Zabezpečení Wi-Fi sítí

Transkript

1 Bankovní institut vysoká škola Praha Informační technologie a elektronické obchodování Zabezpečení Wi-Fi sítí Bakalářská práce Autor: Jiří Kolcun Informační technologie, správce informačních systémů Vedoucí práce: Ing. Josef Lukeš Praha Leden, 2010

2 Prohlášení Prohlašuji, ţe jsem bakalářskou práci zpracoval samostatně a s pouţitím uvedené literatury. V Praze dne 15. března 2010 Jiří Kolcun

3 Poděkování Rád bych poděkoval mému vedoucímu bakalářské práce Ing. Josefu Lukešovi za velikou vstřícnost, cenné rady a připomínky při zpracování této bakalářské práce.

4 Anotace Bakalářská práce je věnována problematice zabezpečení bezdrátových sítí Wi-Fi provozovaných v pásmu 2,4 GHz. Prvá část této práce je věnována standardům bezdrátových sítí a jejich vyuţití pro Wi-Fi roaming. Druhá část je věnována moţným hrozbám a nebezpečím plynoucím z provozu a uţívání těchto bezdrátových sítí včetně popisu ochrany a zabezpečení před těmito hrozbami. Závěr práce je věnován konkrétnímu projektu vyuţití této technologie na území Městské části Praha 5 pro veřejný přístup k síti Internet. Annotation This Bachelor Thesis is concerned with problem of wireless Wi-Fi nets security, operated in 2,4 GHz zone. The first part of this Thesis is focused on standards of wireless nets and its application for Wi-Fi roaming. The second part deals with problems of possible danger, consequent on operation and usage these wireless nets, with the inclusion of protection and security. The conclusion of this Bachelor Thesis is focused on application of theoretical knowledge in project of The town district Prague 5, which aims at usage of this technology for public free Internet connection.

5 Obsah Úvod Teoretický úvod k Wi-Fi Výhody bezdrátové sítě Nevýhody bezdrátové sítě Význam standardu Standard IEEE IEEE a IEEE b IEEE c IEEE d IEEE e IEEE g IEEE h IEEE n IEEE r MIMO OFDM SSID ESSID Reţimy provozu Ad-hoc sítě Infrastrukturní sítě Access Point Wi-Fi roaming Roaming mezi přístupovými body Roaming v sítích WLAN Problémy roamingu Moţné řešení Příklad vyuţítí roamingu - Eduroam Možné hrozby a útoky Odposlech WarWalking, WarDriwing, WarFlying DoS Man in the middle Útok hrubou silou Shrnutí Bezpečnost provozu v bezdrátové síti Bezpečnostní opatření Bezpečnostní mechanismy WEP WPA x EAP TKIP MIC WPA CCMP AES

6 Předběţná autentizace Slučitelnost Filtr MAC Nastavení zabezpečení Wi-Fi v domácí prostředí Doporučené zásady a nastavení Nastavení zabezpečení Wi-Fi ve firemním prostředí RADIUS VPN IPSec WIPS - Systém pro prevenci průniku do sítě Bezdrátová Praha Zabezpečení sítě a její omezení Podmínky připojení Zhodnocení Závěr Seznam pouţité literatury

7 Úvod V posledních letech zaznamenaly významný rozvoj typy přenosu dat na základě bezdrátových Wi-Fi sítí. Wi-Fi sítě se staly fenoménem dnešní doby a obklopují nás na kaţdém kroku. Okruh zařízení s touto technologií se neustále rozšiřuje. Nyní je jiţ standardem v přenosných počítačích či v mobilních telefonech a v příštích letech se pravděpodobně přesune i do tak netradičních zařízení jako jsou kuchyňské spotřebiče (projekt inteligentní kuchyně). Zároveň se tato technologie stala určitým standardem modernosti a pokroku. Veřejný prostor, nádraţí, letiště, hotely, kavárny, obchodní centra tam všude se dnes rozšířila moţnost vyuţít volné připojení na Internet. Všechna tato připojení jsou velmi příjemná a pro uţivatele jistě lákává, nicméně obecně znamenají ohroţení přenášeného obsahu a kaţdý, kdo vyuţije podobného volného připojení, by měl znát rizika, která mohou být s tímto spojená. Cílem této práce bude snaha poukázat na moţná rizika spojená s vyuţíváním bezdrátové Wi-Fi sítě a následně nastínit moţnosti omezení těchto skutečností, která jsou v danou dobu k dispozici a jsou obecně známá a přístupná kaţdému uţivateli. Práce také zahrnuje Wi-Fi roaming a jeho vyuţití v praxi. V závěru této práce bych rád představil projekt Bezdrátová Praha 5 a zhodnotil jeho vyuţití z vlastní zkušenosti. 7

8 1. Teoretický úvod k Wi-Fi Wi-Fi je standard pro lokální bezdrátové sítě (Wireless LAN, WLAN) a vychází ze specifikace IEEE (Institut pro elektrotechnické a elektronické inţenýrství). Název původně neměl znamenat nic, ale časem se z něj stala slovní hříčka vůči Hi-Fi (tzn. analogicky k high fidelity vysoká věrnost), která by se dala chápat jako zkratka k wireless fidelity (bezdrátová věrnost). 5 Původním cílem Wi-Fi sítí bylo zajišťovat vzájemné bezdrátové propojení přenosných zařízení a dále jejich připojování na lokální (např. firemní) sítě LAN. S postupem času začala být vyuţívána i k bezdrátovému připojení do sítě Internet v rámci rozsáhlejších lokalit a tzv. hotspotů. Wi-Fi zařízení jsou dnes prakticky ve všech přenosných počítačích a i v některých mobilních telefonech. Úspěch Wi-Fi přineslo vyuţívání bezlicenčního pásma, coţ má negativní důsledky ve formě silného zarušení příslušného frekvenčního spektra a dále častých bezpečnostních incidentů. 5 Následníkem Wi-Fi by měla být bezdrátová technologie WiMax (IEEE ), která díky vyššímu vysílacímu výkonu a pouţití OFDM modulace umoţňuje např. ve srovnání s Wi - Fi mnohem větší dosah signálu teoreticky kolem 50 km při přímé viditelnosti a několik kilometrů v městské zástavbě při vyuţití spojů bez přímé viditelnosti. Kapacitu připojení do 75 Mb/s lze rozdělit mezi desítky klientů a kaţdému z nich garantovat stabilní přenosovou rychlost. WiMax má zabudovanou podporu řízení kvality sluţeb (QoS), díky které lze na WiMax spojích provozovat například IP telefonii nebo spolehlivě přenášet video v reálném čase, coţ u technologií na bázi norem IEEE x (Wi-Fi) není moţné. 6 České Radiokomunikace nabízí komerční provoz bezdrátové technologie WiMax v celkem 25 městech České Republiky: Praha, Ostrava, Olomouc, Brno, Liberec, Pardubice, Znojmo, Opava, Prostějov, Plzeň, České Budějovice, Zlín, Ústí nad Labem, Karlovy Vary, Uherské Hradiště, Cheb, Mariánské Lázně, Domaţlice, Děčín, Beroun, Písek, Tábor, Dvůr Králové nad Labem, Hradec Králové a Poděbrady. 6 8

