Bezpieczeństwo
Bezpieczeństwo sieci Wi-Fi
62
lipiec/sierpień 2008
Bezpieczeństwo
Bezpieczeństwo sieci Wi-Fi
63
www.lpmagazine.org
lin
ux
@
so
ftw
ar
ae
.co
m
.p
l
W
dużych miastach na każdym kroku spo-
tkamy kilka sieci bezprzewodowych
– prywatnych lub też mniej lub bar-
dziej ogólnie dostępnych. Pomimo po-
wszechności sieci Wi-Fi chyba niewiele osób zdaje so-
bie sprawę jak niebezpieczna jest to usługa... Aby wła-
mać się do sieci bezprzewodowej wystarczy laptop z kar-
tą Wi-Fi i trochę umiejętności. W tym artykule nie mam
jednak zamiaru pisać, w jaki sposób włamywać się do
sieci lecz w jaki sposób bronić się przed włamaniem.
Myślę że większości użytkowników jest to temat zdecy-
dowanie bliższy...
ABC sieci bezprzewodowych
Najczęstszym przypadkiem sieci bezprzewodowej jest
mała sieć domowa, która składa się z routera WLAN bę-
dącego punktem dostępowym (ang. Access Point – AP)
i komputera klienta – zwykle laptopa. Właśnie takie sie-
ci padają najczęściej ofiarą włamań. Pal diabli, jeśli po-
lega ono tylko na tym, że ktoś za darmo korzysta z do-
stępu do internetu. W najgorszej sytuacji możemy bo-
wiem stracić zdecydowanie więcej – cenne dla nas da-
ne, czy nawet pieniądze. Dlatego też warto wiedzieć, jak
zabezpieczyć się przed włamaniami do sieci bezprzewo-
dowych.
Podstawową sprawą w zabezpieczaniu sieci bez-
przewodowej jest właściwy dobór sprzętu – Access Po-
inta, który teoretycznie powinien swoim zasięgiem po-
kryć cały interesujący nas teren i ani kawałka więcej. Je-
śli zasięg sieci ograniczymy do terytorium np. naszego
mieszkania, czy posesji, to wiadomo, że każdy, kto bę-
dzie chciał z niej skorzystać – musi fizycznie się tam
znaleźć.
Sprawa jednak nie jest taka prosta. Przede wszyst-
kim bardzo trudno jest wyznaczyć zasięg sieci bezprze-
wodowej w budynku. Podawane przez producenta para-
metry zasięgu dotyczą wolnej przestrzeni. W pomiesz-
czeniach mamy do czynienia z takimi zjawiskami, jak
tłumienie, czy odbicie sygnału oraz z szumem gene-
rowanym przez inne urządzenia nadawczo odbiorcze,
choć teoretycznie sieci o częstotliwości 2,4 GHz (stan-
dard WLAN) powinny być na nie odporne. Tak więc
chcąc objąć całe mieszkanie, czy posesją zasięgiem sie-
ci Wi-Fi, musimy się liczyć z tym, że podzielimy się sy-
Bezpieczeństwo
sieci Wi-Fi
Mam taką rozrywkę – biorę swojego laptopa, i chodzę po osiedlu szukając sieci bezprzewodowych. Jak
już znajdę, to przeszukuję je pod kątem zabezpieczeń. Zawsze znajdzie się kilka niezabezpieczonych.
Kolejnym krokiem jest znalezienie sieci bez filtrowania adresów MAC. Wtedy to siadam sobie w zasięgu
sieci, łączę się z nią i patrzę co tym razem mam za darmo...
Grzegorz Madajczak
Bezpieczeństwo
Bezpieczeństwo sieci Wi-Fi
62
lipiec/sierpień 2008
Bezpieczeństwo
Bezpieczeństwo sieci Wi-Fi
63
www.lpmagazine.org
gnałem z sąsiadami. Dlatego musimy włą-
czyć inne metody zabezpieczania sieci bez-
przewodowej. Istnieje kilka prostych zasad,
których przestrzeganie pozwoli zwiększyć
bezpieczeństwo naszej sieci.
