34
TEMAT NUMERU: WI-FI
Zabezpieczanie sieci bezprzewodowej
CHIP
| PAŹDZIERNIK 2004
P
rostą bezprzewodową sieć w domu z dostę-
pem do Internetu można zbudować napraw-
dę szybko (patrz:
18
) i, co więcej, wcale nie po-
trzeba do tego żadnej fachowej wiedzy – wy-
starczy kupić urządzenia, podłączyć je do prądu
i zainstalować oprogramowanie. Automatyczna
konfiguracja pozostawia jednak ogromne wyrwy
w systemie bezpieczeństwa. I nie chodzi tu wcale
o możliwość włamania się do naszego komputera
przez Internet, lecz o luki wynikające ze sposobu
działania sieci Wi-Fi.
Dziurawy jak sito
Aby jakakolwiek sieć bezprzewodowa mogła funk-
cjonować, trzeba spełnić jeden podstawowy waru-
nek: sygnał niosący informacje musi zostać udo-
stępniony we wszystkich, nawet najodleglejszych
punktach, w których ma ona działać. Medium
spełniającym powyższe założenia są fale radio-
we. Niestety, mają one też jedną wadę – sygnał,
choć znacznie słabszy, będzie się propagował także
poza wyznaczony przez nas obszar. I tu zaczynają
się problemy z poufnością danych.
W tradycyjnych sieciach kablowych intruzo-
wi raczej trudno dostać się do biura czy miesz-
kania i podłączyć do gniazdka bez zgody jego
właściciela. Nawet jeśli włamywaczowi uda się
taka sztuka, istnieje zawsze duże prawdopodo-
bieństwo wykrycia „nieautoryzowanego” kabla.
W sieciach bezprzewodowych sprawy mają się
zgoła inaczej. Wystarczy, że w zasięgu naszego
nadajnika, np. na trawniku przed blokiem, znaj-
dzie się obcy komputer z kartą sieciową Wi-Fi,
a pracująca na nim osoba będzie już w stanie od-
czytać wszystkie przesyłane drogą radiową dane.
Co gorsza, o tym, że jesteśmy lub byliśmy szpie-
gowani, nigdy się nawet nie dowiemy, gdyż pod-
słuch radiowy w żaden sposób nie zakłóca trans-
misji danych. Nie ma też sposobu na wykrycie
nadmiarowego, bezprzewodowego „kabla”.
Kolejną pułapką bezpieczeństwa związaną
z bezprzewodowymi sieciami Wi-Fi jest nie tylko
podsłuch przesyłanych eterem danych, ale też
i możliwość łatwego i bezkarnego wejścia do na-
szej wewnętrznej sieci. Tak się bowiem składa,
że sieci Wi-Fi projektowane były pod kątem
Zabezpieczenie małej sieci Wi-Fi nie jest wcale trudne
Wstęp zabroniony
W naszych domach i małych biurach coraz częściej goszczą bezprze-
wodowe sieci Wi-Fi. Nie wszyscy jednak zdaja sobie sprawę z tego,
że są one „dziurawe”. A wystarczy poświęcić kilka chwil na ich konfigu-
rację, aby sąsiad nie był już w stanie zajrzeć do naszego komputera.
Stanisław Goraj Arciszewski
ich otwartości. Automatycznie skonfigurowa-
na sieć pozwala na wejście do udostępnionych
zasobów bez żadnych ograniczeń – po prostu
się do niej podłączamy, a co gorsza, często nie-
wymagane jest do tego nawet hasło! Złośliwy
sąsiad stojący pod naszym balkonem nie tylko
więc będzie w stanie podsłuchać treść wysyła-
nego właśnie e-maila, ale również przejrzeć za-
wartość naszego dysku twardego. I nie pomoże
tutaj żaden, nawet najlepszy firewall, gdyż atak
następuje od wewnątrz, a nie spoza sieci. Jak
zatem temu zapobiegać?