9 1.1. Výhody bezdrátové sítě o není potřeba metalické kabely, niţší náklady na vybudování sítě o přenos probíhá v bezlicenčním pásmu 2,4 GHz, není potřeba souhlas úřadu o široký trh nabízí přístupové body za nízké ceny o nejsme vázáni na konkrétní místo připojení o moţnost připojení z jakéhokoliv místa, které je v dosahu přístupového bodu o moţnost roamingu, přechod mezi přístupovými body bez ztráty spojení o snadné rozšíření pevné sítě LAN připojením přístupového bodu o nezávislost na aplikaci, sada protokolů TCP/IP je podporována ve všech typech bezdrátových sítí 1.2. Nevýhody bezdrátové sítě o bezlicenční pásmo 2,4 GHz pouţívají i některá další zařízení např. bluetooth, mikrovlnné trouby nebo bezdrátové telefony, můţe tak docházet k rušení signálu o větší počet bezdrátových sítí v jedné lokalitě zvyšuje rušení pouţívaného pásma, tzv. zarušení o kvalita signálu závisí na vzdálenosti, na větší vzdálenosti je potřeba přímé viditelnost mezi přijímací a vysílací anténou o kvalitu signálu ovlivněna klimatickými podmínkami (hustý déšť nebo sněţení) o vzduchem šířený signál nelze nijak omezit, a proto nikdy nevíte, kdo můţe signál zachytit a zneuţít o niţší přenosové rychlosti neţ u pevných sítí, rychlost ovlivněna počtem připojených klientů o některá bezdrátová zařízení, která nemají certifikaci, mohou být nekompatibilní 9

10 1.3. Význam standardu První bezdrátová zařízení pouţívající bezlicenční frekvenční pásmo 2,4 GHz pracovala na různých technologiích (standardech). Kaţdý výrobce pouţíval jinou (vlastní) technologii. Docházelo tedy k tomu, ţe různá zařízení od různých výrobců mezi sebou nespolupracovala a nedala se mezi sebou kombinovat. Aby k těmto problémům nedocházelo, byla v roce 1997 institutem IEEE zaloţena pracovní skupina , aby sjednotila a dále se zabývala Wi-Fi normami (standardy). Bezdrátová zařízení vyrobena podle jednotného standardu měla uţivatelům zaručovat, ţe tyto zařízení budou mezi sebou kompatibilní. Přesto docházelo k tomu, ţe dvě zařízení od různých výrobců spolu nespolupracovala a nedala se tedy pouţít v jedné síti. Příčinou této neshody byla špatná implementace standardu. Na základě toho byla zaloţena v roce 1999 organizace WECA, od roku 2003 přejmenovaná na Wi-Fi Alliance. Tato organizace provádí náročné testováním těch zařízení, která o to poţádají. Ta, která uspějí v testech, jsou označena logem Wi-Fi Certified (obr: 1.1). Takto označená zařízení dávají záruku uţivatelům, ţe výrobky splňují přísné poţadavky a jsou mezi sebou kompatibilní. Obrázek: 1.1 Logo Wi-Fi Certified zdroj: 10

11 1.4. Standard IEEE IEEE je Wi-Fi standard s dalšími doplňky pro lokální bezdrátové sítě (Wireless LAN, WLAN) vyvíjený 11. pracovní skupinou IEEE LAN/MAN standardizační komise (IEEE 802). Výraz x je pouţíván pro mnoţinu doplňků k tomuto standardu. Standard zahrnuje šest druhů modulací pro posílání radiového signálu, přičemţ všechny pouţívají stejný protokol. Nejpouţívanější modulace jsou definované v dodatcích k původnímu standardu s písmeny a, b, g n přináší další techniku modulace. Původní zabezpečení bylo vylepšeno dodatkem i. Další dodatky (c f, h, j) pouze opravují nebo rozšiřují předchozí specifikaci. Standardy b a g pouţívají 2,4 GHz pásmo. Proto mohou zařízení interferovat s mikrovlnnými troubami, bezdrátovými telefony, s bluetooth nebo s dalšími zařízeními pouţívajícími stejné pásmo. Oproti tomu standard a pouţívá 5 GHz pásmo a není tedy ovlivněn zařízeními pracujícími v pásmu 2,4 GHz IEEE a Tento standard vyuţívá Wi-Fi v pásmu 5Ghz. Pouţívá modulaci OFDM. Oproti standardu IEEE b/IEEE g je tento stabilnější a vyspělejší. Má větší povolený vyzařovací výkon a tím ho lze pouţívat na delší vzdálenosti IEEE b Tento standard je jedním z doplňků norem IEEE zabývajících se definicí bezdrátového komunikačního standardu známým pod komerčním názvem Wi-Fi. Byl schválen v roce 1999 a oproti původnímu standardu navyšuje přenosovou rychlost na 11 Mbit/s v přenosovém pásmu 2,4 GHz IEEE c IEEE c je Wi-Fi standard věnující se přemosťování v bezdrátových zařízeních. Jde o hotový standard doplňující standard IEEE 802.1D, který přidává poţadavky na přemosťování Media Access Control (MAC), coţ je podvrstva linkové vrstvy. Standard IEEE 802.1D upravuje základní LAN standard pro rámce. 7 11

12 IEEE d IEEE d je Wi-Fi standard často nazývaný také jako globální harmonizační standard. Je pouţívaný v zemích, kde nejsou povoleny systémy pouţívající jiné dodatky ke standardu IEEE Definuje poţadavky na fyzickou vrstvu k uspokojení regulačních domén nepokrytých existujícími standardy. Liší se v povolených frekvencích, vyzařovacích výkonech a propustnosti signálu. Specifikace eliminuje nutnost vývoje a výroby specifických produktů pro různé země. Standard je tak vhodný pro systémy, které chtějí poskytovat globální roaming IEEE e IEEE e je Wi-Fi doplněk standardu IEEE vylepšující takzvanou Media Access Control (MAC) podvrstvu linkové vrstvy rozšířením podpory kvalitu sluţeb (Quality of Service, QoS). Standard je důleţitý pro aplikace citlivé na zpoţdění jako jsou Voice over Wireless IP a proudová multimédia IEEE g Je Wi-Fi standard rozšiřující IEEE b. Je zpětně kompatibilní, vysílá ve stejném frekvenčním pásmu MHz, ale maximální nominální rychlost je 54 Mbit/s., coţ odpovídá přenosům přibliţně o rychlosti 25 Mbit/s IEEE h IEEE h je Wi-Fi standard doplňující IEEE a, který je navrţen s ohledem na evropské podmínky, aby bylo moţné sítě vyuţívat mimo budovy. Řeší například problémy s rušením od ostatních zařízení pracujících na 5 GHz frekvenci. Na tomto pásmu pracují například radary nebo některé satelitní systémy. V podstatě mají bezdrátová zařízení v případě, ţe detekovaly rušení omezit vysílací výkon nebo uvolnit kanál, na kterém toto rušení rozpoznaly. Tento standard upravuje fyzickou vrstvu a podčást linkové vrstvy, takzvanou Media Access Control (MAC) podvrstvu. Dynamickým výběrem kanálu přináší také lepší pokrytí jednotlivých kanálů. 7 12

13 IEEE n IEEE n je Wi-Fi standard, který si klade za cíl upravit fyzickou vrstvu a podčást linkové vrstvy, takzvanou Media Access Control (MAC) podvrstvu tak, aby se docílilo reálných rychlostí přes 100 Mbit/s. Zvýšení rychlosti se dosahuje pouţitím MIMO technologie, která vyuţívá vícero vysílacích a přijímacích antén IEEE r IEEE r je doplněk standardu bezdrátových sítí IEEE , který definuje rychlé přechody mezi BSS. Schválený byl roku Umoţňuje připojení v pohybu například ve vozidlech pomocí rychlých neznatelných přechodů (zaţitý je anglický termín handoff nebo handover) mezi jednotlivými přístupovými body. Přechody jsou podporovány pod a, b i g implementací, ale pouze pro data přenášená pomocí doplňku IEEE f neboli IAPP. Výpadek během přechodu je příliš dlouhý k podpoře audio nebo video aplikací. Protokol umoţňuje bezdrátovému klientu vytvořit zabezpečené připojení k novému přístupovému bodu s definovanou kvalitou sluţeb (QoS) ještě před tím, neţ se k němu provede přechod. Díky tomu je výpadek spojení kratší neţ 50 ms a minimalizuje se tak výpadek aplikace. Navíc celkové změny protokolu nepřináší nové bezpečností díry a jsou zpětně kompatibilní s původními přístupovými body, které tento doplněk nepodporují MIMO Technologie MIMO vyuţívá vícecestné šíření signálu, čímţ se prodluţuje dosah a zároveň zvyšuje přenosová kapacita. V zásadě se jedná o snahu zvýšit kvalitu šířeného signálu tím, ţe hledáme více moţných způsobů spojení mezi vysílacím a přijímacím zařízením. Tím, ţe pouţijeme více antén na straně vysílání a více antén na straně příjmu signálu spoléháme se na to, ţe v souvislosti s teorií o šíření signálu (vysílané signály se šíří různými cestami) dojde vlivem odrazů a různých specifických podmínek prostředí k paralelnímu navázání spojení různých antén. Tato snaha o paralelní spojení antén vede obvykle ke zvýšení kvality přenášeného signálu a k vyšší rychlosti přenesených dat. Omezujeme tím výpadek kvality spojení mezi právě jednou či více anténami. Zvyšujeme tím moţnost, ţe alespoň jeden pár či více komunikuje. 13