Po pierwsze należy zmienić fabryczne
ustawienia naszego bezprzewodowego ru-
tera, który zwykle skonfigurowany jest tak,
aby po podłączeniu od razu można było z
niego skorzystać.
Łatwość uruchomienia przy fabrycz-
nych ustawieniach okupiona jest jednak
brakiem jakichkolwiek zabezpieczeń.Dla-
tego natychmiast po uruchomieniu urządze-
nia powinniśmy zabrać się do jego konfigu-
racji. Postaram się zwrócić uwagę na naj-
ważniejsze elementy konfiguracji każde-
go routera bezprzewodowego, AccesPoin-
ta – wspólne dla wszystkich tego typu urzą-
dzeń, niezależnie od producenta.
Jakże standardowym błędem początku-
jących jest pozostawienie IP routera na fa-
brycznych ustawieniach, np. 192.168.0.0.
Jeśli zmienimy ten adres, na jakikolwiek
inny dozwolony przez router, domorosłe-
mu początkującemu włamywaczowi będzie
nieco trudniej włamać się do panelu konfi-
guracyjnego AP, poznać nasze ustawienia i
namieszać.
Oprócz IP, które i tak można podsłu-
chać z użyciem powszechnie dostępnych
programów, koniecznie należy zmienić ha-
sło administratora routera. Przy zmianie
hasła należy posługiwać się sprawdzony-
mi zasadamiznznymi z kryptografii, tj.: im
hasło jest dłuższe, tym trudniejsze do zła-
mania – powinno mieć długość minimum
osiem znaków, hasło nie powinno być po-
wszechnie używanym słowem, czy też co
gorsza kombinacją imienia i nazwiska użyt-
kownika – to pierwsze przyjdzie włamywa-
czowi do głowy,
najlepsze hasło to odpowiednio długa
kombinacja małych i dużych liter, cyfr i in-
nych znaków, np. generowane losowo przez
program komputerowy.
Chociaż hasło utworzone zgodnie z po-
wyższymi zasadami jest trudne do zapamię-
tania, to stanowi poważne utrudnienie dla
włamywacza. Ma to szczególne znaczenie
w przypadku haseł generowanych na po-
trzeby mechanizmów szyfrowania sieci.
Mogę przytoczyć opowieść z życia
wziętą, kiedy to pewien użytkownik sie-
ci bezprzewodowej, z powodu swej nie-
wiedzy, pozostawił na routerze hasło ad-
ministratora w postaci niezmienionej – fa-
brycznej. Gdy odkryłem ten fakt, w pierw-
szej chwili chciałem niczym ten złośliwy
chochlik namieszać mu w ustawieniach.
Zamiast tego odkryłem, do kogo należy
ów niezabezpieczony sprzęt i pomogłem
tak skonfigurować, aby był bezpieczniej-
szy. Musiałem wytłumaczyć mu również,
że udostępnianie dysku C:\ poprzez sieć
bezprzewodową nie jest najlepszym roz-
wiązaniem...
Aby zwiększyć bezpieczeństwo swo-
jej sieci, warto również w ustawieniach ro-
utera wyłączyć rozgłaszanie SSID (Service
Set Identifier) sieci. Normalnie informacja
o SSID dołączana jest do każdego pakietu
wysyłanych danych, gdyż wymagane jest,
aby wszystkie komputery z jednej sieci po-
sługiwały się tym samym SSID.
Ukrycie SSID utrudni więc włamywa-
czowi życie, gdyż w trakcie skanowania
dostępnych sieci, w ten sposób zabezpie-
czona pozostanie niezidentyfiowana. Me-
toda ta ma jednak zasadniczą wadę – nie-
możność natychmiastowego podłączenia
nowych urządzeń, np. laptopa kolegi, któ-
ry przyszedł do nas pograć np. w sieciową
strzelankę.
