Temat: Bezpieczne sieci
bezprzewodowe
Przedmiot: Sieci
telekomunikacyjne
1820r. – duński naukowiec Hans Orsted odkrył iż drut, w którym płynie
prąd wytwarza pole magnetyczne.
1886r. – Henrich Hertz – wytworzył fale elektromagnetyczną oraz
zademonstrował światu urządzenie do jej odbioru, był to początek
telekomunikacji.
1901r. - Guglielmo Marconi zademonstrował telegraf bez drutu-
pierwsze przesyłanie bezprzewodowe.
1971r. –rozpoczęto pierwsze pracę nad sieciami bezprzewodowymi-
eksperyment ALOHANET na Hawajach.
W 1992 roku firma SUN Microsystems zaprojektowała niewielki
podręczny komputer o nazwie Star 7 mający możliwości tworzenia
sieci bezprzewodowych na częstotliwości 900 MHz
.
1994r. – system WaveLAN zademonstrował laptopa z zainstalowaną
kartą PCMCIA, który był połączony z komputerem osobistym
oddalonym o kilka kroków.
1997r. – stworzenie standardu 802.11 przez firmę Institute of Electrical
and Electronics Engineers (IEEE). Z czasem powstały kolejne 802.11b,
802.11a, 802.11g oraz 802.11n.
Trochę historii
mobilność – końcówki mogą się przemieszczać,
łatwość instalacji – nie trzeba kłaść przewodów,
elastyczność – łatwe dokładanie nowych końcówek,
zasięg – od kilku metrów (w budynkach) do
kilkudziesięciu kilometrów,
szybka rozbudowa i modyfikacja struktury sieci.
.
Dlaczego sieć
bezprzewodowa..
Sieć bezprzewodowa- jak sama nazwa wskazuje, jest
to sieć w której połączenia między urządzeniami
sieciowymi zrealizowano bez użycia przewodów, a
wysyłanie informacji odbywa się drogą radiową. Sieci
Wi– Fi są obecnie jedna z najszybciej rozwijających
się technologii IT. Jej zaletami są:
Wyróżnia się dwa rodzaje połączeń w sieciach
bezprzewodowych: równorzędny oraz
infrastrukturalnym
Sieć równorzędna ad-hoc
(zwany także peer-to-peer)
Topologie sieci Wi- Fi
Umożliwia
bezpośrednie
połączenie dwóch lub więcej
komputerów, bez użycia punktu
dostępowego.
Przy
takim
połączeniu,
każda
stacja
wyposażona w kartę do transmisji
bezprzewodowej,
może
komunikować się z dowolną stacją
w zasięgu sygnału radiowego.
Wszystkie komputery pracujące w
tym trybie posiadają taki sam
priorytet
co
uniemożliwia
zarządzanie ruchem w sieci.
Siec infrastrukturalna
Topologie sieci Wi- Fi cd..
Topologia infrastrukturalna składa
się z centralnego punktu
dostępowego pozwalającego
uzyskać połączenie z siecią
kablowa oraz Internetem. Punkt
dostępu pełni rolę autoryzacji
poszczególnych użytkowników,
udostępnia im zasoby oraz
kieruje ruchem w sieci. Większość
działających sieci
bezprzewodowych pracuje w
trybie
Infrastrukturalnym.
Podsłuch- nieupoważniona osoba może
przechwytywać w łatwy sposób nasze wysyłane i
odbierane dane. Przeglądać odwiedzane przez nas
strony internetowe lub czytać prywatną pocztę
elektroniczną.
Podszywanie się pod adres IP- korzystając z
obcego adresu IP można wykonywać nieetyczne lub
nielegalne operacje, na przykład wysyłać spam lub
przesyłać pliki z niedozwoloną treścią.
Zagrożenia w sieci
Wardriving to wyszukiwanie miejsc, w których dostępne
są sieci bezprzewodowe. Do tego celu wykorzystuje się
komputery przenośne wyposażone w bezprzewodowa
kartę sieciowa oraz antenę, najczęściej dookólna.