14 Toto řešení nalézá v praktickém ţivotě širokého vyuţití pro svoji jednoduchost, avšak není pravdou, ţe čím více antén, tím rychlejší a kvalitnější spojení. Vţdy je dána určitá horní mez pro navýšení počtu antén v souvislosti s ekonomickými kritérii. Efektivní způsob vyuţití MIMO je při provozu cca 4 antén ve vnitřním prostředí a cca 16 antén pro přenosy na vyšší vzdálenosti. Další navyšování anténních prvků není překáţkou pro přenosy jako takové, ale je to jiţ neekonomické. Řešení MIMO se jeví jako praktické a tudíţ také řada výrobců bezdrátových komponent nabízí řešení ve standardu MIMO a to jak pro průmyslové tak domácí vyuţití. Podle kombinace antén existují další typy anténních systémů. Obrázek: 1.2 Typy anténních systémů zdroj: OFDM Další moţností pro dosaţení vyšší rychlosti se pouţívá ortogonální multiplex s kmitočtovým dělením OFDM. Prakticky se jedná o podobnou filozofii zvýšení přenosové kvality jako u technologie MIMO. 14

15 Opět hledáme paralelní cesty přenosu signálu. A spoléháme se na situaci, ţe více cestami dojde k cíli více signálu. Na rozdíl od MIMO, kde hledáme více cest pomocí více antén, zde hledáme více cest pomocí rozdělení přenášené informace do více nosných frekvencí. Oba systémy jak MIMO tak OFDM lze vzájemně kombinovat a dosahovat tím ještě vyšších spolehlivostí. Principem OFDM je rozdělení signálu do několika paralelních toků bitů o mnohem niţší bitové rychlosti. Kaţdý z toků se pouţívá pro modulaci jiné nosné. Kanály jsou velmi blízko sebe, ale nepřekrývají se, takţe nehrozí jejich vzájemné rušení. Na konci datového přenosu jsou pak všechny dílčí toky sloţeny dohromady (multiplexováním). Vzhledem k tomu, ţe datové toky na jednotlivých nosných jsou malé, je vkládán ochranný interval tj. čas, kdy není vysílána ţádná informace. Na straně příjmu tím můţeme nerušeně přijmout právě jednu přijímanou informaci. Paralelním vysíláním se OFDM účinně brání zkreslení při přenosu signálu různými cestami a nepodléhá útlumu signálu ve venkovním prostředí. Moţnosti vyuţití OFDM se nabízí především tam, kde je potřeba docílit vysoké propustnosti a přitom podmínky na kanálu mohou být ztíţeny. Systém je v současné době pouţíván pro svoji efektivitu. Výrobci Wi-Fi zařízení tento standard nabízejí jiţ v zařízeních niţších cenových hladin SSID Při rozvoji uţívání bezdrátových síťových prostředků, bylo nutno vţdy zavádět identifikaci sítě, v které se dané síťové zařízení právě nachází. K této identifikace slouţí identifikátor SSID. Jedná se o jedinečný parametr skládající se z řetězce 32ASCI znaků. Přístupový bod pravidelně vysílá svůj identifikátor a klienti si tak mohou vybrat, ke které WLAN se chtějí připojit. U bezdrátové sítě s více přístupovými body musí mít všechny přístupové body i všechna připojovaná zařízení definován stejný SSID ESSID Pro zabezpečení provozu přístupu klientů do Wi-Fi sítě je moţno pouţívat parametr ESSID. Tento parametr není v okolí bezdrátové sítě znám, protoţe není vysílán. Parametr je naprogramován v přístupovém bodě pro identifikaci sítě, v nichţ se přístupový bod nachází. Tím je dosaţeno stavu, kdy pokusům o připojení bez znalosti ESSID není vyhověno. Takováto síť je označována jako uzavřená. 15

16 1.9. Režimy provozu Ad-hoc sítě Ad-hoc síť je vzájemné propojeni dvou a více klientů, kteří vůči sobě vystupují v rovnocenné pozici (peer-to-peer sítě). Komunikace mezi jednotlivými klienty probíhá přímo, tedy bez nutnosti pouţít prostředníka přístupový bod (AP). Uţivatelé mohou vzájemně sdílet soubory či tiskárny. Podmínkou ale je, aby všichni klienti byli v přímém rádiovém dosahu. Ad-hoc provoz je typický pro malou síť nebo příleţitostné spojení, kdy jsou počítače ve vzdálenosti několika metrů. Obrázek: 1.3 Ad-hoc síť zdroj: Infrastrukturní sítě Opakem provozu sítí ad hoc jsou sítě typu infrastruktura. Při vyuţití tohoto řešení se jiţ klienti nevidí kaţdý s kaţdým, ale vyuţívají jeden nebo i několik přístupových bodů (AP). Podmínkou pro úspěšný provoz takovéto sítě je, aby kaţdý klient ve skupině měl ve svém dosahu alespoň jedno takovéto zařízení (AP). Jednotlivé přístupové body vysílají v pravidelných intervalech identifikační údaj sítě SSID, podle kterých je moţno si vybrat, ke které bezdrátové síti se uţivatel chce připojit. 16

17 Obrázek: 1.4 Infrastrukturní síť zdroj: Access Point Bezdrátový přístupový bod (AP) propojuje jednotlivá bezdrátová zařízení a společně tak tvoří bezdrátovou síť. Je jedním ze základních prvků v infrastrukturní bezdrátové síti. Můţe plnit funkci repeater (opakovač), kdy k přístupovému bodu se jednotliví klienti připojí a přístupový bod zprostředkovává komunikaci mezi nimi. Dále poskytuje funkci router (směrovač). Vyuţívá se především pro přechod mezi dvěma sítěmi, tedy mezi pevnou sítí (Ethernet) a bezdrátovou sítí. Této funkce se nejčastěji vyuţívá k připojení na Internet. Spojením několika přístupových bodů lze jednoduše rozšířit dosah bezdrátové sítě a pokrýt tak signálem větší plochu. Klient se tak můţe pohybovat v celé oblasti pokryté signálem a vyuţít připojení přes kterýkoliv z přístupových bodů, aby si zachoval připojení k síti (tzv. roaming). Obrázek: 1.5 Access Point zdroj: 17

