-Fi zastosowanie VPN jest uzasadnione w dwch przypadkach: 1) Chcemy uchroni nasze dane przed wcibskim administratorem. 2) Zaley nam na bezpieczestwie transmisji w nieszyfrowanej sieci.

4.7. WPS (Wi-Fi Protected Setup)

W 2003 roku stowarzyszenie Wi-Fi Alliance przeprowadzio badania, ktre miay okreli, dlaczego tak mao osb wcza szyfrowanie WPA, WPA2 bd WEP. Okazao si, e konfiguracja tych zabezpiecze dla 44 procent ludzi stanowia powany problem, bya po prostu za trudna.11 Moim zdaniem warto ta zostaa troch zawyona, poniewa jak poka pniej wczenie WPA lub WEP jest bardzo proste i osoby, ktre chocia w minimalnym stopniu umiej korzysta z komputera powinny sobie z tym poradzi. Jedynym problemem moe by konfiguracja WPA lub WPA2 w sieci, w ktrej korzysta si z serwera RADIUS. Wedug mnie przyczyn faktu, e ludzie nie zabezpieczaj swoich sieci jest po prostu lenistwo. Przewanie kade dostpne urzdzenie posiada dokumentacj oraz instrukcj, z ktrych mona dowiedzie si, w jaki sposb je skonfigurowa. Z innego punktu widzenia to wynik 44 % nie powinien dziwi, biorc pod uwag to, e badania byy przeprowadzane w Stanach Zjednoczonych a jak wiadomo Amerykanie wymyl wszystko byle by si nie napracowa i uatwi sobie ycie. Wi-Fi Protected Setup bdzie stosowany w sieciach infrastrukturalnych gdzie do uzyskania poczenia korzysta si z punktw dostpu. W sieciach ad hoc system ten nie bdzie dziaa. Zaleca si go do zastosowania w maych sieciach domowych i biurowych. W wikszych sieciach gdzie zastosowano serwery uwierzytelniania WPS11

http://www.wi-fi.org


nie zda egzaminu. System ten zosta zaprojektowany w taki sposb, by uytkownik nie musia praktycznie niczego zna ani wiedzie. Do poczenia si z punktem dostpu nie trzeba zna nazwy SSID ani klucza szyfrowania WPA2, dane te zostan same przesane z nadajnika do komputera. Dziaanie WPS w praktyce podzielono na dwa rne rozwizania. W pierwszym przypadku, aby zabezpieczy sie Wi-Fi uytkownik musi poda skadajcy si z cyfr kod PIN (Personal Information Number). W drugim rozwizaniu wystarczy tylko nacisn jeden przycisk, sposb ten okrela si skrtem PBC (Push Button Configuration). System WPS wykorzystuje opisany ju przeze mnie mechanizm zabezpiecze WPA2 i jest kompatybilny z wszystkimi urzdzeniami certyfikowanymi przez Wi-Fi Aliiance do korzystania z 802.11i, jednak w wikszoci wypadkw potrzebna bdzie aktualizacja oprogramowania. Od stycznia 2007 organizacja wystawia certyfikaty zgodnoci z WPS wszystkim urzdzeniom, ktre pomylnie przejd testy zarwno z PIN jak i PBC. Obecnie na rynku jest jedynie kilka punktw dostpu, ktre mog wykorzystywa nowy standard.

Rys. 8. Znak certyfikacji WPS rdo: www.wi-fi.org

Na dzie dzisiejszy nie mona jeszcze w peni oceni dziaania tego standardu, poniewa urzdzenia korzystajce z WPS dopiero zaczynaj pojawia si na rynku. Po kilku miesicach dziaania bdzie mona oceni system w praktyce, a z czasem bd wychodzi wady i zalety tego rozwizania. Jedyne co mona stwierdzi, to e bdzie zapewnia taki sam poziom bezpieczestwa jak WPA2. Jednak moim zdaniem system WPS szybko zostanie zamany. Pomimo zastosowania standardu 802.11i, nowy standard jest zbyt prosty i na pewno zostan odkryte pewne luki, ktre pozwol na nieautoryzowany dostp lub podsuch. www.elibre.pl portal o e-publikacjach i technoologii e-papieru

