5. Zabezpečení Wi-Fi



Podobné dokumenty
Bezpečnost bezdrátové komunikace 9 Téma číslo 1: bezpečnost 10. Základy bezpečnosti komunikačních sítí 13 Bezpečnost sítě 14 Bezpečnostní politika 15

Bezdrátové sítě Wi-Fi Původním cíl: Dnes

Představíme základy bezdrátových sítí. Popíšeme jednotlivé typy sítí a zabezpečení.

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013

ČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE

Analyzátor bezdrátových sítí

Bezdrátový router 150 Mbit/s Wireless N

ODBORNÝ VÝCVIK VE 3. TISÍCILETÍ

Základy bezdrátového přenosu dat pro plzeňský kraj

Obrana sítě - základní principy

1. Základy bezdrátových sítí

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

Stručný návod k obsluze Instalace ovladače WLAN USB adaptéru GW- 7200U pro Windows 98SE, ME, 2000 a XP

Obsah. O autorech 9. Předmluva 13. KAPITOLA 1 Počítačové sítě a Internet 23. Jim Kurose 9 Keith Ross 9

Bezpečnost bezdrátových sítí

Standard IEEE

Představení Kerio Control

Bezdrátové sítě (WiFi, Bluetooth, ZigBee) a možnosti jejich implementace.

54Mbps bezdrátový router WRT-415. Návod pro rychlou instalaci

Popis zapojení jednotlivých provozních režimů WELL WRC7000N WiFi GW/AP/klient/repeater/switch, 300 Mb/s, R-SMA

IEEE aneb WiFi

Router TP-LINK TL-WR1043ND je typickým zástupcem zařízení určených pro malé firmy, kanceláře a domácnosti.

Fakulta Elektrotechnická

Bezpečnost sítí

Inovace bakalářského studijního oboru Aplikovaná chemie

Inovace bakalářského studijního oboru Aplikovaná chemie

3. SPECIFIKACE TECHNICKÝCH PARAMETRŮ

SPS Úvod Technologie Ethernetu

12. Virtuální sítě (VLAN) VLAN. Počítačové sítě I. 1 (7) KST/IPS1. Studijní cíl. Základní seznámení se sítěmi VLAN. Doba nutná k nastudování

WiFi standardy IEEE WLAN. J. Vrzal, verze 0.9

BEZDRÁTOVÝ MINI SMĚROVAČ WIRELESS-N

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Slovník technických pojmů

Město Litvínov se sídlem Městský úřad Litvínov, náměstí Míru 11, Litvínov odbor systémového řízení

Dodávka UTM zařízení FIREWALL zadávací dokumentace

Přehled doplňků normy IEEE

Popis zapojení jednotlivých provozních režimů WELL WRC3500_V2 WiFi GW/AP/klient/repeater/switch, 54 Mb/s, R-SMA

Rychlá instalační příručka TP-LINK TL-WR741ND

Průvodce rodinou produktů 3Com OfficeConnect

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

Cisco Networking Accademy. 7. Bezdrátové sítě (Wireless Networks)

Stručný návod k obsluze Nainstalujte ovladač GW-7100PCI pro Windows 98, ME, 2000 and XP

Jak na různé WiFi sítě v Linuxu

SPECIFICKÁ PRAVIDLA PRO ŽADATELE A PŘÍJEMCE INTEGROVANÝCH PROJEKTŮ ITI

9. května menší, než by tomu bylo, pokud by se jednalo o sít bezdrátovou. V tomto okamžiku jsou. blokovat nebo narušit vysílané signály [1].