18 2. Wi-Fi roaming S roamingem (migrování) se setkali snad všichni, kteří vlastní mobilní telefon. Tato sluţba, kterou poskytují mobilní GSM operátoři, umoţňuje uţivateli mobilního telefonu vyuţití jiných vysílačů stejného nebo i jiného operátora, např. v zahraničí. Mobilní telefon při pohybu neustále vyhledává vysílače se silnějším signálem, a pokud takový nalezne, okamţitě se přeladí. To vše bez zásahu uţivatele. Velkou výhodou mobilních operátorů je to, ţe mají své zákazníky podchycené díky SIM kartám, které obsahují potřebné identifikační údaje. Tyto údaje ze SIM karet pak slouţí operátorům, aby mohli zákazníka identifikovat a autentizovat a tak si ho mohou předávat mezi svými pobočkami Roaming mezi přístupovými body Roaming mezi přístupovými body v rámci jedné WLAN probíhá na druhé vrstvě síťové architektury. V podstatě se zde řeší fyzické předání klienta mezi dvěma přístupovými body. Při pohybu mezi přístupovými body jedné WLAN sítě dochází k poklesu intenzity signálu, sníţení počtu prošlých paketů či sníţení přenosové rychlosti z původního AP a zvyšování signálu nového AP. Klient skenuje jednotlivé kanály a na nich nachází různé přístupové body. Z nich vybírá ty se známým identifikátorem SSID. Z mnoţiny těchto moţností vybírá AP se známým šifrováním a snaţí se připojit. Pro předání klienta z jednoho přístupového bodu na druhý v rámci jedné WLAN slouţí protokol IAPP (IEEE f). Protokol IAPP je určen pro vzájemnou komunikaci přístupových bodů a předávání klientů. Obrázek: 2.1 Roaming na druhé a třetí vrstvě zdroj: 18

19 2.2. Roaming v sítích WLAN V případě, ţe se uţivatel přesune z jedné IP sítě do jiné, je nutné zapojit třetí síťovou vrstvu, neboť uţivatel nemůţe jiţ nadále pouţívat původní IP adresu. Aby tento přesun byl uţivateli umoţněn je nutno pouţít nový síťový protokol. Protokol, jenţ tento problém řeší je Mobile IP. Vychází z předpokladu ponechat klientovi tzv. domácí adresu (která je neměnná) a propůjčit mu novou adresu v navštívené síti Problémy roamingu K základním problémům roamingu můţe patřit velké mnoţství různých přístupových bodů, nedostatečné pokrytí plochy signálem, omezené mnoţství vysílacích kanálů a přelaďování mezi kanály. Při přechodu z jednoho přístupového bodu na druhý je vţdy zapotřebí opakovat přihlašovací proceduru a v některých sítích téţ přeladit na jiný vysílací kanál. Při přechodu z jednoho AP provede ovladač síťové karty nejprve odhlášení od současného AP a započne vyjednávat s nově vybraným AP. V případě uţití ověřování klienta přes RADIUS server proběhne ještě odeslání a převzetí informace, zda je uţivateli povolen či zamítnut přístup do sítě. Pokud je uţivatel úspěšně schválen, je mu přidělena DHCP serverem nová IP adresa. Přechod a ověření všech skutečností trvá nejméně 5 vteřin, ale v reálu spíše více. Další mnoţinu problémů způsobují bezdrátové sítě převáţně ve vícepodlaţních budovách z důvodu podstaty technologie IEEE b/g. Jelikoţ jsou k dispozici pouze tři vzájemně se nepřekrývající kanály. To znamená, ţe v některých částech budovy můţe dojít k zarušení přijímaného signálu a mobilní zařízení stojí před úkolem vybírat signál s nejniţší interferencí. Na AP lze sice aktivovat funkci Automatická volba kanálů, ale tato funkce proběhne vţdy pouze jedenkrát a to po restartu AP (dále zarušení kanálů není kontrolováno). Pokud tedy je nutné na jednom AP změnit kanál je nutné následně provést postupný restart ostatních přístupových bodů. 19

20 2.4. Možné řešení Nejen výše uvedenými problémy, ale také řízením přístupu či bezpečností přenášených dat se jiţ delší dobu zabývá firma 3Com. Jejich komplexním řešením je 3Com Wireless LAN Mobility Systém. Tento systém je schopen centrálně spravovat, zabezpečovat a řídit bezdrátovou síť jako jeden celek. Podstatou tohoto systému je centralizovaná koncepce, díky které je usnadněna implementace, bezpečnost, správa a dohled na sítí. Nabízí moderní technologie zabezpečení (WPA/TKIP, WPA2/AES), ověření (integrován RADIUS server) a také moţnost roamingu bez přerušení. Svými vlastnostmi je určen pro střední a větší firemní sítě Příklad využití roamingu - Eduroam Jedním z úspěšných projektů vyuţívajících roaming v praxi je systém Eduroam. Tento projekt má za cíl umoţnit připojení k Internetu pracovníkům či studentům různých univerzit či jiných vědeckých pracovišť, které se k projektu připojily, a to nejen v České republice ale i v zahraničí. V České republice je garantem tohoto projektu sdruţení CESNET. Toto sdruţení bylo zaloţeno v roce 1996 Akademií věd České republiky a vysokými školami s cílem provozovat a rozvíjet akademickou počítačovou síť v České republice. Do projektu Eduroam jsou zapojeny instituce ve většině evropských států a některé instituce v Kanadě a Austrálii. Z České republiky je do projektu zapojena řada vysokých škol, univerzity, nemocnice a další vzdělávací instituce. Obrázek: 2.2 Logo Eduroam zdroj: 20

21 Celý systém je zaloţen na propojené autentizační a autorizační infrastruktuře AAI. Tato AAI je tvořena stromovou hierarchií RADIUS serverů. Uţivatel má moţnost přihlášení do kterékoliv sítě (zapojené do projektu Eduroam) na základě svého účtu vedeného ve své domácí instituci. Na základě vloţení uţivatelského jména jsou data poslána k ověření do domovské sítě, která ověří, zda je uţivatel tím, za kterého se vydává. Informace o povolení či zamítnutí přístupu je poslána zpět do hostující sítě. Autentizace probíhá na bázi protokolu 802.1x. Klient se připojí na port zařízení (u AP virtuální, u switche fyzický), tento port je ve stavu zavřeno. Je povolen pouze autentizační protokol EAP. Speciální program (suplikant), běţící na straně klienta, zahájí ověření přes EAP protokol. Suplikant vyšle na AP ţádost o autentizaci, AP naváţe spojení na RADIUS server a zprostředkuje ověření suplikantu vůči RADIUSu. Pokud je uţivatel lokální, proběhne ověření přímo na RADIUS serveru, se kterým AP komunikuje. Pokud jde o návštěvníka, bude autentizační poţadavek transportován přes strukturu RADIUS serverů aţ na domácí síť uţivatele. O výsledku informuje RADIUS server přímo AP, které v závislosti na odpovědi povolí či zakáţe provoz na daném portu. 10 Obrázek: 2.3 Eduroam - autentizace uţivatele zdroj: 21

22 Eduroam představuje velmi zajímavý a moderní způsob, jak vyuţít roaming ve Wi-Fi sítích. Projekt si od počátku klade za cíl nabízet moţnost všem (registrovaným) studentům, akademickým pracovníkům a dalším zaměstnancům vyuţít moţnosti připojení do sítě v jiných i zahraničních akademických institucích. Tímto cílem a novotou myšlenky se projekt stává velmi přitaţlivým pro další mnoţiny profesních společenství. Lze jej při troše fantazie přirovnat s dávným projektem Arpanet, kde také na počátku byla dobrá myšlenka a iniciativa vzniklá na akademické půdě. Jen v České republice je více neţ 350 lokalit (objektů a institucí), kde lze vyuţít připojení přes bezdrátovou síť Eduroam. Projekt se pochopitelně stále rozšiřuje a tak toto číslo není konečné. Pokud vezmeme v úvahu, ţe moţnosti připojení nejsou omezené pouze na malé teritorium, ale nabízí moţnost připojení v Evropě, Kanadě a Austrálii a podmínkou je pouze být zaregistrován ve své domácí síti, lze projekt povaţovat za revoluční. Hodnocení bezpečnosti této sítě před průniky se jeví vzhledem k velikosti a mnoţství uţivatelů jako nadstandardní. Bezpečné řízení přístupu vyuţívající protokol 802.1x (EAP, RADIUS server) včetně bezpečnosti přenášených dat (WPA/TKIP, WPA2/AES) nabízí vysokou míru bezpečnosti při vyuţívání této bezdrátové sítě. 3. Možné hrozby a útoky 3.1. Odposlech Odposlech rádiových vln byl problémem jiţ od prvního vyuţití tohoto komunikačního prostředku v armádách. Vţdy stačí do dosahu vysílače nastavit anténu a odposlech je na světě. Je zapotřebí si uvědomit, ţe odposlechu nelze nikdy zabránit ani jej stoprocentně detekovat. Při odposlechu se útočník pomocí vhodného programu (packet sniffer) snaţí jednotlivé pakety zachycovat a následně je analyzovat. V případě zachycení a analyzování paketu s obsahem přihlašovacích údajů např. na mail server, můţe pak útočník jednoduše ovládat mailovou komunikaci odposlouchávaného. 22

