Bezpečnost domácí bezdrátové sítě

Bezdrátové sítě představují z bezpečnostního hlediska stále velké riziko, zejména kvůli laxnosti svých uživatelů a správců. Nabízíme několik základních kroků pro zabezpečení domácího bezdrátového přístupového bodu.

Přístupná všem

Související odkazy

Slovník
algoritmus
broadcast
dekódovat
IEEE
intranet
MAC
server
spam
telnet

Bezdrátové sítě mají z bezpečnostního hlediska jednu nepříjemnou vlastnost – jejich dosah nelze jednoduše omezit. Jejich signál lze tak zachytit i v blízkém okolí mimo objekt, ve kterém je umístěna základnová stanice. Navíc s vhodnou směrovou anténou lze signál zaměřit i na daleko větší vzdálenost. Další nepříjemnou skutečností je nemožnost detekce pasivního odposlechu. Pro potencionálního útočníka jsou tak přístupové body vhodným místem pro pokus o prolomení ochrany a nabourání se do vnitřní sítě. Metod jak toho docílit je mnoho, například již zmíněný pasivní odposlech, pasivní statistická derivace klíče, odcizení relací, induktivní derivace klíče, útok na kontrolu integrity zpráv (ICV) záměnou bitů, konfigurační útok, útok na sdílenou autentizaci, zranitelnost v EAP-MD5 a LEAP, podvržení MAC adresy, podvržení přístupového bodu, zrcadlový útok (Man-in-the-middle attack) nebo DoS útoky.

Proč zabezpečit

Důvody jsou dva. Prvním rizikem je zcizení citlivých dat (a to nejen těch vyzářených do éteru, ale hlavně v možnosti nabourávání do serverů uvnitř pevné datové sítě) tj. průniky do Intranetu. Druhým, častějším důvodem je zabránění neoprávněným uživatelům k přístupu na internet přes nechráněnou bezdrátovou síť. Tohoto často využívají tzv. WarDriveři nebo spammeři. Druzí jmenovaní zneužívají intranetové e-mail servery k hromadnému anonymnímu rozesílání nevyžádaných zpráv.

Pár jednoduchých kroků

Výše jsme se dozvěděli, co můžeme v krajně nepříznivé situaci od bezdrátové sítě očekávat a proto si nyní uvedeme několik základních kroků, jak svoji bezdrátovou síť zabezpečit.

Standardní SSID

Ihned po zapojení nového bezdrátového zařízení přejmenujte továrně zadaný název bezdrátově obsluhované oblasti v AP na hodnotu, která nebude snadno uhádnutelná.

Změňte hesla

Dalším krokem, který byste měli udělat hned po zapojení nového přístupového bodu, je změna přístupových hesel do webové administrace zařízení. Lze-li zařízení spravovat přes telnet či jinak a nastavují-li se tato hesla zvlášť, nezapomeňte ani na ně.

Nevysílejte SSID

Dále, pokud to AP umožňuje, zakažte broadcast SSID. Metoda spočívá v deaktivaci vysílání SSID AP v signálních rámcích (beaconframes). Síť s deaktivovanými signálními rámci se útočníkovi skryje a on tak nezná její SSID identifikátor, čímž k ní nemůže získat přístup nebo se dokonce nedozví o její existenci.

Filtrujte MAC adresy

Zabezpečení pomocí MAC Address Authentication spočívá v sestavení seznamu MAC adres síťových karet autorizovaných uživatelů. Přístupový bod pak dovoluje asociaci jen těm adresám, které jsou na tomto seznamu. Lepší možností, kterou doma ale asi těžko využijte, je použití technologie 802.1x standardizované organizací IEEE. U té je vyžadován autentizační server (například RADIUS), navíc občas bývají problémy s interoperabilitou zařízení od různých výrobců.