4.8. Dekalog administratora sieci

Chciabym przedstawi tutaj dekalog administratora sieci, ktry znalazem na stronie internetowej portalu www.idg.pl.12 Myl, e kady administrator powinien nauczy si go na pami. W 10 punktach zostay przedstawione czynnoci, jakie powinno si wykona, aby dobrze zabezpieczy sie Wi-Fi. Poniej caa tre dekalogu:

1. Zmie nazw i haso - zaraz po uruchomieniu routera zmodyfikuj przynajmniej haso uytkownika "admin", ktry zwykle ma nielimitowany dostp do sprztu. 2. Wcz zabezpieczenia - nie przesyaj sieci adnych wanych danych, zanim nie uruchomisz przynajmniej szyfrowania WEP; a najlepiej WPA-PSK lub WPA2. Nie myl, e skoro w pobliu nie byo adnych WLAN, nikt nie moe ci podsuchiwa. 3. Uruchom firewall w stacjach roboczych - niezalenie od wczenia firewalla w routerze powiniene zabezpieczy rwnie desktopy. Nawet jeli kto dostanie si do twojej sieci, bdzie mia olbrzymie trudnoci z wnikniciem na pulpity maszyn. 4. Filtruj adresy MAC - niech z routerem mog si poczy jedynie te urzdzenia, ktre nale do ciebie. 5. Oddziel sie bez- i przewodow - jeeli komputery podczone kablem dostaj adresy IP z zakresu 192.168.2.1-100, zmodyfikuj tak opcje routera, aby Wi-Fi dziaao w zakresie 192.168.3.1-100 lub innym. 6. Nie zarzdzaj przez WLAN nawet, jeli wczye dostp do panelu administracyjnego routera przez SSL (czyli w przegldarce wpisujesz adres https://...), wycz moliwo zmieniania opcji przez Wi-Fi albo od strony Internetu. Zabezpieczysz si w ten sposb nie tylko przed intruzami, lecz take przed nagym odciciem sobie dostpu do sieci. 7. Rezygnuj z domylnych kanaw - tu po uruchomieniu routera zmie domylny kana transmisji na inny (patrz numer 09/2006 PC World Komputera).

12

http://wireless.idg.pl/artykuly/52702.html


8. Waciwie ustaw punkt dostpowy/router - jeli sprzt bdzie sta na rodku mieszkania, zmniejszysz "przeciekanie" sygnau przez ciany. 9. Obni moc urzdze - jeli to moliwe, postaraj si zmniejszy moc nadawania w routerze i karcie sieciowej. Transfer spadnie minimalnie, natomiast zabezpieczysz si przed wardriverami buszujcymi pod twoim blokiem. 10. Teraz najwaniejsze: sprawd si. Sprbuj si wama do wasnego WLAN z pracy albo z klatki schodowej. Skorzystaj te ze skanera portw w witrynie Sygate.

4.9. Fizyczne zabezpieczenia sieci

4.9.1 Zabezpieczenia przed kradzie

Zablokowanie sieci Wi-Fi przed nieautoryzowanym dostpem to nie wszystkie czynnoci, jakie powinnimy zrobi by uczyni nasz sie bezpieczn. Oprcz prb poczenia i wamania si do naszej sieci, musimy wzi pod uwag take takie osoby, ktrych nie interesuj przesyane dane ani dostp do Internetu. Obiektem zainteresowania tych osb jest sprzt zastosowany przy budowie sieci bezprzewodowej i czsto ma dla nich warto tylko materialn. Krtko mwic, musimy zabezpieczy si przed kradzie. Kto moe powiedzie, e jak si zodziej uprze to ukradnie wszystko i to jest prawda, nigdy nie zabezpieczymy si w 100% przed kradzie, nawet zamykajc rzeczy w sejfie jestemy naraeni na to, e znajd si osoby chcce go otworzy. W takim wypadku musimy postara si o to, by nasz sprzt sieciowy zainstalowany z dala od naszych domw na masztach lub wieach, nie rzuca si zbytnio w oczy, jak zodziej go nie zobaczy to nie ukradnie. W przypadku, gdy posiadamy punkt dostpu i anten na dachu swojego domu to prawdopodobiestwo tego, e kto tam wejdzie i ukradnie sprzt jest porwnywalne do wytypowania 6 w lotku. Nikt bowiem o zdrowym umyle nie bdzie ryzykowa wizieniem wkradajc si do domu po to by zarobi par zotych. Troch inaczej sprawa wyglda, gdy nasz punkt dostpu i anteny s ulokowane na wiey lub maszcie w niezamieszkaej okolicy. Wtedy zodziej niezauwaony przez nikogo moe wej na gr i zabra sprzt. W takim przypadku ciko jest obroni si przed napastnikiem, jedynie co moemy zrobi to www.elibre.pl portal o e-publikacjach i technoologii e-papieru