23 3.2. WarWalking, WarDriwing, WarFlying Jedná se o způsob zjišťování dostupných bezdrátových sítí a jejich zabezpečovacích mechanismů. Warwalking je v podstatě pěší zjišťování dostupných sítí v různých lokalitách. Oproti tomu Wardriwing můţeme chápat jako projíţdění různých lokalit a zjišťování dostupných sítí pomocí mobilního zařízení (notebooku) a Wi-Fi karty. Warflying je hledání bezdrátových sítí z letícího letadla ve výšce pod 500m, to je ovšem poměrně nákladné, neboť pouţití malého letadla a potřebné techniky si můţe dovolit jen málokdo. Úmyslem není aţ tak připojit se do sítě, nebo nějakým způsobem narušit či zneuţít připojení, ale zmapovat místa výskytu bezdrátových sítí s různou úrovní zabezpečení DoS Dalším druhem útoku po bezdrátové síti je snaha útočníka zaměstnat přístupový bod velkým mnoţstvím zbytečných operací a tím jej vyřadit z provozu pro operace potřebné z hlediska provozu systému. Útočník můţe zasílat přístupovému bodu velké mnoţství ţádostí o připojení třeba i z více mobilních zařízení. Systém přístupového bodu potom stojí před úkolem všechny tyto ţádosti vyhodnotit a odmítnout. Tím je moţno přístupový bod zaměstnat natolik, ţe nedokáţe v reálném čase odpovídat na ţádosti o přihlášení regulérních uţivatelů a tím přestává toto spojení plnit svoji prvotní funkci. Cílem takového jednání můţe být vyřadit určitou sluţbu, počítač nebo celou síť. Následkem tohoto jednání můţe být i podstatné sníţení rychlosti sítě popřípadě její nefunkčnost. Podobný efekt můţe způsobit téţ problém s blízkostí jiného či jiných bezdrátových zařízení pracujících ve stejném pásmu 2,4 GHz. Jedná se například o zařízení vyuţívající sluţeb bluetooth, bezdrátové telefony či mikrovlnné trouby Man in the middle Tento útok je jiţ důmyslnější a propracovanější. Útočník jiţ přímo vstupuje do systému a stává se součástí sítě. Podstatou řešení je oklamání řádných klientů a opravdových přístupových bodů. Útočník se snaţí přesvědčit klienty o tom, ţe jeho zařízení je přístupovým bodem, který povaţují za správný a pro své připojení relevantní. 23

24 Taktéţ na druhé straně se snaţí přesvědčit přístupový bod o tom, ţe on je oprávněným klientem s odpovídajícími právy. Děje se tak na základě odposlechu komunikace a zjištění MAC adresy obou síťových zařízení. Po zfalšování vlastních MAC adres se útočník můţe tvářit pro opravdový přístupový bod jako správný klient a naopak, pro klienta jako správný přístupový bod. Po dosaţení tohoto cíle probíhá veškerá komunikace přes útočníka a on tím získává přehled o veškeré komunikaci na síti Útok hrubou silou Tento druh útoku je v podstatě nejjednodušší moţností k proniknutí do sítě. Vychází z předpokladu, ţe po N pokusech dojde k objevení správné kombinace uţivatel a heslo. Tento útok je moţno plně zautomatizovat a teoreticky je pouze otázkou času a správného algoritmu neţ dojde k uhádnutí správné kombinace. Tomuto útoku napomáhá skutečnost, ţe uţivatele volí jednoduchá hesla a tím je pro útočníka snadnější (kratší čas pro vytváření kombinací) danou variantu jména a hesla uhádnout. Útok se stává ještě pohodlnějším v případě, kdy se útočníkovi zdaří získat jednosměrně zašifrované heslo. V tomto případě se útočník pomocí slovníku pokouší různé textové řetězce zašifrovat a své výsledky porovnávat se získaným jednosměrně zašifrovaný heslem Shrnutí Ohroţení bezdrátových sítí pro uţivatele představuje skutečnost zcizení osobních údajů či zneuţití přihlašovacích přístupů k citlivým údajům. Vţdy je nutné si uvědomovat, ţe bezdrátová síť to jsou rádiové vlny, které se prostorem nekontrolovatelně šíří a které naslouchat je stejně jednoduché jako naladit v rádiu rozhlasovou stanici. Po naladění této rozhlasové stanice je pak pro útočníka jiţ jen problém jak získané informace přeloţit do srozumitelného jazyka. Vzhledem k jednoduchosti zachycení tohoto vysílání je snaha o prolomení těchto sítí velmi lákavá. Mít dobře zabezpečenou WLAN znamená sníţení rizika, ţe právě do této sítě se bude chtít potenciální útočník nabourat. Podceněním bezpečnosti se vystavujeme riziku krádeţe, zničení, modifikace, ztráty dat, odhalení soukromých informací, či narušení sluţeb. 24

25 Bohuţel i v dnešní době je provozováno mnoho nezabezpečených bezdrátových sítí. Pro představu, z pravidelného průzkumu bezpečnosti bezdrátových sítí prováděného společností Ernst & Young ve vybraných částech Prahy (Praha 1, Praha 2) v roce 2009 vyplývá, ţe z celkového počtu 3347 přístupových bodů bylo 16% zcela nezabezpečených a 58% pouţívalo jiţ dávno nedostatečnou ochranu WEP Bezpečnost provozu v bezdrátové síti Snahou všech provozovatelů bezdrátových sítí je maximálně bezproblémový provoz na straně uţivatelů při zachování důvěrnosti dat, které se nacházejí v síťovém prostředí. Reálný provoz se můţe tomuto poţadavku vţdy pouze více či méně blíţit. Jedním z důvodů jsou velmi striktní omezení na straně uţivatelů sítě, které pro správce vţdy přinášejí řadu ţádostí o různé výjimky či nutnost pravidelných aktualizací, které mohou přinést omezení provozu některých komponent. Zásady bezpečnosti je moţno dělit dle mnoha kritérií a úhlu pohledu. Pro účely této práce předkládám rozdělení bezpečnosti bezdrátové sítě na bezpečnostní opatření a bezpečnostní mechanismy. Přičemţ za opatření je povaţována taková systematická činnost, která vede k vyšší bezpečnosti provozu sítě Bezpečnostní opatření Zavedení autentizačních opatření Jde o to vytvořit takový systém přihlašovacích údajů, aby obě přihlašovací strany nabývaly jistoty, ţe druhá strana je tou, za kterou se vydává. Opatření vedoucí k řízeným přístupům Jedná se o vytvoření struktur práv přístupu. Obecně platí, ţe uţivatel má mít jen taková práva, které nezbytně potřebuje ke své kaţdodenní práci. Jakákoli práva navíc jiţ představují bezpečnostní riziko. Pro tuto činnost je zapotřebí vytvořit strom struktur přístupových práv a přesně definovat potřeby a povinnosti jednotlivých uţivatelů a z nich následně vyplývající přístupové poţadavky či potřeby. 25

26 Zajištění důvěrnosti dat Jedná se o takovou činnost, jejímţ cílem je znesnadnit, v nejlepším případě znemoţnit, čitelnost myšlenek či dat obsaţených v datovém toku. Za předpokladu, ţe veškerému síťovému dění lze naslouchat je nutno vytvořit systém kódovaní či šifrování, jehoţ cílem je situace, kdy odposlechnutá data nemají pro osobu neoprávněnou ţádný smysl a tedy jsou nepotřebná a nezneuţitelná. Integrita dat Jedním z nebezpečí vyplývající z provozu síťových informací je moţnost, ţe vyslaná zpráva do svého cíle dorazí, ale v pozměněném obsahu. Přičemţ cílový adresát ani odesilatel nemají o změně informace v předané zprávě ţádné povědomí a sami sebe ubezpečí pouze o tom, ţe zpráva byla odeslána a ţe zpráva byla přijata. Z této moţnosti zneuţití síťové komunikace pramení snaha o zajištění integrity dat přenášených po síti. Aktualizace systémů a upgrade Neustálá činnost vedoucí k udrţení aktuálnosti provozovaných softwarových komponent. Touto činností dochází téţ k instalaci bezpečnostních záplat operačních a jiných systémů. Tím se udrţuje bezpečnost celého provozovaného systému na aktuální úrovni zabezpečení. Monitorování bezpečnosti Monitorování je takovou činností, při které dochází ke zjišťování stavu v síti a zjišťování reakce sítě na útoky. Součástí monitoringu je následné vyhodnocení chování sítě a přijmutí potřebných opatření. Školení uživatelů Neustálý periodický proces seznamování uţivatelů s nejnovějšími trendy v bezpečnostních nařízeních a chování kaţdého jednoho uţivatele ve styku s okolním síťovým prostředím. Vydávání jednoznačných a prokazatelně seznamujících omezení v oblasti chování na síti. Zejména se jedná o zákazy typu nepovolené instalace jakýchkoliv bezdrátových zařízení. Dále se jedná o jednoznačné poučení o mlčenlivosti v otázkách přístupů a hesel. Politika hesel Jedná se o striktně vyţadované nařízení, které řeší periodicitu výměn hesla a jeho doporučenou velikost a alfanumerické sloţení. 26

27 Chování na síti Jedná se o takové poučení uţivatelů, které vede k uvědomění si rizik a moţností zneuţití sítě neoprávněnou osobou. Z toho vyplývá reţim chování a zacházení s citlivými údaji obzvlášť při přístupu k síti Internet. Stanovení modelů chování v reakci na docházející poštovní zprávy. Zajištění infolinky pro zodpovězení dotazů při neznámých či nenadálých situacích Bezpečnostní mechanismy WEP WEP protokol je původní zabezpečení Wi-Fi sítí. Lze ho vyuţít jako doplněk pro řízení přístupu (autentizaci) a zabezpečení přenášených dat (šifrování). Cílem tohoto protokolu bylo poskytnout uţivateli takové zabezpečení v bezdrátové síti, aby bylo srovnatelné se zabezpečením v metalických sítích. WEP pouţívá pro utajení přenášených dat šifrovací algoritmus RC4 se sdíleným klíčem 40 nebo 104 bitů a inicializační (dynamicky měnící) vektor (IV) dlouhý 24 bitů. Dohromady tak tvoří 64bitové nebo 128bitové šifrování (někteří výrobci nabízí i 256bitové). Pro kontrolu integrity se pouţívá metoda CRC-32 kontrolního součtu. Toto zabezpečení se však brzy ukázalo jako nedostatečné. WEP skrývá mnoho slabin a prolomení tohoto zabezpečení je moţné uţ během několika málo minut (za předpokladu dostatečného provozu na síti). Mezi tyto slabiny patří: o Stejný WEP klíč na všech zařízeních v jedné WLAN o WEP nepodporuje dynamickou změnu klíčů, pouze manuální a záleţí na uţivateli o Statický WEP klíč lze z dostatečného mnoţství odposlechnutých dat lehce prolomit (slabý šifrovací mechanismus RC4) o Se získaným WEP klíčem lze data dešifrovat, pozměnit (porušit integritu) aniţ by to příjemce poznal o Pouze jednostranná autentizace, ověření klienta nikoli přístupového bodu, není jistota připojení k autorizovanému AP o Ověření klienta (zařízení) nikoli uţivatele, při krádeţi zařízení nutno manuálně překonfigurovat klíče na všech zařízeních 27

28 o Manuální změna WEP klíčů na všech zařízeních v případě větší firemní síti je z praktického hlediska takřka nerealizovatelná WPA Reakcí na váţné bezpečnostní nedostatky v předchozím systému WEP bylo přijato koncem roku 2002 Wi-Fi Alliancí dočasné bezpečnostní řešení pod označením WPA. WPA je zpětně slučitelné s dřívějším WEP (vyuţívá stejný hardware jako WEP). Díky tomu je moţnost u některých zařízení (u kterých to výrobce umoţňuje) podporující WEP aktualizací firmware přejít a začít vyuţívat WPA x WPA pouţívá pro autentizaci a distribuci klíčů normu 802.1x. Touto normou se zavádí ověřování uţ samotného uţivatele, tedy nikoli samotného klienta (zařízení), coţ eliminuje vzniklé problémy při krádeţi zařízení včetně Wi-Fi karty. Ověřování je navíc vzájemné, tedy jak uţivatele k přístupovému bodu, tak i naopak, čímţ došlo k zabezpečení před podvrţenými (neautorizovanými) přístupovými body x umoţňuje dynamické generování klíčů, které je vůči uţivatelům transparentní a nahrazuje jinak časově náročnou a potenciálně nebezpečnou distribuci šifrovacích klíčů. Dynamické klíče jsou generovány na uţivatele a relaci a mají omezenou ţivotnost. K prolomení tudíţ nelze pouţít hrubou sílu, jako tomu bylo u statických sdílených klíčů WEP EAP 802.1x je zaloţen na protokolu EAP. Protokol EAP podporuje různé metody autentizace, např. jednorázové hesla, čipové karty, digitální certifikát. Průběh autentizace probíhá v následujících krocích: o přístupový bod si na základě detekce klienta vyţádá autentizační informace o uţivatel zadá poţadované informace pro autentizaci o přístupový bod odešle obdrţené informace k ověření na autentizační server RADIUS o při úspěšné autentizaci dostává klient prostřednictvím přístupového bodu (otevřením portu) povolení připojit se, vysílat data a je povaţován za autentizovaného 28

29 V rámci protokolu EAP jsou pouţívány následující metody autentizace: EAP-MD5 autentizace probíhá přes RADIUS server na základě otisku (hash) MD5, který je vytvořen z uţivatelského jména a hesla. Metoda je povaţována za nejméně bezpečnou a pro WLAN nevhodnou, neboť nepodporuje dynamické generování klíčů a nenabízí ţádný způsob, jak ověřit, ţe klient odesílá data do správného přístupového bodu. Pouţitelná snad jen pro takové bezdrátové sítě, kde je minimální pravděpodobnost odposlechu. LEAP (EAP-Cisco) tato metoda jiţ podporuje vzájemnou autentizaci, tedy jak klienta vůči přístupovému bodu tak naopak a dynamické generování klíčů WEP. Autentizace probíhá obdobně jako u EAP-MD5 na základě uţivatelského jména a hesla. Dynamické klíče se generují pro kaţdou relaci a pro kaţdého klienta, coţ znamená, ţe kaţdý klient pracuje s jiným vygenerovaným klíčem. EAP-TLS vyvinuto firmou Microsoft. Metoda podporuje dynamické generování klíčů WEP a vzájemnou autentizaci. Místo kombinace uţivatelské jméno a heslo se vzájemná autentizace provádí pomocí digitálních certifikátů, které jsou podepsány certifikační autoritou. Tato metoda je náročná na implementaci, avšak nabízí nejvyšší úroveň zabezpečení. EAP-TTLS jedná se o jednodušší alternativu metody EAP-TLS. Vzájemná autentizace probíhá pomocí certifikátu, ze strany autentizačního serveru, a uţivatelského jména a hesla ze strany klienta. Tato metoda je méně bezpečná neţ EAP-TLS, ale přesto je povaţována za vysoce bezpečnou. PEAP je obdobná metoda autentizace jako EAP-TTLS. Aktualizační server má svůj certifikát a klient musí být schopen ověřit jeho platnost. K ověření uţivatele je pouţita jedna z metod EAP, např. EAP-MD5. Představuje silnější metodu autentizace neţ LEAP a je snadnější na implementaci neţ EAP-TLS. 29

30 TKIP Zásadní zlepšení bezpečnosti v oblasti přenášených dat (oproti WEP) získalo WPA protokolem TKIP. Tento protokol TKIP zahrnuje jednak silné šifrování (klíče se dynamicky mění pro kaţdý paket), prodlouţenou délku vektoru IV a také novou kontrolu integrity zpráv (MIC). Díky dynamicky měnícím klíčům pro kaţdá paket, na rozdíl od WEP, kde klíče jsou stejné pro všechny uţivatele téţe WLAN, útočník nemá moţnost odposlechnout dostatek paketů se stejným klíčem MIC Jedná se o nový mechanismus pro zajištění integrity zprávy. MIC přidává ke kaţdému rámci digitální podpis, který je automaticky vypočítán z datové části rámce, zdrojové a cílové MAC adresy, pořadového čísla paketu a náhodné hodnoty. Výsledná hodnota včetně datové části je následně jako jeden celek zašifrována. Digitálním podpisem se účinně zamezuje útoku typu man-in-the-middle, tedy aby útočník nemohl odchytit paket na jeho cestě k příjemci, změnit ho a poslat dál WPA2 Jako definitivní nahrazení WEP (WPA) byl v roce 2004 schválen dodatek i, označován také jako WPA2. Tak jako WPA i WPA2 v sobě zahrnuje oboustrannou autentizaci na základě 802.1x. Mezi nejvýznamnější doplňky patří nový protokol CCMP se silnou metodou šifrování AES (protokol TKIP zachován pro zpětnou slučitelnost s WPA). Mezi další významné volitelné doplňky, o které byla WPA2 rozšířena, je předběţná autentizace, která umoţňuje rychlý a bezpečný roaming mezi přístupovými body CCMP Nový protokol zaručuje silnější šifrování. Pouţívá 128bitový klíč a na rozdíl od WEP pouţívá dynamické regenerování klíčů. A právě automatické generování šifrovacích klíčů účinně chrání před moţným prolomením klíče, neboť útočník není schopen odposlechnout dostatečný počet paketů šifrovaných stejným klíčem. Současně zajišťuje utajení, autenticitu, kontrolu integrity zpráv (MIC)a číslování paketů na ochranu proti útokům typu repay (přeposlání). 30

31 AES Tato metoda šifruje data postupně v blocích s pevnou délkou 128 bitů. Šifra se vyznačuje vysokou rychlostí šifrování včetně moţnosti pouţití šifrování při přenosu většího objemu dat. Oba procesy (šifrování/dešifrování) lze vykonávat současně (paralelně). AES je zaloţen na algoritmu Rijndael a pouţívá klíče o délkách 128, 192 nebo 256 bitů. Oproti slabému mechanismu RC4, který se pouţíval v protokolech WEB a TKIP, je AES povaţován za dostatečně silný šifrovací mechanismus. Dosud nejsou známy případy prolomení této metody šifrování Předběžná autentizace Norma i v sobě zahrnuje tento volitelný doplněk. V bezdrátové síti s více přístupovými body se můţe klient předběţně autentizovat u jiného přístupového bodu, aniţ by musel být uţ v jeho dosahu. Prostřednictvím přístupového bodu, ke kterému je momentálně připojen, je předem odeslán paket ţádající o autentizaci u nového přístupového bodu. Předběţné autentizace se zejména vyuţívá v bezdrátových sítích umoţňujících roaming mezi WLAN Slučitelnost WPA2 je povaţován za bezpečný a splňuje nejpřísnější poţadavky. Díky zpětné slučitelnosti je moţné v jedné síti kombinovat zařízení WPA s WPA2. Starší zařízení, která nabízí pouze reţim WEP, lze kombinovat pouze s WPA nikoliv s WPA2. Zařízení vyrobena od roku 2006 musí povinně podporovat WEP2. Kaţdý uţivatel, který by chtěl pouţívat dokonalejší zabezpečení WEP2 a jeho stávající zařízení nabízí pouze WEP, by se měl informovat u výrobce, zda přechod na WPA2 je vůbec moţný. Ve většině případů to vyţaduje nový hardware, coţ je neekonomické a jednodušší je koupit nové zařízení Filtr MAC Metoda filtrování fyzických adres MAC představuje další moţnost zabezpečení přístupu do sítě. Kaţdá síťová karta má svou identifikační MAC adres (hexadecimální číslo). Toto číslo je jedinečné mezi všemi síťovými kartami na světě. Lze tak tento identifikační údaj vyuţít a na přístupovém bodě nastavit filtr (seznam) MAC adres a omezit tak povolení přístupu jen pro určitou mnoţinu oprávněných klientů a komukoliv jinému tak zakázat přístup do sítě. 31

32 Filtrování adres MAC není ale bohuţel úplně bezpečné a spoléhat pouze na to by bylo velkou chybou. Předně kaţdý uţivatel si můţe tuto MAC adresu na svém zařízení sám změnit. Útočník tedy můţe odposlechem provozu na síti zjistit, jaká MAC adresa má povolený přístup a tu si následně nastavit na svém zařízení. Pak stačí počkat, aţ se klient odpojí a díky zjištěné MAC adrese autorizovaného klienta se můţe připojit do sítě, tedy úspěšně projít filtrem MAC adres. Problémem můţe být se také udrţování aktuálních seznamů MAC adres na všech bezdrátových zařízení v síti. Pokud jich v menších sítích máme kolem deseti aţ dvaceti, není to takový problém, ale v případě sledování stovek a více fyzických MAC adres v rozsáhlejší podnikové síti je tato správa dosti obtíţná Nastavení zabezpečení Wi-Fi v domácí prostředí Bezdrátové sítě jsou v dnešní době ve velké oblibě a dvojnásobně to platí pro domácnosti. Vybudovat bezdrátovou síť např. v rodinném domku a mít tak moţnost se odkudkoliv připojit na Internet je podstatně snazší neţ rozvést do kaţdé místnosti kabel a instalovat přípojku. Jak jiţ bylo zmíněno, problém vyvstává s prostorem, kde je toto pokrytí neţádoucí a umoţňuje útočníkovi ať uţ připojení na Internet nebo přístup k našim datům. Zabezpečení bezdrátové sítě v domácím prostředí je vţdy závislá na poţadavcích uţivatelů. Bohuţel najdou se i tací uţivatelé, kteří podléhají falešné představě, ţe nikdo nemá důvod zajímat se právě na jejich bezdrátovou síť a tedy ţe není důvod věnovat se aţ tolik zabezpečení. Je nesprávné domnívat se, ţe útočníky zajímají především firemní sítě a na ně soustředí své útoky Doporučené zásady a nastavení Změna továrního nastavení Změna továrního nastavení přístupového bodu je nedílnou součástí základní bezpečnosti domácí sítě. Kaţdý výrobek tohoto typu je od svého výrobce nějak nastaven, přičemţ kaţdý výrobce dává svým výrobkům jednotná nastavení. Příkladně všechna zařízení (AP) jednoho výrobce mají standardně nastavené stejné heslo pro přístup či SSID. 32