Šifrujte komunikaci

Starší šifrovací technologií v sítích 802.11 je WEP, který stejně jako novější WPA zajišťuje šifrování přenášených rámců v bezdrátové síti na druhé síťové vrstvě (MAC Layer). Šifrují se tedy veškeré datové rámce přenášené mezi přístupovým bodem a bezdrátovým zařízením bez ohledu na to, zda-li se jedná o síťovou signalizaci nebo o vlastní data. Šifrovací technologie WEP je žel založena na kryptografickém algoritmu RC4 a existují nástroje pomocí kterých i amatér zvládne zachycené vysílání dekódovat a přečíst.

Lepší možností je zabezpečení pomocí WPA, které sice používá rovněž RC4, ovšem implementuje také další změny, které zvyšují celkovou bezpečnost. Určitou nevýhodou novějšího zabezpečení WPA může být skutečnost, že by jej měly podporovat všechny prvky připojené k bezdrátové síti. Současný provoz zařízení používající různá šifrování, tzv. mixed-mode, může být totiž velmi problematický.

Častým argumentem proti využití šifrovacích technologií v bezdrátových sítích je obava ze zpomalení komunikace. Tato obava je podle mě neoprávněná, v říjnovém čísle časopisu Connect! byl proveden test několika bezdrátových zařízení, v kterém bylo zaznamenáno pouze 5,4% zpomalení při použití WPA-TKIP šifrování oproti naměřeným rychlostem bez šifrování. Daleko větší vliv na přenosové rychlosti má kvalita signálu.

Délka klíče

Pokud se rozhodnete komunikaci šifrovat, pamatujte na to, že 40ti bitová délka klíče (64bitový WEP/WAP) je dnes prolomitelná brutální silou a jeho použití tedy nemá větší smysl. Doporučit lze 104 bitový klíč (128bitový WEP/WAP).

VPN

Pokud však potřebujete opravdu komunikovat tak, abyste maximálně zamaskovali svá reálná data, doporučuji po připojení do AP navázat tzv. tunel VPN či PPTP, v tomto případě již 99,9% „čmuchalů“ nemá šanci poslouchat reálná data. Toto se však odrazí na celkové propustnosti, protože je přidána další režie na protokol VPN.

Nedejte jim šanci

Uvedené kroky lze považovat za jednotlivé zámky bránící útočníkovi v přístupu, čím více jich použijete, tím to bude mít těžší. Navíc kromě zde uvedených metod existuje i mnoho dalších sofistikovanějších, ty jsou ale vhodné spíše pro podnikové účely. Bohužel podle nedávného průzkumu provedeného v časopise Connect! existuje v Praze stále mnoho přístupových bodů, které nepoužívají dokonce žádný ze zde uvedených kroků. Postarejte se, abyste nebyli hostitelem jednoho z nich.

Diskuze (24) Další článek: Intel schválil Otelliniho pro pozici nového šéfa Intelu

Témata článku: Bezpečnost, Uvedený krok, Bezdrátové zařízení, Radius, Šifrovací technologie, Attack, Leap, Domácí síť, Autorizovaný uživatel, Intranet, Síťová komunikace, Základnová stanice, Reálné použití, Datový signál, Nabourání, Anonymní síť, Éter, Vhodná technologie


Určitě si přečtěte

Že by konečně revoluce? Nové chytré hodinky od Garminu mají průhledný solární panel

Že by konečně revoluce? Nové chytré hodinky od Garminu mají průhledný solární panel

** Chytré hodinky mají relativně malou výdrž ** Sportovní fénixy od Garminu jsou na tom ale lépe ** Poslední verze nabízí dokonce transparentní solární panel

Jakub Čížek | 56

Kdyby měli železničáři tento superpočítač za 99 dolarů, nepotřebovali by lasery

Kdyby měli železničáři tento superpočítač za 99 dolarů, nepotřebovali by lasery

** Nejmodernější český železniční tunel je prošpikovaný technologiemi ** Za tři tisíce koupíte počítač, který je překoná ** Seznamte se s Nvidia Jetson Nano

Jakub Čížek | 50



Aktuální číslo časopisu Computer

Megatest 20 procesorů

Srovnání 15 True Wireless sluchátek

Vyplatí se tisknout fotografie doma?

Vybíráme nejlepší základní desky