utrudni zodziejowi zadanie. Gdy na wiey mamy zainstalowany punkt dostpu to dobrze eby by on w skrzynce zamykanej na zamek lub kdk, dobrze byoby go te umiejscowi w takim miejscu, by z dou nie by widoczny. Jeeli chodzi o anteny to wystarczy dobrze umocowa je do masztu, pozwoli to take na zabezpieczenie ich przed silnym wiatrem Oprcz takich mao wartociowych rzeczy jak punkty dostpu, kable i anteny powinnimy martwi si o bezpieczestwo naszego laptopa lub palmtopa. Taki komputer jest znacznie lepsz zdobycz dla zodzieja. Jeeli wykorzysta go w celach zarobkowych i sprzeda pierwszemu chtnemu za p ceny to jeszcze p biedy, gorzej sprawa wyglda, gdy napastnik zechce za pomoc tego laptopa poczy si z nasz sieci bezprzewodow. Nie musi on wtedy zna adnego hasa i nie obchodzi go czy sie jest zabezpieczona jakim mechanizmem czy nie. System operacyjny sam poczy si z sieci bez wikszych problemw. Aby zapobiec takim wydarzeniom, musimy mie komputer zawsze na oku, nie zostawia go nawet na chwil w niepewnych miejscach. Najlepiej zawsze mie go w torbie lub trzyma w rce. Nie zaleca si te zostawiania laptopa na noc lub duej nawet w czasie urlopu. Byo ju kilka przypadkw wyniesienia przez zodziei komputerw z firm pomimo zatrudnionych tam firm ochroniarskich. W sieciach standardu 802.11 zastosowanych w firmach, odpowiedzialno za zabezpieczenie przed kradzie przechodzi na dzia ochrony lub firm ochroniarsk. Jedyne, co musimy zrobi jako administrator a nawet jako uytkownik sieci to poinformowanie ochrony gdzie znajduj si urzdzenia sieciowe i ewentualnie okablowanie, tak by adna obca osoba nie krcia si w okolicy sprztu.

4.9.2 Zabezpieczenia przed dziaaniem czynnikw atmosferycznych.

Ta cz pracy dotyczy sprztu stosowanego w sieciach 802.11 wystawionego na dziaanie czynnikw atmosferycznych. Mona wymieni cztery czynniki, ktre mog nas pozbawi dostpu do sieci, a nawet mog powodowa uszkodzenie anten lub punktw dostpowych: wiatr, opady, pioruny i temperatura. Wikszo anten i niektre punkty dostpowe mocowane s na zewntrz budynkw na dachach, w celu zapewnienia dobrej widocznoci. Czsto to nie wystarcza www.elibre.pl portal o e-publikacjach i technoologii e-papieru

