WLAN již nemusí být noční můrou v pozici nejslabšího článku sítě, vyžaduje to ovšem určité úsilí a znalost jak prostředí, tak zejména mechanizmů a možností zabezpečení, které se dnes na trhu nabízejí.
WLAN není důvěryhodná síť, a jako s takovou se s ní musí zacházet. Kvůli snadnému odposlechu je pro neautorizované uživatele lehce proveditelná řada útoků: únos bezdrátových relací, falšování MAC nebo IP adres autorizovaných WLAN klientů, spouštění útoků typu DoS.
Tento úvod by mohl mnohé odradit, ale dnes již existují mechanizmy a normy pro opravdu silnou ochranu bezdrátových sítí před narušiteli (viz obrázek), i když vlastní proces zabezpečení WLAN nikdy nebude zcela triviální. Zabezpečení totiž probíhá na několika úrovních, od fyzické a spojové vrstvy WLAN, až po vyšší vrstvy (IPSec VPN, firewall). A i na nejnižší úrovni WLAN je potřeba správně zvolit, nakonfigurovat a spravovat zabezpečovací mechanizmy, které jsou dnes na trhu k dispozici v různých stupních obranné síly.
(Ne)bezpečnost WLAN postaru
Všechna certifikovaná zařízení pro WLAN podle IEEE 802.11a/b/g mají zabudovaný základní mechanizmus zabezpečení – protokol WEP (Wired Equivalent Privacy). Jako nejstarší mechanizmus WEP nedostojí svému názvu, když zajišťuje pouze určitý stupeň utajení přenášených dat a poskytuje jen slabou autentizaci a integritu dat.
Základem WEP je tajný klíč (o délce 40 nebo 104 bitů), který sdílí všechny stanice v dané WLAN. Tento klíč se používá jak pro autentizaci, tak pro šifrování dat. Klíč je statický; vzhledem ke slabinám WEP se doporučuje jej periodicky měnit. Protože ale neexistuje automatizovaný management klíčů, provádí se jejich distribuce a jakákoli změna na všech zařízeních v síti nejčastěji manuálně.
- Autentizace se v rámci WEP buď neprovádí vůbec (open system), nebo jednostranně, na základě sdíleného klíče (shared key). V druhém případě se ověřuje pouze síťová karta zařízení (nikoli uživatel) a přístupový bod se neautentizuje vůbec. To otevírá prostor pro neautorizované (rogue) přístupové body, ať již instalované samotným zaměstnancem v síti, nebo použité narušitelem zvenčí pro různě komplexní útoky na ni. Paradoxně je nulová autentizace z hlediska bezpečnosti lepší variantou v rámci WEP, než autentizace sdíleným klíčem, při níž hrozí odhalení klíče při přenosu výzvy v otevřené formě a její zašifrované podoby mezi přístupovým bodem a ověřovanou stanicí.
- Šifrování přenášených dat ve WEP se provádí klíčem, složeným z již zmíněného sdíleného klíče a dynamicky se měnícího vektoru IV (Initialization Vector) v délce 24 bitů (celková délka klíče pro šifrování tedy může být buď 64 nebo 128 bitů). IV se posílá v otevřené formě jako součást každého paketu (aby byla druhá strana schopna zprávu dešifrovat) a obvykle se s každým paketem také mění. Výsledné šifrování je jedinečné pro každý jednotlivý paket ve WLAN.
Hlavní bezpečnostní slabinou WEP je nedostatečná délka vektoru IV, protože po určitém počtu paketů (minimálně po 2 na 24 paketů) dojde nevyhnutelně k jeho opakování (collision). Jinými slovy, trpělivý útočník má po určitém množství odposlechnutých paketů v ruce dostatek informací pro odhalení klíče WEP. V reálu může tato situace nastat už po 3-5 hodinách, podle objemu provozu v WLAN. Řešením této bezpečnostní mezery je implementovat buď jedinečný klíč pro každou relaci, nebo dokonce každý paket. To uplatňují novější bezpečnostní mechanizmy pro WLAN.
Bezpečnost sítě s WEP lze narušit také mechanicky: krádeží jednoho z koncových zařízení s příslušnou Wi-Fi kartou útočník získá sdílený klíč, pokud není v systému chráněn dobrým heslem. WEP je, kromě odhalení klíče pasivním odposlechem nebo aktivním útokem s generováním vlastního provozu a následně útokem hrubou silou na klíč, náchylný ještě k útokům typu replay, man-in-the-middle, podvržení/změny zprávy (kvůli nedostatečnému mechanizmu zajištění integrity dat ICV, Integrity Check Value).
