Wstęp zabroniony

Prostą bezprzewodową sieć w domu z dostępem do Internetu można zbudować naprawdę szybko (patrz: $(LC115390: Zmierzch kabli)$) i, co więcej, wcale nie potrzeba do tego żadnej fachowej wiedzy – wystarczy kupić urządzenia, podłączyć je do prądu i zainstalować oprogramowanie. Automatyczna konfiguracja pozostawia jednak ogromne wyrwy w systemie bezpieczeństwa. I nie chodzi tu wcale o możliwość włamania się do naszego komputera przez Internet, lecz o luki wynikające ze sposobu działania sieci Wi-Fi.
archiwum
21.10.2004|Przeczytasz w 6 minut

Dziurawy jak sito

Aby jakakolwiek sieć bezprzewodowa mogła funkcjonować, trzeba spełnić jeden podstawowy warunek: sygnał niosący informacje musi zostać udostępniony we wszystkich, nawet najodleglejszych punktach, w których ma ona działać. Medium spełniającym powyższe założenia są fale radiowe. Niestety, mają one też jedną wadę – sygnał, choć znacznie słabszy, będzie się propagował także poza wyznaczony przez nas obszar. I tu zaczynają się problemy z poufnością danych.

W tradycyjnych sieciach kablowych intruzowi raczej trudno dostać się do biura czy mieszkania i podłączyć do gniazdka bez zgody jego właściciela. Nawet jeśli włamywaczowi uda się taka sztuka, istnieje zawsze duże prawdopodobieństwo wykrycia “nieautoryzowanego” kabla. W sieciach bezprzewodowych sprawy mają się zgoła inaczej. Wystarczy, że w zasięgu naszego nadajnika, np. na trawniku przed blokiem, znajdzie się obcy komputer z kartą sieciową Wi-Fi, a pracująca na nim osoba będzie już w stanie odczytać wszystkie przesyłane drogą radiową dane. Co gorsza, o tym, że jesteśmy lub byliśmy szpiegowani, nigdy się nawet nie dowiemy, gdyż podsłuch radiowy w żaden sposób nie zakłóca transmisji danych. Nie ma też sposobu na wykrycie nadmiarowego, bezprzewodowego “kabla”.

Kolejną pułapką bezpieczeństwa związaną z bezprzewodowymi sieciami Wi-Fi jest nie tylko podsłuch przesyłanych eterem danych, ale też i możliwość łatwego i bezkarnego wejścia do naszej wewnętrznej sieci. Tak się bowiem składa, że sieci Wi-Fi projektowane były pod kątem ich otwartości. Automatycznie skonfigurowana sieć pozwala na wejście do udostępnionych zasobów bez żadnych ograniczeń – po prostu się do niej podłączamy, a co gorsza, często niewymagane jest do tego nawet hasło! Złośliwy sąsiad stojący pod naszym balkonem nie tylko więc będzie w stanie podsłuchać treść wysyłanego właśnie emaila, ale również przejrzeć zawartość naszego dysku twardego. I nie pomoże tutaj żaden, nawet najlepszy firewall, gdyż atak następuje od wewnątrz, a nie spoza sieci. Jak zatem temu zapobiegać?

Szlaban dla hakera

Podstawowym mechanizmem zabezpieczenia sieci bezprzewodowej standardu 802.11 (Wi-Fi) przed nieautoryzowanym podsłuchem, ale też i dostępem do niej jest mechanizm szyfrowania WEP (Wireless Equivalent Privacy). Algorytm ten bazuje na kluczu o stałej długości – zazwyczaj ma on jedną z następujących wybranych przez użytkownika długości: 40, 64, 128, 152 lub 256 bitów – i jest automatycznie generowany na podstawie podanego hasła. Co ważne, samego klucza nigdy nie przesyła się drogą radiową, lecz zawsze jest on tworzony lokalnie (na podstawie hasła) na każdym należącym do sieci urządzeniu – w Access Poincie lub na komputerze.

Cóż to oznacza dla użytkownika? Otóż jeśli nie znamy klucza lub hasła użytego do jego wygenerowania oraz binarnej długości, wówczas nie można wejść do sieci ani podsłuchiwać przesyłanych za jej pomocą informacji. Innymi słowy: dla osób chcących nas szpiegować wszelkie odczytane dane będą tylko bezużytecznym ciągiem przypadkowych znaków.