Dvoupásmový přístupový bod pro venkovní použití Návod k obsluze - EC-WA6202 (EC-WA6202M)

Virtální lokální sítě (VLAN)

Základní nastavení přístupového bodu A/G

12. Bezpečnost počítačových sítí

Inovace bakalářského studijního oboru Aplikovaná chemie

Bezpečnost vzdáleného přístupu. Jan Kubr

SPECIFICKÁ PRAVIDLA PRO ŽADATELE A PŘÍJEMCE

SSL Secure Sockets Layer

Y36PSI IPv6. Jan Kubr - 7_IPv6 Jan Kubr 1/29

NÁVOD K OBSLUZE ARC Wireless: SplitStation5 (+ iflex2 - vnitřní AP 2,4 GHz vč. 3 dbi antény)

Topologie počítačových sítí Topologie = popisuje způsob zapojení sítí, jejich architekturu adt 1) Sběrnicová topologie (BUS)

Bezdrátové sítě. Popularita bezdrátových sítí WiFi je způsobena jejich výhodností, Mobilní a bezpečný bezdrátový internet. Přenos až 300Mbit/s

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

5. Směrování v počítačových sítích a směrovací protokoly

DWL-G650 AirPlus Xtreme G 2.4 GHz bezdrátový Cardbus adaptér

Návod k použití. Bezdrátový Access Point (přístupový bod) RWAP

Počítačová síť a internet. V. Votruba

Možnosti zabezpečení mobilní komunikace. Jan Křečan Manažer prodeje mobilních firemních řešení

Bezdrátové sítě. Bezdrátové LAN dramaticky mění současnou strukturu sítí. Díky. Venku nebo uvnitř, pořád připojen.

Model: Mbps Wireless 11G+ Access Point UŽIVATELSKÝ MANUÁL

DWL-G520 AirPlus Xtreme G 2.4 GHz bezdrátový PCI adaptér

User based tunneling (UBT) a downloadable role

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Stručný návod k obsluze Instalace ovladače GW-7100U pod Windows 98, ME, 2000 a XP Instalace obslužného programu pod Windows 98, ME, 2000 and XP

Nastavení modemu Comtrend VR-3031eu

Základy bezdrátových sítí

Poznámky pro uživatele bezdrátové sítě LAN

Uživatelský modul. WiFi STA

Česká verze. Instalace ve Windows XP a Vista

BEZDRÁTOVÝ ŠIROKOPÁSMOVÝ ROUTER 11N 300MBPS

Standard vnitřní konektivity (dle přílohy č. 9 Specifických pravidel pro žadatele a příjemce v rámci výzvy č. 47 IROP)

i-tec WPOINT - WiFi Repeater 300Mbps WPS (WPOINT-REPEAT) Manuál

Zabezpečení v síti IP

PROBLEMATIKA BEZDRÁTOVÝCH SÍTÍ

Připojení městských částí do infrastruktury MepNET. Dotazníkové šetření Bohdan Keil,

Uživatelský modul. WiFi SSID Switch

P16V PŘÍLOHA Č. 5 STANDARD KONEKTIVITY ŠKOL

TC-502L TC-60xL. Tenký klient

WAP LAN/WLAN AP/klient. Uživatelský manuál

VPN - Virtual private networks

Počítačová síť TUONET a její služby

Wireless-N Range Extender WAP Rychlá instalační příručka

Technické aspekty zákona o kybernetické bezpečnosti

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen.

TECHNOLOGICKÉ DOPOLEDNE

Aktivní prvky: přepínače

Příručka síťových aplikací

Česká verze. Instalace hardwaru. Instalace ve Windows XP a Vista

Enterprise Mobility Management

TC-502L. Tenký klient

Správce sítí pro malé a střední organizace (kód: M) Skupina oborů: Elektrotechnika, telekomunikační a výpočetní technika (kód: 26)

Autentizace uživatele připojeného přes 802.1X k přepínači Cisco Catalyst 2900/3550 pomocí služby RADIUS

Desktop systémy Microsoft Windows

WAP-5883 Rychlá Instalační Příručka

Transkript:

5. Zabezpečení Wi-Fi Bezpečnost Bezpečnost sítí je v poslední době stále důležitější, dnes v době kdy máme v počítači uložená důvěryhodná data je jejich ochrana prioritou. Stejně tak jako sdílení internetového připojení, pokud nechceme, aby se na nás napíchl soused, který je alespoň průměrně technicky zdatný, musíme tedy naši síť zabezpečit. Pro základní i pokročilé zabezpečení potřebujeme jen průměrně technicky vybavené AP a znalosti získané touto lekcí. Zabezpečení probíhá na několika úrovních, od fyzické a spojové vrstvy WLAN, až po vyšší vrstvy (IPSec VPN, firewall). WEP Všechna certifikovaná zařízení pro WLAN podle IEEE 802.11a/b/g mají zabudovaný základní mechanizmus zabezpečení protokol WEP (Wired Equivalent Privacy). Základem WEP je tajný klíč (o délce 40 nebo 104 bitů), který sdílí všechny stanice v dané WLAN. Tento klíč se používá jak pro autentizaci, tak pro šifrování dat. WEP je však možné poměrně snadno obejít. Za pomocí veřejně dostupného SW (např. AirSnort, WEPcrack), je možné prolomit WEP klíč pouhým sledováním a odposloucháváním provozu na síti. Např. u AirSnortu je údajně potřeba zachytit zhruba 100MB - 1GB dat, aby zjistil WEP klíč používaný danou sítí. Nevýhody WEP tedy jsou: Autentizace o Jednostranná autentizace uživatel nemá jistotu, že se připojuje k autorizovanému přístupovému bodu (prostor pro falešné, rogue, AP) o Klíč podporuje jen autentizaci zařízení, nikoli uživatele krádež zařízení znamená krádež klíče (po zlomení klíče je třeba klíče překonfigurovat na všech zařízeních) o Autentizace sdíleným klíčem možnost odchycení a zlomení klíče (výzva - odpověď mezi klientem a AP se posílají v otevřené formě); nulová autentizace je paradoxně z hlediska bezpečnosti u WEP lepší variantou Šifrování o Stejný klíč na všech zařízeních v téže WiFi sdílený klíč o Statický a krátký klíč IV (Initialization Vector) o 24 bitech se sice mění s každým paketem, ale v reálném čase se opakuje; slabý šifrovací mechanismus RC4 o Problém s distribucí klíčů manuální distribuce a změny WEP klíčů v rozsáhlých sítích jsou velice obtížné (WEP nepodporuje automatickou změnu klíčů) Integrita dat o Integrity Check Value nechrání data před útokem man-in-the-middle nedostatečný lineární kód (CRC-32). WPA Než došlo ke schválení bezpečnostní normy 802.11i, přijala Wi-Fi Alliance dočasné bezpečnostní řešení pod označením WPA (Wi-Fi Protected Access), které je zpětně slučitelné s WEP a předně slučitelné s 802.11i/WPA2. Pro autentizaci a management klíčů se používá 802.1x, pro utajení dat protokol TKIP (Temporal Key Integrity Protocol), používající pro silnější zabezpečení dynamicky se měnící klíč pro každý paket a prodlouženou délku vektoru IV (na 48 bitů). Pro kontrolu integrity zpráv se zavádí nový mechanizmus MIC (Message-Integrity Check). Předností WPA jsou dynamické klíče, které jsou výhodné pro podnikové sítě, ale vyžadují složitější síťovou infrastrukturu se serverem RADIUS. Nezapomíná se ovšem ani na jednodušší implementace např. v domácích sítích, kde se používají předem nastavené sdílené klíče (PSK, Pre-Shared Key). Stránka 1 z 5

