Základy WiFi: jak zabezpečit bezdrátovou síť?

Máte nějaký problém, hledáte něco atd....
Ale taky vše co se týká internetu/intranetu

Moderátor: tom

Odpovědět
jenik789
Site Admin
Příspěvky: 3087
Registrován: pon říj 31, 2005 2:16 pm
Bydliště: Zdiby
Kontaktovat uživatele:

Základy WiFi: jak zabezpečit bezdrátovou síť?

Příspěvek: # 2714Příspěvek jenik789
pon říj 16, 2006 9:32 am

Cely clanek je zde http://www.pctuning.cz/index.php?option ... &Itemid=48

Základy WiFi: jak zabezpečit bezdrátovou síť?
12.10.2006, David Ježek

Bezdrátové sítě jsou čím dál více rozšířené - dnes už dokonce ani v obyčejných domácnostech nejsou WiFi sítě žádným překvapením. Bezdrátovou síť je ovšem nutné velmi dobře zabezpečit a zabránit přístupu nežádoucích "návštěvníků" - v opačném případě se můžete dočkat řady nemilých věcí (z nichž je zneužití vašeho internetového připojení tou nejmenší věcí).

Kapitoly článku
1. Jak zabezpečit bezdrátovou síť
2. Zabezpečení?
3. Praktické příklady
4. Připojení do zabezpečené WiFi sítě

Jak zabezpečit bezdrátovou síť
Bezdrátové sítě jsou čím dál více rozšířené a ani v obyčejných domácnostech nejsou překvapením. Není se čemu divit, bez pracného tahání kabelů a poměrně levně lze zasíťovat jednoduše i větší rodinný dům. Rozvést tak internet do každého koutu svého obydlí i s altánkem na zahradě není problém. Ovšem s prostorem, který chceme mít pokrytý signálem, zpravidla pokryjeme i prostor, který pod signálem mít nechceme. Lehce tak umožníme sousedům připojit se do naší sítě, zpřístupnit jim nechtěně náš internet a je možné, že se dostanou i k našim drahocenným datům. Proto je potřeba důkladně bezdrátovou síť zabezpečit a zabránit do ní přístup nežádoucím subjektům.
Situace se zabezpečením bezdrátových sítí není příliš růžová - stačí, když s notebookem v autě zastavím ve více zabydlené čtvrti a téměř vždy najdu jednu či dvě nezabezpečené sítě, do kterých se lze pohodlně připojit. Třešničkou na dortu je také to, že uživatelé často nechávají původní přístupové jméno a heslo do konfigurace jejich bezdrátového zařízení…

Tímto článkem chci přiblížit technologie, postupy a způsoby zabezpečení pro budovatele domácích bezdrátových sítí či malých sítí podnikových. Nebojte se, není to tak složité, jak se může zdát.

Něco málo k výběru zařízení
Preferujte tyto vlastnosti bezdrátových zařízení: pokud možno všechny bezdrátové prvky od jednoho výrobce, schopnost zařízení použít WPA2 nebo alespoň WPA, odpojitelná anténa, regulovatelný výkon, minimálně dva LAN porty, WDS (Wireless Distribution System) – pro rozšíření signálu pomocí více bezdrátových přístupových bodů

Zabezpečení?
(teorie – cílem není popsat vše do podrobných odborných detailů, ale jen přiblížit základní principy fungování)

Existuje několik způsobů jak zabránit „cizákům“ připojit se do vaší sítě - každý je jinak účinný a pokud to je možné, můžete kombinací několika bezpečnostních prvků docílit vysokého zabezpečení.

Stěžejní způsob zabezpečení bezdrátových sítí je šifrování – tedy šifrování paketů proudících mezi bezdrátovými zařízeními.

Druhy šifrování
WEP (Wired Equivalent Privacy) – šifrovací protokol, který byl uveden v roce 1999. Je založen na šifrovacím algoritmu RC4 s tajným klíčem o velikosti 40 nebo 104 bitů kombinovaným s 24 bitovým inicializačním vektorem (IV), pro ověření správnosti používá metodu CRC-32 kontrolního součtu.

Takzvaný 64 bitový WEP je kombinace 40 bitového klíče a 24 bitového IV, 128 bitový WEP je 104 bitový klíč a 24 bitový IV, někteří výrobci bezdrátových zařízení podporují i 256 bitový WEP.

WEP je díky zranitelnosti šifrovacího algoritmu RC4, délce klíče a kolizím IV lehce překonatelnou* ochranou a jeho použití se nedoporučuje ani pro domácnosti.

*získat WEP klíč za použití speciálního software *airodump, aireplay, aircrack* je otázkou několika málo minut

WEP2 – k vytvoření druhé verze WEPu vedla snaha odstranit chyby verze původní – rozšíření IV a zesílení 128 bitového šifrování, ale i tak původní mezery tohoto zabezpečení zůstaly a útočníkovi jen zabere o něco více času ho prolomit. WEP2 byl použit zpravidla na zařízeních, která hardwarově nestačila na novější šifrování WPA.

WPA (Wi-Fi Protected Access) – (rok 2002) náhrada za původní slabé zabezpečení WEP. Stejně jako WEP je použit šifrovací algoritmus RC4, ale s 128 bitovým klíčem a 48 bitovým inicializačním vektorem (IV). Zásadní vylepšení však spočívá v dynamicky se měnícím klíči – TKIP (Temporal Key Integrity Protocol). Je vylepšena také kontrola integrity (správnosti) dat - díky použití metody označující se jako MIC (Message-Integrity Check).

WPA nabízí více možností, jak síť zabezpečit a to buď pomocí autentizačního serveru (RADIUS), který zasílá každému uživateli jiný klíč (podnikové řešení) nebo pomocí PSK (Pre-Shared Key), kdy každý uživatel má stejný přístupový klíč (malé podnikové sítě nebo domácnosti).

Zvětšení velikosti klíče a IV, snížení počtu zaslaných paketů s podobnými klíči a ověřování integrity dělá zabezpečení WPA těžko prolomitelné.

WPA2 – (rok 2004) označující se také jako IEEE 802.11i. Je použit protokol CCMP (Counter-Mode/Cipher Block Chaining Message Authentication Code Protocol) se silným šifrováním AES (Advanced Encryption Standard), MAC (Message Authentication Code) dynamicky mění 128 bitový klíč, MIC pro kontrolu integrity a ochranu proti útokům snažící se zopakovat předchozí odposlouchanou komunikaci (replay).

Existují další metody zabezpečení – EAP typy ověřování pod WPA/WPA2 Enterprise, určené pro silné zabezpečení podnikových bezdrátových sítí.

Sečteno, podtrženo
V našem případě, tedy pro domácí a malé podnikové sítě bez RADIUS* serveru, dokonale poslouží zabezpečení WPA2-PSK se silným šifrováním AES, pokud máte starší bezdrátová zařízení, lze se spokojit i s WPA-PSK.
*RADIUS server - autorizační a přístupový protokol, ověřuje vzdálené uživatele

Důležité „maličkosti“
Při zabezpečování bezdrátových sítí vedle použitého šifrování hrají nemalou roli také další prvky, na které není dobré zapomínat.

Už při plánování bezdrátové sítě je dobré se zamyslet, kde všude budeme potřebovat signál a použít takový typ antény, která, pokud je to možné, pokryje signálem jen námi požadovaný prostor. Téměř vždy je tento požadavek nesplnitelný a zároveň s požadovaným prostorem pokryjeme signálem i prostor nežádoucí. Snažme se tento prostor aspoň minimalizovat, jak to jen jde – použitím sektorové nebo směrové antény.

- nevysílat SSID, což je identifikátor sítě (jméno), snad ve všech bezdrátových přístupových bodech ho lze v nastavení „vypnout“, čili kdo nezná jméno vaší sítě, nemůže se do ní připojit a bez použití speciálního software je pro něj „neviditelná“.

- filtrování MAC adresy - vhodné použít tam, kde se připojují stále stejní klienti. V konfiguraci přístupového bodu zadáte MAC adresy síťových karet, pro které chcete přístup sítě povolit. Lze také zadaným MAC adresám přístup zakázat.

- vypnout DHCP server a nastavit IP adresy ručně. Doporučuji, jen když z nějakého důvodu nechcete mít síť zašifrovanou, ne každý umí zjistit rozsah IP adres v síti pro korektní připojení. Vypnuté DHCP považuji za doplněk, ne za prvek zabezpečení.

- přihlašovací jméno a heslo - pro přístup do konfigurace bezdrátového zařízení doporučuji ihned po přihlášení změnit. Pokud se útočník již nějakým způsobem dostane do vaší sítě, není pro něj problém přihlásit se do konfigurace bezdrátového zařízení a získat nad vaší sítí plnou kontrolu. Útočník znalý problematiky totiž pozná dle přihlašovacího layoutu typ zařízení a zná i výrobcem dané přihlašovací údaje.

Praktické příklady
Různé typy zařízení mají samozřejmě jiné konfigurační prostředí, postup by se však výrazně lišit neměl. Jako ukázky nastavení mi posloužil bezdrátový broadband router WA-2204 a SMCWBR14-G2.


WA-2204 SMCWBR14-G2

Pro prvotní konfiguraci bezdrátového přístupového bodu jej připojte k počítači pomocí kabelu, ne bezdrátově. Po přihlášení změňte přístupové heslo.

Konfigurace WEP 64 bit / 128 bit
Pokud vaše zařízení ještě nepodporuje silnější zabezpečení WPA/WPA2, nezbývá jiná možnost, než použít WEP.

Vždy vyberte to nejsilnější možné šifrování (některá zařízení podporují i 256 bit).

Zadání klíče:
Klíč se zadává jako Hexadecimální číslo (šestnáctková číselná soustava) nebo v ASCII.
Hex: A-F; 0-9
ASCII: Tabulka ASCII kódů

WEP 64 bit: Hex 10 znaků, ASCII 5 znaků
WEP 128 bit: Hex 26 znaků, ASCII 13 znaků

Některá zařízení mají možnost zvolit passphase (jakékoli znaky), ze kterých se generuje klíč v Hex.

Wireless > Security

Set WEP Key

Vybrat WEP a zadat klíč pomocí tlačítka „Set WEP Key“, uložit změny a po restartu WA-2204 je síť zabezpečena.

Security > Wireless > WEP

Po vyplnění údajů vše uložte a přejděte v menu na „Wireless Encryption“, tam stačí zvolit „WEP Only“ a po uložení je již přístupový bod zabezpečen šifrováním WEP.

Konfigurace WPA / WPA2
Při zabezpečení WPA/WPA2 bez RADIUS serveru je nutné zvolit sdílený klíč (Pre-shared Key), buď jako passphase nebo zadat v hexadecimálním čísle.

Passphase: 8-63 znaků
Hex: 64 znaků

Pokud to všechna zařízení, která budete do sítě připojovat, podporují, zvolte určitě možnost WPA2 Only, pokud ne, může se volit kombinovaná metoda. Zařízení, která podporují WPA2, ho budou používat, ostatní zařízení budou používat WPA.

Wireless > Security

Zvolíte šifrování WPA nebo WPA2, personální sdílený klíč (Personal: Pre-Shared Key). Klíč můžete zadat jako passphase nebo přímo v Hex. Následně uložte změny a síť je zabezpečena.

Security > Wireless > WPA/WPA2

V menu „Wireless Encryption“ zvolte „WPA/WPA2 Only“.

Poznámka: Pro management bezdrátové sítě se zabezpečením WPA/WPA2 standardním rozhraním ve Windows XP, je nutné do systému doinstalovat aktualizaci – KB893357, která tuto podporu do systému přidává.

Filtrování MAC adres
Jak již bylo zmíněno, je dobrý doplňkem zároveň s šifrováním použít MAC filter. Vybraným MAC adresám tak přístup povolit nebo zakázat.

Wireless > Access Control

U SMC je možné zadat až 32 MAC adres.

Připojení do zabezpečené WiFi sítě
Po nakonfigurování zabezpečení zbývá už jen se do sítě připojit. Pro připojení lze využít software dodávaný s bezdrátovou síťovou kartou. Já zde uvádím příklad při použití standardní konfigurace pomocí ovládacího rozhraní ve Windows XP SP2.

Otevřete ovládací rozhraní bezdrátové síťové karty a nechte zobrazit dostupné bezdrátové sítě.

Zobrazení dostupných bezdrátových síťí

Vyberte svou síť a dvojím kliknutím zahajte připojování, síť je zabezpečena a tak vás vyzve k vložení klíče.

Zadání přístupového klíče

Po vložení správného klíče vám bude povolen přístup do sítě.

Připojeno do zabezpečené sítě

Pro podrobnější konfiguraci klikněte na „Změnit upřesňující nastavení“ a vyberte záložku „Bezdrátové sítě“. Zde je možno přidávat a odebrat konfigurace sítí, nastavovat vlastnosti připojování a také zabezpečení.

Rozšířená konfigurace bezdrátových sítí

Možnosti zabezpečení

Závěrem jen poznamenám, že ačkoli je vaše síť super-extra zabezpečena, útočník může získat přístup k síti jen díky vaší nepozornosti. To znamená: nikdy nenechávejte přístupový klíč k síti a přístupové údaje do konfigurace bezdrátového zařízení dostupné neoprávněným osobám.


Jeník - Jan Česnek
Admin portálu Zdiby ON-LINE http://www.zdiby.cz

Člen Kaštánek Zdiby Z.S. a ZdibyNet, z.s.
Nebojím se říct nebo napsat co si myslím.

Koalice na obdobi 2014÷2018.

Odpovědět