i stawia si specjalne maszty tak by antena znalaza si jeszcze wyej. Maszt taki musi by bardzo stabilny, mocno przytwierdzony do dachu lub innego podoa, jeli przekracza wysoko kilku metrw powinien by take przypity linami najlepiej z czterech stron. Jeli zaniedbamy t czynno to przy mocniejszym podmuchu wiatru maszt moe si przewrci, co najczciej koczy si uszkodzeniem anteny lub punktu dostpu, jeli by tam take zamontowany. Drugim uciliwym czynnikiem zagraajcym naszej sieci s opady atmosferyczne. Padajcy deszcz lub nieg moe okaza si sporym problemem, jeli mamy le uszczelnion tub od anteny lub skrzynk z punktem dostpu. Musimy zadba o to by tak zamontowa urzdzenie by nie dostaa si do niego woda, poniewa w przypadku punktu dostpu wystarczy tylko kilka kropel by uleg zniszczeniu. Wystawiajc access point na zewntrz musimy umieci go w bardzo szczelnej skrzynce, albo w inny sposb ochroni go przed dziaaniem wody. Mona umieci go pod dachem lub skonstruowa samemu mae zadaszenie. Jeeli chodzi o anteny to zagroenie opadami dotyczy tylko tych anten, ktre s zamknite szczelnie w tubie bd skrzynce np. yagi, anteny panelowe. Problem polega na tym, e w przypadku nieszczelnoci woda atwo si moe dosta do rodka i w momencie, gdy bdzie jej duo to moe spowodowa znaczny spadek mocy odbieranego lub nadawanego sygnau. Jeeli chodzi o temperatur to najczstszym problemem moe by przegrzanie si punktu dostpowego a w konsekwencji jego zawieszenie. Montujc routery bezprzewodowe w szczelnych puszkach trzeba zapewni swobodny przepyw powietrza. Najprociej jest wywierci kilka otworw, najlepiej od dou by przy opadach deszczu woda nie dostawaa si do rodka. Warto te zastosowa urzdzenie zwane odgromnikiem, ktre zabezpiecza urzdzenia radiowe przed piorunami lub wyadowaniami atmosferycznymi. Odgromnik podcza si do kabla midzy punktem dostpu a anten i uziemia poprzez poczony przewd uziemiajcy. Odgromniki posiadaj w rodku element przypominajcy bezpiecznik, ktry podczas skoku napicia zrywa poczenie, chronic sprzt.


Rozdzia V. Utworzenie dobrze zabezpieczonej sieci Wi-Fi w praktyce.

W rozdziale tym przedstawi w praktyce opisane przeze mnie zabezpieczenia. Do tego celu stworzyem testow sie, ktra skada si z punktu dostpowego Linksys WRT54GC, laptopa Asus oraz z komputera stacjonarnego. Notebook HP wykorzystam do przeprowadzania atakw i sprawdzania konfiguracji sieci. Komputer stacjonarny podczony jest do routera kablem, natomiast laptop Asus oraz HP korzystaj z poczenia bezprzewodowego w standardzie 802.11g.

Rys. 9. Schemat sieci testowej wykorzystanej do przeprowadzenia bada

Na wszystkich komputerach w sieci zainstalowane zostay systemy Microsoft Windows XP Home. Poniewa wszystkie komputery nalece do tej sieci znajdoway si w jednym pomieszczeniu, wykorzystaem karty sieciowe, jakie byy zamontowane wewntrz laptopw. Poczenia byy dobre i stabilne, dlatego nie musiaem korzysta z anten zewntrznych.


5.1 Sie niezabezpieczona

Na pocztku chciabym pokaza jak atwo mona poczy si z sieci bezprzewodow, ktra nie posiada adnych zabezpiecze. Zademonstruj te, z jak atwoci mona przechwyci informacje przesyane w tej sieci. Oprcz mao wanych informacji o tym, jakie strony internetowe otwiera uytkownik mona dowiedzie si jaki ma login i haso do poczty e-mail lub do banku internetowego. Majc dziaajc ju sie skadajc si z routera WRT54GC, komputera stacjonarnego oraz laptopa Asus, przeprowadz prb poczenia si do tej sieci za pomoc notebooka HP. Po wczeniu komputera, system Windows od razu wykry dostpn sie i wystarczyo tylko klikn w przycisk Pocz by poczy si z t niezabezpieczon sieci. Jeeli we waciwociach karty sieciowej bdzie wczona opcja automatycznego czenia z sieci bdc w zasigu, wtedy laptop sam nawie poczenie.

Rys. 10. Kolejne etapy czenia si z niezabezpieczon sieci.


Po podczeniu si do testowej sieci mog teraz zacz podsuchiwa cay ruch sieciowy. Wystarczy, e skorzystam z programu przechwytujcego pakiety, ktry zbierze odpowiednie dane. Do tego celu wykorzystaem program Ethereal, ktry pokaza mi, co uytkownicy laptopa Asus oraz komputera stacjonarnego robili w Internecie. Oprcz wywietlenia stron, jakie przegldali, program wychwyci te haso i login do konta pocztowego.