Czynność ta polega najczęściej na jeżdżeniu
samochodem z włączonym laptopem z zainstalowanym
programem do wyszukiwania sieci. Najpopularniejszym
programem tego typu jest używany przez większość
wardriver’ów darmowy program NetStumbler
Wardriving
Rys. 1. Program NetStumbler w działaniu
Oprócz terminu wardriving używa
się także warchalking i w zasadzie
jest to to samo, tylko że do
przemieszczania w tym wypadku
zamiast samochodu wykorzystuje
się siłę własnych nóg. Osoby
wyszukujące sieci Wi-Fi oznaczają
czasami miejsca, w których można
uzyskać połączenie. Najczęściej
rysowane są kreda
charakterystyczne znaki, widoczne
na rysunku poniżej.
Pierwszy oznacza niezabezpieczona
sieć ogólnie dostępna, drugi – sieć
zabezpieczona filtracją MAC, a
ostatni, ze w sieci włączone jest
szyfrowanie WEP lub WPA.
Rys. 2. Znaki
warchalking’owe
Statystyki sieci
niezabezpieczonych.
Sieć bezprzewodowa jest bardziej podatna na ataki niż
tradycyjna. Dobrze zabezpieczona, oprze się jednak
każdemu hakerowi. Poznaj 10 reguł, które powinieneś
zastosować podczas konfigurowania Wi-Fi. Opracowane na
podstawie:
http://www.pcworld.pl/news/361460_2/Dziesiec.filarow.bezp
iecznej.sieci.WiFi.html
Wszelkie modyfikacje i wskazówki zostały ukazane na modemie Livebox
ZTE wraz z usługą Neostrada przez Telekomunikację Polską
Jak skutecznie zabezpieczyć swoje Wi- Fi
Każdy ruter ma wybudowany fabryczny
identyfikator służący do tworzenia połączeń.
Jest to tak zwany SSID (Service Set Identifier)
– jest to nazwa jaką nadajemy naszej sieci
bezprzewodowej. Fabrycznie np. posiadacz
liveboxa z Neostrady będzie miał nazwę sieci
„Livebox- XXX” numer identyfikacyjni.
1.Zmiana nazwy sieci Wi-
fi(SSID
Domyślnie nazwa sieci (SSID) jest rozgłaszana przez każdy
ruter. Ułatwia to urządzeniom zewnętrznym jej automatyczne
wykrycie i podłączenie się. Jest jak zaproszenie.
Jeżeli jednak sam konfigurujesz swoją sieć, to bardzo dobrze
znasz jej nazwę. Nie musi być ona przez cały czas
propagowana przez nadajnik.
Wyłączenie rozgłaszania nazwy wymusza ręczną konfigurację
sieci, ale sprawia dodatkowy kłopot potencjalnemu
włamywaczowi, który musi ją najpierw wykryć, a następnie
ustalić nazwę.
2.Rozgłaszanie numeru (SSID)
3.Zmień domyślne hasło administratora
Rutery opuszczające taśmy
produkcyjne są wstępnie
skonfigurowane. Dotyczy to również
parametrów konta administratora.
Login i hasło nie są tajne, a producent
stosuje zwykle takie same dla
wszystkich swoich urządzeń.
Najczęściej loginem
i hasłem jest słowo
„admin”. Zmiana
standardowego hasła
jest więc konieczna.
Adres IP rutera jest definiowany fabrycznie.
Jego domyślna konfiguracja jest łatwa do
ustalenia. Modyfikacja adresu to kolejne
utrudnienie podczas próby
nieautoryzowanego połączenia.
4.Zmień domyślny adres IP
rutera
Adresy MAC, inaczej zwane adresami fizycznymi są
wizytówkami urządzeń korzystających z sieci.
Routery obsługujące WiFi umożliwiają stworzenie
listy zaufanych podzespołów, które mogą się z nim
łączyć. Komputer o adresie spoza listy zostanie
zablokowany.
Wprawdzie możliwe jest podszycie się pod adres
MAC, ale filtr stanowi poważną barierę
ograniczającą ewentualność włamania. O ile to
możliwe, warto również skorzystać z filtrowania IP.
5. Włącz filtr adresów MAC i
adresów IP
Rutery bezprzewodowe mają zwykle wbudowaną funkcję
serwera DHCP. Upraszcza to znacznie konfigurację sieci.
Automatyczne przypisywanie adresu ułatwia jednak
łączenie się z siecią osobom do tego nieupoważnionym.