Szlaban dla hakera
Podstawowym mechanizmem zabezpieczenia sie-
ci bezprzewodowej standardu 802.11 (Wi-Fi) przed
nieautoryzowanym podsłuchem, ale też i dostępem
do niej jest mechanizm szyfrowania WEP (Wireless
Equivalent Privacy). Algorytm ten bazuje na kluczu
o stałej długości – zazwyczaj ma on jedną z następu-
jących wybranych przez użytkownika długości: 40,
64, 128, 152 lub 256 bitów – i jest automatycznie ge-
nerowany na podstawie podanego hasła. Co ważne,
samego klucza nigdy nie przesyła się drogą radiową,
lecz zawsze jest on tworzony lokalnie (na podsta-
wie hasła) na każdym należącym do sieci urządzeniu
– w Access Poincie lub na komputerze.
Cóż to oznacza dla użytkownika? Otóż jeśli
nie znamy klucza lub hasła użytego do jego wy-
generowania oraz binarnej długości, wówczas
nie można wejść do sieci ani podsłuchiwać prze-
syłanych za jej pomocą informacji. Innymi słowy:
dla osób chcących nas szpiegować wszelkie od-
czytane dane będą tylko bezużytecznym ciągiem
przypadkowych znaków.
Jak widać, WEP to stosunkowo łatwa do imple-
mentacji metoda zabezpieczenia sieci przed wła-
maniem. Dlaczego zatem nie jest on automatycz-
nie włączany w bezprzewodowych urządzeniach
dostępowych i kartach sieciowych? Głównymi przy-
czynami tego stanu rzeczy – oprócz wspomnianej
wcześniej utraty otwartości sieci – są: spadek pręd-
kości transmisji danych w sieci Wi-Fi oraz chęć za-
chowania maksymalnie uproszczonej konfiguracji
urządzeń. Wszak producenci wychodzą z założenia,
36
»
36
TEMAT NUMERU: WI-FI
Zabezpieczanie sieci bezprzewodowej
CHIP
| PAŹDZIERNIK 2004
że przeciętny domowy użytkownik nie jest informa-
tykiem i nie musi się znać na komputerach – po uru-
chomieniu wszystko ma mu zacząć działać, a że traci
na tym bezpieczeństwo... z tego punktu widzenia
nie jest to już tak istotne.
Niestety, algorytm WEP ma swoją podstawo-
wą wadę – posługuje się tym samym, niezmien-
nym w czasie kluczem, który na dodatek po kilku-
-kilkunastominutowym podsłuchu jest dość łatwo
złamać (odpowiednie do tego oprogramowanie
można znaleźć np. w Internecie). Co prawda urzą-
dzenia sieciowe niektórych producentów mają
możliwość wprowadzenia paru kluczy WEP (za-
zwyczaj czterech) zmienianych po kolei co jakiś
czas, ale ta metoda wydłuża tylko kilkakrotnie
czas potrzebny do zebrania przez włamywacza
odpowiedniej ilości danych, a nie rozwiązuje pro-
blemu bezpieczeństwa sieci Wi-Fi.
Znacznie lepsze zabezpieczenie oferuje stan-
dard WPA (Wi-Fi Protected Access). Jego głów-
ną zaletą jest wykorzystanie zmiennych w czasie
kluczy szyfrujących, dzięki czemu znacznie trud-
niej włamać się do sieci. Z WPA można korzy-
stać na dwa sposoby: w połączeniu z serwerem
autoryzacji, np. RADIUS (patrz: ramka „Bezpie-
czeństwo dla wymagających”), albo z kluczem
PSK (Pre-Shared Key). W tym drugim wypadku,
podobnie jak w WEP-ie, podajemy hasło, na pod-
stawie którego wygenerowane zostaną klucze
szyfrujące – dla małego biura i domu ta druga
metoda (WPA-PSK) jest bardziej funkcjonalna,
gdyż nie wymaga zakupu dodatkowego sprzętu.