Prostym rozwiązaniem, znacząco pod-
noszącym bezpieczeństwo, jest włączenie
filtrowania adresów MAC (Media Access
Control – niepowtarzalne na całym świe-
cie identyfikatory interfejsów sieciowych)
(Rysunek 1.). Włączenie filtrowania MAC
sprawi, że dostęp do naszej sieci uzyskają
tylko ściśle określone komputery – z puli
ściśle zdefiniowanych MAC. Należy jednak
pamiętać, iż dzięki programom podsłuchu-
jącym (sieć Wi-Fi) w prosty sposób możli-
we jest poznanie adresów MAC kompute-
rów komunikujących się w sieci. Od tego
zaś pozostał już tylko jeden krok do wła-
mania poprzez fałszowanie adresu MAC.
W związku z powyższym należy zastoso-
wać dodatkowo inne metody zabezpiecza-
nia sieci bezprzewodowej.
Szyfrowanie w sieci
Podstawowym mechanizmem zabezpiecze-
nia sieci bezprzewodowej standardu 802.11
(Tabela 1) przed nieautoryzowanym pod-
słuchem i dostępem do niej, jest mechanizm
szyfrowania WEP (z ang. Wired Equivalent
Privacy). Jest to algorytm szyfrowania, któ-
ry posługuje się kluczami o wielkości 40
(WEP-40) lub 104 bity (WEP-104), do któ-
rych w procesie wysyłania pakietu danych
dołączany jest wektor inicjujący (IV – In-
itialization Vector) o wielkości 24 bitów,
skąd wzięły się popularne długości kluczy
szyfrujących 64 i 128 bitów. Klucze szyfru-
jące składają się z 10 (dla WEP-40) lub 26
znaków (dla WEP-104). Każdy znak repre-
Rysunek 1.
Okno ustawień filtrowania adresów MAC w mojej sieci bezprzewodowej
64
Bezpieczeństwo
Bezpieczeństwo sieci Wi-Fi
lipiec/sierpień 2008
65
Bezpieczeństwo
Bezpieczeństwo sieci Wi-Fi
www.lpmagazine.org
zentowany jest przez 4 bity, co daje odpo-
wiednio 40 i 104 bity klucza.
Wraz z szyfrowaniem WEP stosowa-
ne są zamiennie dwie metody uwierzytel-
niania: system otwarty (Open System) lub
system wspólnych kluczy (Shared Keys).
W pierwszym przypadku klient sieci bez-
przewodowej może zostać uwierzytelnio-
ny w Punkcie Dostępowym bez stosowania
algorytmu WEP. Po takim uwierzytelnieniu
klient wysyła i odbiera pakiety danych za-
szyfrowane algorytmem WEP. W przypad-
ku metody wspólnych kluczy, proces uwie-
rzytelniania przebiega w czterech etapach:
• Klient wysyła do AP żądanie uwierzy-
telniania.
• AP wysyła do klienta tekst niezakodo-
wany
• Klient odsyła tekst zakodowany przy
użyciu klucza WEP
• AP odszyfrowuje nadesłany tekst i po-
równuje go ze wzorcem i na podstawie
rezultatu porównania uwierzytelnia lub
nie.
Dopiero po tak przeprowadzonej autory-
zacji następuje podłączenie klienta do sie-
ci i wysyłka zaszyfrowanych pakietów da-
nych. Na pierwszy rzut oka, nie trzeba ni-
kogo przekonywać o wyższości uwierzytel-
niania metodą wspólnych kluczy, nad sys-
temem otwartym, czyli de facto brakiem
uwierzytelniania. Z drugiej jednak strony
podsłuchanie przesyłanego tekstu jawne-
go (drugi etap uwierzytelniania w metodzie
Shared Keys), potem zaś odpowiedzi klien-
ta – zaszyfrowanego tekstu sprawia, że wła-
mywacz ma podany na tacy klucz szyfru-
jący – bez najmniejszego wysiłku. Wystar-
czy, że przechwyci pierwsze cztery ramki
przesyłane pomiędzy AP, a klientem. Dla-
tego wbrew pozorom w celu poprawienia
bezpieczeństwa w sieciach z szyfrowaniem
WEP, zaleca się stosowanie uwierzytelnia-
nia w systemie otwartym.
Standard szyfrowania WEP obec-
nie uznany jest jako bało bezpieczny. Je-
go słabość została ostatecznie potwier-
dzona w 2007 roku, kiedy to naukowcom
z Politechniki w Dramstadt udało się zła-
mać szyfrowanie WEP w mniej niż 1 minu-
tę. Dzięki zastosowaniu technik kryptogra-
ficznych zredukowali oni liczbę przechwy-
conych pakietów potrzebnych do przepro-
wadzenia skutecznego ataku. Przy 104-bi-
towym kluczu wystarczy już 40 tysięcy pa-
kietów, aby osiągnąć 50% prawdopodo-
bieństwo złamania klucza WEP. Przy prze-
chwyceniu 85 tys. pakietów prawdopodo-
bieństwo sięga już 95%. Choć przecięt-
ny użytkownik sieci bezprzewodowej nie
jest naukowcem, to zbliżone rezultaty mo-
że osiągnąć na domowym sprzęcie przy za-
stosowaniu powszechnie dostępnego w in-
ternecie oprogramowania. Dlatego też zde-
cydowanie odradzam szyfrowanie WEP, ja-
ko metodę zabezpieczania sieci Wi-Fi, na-
wet tej najmniejszej – domowej.
Niektóre urządzenia sieciowe stosu-
ją metodę wielu zamiennie stosowanych
kluczy WEP, co w założeniu ma popra-
wić bezpieczeństwo tego algorytmu szy-
frującego. W rzeczywistości metoda ta je-
dynie nieznaczne wydłuża czas potrzeb-
ny na złamanie kluczy szyfrujących.Jeśli
jednak popatrzy się na zabezpieczenia sie-
ci wokół nas, to odkryjemy, że WEP jest
nadal metodą powszechnie stosowaną. Wy-
nika to z trzech przyczyn. Pierwsza z nich
to oczywiście niewiedza posiadaczy (admi-
nistratorów) tychże sieci. Człowiek jest za-
wsze najsłabszym ogniwem w łańcuchu za-
bezpieczeń. Po drugie starszy i najtańszy
sprzęt nie oferuje nowszych, bardziej bez-
piecznych metod szyfrowania – dotyczy to
zwłaszcza bezprzewodowych kart siecio-
wych na Compact Flash, PCMCIA oraz
Exppress Card.
Tak więc posiadany hardware narzuca
konkretny model zabezpieczeń. Warto wte-
dy jednak jak najbardziej utrudnić życie wła-
mywaczowi stosując wszystkie opisane po-
wyżej metody zabezpieczeń sieci – niezależ-
ne od samego szyfrowania, a także zdefinio-
wać cztery odpowiednio długie i trudne klu-
cze WEP. Ostatnia przyczyna wynika z wady
wszystkich metod szyfrowania sieci Wi-Fi.
Ich zastosowanie zmniejsza prędkość przesy-
Rysunek 2.
Schemat mechanizmu MIC. Nadawca wysyła pakiet danych szyfrowany algorytmem Michael za
pomocą klucza, w wyniku czego powstaje 8 bajtów MAC. U odbiorcy dochodzi do porównania MAC nadesła-
nego i utworzonego lokalnie. Na tej podstawie podjęta zostaje decyzja o autentyczności pakietu
�������
��������
��������
�������
��������
�������
���
���
���
���
���������
���������
���
���
�
Tabela 1.
Obowiązujące standardy w sieciach bezprzewodowych
Protokół
Rok ogłoszenia
Częstotliwość
Maks. prędkość transmisji
Maks. zasięg wewnątrz
Maks. zasięg na zewnątrz
802.11a
1999
5 GHz
54 Mbit/s
~ 35 m
~ 120 m
802.11b
1999
2,4 GHz
11 Mbit/s
~ 38 m
~ 140 m
802.11g
2003
2,4 GHz
54 Mbit/s
~ 38 m
~ 140 m
802.11n
2009*
2,4 GHz, 5 GHz
300 Mbit/s (min. 100 Mbit/s)
~ 70 m
~ 250 m
* planowany termin ogłoszenia (standard już stosowany w wielu urządzeniach)
64
Bezpieczeństwo
Bezpieczeństwo sieci Wi-Fi
lipiec/sierpień 2008
65
Bezpieczeństwo
Bezpieczeństwo sieci Wi-Fi
www.lpmagazine.org
łu danych w takiej sieci, a także zwiększa ob-
ciążenie procesora klienta (komputera podłą-
czonego do szyfrowanej sieci). Efekt ten wi-
doczny jest zwłaszcza na starszym sprzęcie
lub drobnych urządzeniach mobilnych pra-
cującym w sieciach z szyfrowaniem WPA
(więcej o nim za chwilę). Chcąc więc zwięk-
szyć przepustowość sieci, użytkownik (ad-
ministrator) decyduje się na mniej bezpiecz-
ne WEP. Problem ten całkowicie został wy-
eliminowany w sieciach pracujących we-
dług na razie nie obowiązującego oficjalnie
standardu 802.11n. Sieci pracujące wg tego
standardu zapewniają prędkość do 300 MB/s
przy szyfrowaniu WPA. W sklepach można
już kupić urządzenia Wi-Fi (routery, AP, kar-
ty sieciowe) obsługujące ten standard. Zda-
rza się również sytuacja, że urządzenia te nie
obsługują szyfrowania WEP, a jedynie WPA
i WPA2.
Znacznie wyższy poziom zabezpie-
czenia oferuje algorytm WPA (Wi-Fi Pro-
tected Access), który zgodnie z zalecenia-
mi powinien zastąpić wyżej opisany, ma-
ło bezpieczny system WEP. Z WPA moż-
na korzystać na dwa sposoby: w połączeniu
z serwerem autoryzacji, np. RADIUS (wię-
cej na ten temat w ramce Uwierzytelnianie
z serwerem RADIUS), albo z kluczem PSK
(Pre-Shared Key). Drugi ze sposobów, od-
powiedniejszy dla małych sieci domowych
wykorzystuje do uwierzytelniania hasła,
które wcześniej zostały wśród klientów sie-
ci rozpowszechnione w sposób zapewniają-
cy poufność. Metoda ta przypomina zna-
ne z kryptografii szyfrowanie kluczem sy-
metrycznym, gdzie dane są kodowane i de-
kodowane z użyciem identycznego klucza.
Tak więc bezpieczeństwo uwierzytelniania
zależy od siły szyfrowania użytego hasła,
które powinno być dobrane zgodnie z wy-
żej pisanymi zasadami.
W systemie WPA dane szyfrowane są
przy zastosowaniu szyfru strumienia danych
RC4 wykorzystującym 128-bitowy klucz
szyfrujący z 48-bitowym wektorem inicju-
jącym (IV). Jednak największa różnica po-
między WEP i WPA polega na użyciu w tym
drugim protokołu TKIP (Temporal Key In-
tegrity Protocol). Protokół ten poprzez ha-
szowanie (tworzenie szyfrowanego skrótu)
wektora inicjującego uniemożliwia jego nie-
uprawnione odczytanie. Ponadto TKIP wy-
musza generowanie nowych kluczy po każ-
dych 10 tys. przesłanych pakietów.
WPA zapewnia skuteczny system nad-
zoru nad integralnością przesyłanych da-
nych poprzez zastosowanie mechanizmu
MIC (Message Integrity Code). W wyniku
jego działania do pakietu przesyłanych da-
nych dodawanych jest 8 bajów kodu weryfi-
kującego (MAC – Message Authentication
Code) do przesyłanego pakietu (Rysunek
2.). Dzięki takiemu podejściu chronione są
nie tylko same zaszyfrowane dane, lecz tak-
że nagłówek pakietu.
Rozwinięciem systemu szyfrowania
WPA jest protokół 802.11i, nazywany czę-
sto systemem WPA2. Wykorzystuje on ob-
ligatoryjne uwierzytelnianie w systemie
802.11x, a także protokół dynamicznej wy-
miany klucza szyfrującego – TKIP (Tempo-
ral Key Integrity Protocol). Dodatkowo spe-
cyfikacja ta bazuje na silnym, dotychczas
nie złamanym algorytmie szyfrującym AES
(Advanced Encryption Standard), który wy-
korzystuje klucze o długości 128, 192 i 256
bitów. Wadą tego rozwiązania są znaczne
wymagania co do mocy obliczeniowej urzą-
dzeń szyfrujących.
Standard 802.11x umożliwia uwierzy-
telnianie w sieci WLAN, ustanowienie po-
łączenia punkt-punkt, a także uniemożliwia
dostęp z określonego portu, jeśli uwierzy-
telnienie nie powiedzie się. Zgodnie z tym
protokołem, gdy klient (np. laptop) nawią-
zuje łączność z punktem dostępowym, urzą-
dzenia uzgadniają między sobą klucz PMK
(Pairwise Master Key) odwołując się do ser-
wera RADIUS lub do innego serwera uwie-
rzytelniania obsługującego protokół EAP
(Extensible Authentication Protocol). Obie
strony (klient i serwer RADIUS) uzyskują
wtedy identyczne klucze, a serwer RADIUS
przekazuje ten klucz punktowi dostępu. Na-
stępnie klient i punkt dostępu wymieniają
między sobą komunikaty, noszące nazwę
four-way handshake, kiedy to dochodzi do
utworzenia nowego klucza – PTK (Pairwi-
se Transient Key). Klucz ten jest tworzony
na podstawie klucza PMK i świeżo wyge-
nerowanych przypadkowych kluczy, które
tworzą obie strony (klient i punkt dostępu).
Klucz PTK dzielony jest na kilka podklu-
czy: jeden jest używany do podpisywania
komunikatów four-way handshake, drugi
do ochrony pakietów transmitowanych mię-
dzy klientem i punktem dostępu oraz trze-
ci do kodowania klucza grupy (group key),
który jest udostępniany klientowi podczas
sesji four-way handshake.
Klucz grupy pozwala punktowi dostępu
generować i rozsyłać do wszystkich klientów
jeden pakiet rozgłoszeniowy, zamiast wysyłać
taki zakodowany pakiet wiele razy, za każdym
razem dostarczając go innemu klientowi. Pod-
Rysunek 3.
Schemat działania uwierzytelnia z ser-
werem RADIUS. 1) Klient wysyła zapytanie do punk-
tu dostępowego. 2) Punkt dostępowy wysyła zapytanie
(MAC klienta + hasło) do serwera RADIUS. 3) Serwer
autoryzuje klienta lub nie. 4) Punkt dostępowy, zgodnie
z odpowiedzią serwera podłącza klienta lub odrzuca
������
����
������
������
�
�
�
�
��������
Rysunek 4.
Schemat działania VPN. Laptop wysyła dane z wirtualnego IP 10.0.0.1 do komputera o wirtual-
nym IP 10.0.0.2, przez interfejs /dev/lan/tun0. W rzeczywistości zaszyfrowane pakiety wędrują normalną sie-
cią przez interfejs /dev/wlan0 do /dev/eth0
����������
�����
���
�������������
��������
�������������
��������
����������
�����������
���������
�����������
66
Bezpieczeństwo
Bezpieczeństwo sieci Wi-Fi
lipiec/sierpień 2008
czas sesji four-way handshake klient i punkt
dostępu negocjują, jak będą kodować dane.
Obie strony negocjują dwa szyfry: szyfr paro-
wania (pairwise; używany dla pakietów uni-
cast – w transmisji typu stacja-stacja – wy-
mienianych między klientem i punktem do-
stępu); oraz szyfr grupy, używany dla ruchu
broadcast/multicast (pakiety rozsyłane w try-
bie stacja-wszystkie stacje lub stacja-wiele
stacji, które z punktu dostępu wysyła do wie-
lu klientów). O ile szyfr kodowania może być
negocjowany, o tyle standard 802.11i zawsze
używa 128-bitowego szyfrowania Advanced
Encryption Standard (AES).
W środowisku opartym wyłącznie na
standardzie 802.11i, szyfr AES jest najczę-
ściej używany do kodowania zarówno klucza
parowania, jak i klucza grupy.
Dodatkową zaletą protokołu 802.11i jest
wprowadzenie roamingu, czyli przełącza-
nie klienta z jednego punktu dostępu na na-
stępny. Roaming w sieciach Wi-Fi jest spo-
tykany w przypadku infrastruktury zbudowa-
nej na podstawie więcej niż jednego AP. Sy-
tuację taką możemy wyobrazić sobie np. w
wielokondygnacyjnym, rozległym budynku
firmy, gdzie na każde piętro przypada jeden
(lub więcej) AP.
Chcąc zapewnić sprawne przełączanie
się z AP do AP, należy wprowadzić w takiej
sieci roaming. W przeciwnej sytuacji, klient
musiałby za każdym razem, przy przecho-
dzeniu z jednego AP do drugiego powtarzać
procedurę uwierzytelniania 802.1x, co wma-
gałoby chwilowego odłączenia od sieci.
W przypadku 802.11i jest inaczej – gdy
klient wraca do punktu dostępu, na których
był już uwierzytelniony, może wykorzystać
ponownie klucz PMK ustanowiony przez ten
punkt dostępu, po to aby ominąć procedurę
uwierzytelniania 802.1x i zainicjować tylko
sesję four-way handshake. Dlatego procedura
przełączania klienta z jednego punktu dostę-
pu na kolejny przebiega dużo szybciej.
Dodatkowo klient może się wstępnie uwie-
rzytelnić na nowym punkcie, na który ma za-
miar przełączyć się, wymieniając jednocześnie
cały czas dane ze starym punktem dostępu.
Krótko mówiąc mamy do czynienia z
sytuacją, jak w telefonii GSM – zmieniając
komórkę (pole zasięgu jednej stacji nadaw-
czo-odbiorczej) rozmowa nie jest przerwana.
Dlatego też roaming w sieci Wi-Fi jst istot-
ny, gdy oprócz transmisji danych, służy ona
także do VoIP. W tym momencie, nawet naj-
krótsze przerwy w transmisji są niedopusz-
czalne.
Wirtualna sieć prywatna
Opisane powyżej rozwiązania zapewnienia
bezpieczeństwa sieci bezprzewodowych,
oparte na właściwej konfiguracji AP oraz wy-
korzystaniu mocnego algorytmu szyfrowania
przesyłanych danych sprawdzają się z powo-
dzeniem w przypadku prostej sieci złożonej
z klienta i AP. Jeśli sieć bezprzewodowa sta-
nowi szkielet sieci spinającej większą liczbę
klientów, nawet najbardziej wymyślne me-
chanizmy szyfrowania nie stanowią wystar-
czającego zabezpieczenia tejże sieci. Z po-
mocą przychodzi w tym przypadku zastoso-
wanie wirtualnej sieci prywatnej (Virtual Pri-
vate Network – VPN), która tworzy pomię-
dzy komputerami szyfrowane tunele.
W sieci VPN wykorzystywane są zaso-
by tradycyjnej sieci (Wi-Fi, ethernet), jednak
z punktu widzenia klienta powstaje dodatko-
wa wirtualna sieć. Komputery w sieci VPN
otrzymują dodatkowe adresy IP, a dane dane
przeznaczone do wysyłki pod ten wirtualny
adres są pakowane przez mechanizmy VPN
i wysyłane pod rzeczywisty adres odbiorcy
(Rysunek 4.).
Odbiorca rozpakowuje dane i traktuje je
tak, jakby dotarły do niego przez wirtualny
adres. W ten sposób powstaje tunel chroniący
dane wysyłane pomiędzy klientami w sieci.
Ponadto VPN potrafi obsługiwać połączenia
pomiędzy całymi sieciami. Dzięki temu ist-
nieje możliwość stworzenia bezpiecznej sieci
rozproszonej – łączącej zasoby sieci lokalnej
z zasobami sieci odległej, np. za pośrednic-
twem łącza internetowego. Z punktu widze-
nia klientów sieci VPN wszystkie końcówki
sieci będą miał adresy z tej samej puli.
Najbardziej znaną implementacją wirtual-
nej sieci prywatnej stanowi projekt OpenVPN
(http://openvpn.net) – projekt rozpowszech-
niany na licencji OpenSource. Jego olbrzymią
zaletą jest dostępność oprogramowania Ope-
nVPN na niemalże wszystkie platformy sys-
temowe – Linux, Windows, MacOS, a także
Windows Mobile, co sprawia, że VPN może
objąć wszystkie dostępne końcówki sieci.
Inne metody
zabezpieczenia sieci Wi-Fi
Zastosowanie opisanych powyżej rozwiązań
w domowej, czy firmowej sieci bezprzewodo-
wej daje duże prawdopodobieństwo stworze-
nia bezpiecznej sieci. Nie zawsze jednak wy-
magane jest stworzenie VPN, aby ustrzec się
przed atakami z zewnątrz. Wystarczy, jeśli w
sieci będziemy łączyli się z lokalnymi lub też
zdalnymi zasobami za pośrednictwem np. tu-
neli SSH. Wydajne mechanizmy szyfrowania
dostępne w OpenSSH zapewniają należyte
bezpieczeństwo przesyłanych danych.
Podsumowanie
Sieć bezprzewodowa to wygodne rozwiązanie
zarówno do domu, jak i firmy. Niestety niesie
ze sobą zagrożenie w postaci niskiego pozio-
mu bezpieczeństwa przy standardowej konfi-
guracji. Wystarczy jednak wprowadzić kilka
motywacji, aby stała się zdecydowanie bar-
dziej bezpieczna.
Trudno jest jednak jednoznacznie okre-
ślić, które z wyżej wymienionych technik na-
leży zastosować. Według mnie najlepiej jest
wybrać wszystkie. Na ostateczny poziom bez-
pieczeństwa składa się bowiem suma wszyst-
kich użytych zabezpieczeń. Im jest ich więcej
– tym trudniejsze zadanie ma potencjalny wła-
mywacz. Należy jednak liczyć się z tym, że
spowoduje to pewne ograniczenie wydajno-
ści sieci.
RADIUS (Remote Authentication Dial In User Service) – usługa uwierzytelniania użyt-
kowników, stosowana najczęściej w sieciach, w których dostęp do systemu uzyskuje
się metodą wdzwaniania (Dial-Up), np. uwierzytelnianie użytkowników przy usłudze do-
stępu do internetu przez telefon. W przypadku sieci bezprzewodowej klient łącząc się z
AP powoduje wysłanie zapytania przez AP do serwera RADIUS. Zapytanie zawiera na-
zwę użytkownika – adres MAC karty Wi-Fi porszącej o dostęp oraz hasło. Po pozytyw-
nym wyniku autoryzacji AP otrzymuje z RADIUS komunikat zezwalający na przyłącze-
nie klienta do sieci (Rysunek 4.).
Uwierzytelnianie z serwerem RADIUS
Autor artykułu, z wykształcenia lekarz weterynarii, mikrobiolog, pasjonuje się Linuksem od
ponad pięciu lat. Jego ulubione dystrybucje to Gentoo i Slackware.
Kontakt z autorem: madajczak@gmail.com
O autorze