WPA2 Komplexní zabezpečení pro všechny typy 802.11 přinesla až norma 802.11i. Ta zahrnuje vzájemnou autentizaci na základě 802.1x a nový protokol CCMP pro silné šifrování pomocí AES (Advanced Encryption Standard). Volitelně se pro zpětnou slučitelnost s WPA používá protokol TKIP s šifrováním na základě RC4. Povinné prvky, podle nichž Wi-Fi Alliance certifikuje zařízení, se označují jako WPA2. Nová norma pro zabezpečení má za cíl minimalizovat útoky na bezpečnost WLAN. Dokáže již čelit útokům man-in-the-middle, ovšem stále nezabrání neautorizovaným přístupovým bodům. Navíc stále hrozí krádeže identity v souvislosti s krádežemi zařízení, kde jsou uloženy identifikační údaje v cache. AES je zatím nepokořený šifrovací algoritmus, takže utajení dat je vskutku spolehlivé. WPA2 je zpětně slučitelné s WPA, takže souběžné použití WPA a WPA2 je v sítích běžné (na rozdíl od nepřijatelné kombinace WPA2/WEP). Certifikace pro WPA2 je rozdělena do dvou kategorií, podobně jako tomu bylo v případě WPA: podnikové (s plnou podporou WPA2, včetně 802.1x a PSK) a méně náročné osobní (domácí) sítě (pouze PSK). WPS - WiFi Alliance zavedla tento standart z důvodu složitého nastavování zabezpečení a jeho zjednodušení pro laiky. Učinila vstřícný krok pro zvýšení bezpečnosti domácích sítí právě z hlediska zjednodušení vlastní konfigurace. Zavedla volitelný program WiFi Protected Setup (WPS), který podporuje snadnou konfiguraci silných zabezpečovacích prvků (WPA2) tak, aby běžní uživatelé měli šanci svoji WiFi správně zabezpečit a nebyli odrazeni složitým procesem nastavení bezpečnostních mechanismů. Nejjednodušší varianta WPS podporuje konfiguraci autentizace, kdy směrovač poskytne klientům šifrovací klíče pro WPA/WPA2 na základě stisknutí jediného knoflíku nebo zadáním PIN (ten je generovaný softwarově a zobrazený na monitoru nebo předprogramovaný v klientském zařízení a vytištěný na přiložené kartě/nálepce). Nejvyšší variantou WPS je využití USB paměti flash, jejímž prostřednictvím se manuálně přenesou potřebné informace do všech klientských zařízení v síti. Bezpečnost na fyzické vrstvě (WLAN) - Funkce fyzické vrstvy jsou modulace, řešení šumu a rušení, vazba mezi propustností dat a vzdáleností. Vymezit prostor a omezit únik signálu použít stavební materiály budovy nebo místnosti s minimalizací průniku signálu, okna s termální izolací prostřednictvím kovové folie Vhodně umístit antény směrovost antény je velice důležitá pro zachování/zvýšení bezpečnosti; neautorizovaní uživatelé se musí pro přístup do cizí WLAN dostat do oblasti obsloužené jejím signálem (pozor na únik signálu z antény málo očekávaným směrem); pokud možno používat směrové, nikoli všesměrové antény. Nevysílat identifikátor sítě ve stejném fyzickém prostoru může koexistovat několik logických sítí, které jsou odlišeny svým identifikátorem (typicky SSID nebo ESSID); bez znalosti identifikátoru sítě se klient nemůže k dané WLAN přidružit. Bezpečnost na spojové vrstvě (WLAN) Funkce spojové vrstvy jsou propojování mosty, přepínání, VLAN (Virtual LAN), funkce podvrstvy MAC. Filtrovat MAC adresy MAC adresa je jednoznačný identifikátor síťové karty (ať už "drátové", nebo bezdrátové). Někdy je tato funkce ještě rozšířena o možnost časového omezení nebo omezení šířky pásma pro danou MAC. Přístupový seznam (ACL, Access Control List) na bázi MAC adres jasně definuje pravidla přístupu. Ani filtrování MAC adres není Stránka 2 z 5