Z WPA wiąże się jednak jeden podstawowy pro-
blem. Nie wszystkie tańsze, domowo-biurowe
Bezpieczeństwo dla wymagających
Wymienione w artykule procedury konfiguracji sie-
ci zapewniają podstawowy poziom bezpieczeństwa,
który wystarczy dla 99 procent użytkowników domo-
wych i małych biur. Dla jednego procenta (no i oczy-
wiście dla sieci korporacyjnych) opracowano bar-
dziej skomplikowane i mocniejsze metody zabezpie-
czenia sieci. Oto najważniejsze z nich.
Protokół IEEE 802.1X i serwery RADIUS
Sam standard 802.1X nie jest żadną metodą zabez-
pieczenia sieci ani algorytmem szyfrowania danych,
niemniej umożliwia on bezpieczne uwierzytelnianie
haseł użytkowników oraz przesyłanie kluczy, i to nie
tylko w sieciach bezprzewodowych. Innymi słowy
dzięki normie 802.1X można bezpiecznie zalogować
się do dowolnej sieci, nie obawiając się o to, że ktoś
przechwyci nasze hasło lub klucz.
Na bazie protokołu 802.1X powstają różne sys-
temy uwierzytelniania, w tym RADIUS (Remote
Authentication Dial-In User Service), protokół
wymiany kluczy cyfrowych drogą radiową – EAP
(Extensible Authentication Protocol), microsofto-
wy EAP-TLS (EAP – Transport Layer Security), wyko-
rzystujący certyfikaty cyfrowe, czy lansowany przez
firmę Cisco Systems LEAP (Lightweight Extensible
Authentication Protocol). Jeszcze innym środkiem
uwierzytelniania jest protokół PEAP (Protected EAP),
w którym przewidziano stosowanie certyfikatów
tylko przez serwery. Przy wykorzystaniu standardu
802.1X, możliwe jest zaimplementowanie też innych
rozwiązań, na przykład sprzętowych kart chipowych,
tokenów czy czytników linii papilarnych.
W tym miejscu warto postawić pytanie, co to
daje zwykłemu użytkownikowi. Otóż jeżeli chcemy
korzystać z jakiejkolwiek zewnętrznej autoryzacji
dostępu, jak choćby najpopularniejszego obecnie
RADIUS-a (warto wiedzieć, że niektóre firmy świad-
czą też usługi autoryzacji dla osób prywatnych),
musimy kupić sprzęt zgod-
ny z protokołem IEEE 802.1X.
Ta informacja będzie zawsze
znajdowała się na pudełku lub
w instrukcji obsługi urządze-
nia. Powinna się tam też poja-
wić lista obsługiwanych proto-
kołów autoryzacyjnych.
Podstawową
zaletą
RADIUS-a jest to, że służy on
nie tylko do uwierzytelniania
osób i komputerów, ale również
np. samych punktów dostępo-
wych. W ten sposób użytkow-
nik ma pewność, że zalogował
się do właściwej sieci – zdarzają
się bowiem przypadki podsta-
wienia fałszywych sieci w celu
wydobycia ważnych danych
z komputera użytkownika –
a administrator może wyeli-
minować „nielegalne” punkty
dostępowe, uruchamiane dla wygody przez pracow-
ników firmy. Sam serwer RADIUS to zaś po prostu
wydzielony komputer z odpowiednim oprogramo-
waniem, który stanowi centralny punkt zarządzania
wszystkimi hasłami i zasobami sieci.
Norma IEEE 802.11i
Wkrótce w najnowszych urządzeniach bezprzewodo-
wych pojawi się kolejny system zabezpieczeń zgod-
ny z zatwierdzoną kilka miesięcy temu specyfikacją
802.11i (niestety, jest ona niekompatybilna z obec-
nymi urządzeniami). Norma ta wymusza nie tylko
obowiązkowe uwierzytelnianie typu EAP, ale wpro-
wadza też protokół dynamicznej zmiany klucza szy-
frującego TKIP (Temporal Key Integrity Protocol) oraz
nowy algorytm silnego szyfrowania AES (Advanced
Encryption Standard).
AES wykorzystuje klucze 128-, 192- lub 256-bito-
we i operuje na 128-bitowych symetrycznych blo-
kach danych. Niestety, algorytm ten wymaga znacz-
nej mocy obliczeniowej, dlatego wszystkie zgod-
ne z normą IEEE 802.11i urządzenia muszą zostać
wyposażone we własny silny procesor. Karty sie-
ciowe mogą zaś skorzystać z mocy obliczeniowej
komputera, w którym zostały one zainstalowane.
Co ciekawe, rząd USA zatwierdził już ten algorytm
do stosowania w administracji publicznej i instytu-
cjach finansowych.
Kanał VPN
Systemem, którego nie udało się do tej pory złamać,
jest VPN (Virtual Private Networks). Może on być
wykorzystany zarówno w dowolnych sieciach prze-
wodowych, jak i bezprzewodowych (sam w sobie
nie ma nic wspólnego z sieciami Wi-Fi). Łączy on
jednoczesne szyfrowanie danych i uwierzytelnienie
użytkownika bądź komputera. Dzięki temu można
ustanowić na czas połączenia całkowicie bezpieczny
„tunel”, nawet jeśli pozostała część sieci nie została
zabezpieczona. Istotne jest też to, że VPN jest cał-
kowicie przezroczysty dla aplikacji.
Aby dostać się do sieci Wi-Fi zgodnej ze standardem 802.11i,
trzeba
zawsze skorzystać z metod autoryzacji użytkownika
i serwera.
To rozwiązanie ma praktycznie uniemożliwić włama-
nie do sieci bezprzewodowych.
Główne mechanizmy bezpieczeństwa sieci bezprzewodowych
Protokół
Udostępniane środki bez-
pieczeństwa
Zalety
Wady
WEP (802.11)
szyfrowanie RC4, niezmieniane
przez dłuższy czas statyczne
klucze, opcjonalne uwierzytel-
nienie 802.1X
duża popularność, standard akcep-
towany przez większość urządzeń
802.11a/b/g
stosunkowo proste do złamania statycz-
ne klucze szyfrujące, brak mechaniz-
mów kontroli integralności ramek
(intruz może dokładać własne pakiety),
dla zapewnienia bezpieczeństwa nie-
zbędne są dodatkowe środki w rodzaju
VPN
WPA
szyfrowanie RC4, dynamiczna
wymiana kluczy szyfrujących
(protokół TKIP), obowiązkowe
uwierzytelnienie 802.1X (EAP,
RADIUS) lub współużytkowany
klucz (mechanizm WPA-PSK)
kompatybilność z systemem WEP,
możliwość łatwej integracji z istnie-
jącymi sieciami bezprzewodowymi
jest to tylko tymczasowe rozwiązywanie
problemów bezpieczeństwa, wprowa-
dzone jako łata dla systemu WEP
802.11i
silne szyfrowanie AES, rozsze-
rzone sterowanie kluczami
TKIP, obowiązkowe uwierzytel-
nienie 802.1X
bardzo trudne do złamania, mocne
algorytmy szyfrowania danych, nie-
zawodny system sterowania unika-
towymi kluczami
konieczność stosowania w urządzeniach
nowych chipsetów ze zintegrowanym
procesorem, niekompatybilność z istnie-
jącym wyposażeniem sieci Wi-Fi
38
»
38
TEMAT NUMERU: WI-FI
Zabezpieczanie sieci bezprzewodowej
CHIP
| PAŹDZIERNIK 2004
Więcej informacji
Narzędzia do testowania sieci
http://www.netstumbler.com/
NetStumbler 0.4.0 (freeware)
Wi-Fi
Download | Internet i sieci |
Zarządzanie siecią lokalną
urządzenia sieciowe go obsługują. Dlatego jeśli
zależy nam na bezpieczeństwie danych, warto
zadbać o to, aby wybrane przez nas do budowy
sieci punkty dostępowe i karty miały zaimplemen-
towany protokół WPA.