33 V momentě, kdy nedojde ke změně tohoto nastavení, není moţné se vůbec myšlenkami na bezpečnost takové sítě zaobírat. Údaje o továrním nastavení jsou veřejně dostupné na webových stránkách výrobců či jsou uvedena v manuálech. To znamená, ţe potencionální útočník si nemusí dané zařízení pořizovat, aby zjistil uvedené hodnoty, ale stačí mi jen zapnout počítač a hodnoty si vyhledat na Internetu. Nevysílat SSID Vypnutím SSID coby hlavního identifikátoru sítě pro okolí zvyšujeme bezpečnost sítě před neţádoucím vniknutím. Bez znalosti tohoto identifikátoru se nelze běţným způsobem připojit a tím vytváříme další neznámou, kterou musí útočník odhalit. Některá zařízení toto neumoţňují, ale je tu moţnost alespoň přejmenovat SSID, aby nebylo moţno z identifikátoru zjistit o jaké zařízení, nebo druh sítě se jedná. Filtrace MAC adres V přístupovém bodu je moţno definovat, která síťová zařízení budou relevantní pro komunikaci. Děje se tak pomocí definice MAC adresy. Přičemţ MAC adresa je jedinečný a neopakovatelný identifikátor síťového zařízení. Při skutečné neopakovatelnosti tohoto identifikátoru je moţno velmi bezpečně definovat, která zařízení budou k přístupovému bodu přistupovat a která ne. Problémem je však moţnost klonování tohoto identifikátoru. Aktivace šifrovacích mechanismů Aktivace šifrovacích mechanismů znamená vyuţití bezpečnostních prvků daného přístupového bodu na bázi šifrování. V průběhu vývoje těchto zařízení vznikly moţnosti šifrování typu WEP později WPA či WPA2. Uvedené systémy se od sebe liší kvalitou a náročností provozované šifry. Z hlediska uţivatele jde vţdy o to, aby si vybral takové zabezpečení, které mu vyhovovat a bude splňovat jeho nároky na bezpečnost sítě. Vţdy je důleţité pouţít alespoň nějaký šifrovací mechanismus neţ nepouţít ţádný. 33

34 Nastavení výkonu antény Je potřebné vţdy omezovat prostor, kde se nachází vysílaný signál a není k tomu ţádný důvod. Například se jedná o venkovní prostory domu, společné chodby v bytových domech a další prostory. Tomuto poţadavku vyhovíme jednak správným umístěním anténních prvků, jejich správnou volbou a správným nastavením vysílacího výkonu. Je vhodné po instalaci antén a počátku vysílání měřit intenzitu signálu v okolí prostoru, kde signál předpokládáme a potřebujeme Nastavení zabezpečení Wi-Fi ve firemním prostředí Ve firemním prostředí jsou na zabezpečení kladeny daleko vyšší nároky. Je to dáno jednak větším počtem zařízení v síti, vyšším počtem uţivatelů sítě a hlavně neporovnatelně vyšší citlivostí dat. Jednoduše lze říci, ţe v domácí síti nalezneme citlivé údaje osobního charakteru, ale ve firemních sítích se nacházejí citlivé údaje jako databáze klientů, či rozpracované projekty, které mohou být pro ţivot firmy nabývat naprosto zásadního významu. Mnoho malých a středních firem dává přednost před nákladným vybudováním klasické metalické sítě právě bezdrátové síti. Důvod je především v niţších finančních nákladech na vybudování. Ušetřené investice by se měly vynaloţit právě na zabezpečení bezdrátové sítě. Coţ se ve vedení mnoha těchto společností zatím nestřetává s pochopením. Základní zásady a doporučení bezpečnosti v domácím prostředí lze aplikovat i ve firemním prostředí. Výjimkou je snad filtrace MAC adres, která se hodí pro sítě s maximálně 20 klienty. Na přístupových bodech aktivovat (dle moţnosti zařízení) maximálně moţné zabezpečení (WPA2/AES). Autentizace, vzhledem k většímu počtu uţivatelů, by měla být řízena centralizovaně a realizována na úrovni uţivatele nikoliv zařízení. Vhodnou volbou je tedy pouţití protokolu 802.1x s autentizačním serverem RADIUS. Ve firemním prostředí je často vyuţíváno vzdálené připojení k síti prostřednictvím Internetu. Jako ideální řešení se nabízí moţnost vyuţít VPN s protokolem IPsec. Velká pozornost ve firemním prostředí by se měla věnovat dostupnosti vlastního signálu v prostorách, které společností nejsou obývány a mohou být předmětem nájemného vztahu s kteroukoli jinou společností a to v nejhorším moţném případě i konkurenční. Dalším problematickým bodem můţe být přenos signálu mezi budovami. Tento se obvykle děje směrovými anténními systémy, nicméně opět hrozí jeho odposlech kdekoli po cestě. 34

35 Společnost přenášející takto signál určený pro provoz sítí by se měla vţdy zamyslet nad otázkou, kdo se zdrţuje v území, nad kterým se tento signál přenáší. Firemní WLAN by měla být podrobována pravidelným bezpečnostním auditům, které prověří aktuální stav bezpečnosti sítě a promítnou do její struktury vţdy nejnovější bezpečnostní trendy RADIUS Systém RADIUS je určen pro autentizaci vzdálených uţivatelů. Zabezpečuje jednak autentizaci (ověření uţivatele pro přístup do sítě), dále autorizaci (jaké data či sluţby můţe uţivatel vyuţívat, do kterých sítí má přístup) a účtování (zaznamenává začátek a konec spojení včetně všech činností uţivatele v systému). Jeho prvořadým úkolem je ověření uţivatelů před přístupem do sítě. Pracuje na principu klient/server, kde klienty jsou přístupové servery NAS (např. bezdrátový přístupový bod, přepínač). Ověřování vzdáleného uţivatele probíhá tak, ţe uţivatel naváţe spojení se serverem NAS, který si zaţádá od uţivatele zadat přístupová data (uţivatelské jméno a heslo). Přihlašovací data jsou zašifrována a odeslána na server RADIUS, který následně ověří uţivatele a rozhodne o povolení či zamítnutí přístupu daného uţivatele do sítě. V některých případech můţe být uţivatel vyzván k doplnění dalších informací např. při vypršení platnosti hesla. Obrázek: 4.1 RADIUS server zdroj: 35

36 VPN Virtuální privátní síť je prostředek k propojení několika počítačů prostřednictvím (veřejné) nedůvěryhodné počítačové sítě. Lze tak snadno dosáhnout stavu, kdy spojené počítače budou mezi sebou moci komunikovat, jako kdyby byly propojeny v rámci jediné uzavřené privátní (a tedy důvěryhodné) sítě. Při navazování spojení je totoţnost obou stran ověřována pomocí digitálních certifikátů, dojde k autentizaci, veškerá komunikace je šifrována, a proto můţeme takové propojení povaţovat za bezpečné. VPN sítě se typicky vytvářejí mezi počítači, které jsou připojeny k Internetu. Lze tak například zajistit připojení firemních notebooků připojených kdekoliv k Internetu do firemního intranetu (vnitřní firemní sítě). K propojení se ve firemní síti nejprve zprovozní VPN server, zajistí se připojení k Internetu, ke kterému se pak připojují VPN klienti z jakéhokoliv místa, které je také k Internetu připojeno. VPN server plní funkci síťové brány, která zprostředkovává připojení, zajišťuje zabezpečení a šifrování veškeré komunikace. 12 Obrázek: 4.2 VPN tunel zdroj: VPN obecně nabízí práci na vzdálených počítačích a vyuţívání jejich dat velmi jednoduchým způsobem. Typickým vyuţitím VPN sítí je například dálková správa PC jednotlivých uţivatelů v menších firmách, které však mají plošnou působnost. Správce sítě pak (můţe být pouze jeden) ve všech regionálních pobočkách provádí zásahy na jednotlivých PC pomocí VPN, přičemţ postačuje pouze připojení k Internetu. Není tudíţ zapotřebí vlastní nákladná kabelová infrastruktura. Další moţností vyuţití VPN jsou aktualizace informací (ceníků a pod) v rámci menších společnosti s plošnou působností. Konkrétním příkladem můţe být moţnost obchodních zástupců v regionech aktualizovat své ceníky pro nadcházející období. 36