všespasitelné, přináší totiž několik problémů - mezi ty základní patří distribuce seznamu MAC adres a možnost falšovat MAC adresu. Filtrovat protokol V případě podpory více síťových protokolů ve WLAN lze filtrovat provoz. Provádět autentizaci Ověřování identity klienta probíhá na druhé vrstvě; otevřeně (bez ověření), prostřednictvím WEP na základě sdíleného klíče, nebo na základě 802.1x EAP, s využitím autentizačního serveru (typicky RADIUS). Provádět šifrování na bázi mechanizmů specifikovaných ve WEP, nebo DES/3DES (64- bitový klíč), či AES (802.11i, 128bitový klíč). Bezpečnost na síťové vrstvě - Funkce síťové vrstvy jsou směrování, management přidělování šířky pásma, podpora QoS. Filtrovat IP adresy bezdrátové směrovače dovolují realizovat řízení přístupu na základě přístupových seznamů IP adres. Implementovat firewall některé bezdrátové směrovače mají zabudovanou funkci firewall pro blokování provozu typicky z internetu do WLAN. Použít VPN IP VPN se budují prostřednictvím mechanizmů nejnižších tří vrstev: šifrování pomocí IPSec a tunelování např. prostřednictvím L2TP Bezpečnost na aplikační vrstvě - Funkce aplikační vrstvy jsou management, monitorování, návrh sítě. Uplatnit RADIUS server přístup klientů do WLAN nejlépe řešit prostřednictvím centralizovaného serveru pro autentizaci, autorizaci a účtování (AAA), nejčastěji na serveru RADIUS, který může být již součástí podnikové infrastruktury (slouží obecně pro přístup uživatelů k síti) Doporučené zabezpečení Aktivujte WPA2 Změňte implicitní identifikátor SSID Aktivace neviditelného režimu Změna implicitního hesla Omezení signálu jen pro oblast, kterou potřebujeme pokrýt Filtrování MAC adres síťových karet Odpojení DHCP serveru Změna svou podsítě (standartně 192.168.1.1) Aktivace firewallu Stránka 3 z 5

Zdroje cm3l1k1. (nedatováno). WiFi sítě a jejich slabiny. Získáno 22. 11 2008, z SECURITY-PORTAL.CZ: http://www.security-portal.cz/clanky/wifi-site-a-jejich-slabiny.html Connect!, č. (19. 5 2005). Jak na bezpečnost Wi-Fi? Získáno 11. 22 2008, z ZIVE.CZ: http://www.zive.cz/clanky/jak-na-bezpecnost-wi-fi/nebezpecnost-wlan-po-staru/sc-3-a-124761- ch-42238/default.aspx Ing. Rita Pužmanová, C. M. (1. 11 2007). Bezpečnost WiFi záleží jen na vás. Získáno 22. 11 2008, z LUPA.CZ: http://www.lupa.cz/clanky/bezpecnost-wifi-zalezi-jen-na-vas/ Stejskal, P. (2004). Bezdrátové sítě WiFi stand. 802.11b/g. Získáno 11. 22 2008, z Semestrální práce z předmětu KIV/Přenos dat @ ZČU: http://www-kiv.zcu.cz/~simekm/vyuka/pd/zapocty-2003/wifi/index.php?id=0 Zandl, P. (2003). Bezdrátové sítě WiFi Praktický průvodce. Brno: Computer Press. Stránka 4 z 5

Ověření znalostí z kapitoly: 5. Zabezpečení Wi-Fi 1. Která norma obsahuje zabezpečení WPA2? a) 802.11b b) 802.11g c) 802.11i d) 802.11j 2. K čemu slouží WPS (WiFi Protected Setup)? a) Jednoduší nastavení WPA2 b) Mód firewallu c) Administrace pro profesionály d) Jiný název pro WPA3 3. Popište filtrování pomocí MAC adresy. 4. Vypište nejméně 5 druhů zabezpečení PC sítě. Stránka 5 z 5

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář