Bezdrátové sítě představují z bezpečnostního hlediska stále velké riziko, zejména kvůli laxnosti svých uživatelů a správců. Nabízíme několik základních kroků pro zabezpečení domácího bezdrátového přístupového bodu.
Přístupná všem
Bezdrátové sítě mají z bezpečnostního hlediska jednu nepříjemnou vlastnost – jejich dosah nelze jednoduše omezit. Jejich signál lze tak zachytit i v blízkém okolí mimo objekt, ve kterém je umístěna základnová stanice. Navíc s vhodnou směrovou anténou lze signál zaměřit i na daleko větší vzdálenost. Další nepříjemnou skutečností je nemožnost detekce pasivního odposlechu. Pro potencionálního útočníka jsou tak přístupové body vhodným místem pro pokus o prolomení ochrany a nabourání se do vnitřní sítě. Metod jak toho docílit je mnoho, například již zmíněný pasivní odposlech, pasivní statistická derivace klíče, odcizení relací, induktivní derivace klíče, útok na kontrolu integrity zpráv (ICV) záměnou bitů, konfigurační útok, útok na sdílenou autentizaci, zranitelnost v EAP-MD5 a LEAP, podvržení MAC adresy, podvržení přístupového bodu, zrcadlový útok (Man-in-the-middle attack) nebo DoS útoky.
Proč zabezpečit
Důvody jsou dva. Prvním rizikem je zcizení citlivých dat (a to nejen těch vyzářených do éteru, ale hlavně v možnosti nabourávání do serverů uvnitř pevné datové sítě) tj. průniky do Intranetu. Druhým, častějším důvodem je zabránění neoprávněným uživatelům k přístupu na internet přes nechráněnou bezdrátovou síť. Tohoto často využívají tzv. WarDriveři nebo spammeři. Druzí jmenovaní zneužívají intranetové e-mail servery k hromadnému anonymnímu rozesílání nevyžádaných zpráv.
Pár jednoduchých kroků
Výše jsme se dozvěděli, co můžeme v krajně nepříznivé situaci od bezdrátové sítě očekávat a proto si nyní uvedeme několik základních kroků, jak svoji bezdrátovou síť zabezpečit.
Standardní SSID
Ihned po zapojení nového bezdrátového zařízení přejmenujte továrně zadaný název bezdrátově obsluhované oblasti v AP na hodnotu, která nebude snadno uhádnutelná.
Změňte hesla
Dalším krokem, který byste měli udělat hned po zapojení nového přístupového bodu, je změna přístupových hesel do webové administrace zařízení. Lze-li zařízení spravovat přes telnet či jinak a nastavují-li se tato hesla zvlášť, nezapomeňte ani na ně.
Nevysílejte SSID
Dále, pokud to AP umožňuje, zakažte broadcast SSID. Metoda spočívá v deaktivaci vysílání SSID AP v signálních rámcích (beaconframes). Síť s deaktivovanými signálními rámci se útočníkovi skryje a on tak nezná její SSID identifikátor, čímž k ní nemůže získat přístup nebo se dokonce nedozví o její existenci.
Filtrujte MAC adresy
Zabezpečení pomocí MAC Address Authentication spočívá v sestavení seznamu MAC adres síťových karet autorizovaných uživatelů. Přístupový bod pak dovoluje asociaci jen těm adresám, které jsou na tomto seznamu. Lepší možností, kterou doma ale asi těžko využijte, je použití technologie 802.1x standardizované organizací IEEE. U té je vyžadován autentizační server (například RADIUS), navíc občas bývají problémy s interoperabilitou zařízení od různých výrobců.
Šifrujte komunikaci
Starší šifrovací technologií v sítích 802.11 je WEP, který stejně jako novější WPA zajišťuje šifrování přenášených rámců v bezdrátové síti na druhé síťové vrstvě (MAC Layer). Šifrují se tedy veškeré datové rámce přenášené mezi přístupovým bodem a bezdrátovým zařízením bez ohledu na to, zda-li se jedná o síťovou signalizaci nebo o vlastní data. Šifrovací technologie WEP je žel založena na kryptografickém algoritmu RC4 a existují nástroje pomocí kterých i amatér zvládne zachycené vysílání dekódovat a přečíst.
Lepší možností je zabezpečení pomocí WPA, které sice používá rovněž RC4, ovšem implementuje také další změny, které zvyšují celkovou bezpečnost. Určitou nevýhodou novějšího zabezpečení WPA může být skutečnost, že by jej měly podporovat všechny prvky připojené k bezdrátové síti. Současný provoz zařízení používající různá šifrování, tzv. mixed-mode, může být totiž velmi problematický.
Častým argumentem proti využití šifrovacích technologií v bezdrátových sítích je obava ze zpomalení komunikace. Tato obava je podle mě neoprávněná, v říjnovém čísle časopisu Connect! byl proveden test několika bezdrátových zařízení, v kterém bylo zaznamenáno pouze 5,4% zpomalení při použití WPA-TKIP šifrování oproti naměřeným rychlostem bez šifrování. Daleko větší vliv na přenosové rychlosti má kvalita signálu.
Délka klíče
Pokud se rozhodnete komunikaci šifrovat, pamatujte na to, že 40ti bitová délka klíče (64bitový WEP/WAP) je dnes prolomitelná brutální silou a jeho použití tedy nemá větší smysl. Doporučit lze 104 bitový klíč (128bitový WEP/WAP).
VPN
Pokud však potřebujete opravdu komunikovat tak, abyste maximálně zamaskovali svá reálná data, doporučuji po připojení do AP navázat tzv. tunel VPN či PPTP, v tomto případě již 99,9% „čmuchalů“ nemá šanci poslouchat reálná data. Toto se však odrazí na celkové propustnosti, protože je přidána další režie na protokol VPN.
Nedejte jim šanci
Uvedené kroky lze považovat za jednotlivé zámky bránící útočníkovi v přístupu, čím více jich použijete, tím to bude mít těžší. Navíc kromě zde uvedených metod existuje i mnoho dalších sofistikovanějších, ty jsou ale vhodné spíše pro podnikové účely. Bohužel podle nedávného průzkumu provedeného v časopise Connect! existuje v Praze stále mnoho přístupových bodů, které nepoužívají dokonce žádný ze zde uvedených kroků. Postarejte se, abyste nebyli hostitelem jednoho z nich.