Rys. 11. Ethereal widoczne przechwycone login i haso

Oprcz podsuchiwania ruchu sieciowego, w niezabezpieczonej sieci mona zrobi wiele zego. Jak ju pisaem we wczeniejszych rozdziaach powanym zagroeniem jest podszywanie si pod adres IP innego uytkownika. Aby tego dokona trzeba zmieni adres MAC swojej karty sieciowej na adres wybranego uytkownika. W podrozdziale 5.3 opisuj dokadnie jak to zrobi. Kolejnym niebezpieczestwem zwizanym z pojawieniem si intruza w sieci jest moliwo zmiany przez niego ustawie sieciowych. Jeeli punkt dostpowy posiada standardowe ustawienia to mona w atwy sposb dosta si do jego panelu konfiguracyjnego. Wystarczy poszuka w Internecie informacji o domylnych ustawieniach dla danego routera bezprzewodowego. W przypadku Linksysa WRT54GC jego panel administracyjny jest dostpny pod adresem 192.168.1.1 a login i haso jest www.elibre.pl portal o e-publikacjach i technoologii e-papieru

takie same: admin. W ten sposb za pomoc laptopa HP, z ktrego skorzystaem do wpicia si do sieci, mog teraz pozmienia ustawienia punktu dostpowego. Jeeli zmieni jego adres IP, haso administratora oraz odcz inne komputery od sieci za pomoc filtracji MAC to wacicielowi sieci pozostanie tylko i wycznie zresetowanie routera. Jak pokazaem wyej, nie ma nic trudnego w poczeniu z sieci bezprzewodow nie posiadajc zabezpiecze a take z przechwytywaniem przesyanych danych. Dlatego te nigdy nie powinno si korzysta z niezabezpieczonych sieci Wi-Fi.

5.2 Wyczenie rozgaszania nazwy SSID sieci

Przy wyczonym rozgaszaniu nazwy SSID sieci, intruz (laptop HP) nie bdzie mg si poczy z punktem dostpu, poniewa nie bdzie zna jego nazwy. Sie stanie si dla niego niewidoczna. Nie bdzie jej wida ani w Windowsie ani te w programie Netstumbler.

Rys. 12. Niewidoczna sie zarwno dla Netstumblera jak i dla Windows

Istnieje jednak bardzo atwy sposb na obejcie tego zabezpieczenia. Wystarczy uruchomi program Netstumbler lub Kismet w systemie Linux i poczeka a jeden z klientw nawie poczenie z sieci, wtedy bowiem wysya on czystym tekstem SSID ukrytej sieci, a wymienione programy wychwyc t nazw. Jeeli w sieci znajduje si tylko jedna osoba to moe min troch czasu zanim pozna si SSID. Jednak im wicej uytkownikw jest w danej sieci, tym szybciej powinna zosta przechwycona nazwa SSID. Aby zademonstrowa powysze dziaania, na laptopie intruza HP uruchamiam www.elibre.pl portal o e-publikacjach i technoologii e-papieru

program Netstumbler a potem na komputerze Asus najpierw wyczam poczenie sieciowe by po chwili je ponownie wczy. Po tej operacji na laptopie intruza otrzymaem zadowalajcy wynik, Netstumbler wychwyci nazw sieci SSID, ktrej szukaem: sieci_testowa. Znajc ju nazw mog ju bez przeszkd nawiza poczenie. Zabezpieczenie to chroni jedynie przed wardriverami i osobami, ktre nie wiedz o istnieniu takiej sieci, ale warto je wczy jako uzupenienie WPA lub WPA2.

5.3 Filtracja MAC

Aby zademonstrowa dziaanie tego zabezpieczenia, w ustawieniach punktu dostpowego wczam filtracj MAC i tylko laptopowi Asus pozwol na poczenie z sieci. W tym celu wpisuj jego adres MAC do tablicy i od tej pory tylko i wycznie on moe poprawnie komunikowa si z punktem dostpu. Inne komputery nie bd mogy poczy si z sieci mimo tego, e ani Windows ani Netstumbler nie pokazuje, e ta sie jest zabezpieczona. Na laptopie HP wida siec_testow jako niezabezpieczon jednak przy prbie poczenia okazuje si dopiero, e dostp do niej jest zabezpieczony.

Rys. 13. Przy filtracji MAC siec_testowa wykr

Documents

Bezpieczeństwo sieci Wi-Fi []