Zagrożenie z eteru

Z nadejściem ery Wi-Fi problemem stała się bezpieczna praca w Internecie i sieci LAN. Powodem tego stanu jest fakt, że atakującemu bardzo łatwo podsłuchać transmitowane dane. W sieciach przewodowych administratorzy mogą w dużym stopniu polegać na fizycznej strukturze sieci. Aby mieć dostęp do transmitowanych pakietów, konieczne byłoby wejście do siedziby przedsiębiorstwa i podłączenie się do istniejącej infrastruktury. Dostęp do sieci bezprzewodowej jest natomiast z natury łatwy, gdyż będące nośnikiem informacji fale radiowe rozprzestrzeniają się w powietrzu. Ktoś może je z łatwością przechwycić, siedząc wygodnie w samochodzie zaparkowanym przed naszą firmą lub w sąsiednim budynku.
archiwum
25.08.2005|Przeczytasz w 4 minuty

Standard 802.11

Sieci bezprzewodowe zgodne ze standardem 802.11 mogą być z łatwością podłączane do istniejącego Ethernetu. Oznacza to, że można korzystać z takich samych protokołów jak przy połączeniu przewodowym – IP, IPX, NetBIOS-u etc. Jedyną istotną różnicą jest brak kabli łączących komputery. Standard IEEE oferuje dwa tryby pracy:ad hoc oraz infrastructure (patrz: Słownik terminów), z użyciem punktu dostępowego. Ponadto zawiera zestaw metod autoryzacji i szyfrowania, zwany Wired Equivalent Privacy (WEP).

Tryb ad hoc

Pewna liczba stacji w sieci Wireless LAN, które mogą się ze sobą wzajemnie łączyć, to komórka. Sieć WLAN w trybie ad hoc, zwanym również peer-to-peer, składa się z jednej zamkniętej komórki. Dowolna liczba komputerów może być dołączona do systemu, a później – w razie potrzeby – odłączona od niego.

Aby zatem wiele komórek nie kolidowało ze sobą, konieczne jest ustalenie innego Service Set Identifiera dla każdej z nich. Jeśli więc chcemy podłączyć się do którejś komórki, musimy znać jej unikatowy SSID.

Tryb strukturalny

W takim trybie stacja bazowa (zwana punktem dostępowym) istnieje w sieci niezależnie od pozostałych komputerów – pełni ona funkcję bramy sieciowej. W przeciwieństwie do trybu peer-to-peer każdy, kto chce podłączyć się do sieci, musi najpierw zalogować się do stacji bazowej. Dodatkowo stacja odgrywa rolę pomostu sieciowego pomiędzy przewodowym i bezprzewodowym Ethernetem oraz pozwala na rozszerzenie zasięgu sieci WLAN na kolejne komórki. Jest to możliwe,w wypadku kiedy kilka sąsiednich Access Pointów ma ten sam SSID.

Istnieją trzy podstawowe mechanizmy zapewniające bezpieczny przekaz danych w sieciach bezprzewodowych:

  • prekonfigurowane hasła protokołu WEP;

    • autoryzacja z użyciem protokołu 802.1X; rozbudowany system zabezpieczeń, korzystający z protokołu WPA.

Prekonfigurowane hasła WEP

W tej metodzie zabezpieczania zarówno klient, jak i punkt dostępowy mają przydzielony ten sam sekretny ciąg znaków. Klucz ten jest używany do szyfrowania transmisji danych pomiędzy punktem dostępowym a klientem oraz do autoryzacji. Potencjalny intruz, który nie zna klucza WEP, nie zostanie wpuszczony do sieci. Nazywamy to identyfikacją w trybie Shared, w odróżnieniu od trybu Open, który nie wymaga identyfikacji, chociaż dane będą nadal szyfrowane.

Klucze WEP mogą być 64- lub 128-bitowe. Oczywiście większa długość zapewnia wyższy poziom bezpieczeństwa. Obecnie klucz 128-bitowy uznawany jest za odpowiednio długi. Dla małych sieci WLAN ta metoda jest stosunkowo bezpieczna, lecz należy zwrócić uwagę, że ze względu na metodę szyfrowania klucze WEP można zredukować o wektor inicjalizacyjny do 40 lub 104 bitów. Szyfrowanie WEP uzależnia bowiem w każdym bajcie informacji pierwsze pięć bitów z kolejnymi trzema za pomocą funkcji, a 40-bitowy klucz można już bardzo szybko złamać.

Standard 802.1X

Protokół WEP ma wiele wad, zarówno pod względem administracji, jak i bezpieczeństwa. Jedną z metod uniknięcia potencjalnych problemów jest rozbudowa systemu bezpieczeństwa o moduł autoryzacji sieciowej, opisany w standardzie 802.1X. W tym wypadku to użytkownik jest autoryzowany w sieci, a proces uzyskania dostępu nie odbywa się przez punkt dostępowy. Jeśli identyfikacja wypadnie pomyślnie, przydzielony zostanie tymczasowy klucz sesyjny, który będzie ważny aż do następnej autoryzacji.

System taki ma wiele zalet – przede wszystkim wyklucza wspólne hasła. Poza tym jest skalowalny, to znaczy administracja użytkownikami w sieci z jednym punktem dostępowym staje się równie łatwa co w sieciach korporacyjnych składających się z setki Access Pointów. Użytkownik może logować się do sieci z dowolnego komputera.

Rozszerzone kodowanie

Ze względu na słabości kryptograficzne protokołu WEP został opracowany dodatek do standardu komunikacji bezprzewodowej 802.11 nazwany roboczo Wi-Fi Protected Access. Może być stosowany w dużych sieciach korporacyjnych. Mniejsze organizacje powinny zaś rozważyć zastosowanie protokołu TKIP bez konieczności wdrażania serwera RADIUS, co jest dla nich optymalnym rozwiązaniem problemu.

Więcej:bezcatnews
UdostępnijTwitter