Chowamy sygnał
Kolejną metodą zabezpieczenia małej sieci,
a do tego niespowalniającą transmisji danych,
jest filtrowanie adresów MAC (Media Access
Control). Każda karta oraz urządzenie sieciowe
– w tym bezprzewodowe – mają swój unikato-
wy w skali świata numer (można go sprawdzić
np. z linii poleceń konsoli Windows komendą
ipconfig/all
). Wpisując ten ciąg znaków w od-
powiednie pole w menu konfiguracyjnym punktu
dostępowego, ograniczamy wejście do sieci tylko
do autoryzowanej przez nas listy komputerów.
Musimy jednak pamiętać, że choć fizycznie
unikatowego numeru karty sieciowej nie można
zmienić, istnieje też sposób programowej jego mo-
dyfikacji. Dla hakera nie będzie to żadną przeszkodą,
ale filtrowanie adresów MAC powinno skutecznie
powstrzymać mniej doświadczonego, wścibskiego
sąsiada. Nie należy jednak zapominać, że w bez-
piecznej sieci Wi-Fi filtrowanie adresów MAC po-
winno być stosowane jako uzupełnienie szyfrowa-
nia WEP/WPA, a nie jako metoda główna.
Kolejnym sposobem na zabezpieczenie sieci
bezprzewodowej jest blokada rozgłaszania iden-
tyfikatora SSID (Service Set Identifier), czyli jej na-
zwy. Normalnie SSID jest rozsyłany publicznie (do
każdego pakietu danych dołączane są odpowiednie
informacje), gdyż powstał on nie w celu zapewnie-
nia bezpieczeństwa, ale do tworzenia i zarządzania
logiczną strukturą bezprzewodowych łączy. Wyłą-
czenie identyfikatora utrudnia zatem wykrycie na-
szej instalacji Wi-Fi, gdyż nie pojawi się ona na liście
dostępnych sieci na komputerze włamywacza.
Co więcej, wszystkie urządzenia współpracu-
jące w ramach jednej sieci muszą mieć ustawio-
ny zawsze ten sam identyfikator SSID. Jeżeli więc
nie będzie on publicznie znany, utrudnimy intruzo-
wi zadanie. Co prawda ukrycie identyfikatora SSID
nie jest do końca możliwe – odpowiednio sprepa-
rowane pakiety zmuszą znajdujący się w pobliżu
punkt dostępowy do odpowiedzenia na nie i ujaw-
nienie istnienia sieci, ale znów od włamywacza wy-
maga to znacznie większej wiedzy niż ta, którą dys-
ponuje przeciętny użytkownik komputera.
Czy możemy czuć się pewnie?
Jak widać, nawet najprostszą małą sieć bezprze-
wodową można w wystarczającym stopniu za-
bezpieczyć, posługując się zaledwie trzema pod-
stawowymi technikami: szyfrowaniem WEP/WPA,
filtrowaniem adresów MAC i ukrywaniem identyfi-
katora SSID, które powinny być włączone wszystkie
naraz. Co więcej, odpowiednia konfiguracja punk-
tu dostępowego i kart sieciowych nie jest trudna
i wystarczy poświęcić na to tylko kilka-kilkanaście
minut. Dziwi więc fakt, że tyle bezprzewodowych
sieci jest w ogóle niezabezpieczonych. Pół biedy,
jeśli dotyczy to osób prywatnych; gorzej, że wiele
urzędów czy instytucji nie chroni w należyty spo-
sób swoich danych.
Oczywiście opisane tu proste sposoby zabez-
pieczenia na wiele się nie przydadzą, w chwili
gdy staniemy oko w oko z prawdziwym hakerem,
niemniej uniemożliwią one wejście do sieci przy-
padkowym osobom. Firmy powinny zaś korzystać
z bardziej rozbudowanych i pewniejszych metod
zapobiegających włamaniom, ale to już temat na
oddzielny artykuł.
Podstawowe metody zabezpieczania sieci Wi-Fi*
Pierwszym krokiem przy zabezpieczaniu sie-
ci Wi-Fi jest zmiana hasła logowania do urzą-
dzenia dostępowego (Access Pointa).
1
Podstawowym elementem zapewniającym
bezpieczeństwo w sieciach bezprzewodo-
wych jest system WEP/WPA. Szyfruje on wszystkie
pakiety przesyłane drogą radiową oraz uniemoż-
liwia wejście do sieci Wi-Fi bez znajomości odpo-
wiedniego klucza. Niestety, włączenie szyfrowania
znacznie spowalnia transmisję danych.
2
Autoryzowanie komputerów po unikatowych
numerach zainstalowanych kart sieciowych
pozwala dodatkowo zwiększyć bezpieczeństwo
małej sieci.
3
Wyłączenie opcji SSID Broadcast spowoduje,
że nazwa naszej sieci Wi-Fi nie będzie widocz-
na dla potencjalnego intruza.
10 zasad bezpiecznej domowej sieci Wi-Fi
Konfigurując bezpieczną sieć bezprzewodową,
użytkownik musi się liczyć z różnymi ustępstwa-
mi na rzecz kosztów, wydajności i łatwości eks-
ploatacji. Im bezpieczniejsza sieć, tym będzie ona
droższa, trudniejsza w użytkowaniu, a także wol-
niejsza w działaniu. Niemniej dla małej sieci warto
zastanowić się nad ustaleniem czegoś w rodzaju
polityki bezpieczeństwa.
1. W miarę możliwości ogranicz zasięg sieci
do niezbędnego minimum, tak aby sygnał radiowy
nie wychodził poza obszar biura lub mieszkania.
Wyłączaj tymczasowo nieużywane urządzenia.
2. Po pierwszym zalogowaniu do Access Pointa
zmień domyślne hasło administratora i identyfika-
tor sieci SSID, gdyż często pokazuje on informa-
cje o używanym przez nas sprzęcie. Przy wyborze
identyfikatora nie używaj nazw własnych, nazw
ulic i adresów oraz nazw firm lub akronimów,
lecz zastosuj unikatowy ciąg nic nieznaczących
cyfr i liter.
3. Gdy dokonujesz zmian w konfiguracji punktu dostę-
powego, używaj tylko bezpiecznego połączenia SSH.
4. Regularnie uaktualniaj firmware kart sieciowych
i punktów dostępowych za pomocą najnowszych
wersji oprogramowania sterującego.
5. Stosuj kodowanie WEP z możliwie najdłuższym
kluczem szyfrującym. Jeżeli Twój sprzęt na to pozwa-
la, przełącz się na szyfrowanie WPA.
6. Regularnie zmieniaj klucze WEP.
7. Wyłącz automatyczne rozgłaszanie SSID (SSID
Broadcast).
8. Włącz filtrowanie adresów MAC i ogranicz
ich listę tylko do kilku zaufanych komputerów.
9. Jeżeli to możliwe, do autoryzacji połączeń wyko-
rzystuj serwery RADIUS, zwłaszcza jeśli mała sieć
Wi-Fi jest zainstalowana w firmie.
10. Jeśli przewidujesz przetwarzanie ważnych
danych, wprowadź silniejsze mechanizmy bezpie-
czeństwa, jak chociażby VPN.
4
* – opcje konfiguracyjne i ich rozmieszczenie róznią się w zależności od modelu Access pointa