Jak widać, WEP to stosunkowo łatwa do implementacji metoda zabezpieczenia sieci przed włamaniem. Dlaczego zatem nie jest on automatycznie włączany w bezprzewodowych urządzeniach dostępowych i kartach sieciowych? Głównymi przyczynami tego stanu rzeczy – oprócz wspomnianej wcześniej utraty otwartości sieci – są: spadek prędkości transmisji danych w sieci Wi-Fi oraz chęć zachowania maksymalnie uproszczonej konfiguracji urządzeń. Wszak producenci wychodzą z założenia, że przeciętny domowy użytkownik nie jest informatykiem i nie musi się znać na komputerach – po uruchomieniu wszystko ma mu zacząć działać, a że traci na tym bezpieczeństwo… z tego punktu widzenia nie jest to już tak istotne.

Niestety, algorytm WEP ma swoją podstawową wadę – posługuje się tym samym, niezmiennym w czasie kluczem, który na dodatek po kilku-kilkunastominutowym podsłuchu jest dość łatwo złamać (odpowiednie do tego oprogramowanie można znaleźć np. w Internecie). Co prawda urządzenia sieciowe niektórych producentów mają możliwość wprowadzenia paru kluczy WEP (zazwyczaj czterech) zmienianych po kolei co jakiś czas, ale ta metoda wydłuża tylko kilkakrotnie czas potrzebny do zebrania przez włamywacza odpowiedniej ilości danych, a nie rozwiązuje problemu bezpieczeństwa sieci Wi-Fi.

Znacznie lepsze zabezpieczenie oferuje standard WPA (Wi-Fi Protected Access). Jego główną zaletą jest wykorzystanie zmiennych w czasie kluczy szyfrujących, dzięki czemu znacznie trudniej włamać się do sieci. Z WPA można korzystać na dwa sposoby: w połączeniu z serwerem autoryzacji, np. RADIUS (patrz: ramka “Bezpieczeństwo dla wymagających”), albo z kluczem PSK (Pre-Shared Key). W tym drugim wypadku, podobnie jak w WEP-ie, podajemy hasło, na podstawie którego wygenerowane zostaną klucze szyfrujące – dla małego biura i domu ta druga metoda (WPA-PSK) jest bardziej funkcjonalna, gdyż nie wymaga zakupu dodatkowego sprzętu. Z WPA wiąże się jednak jeden podstawowy problem. Nie wszystkie tańsze, domowo-biurowe urządzenia sieciowe go obsługują. Dlatego jeśli zależy nam na bezpieczeństwie danych, warto zadbać o to, aby wybrane przez nas do budowy sieci punkty dostępowe i karty miały zaimplementowany protokół WPA.

Główne mechanizmy bezpieczeństwa sieci bezprzewodowych
ProtokółUdostępniane środki bezpieczeństwaZaletyWady
WEP (802.11)szyfrowanie RC4, niezmieniane przez dłuższy czas statyczne klucze, opcjonalne uwierzytelnienie 802.1Xduża popularność, standard akceptowany przez większość urządzeń 802.11a/b/gstosunkowo proste do złamania statyczne klucze szyfrujące, brak mechaniz mów kontroli integralności ramek (intruz może dokładać własne pakiety), dla zapewnienia bezpieczeństwa niezbędne są dodatkowe środki w rodzaju VPN
WPAszyfrowanie RC4, dynamiczna wymiana kluczy szyfrujących (protokół TKIP), obowiązkowe uwierzytelnienie 802.1X (EAP, RADIUS) lub współużytkowany klucz (mechanizm WPA-PSK)kompatybilność z systemem WEP, możliwość łatwej integracji z istniejącymi sieciami bezprzewodowymi jest to tylko tymczasowe rozwiązywanie problemów bezpieczeństwa, wprowadzone jako łata dla systemu WEP
802.11isilne szyfrowanie AES, rozszerzone sterowanie kluczami TKIP, obowiązkowe uwierzytelnienie 802.1Xbardzo trudne do złamania, mocne algorytmy szyfrowania danych, niezawodny system sterowania unikatowymi kluczamikonieczność stosowania w urządzeniach nowych chipsetów ze zintegrowanym procesorem, niekompatybilność z istniejącym wyposażeniem sieci Wi-Fi
Więcej:bezcatnews
UdostępnijTwitter