Wyłącz przydzielanie adresów przez DHCP i skonfiguruj
komputery ręcznie.
Zajmie to zapewne nieco więcej czasu, ale poprawi
bezpieczeństwo. Jeżeli nie chcesz tego robić, zmień
przynajmniej i ogranicz pulę przydzielanych adresów
oraz przypisz poszczególnym pecetom stałe IP.
6. Wyłącz DHCP
Większość starszych i nowych ruterów ma wbudowane
firewalle. Zapory te nie oferują zwykle najnowszych
technologii, ale i tak stanowią przyzwoite
zabezpieczenie przed włamaniem. Powinny być
bezwzględnie włączone i to ustawienie jest najczęściej
domyślnym.
Warto również korzystać z dodatkowych firewalli.
Blokowanie reakcji na polecenie ping czy na próby
anonimowych połączeń ukryje twoją obecność w
Internecie, utrudni wykrycie i dostęp do twojej sieci.
7. Używaj wbudowanego
firewalla
Ruterem można zarządzać z poziomu sieci
lokalnej, ale interfejs webowy umożliwia
także łączenie się z kontem
administracyjnym urządzenia od strony
Internetu.
Korzystanie z tej funkcji może okazać się
zgubne w skutkach. Jeżeli ruter ma funkcję
zdalnego zarządzania wyłącz ją.
8. Wyłącz funkcje zdalnego
zarządzania
Wszystkie zabezpieczenia nie byłyby wiele warte,
jeżeli każdy mógłby podsłuchać, jakie dane są
transmitowane. Do przesyłanych informacji ma
przecież dostęp każda osoba wyposażona w
odpowiedni odbiornik. W każdej sieci bezprzewodowej
trzeba koniecznie włączyć szyfrowanie. Użytkownik
domowy ma w praktyce do wyboru dwa standardy
WEP - Wired Equivalent Privacy i WPA - Wi-Fi Protected
Access (w nowszej wersji WPA2). Stary WEP bardzo
łatwo złamać. Nie jest polecany, ale jeżeli nie ma
innej możliwości lepiej użyć słabego zabezpieczenia
niż pozostawić sieć bez żadnej ochrony.
Jeżeli możesz skorzystaj z WPA2. Sprawdź również
aktualizacje. Dla starszych urządzeń dostępne są
często poprawki dodające obsługę WPA.
9. Włącz szyfrowanie
transmisji
•
Mechanizm WEP jest
obsługiwany przez każde
urządzenie standardu
802.11.
•
Jest łatwy w konfiguracji.
•
Nowe urządzenia będą
wybierały taki poziom
zabezpieczeń, który umożliwi
ich współprace ze starszym
sprzętem.
•
Wiele osób nadal twierdzi, ze
WEP stanowi wystarczające
zabezpieczenie.
Szyfrowanie WEB
• WEP był jednym z
pierwszych mechanizmów
stosowanych do kontroli
dostępu oraz szyfrowania
transmitowanych danych
• wykorzystuje szyfr
strumieniowy RC4
poprzedzony 24-bitowym
wektorem inicjującym
• klucz jest wspólny dla
wszystkich uczestników
ruchu
• Istnieje wiele darmowych
programów do
deszyfrowania protokołu
WEB
• sekwencje pakietów
prowadząca do złamania
klucza
Po złamaniu mechanizmu szyfrowania WEP w sierpniu 2001 roku,
stowarzyszenie Wi-Fi Alliance zmuszone zostało do szybkiego
stworzenia innego protokołu szyfrującego pozwalającego na lepsze
zabezpieczenie sieci bezprzewodowych. WPA jest następcą mniej
bezpiecznego standardu WEP.
•
Została wydłużona długość kluczy szyfrowania w stosunku do WEP z
40 do 128bitów
•
Zwiększono długość wektora IV z 24 do 48 bitów
•
Standard WPA także korzysta z algorytmu RC4, jednak klucze
szyfrowania w standardzie WPA zmieniane są regularnie i w sposób
automatyczny.
•
Klucze zmieniane są bardzo często
•
Zastosowano technologie MIC (Michael)- zliczanie przesyłanych
danych.
WPA
•
wykorzystuje 128-bitowe klucze kryptograficzne
•
ma poprawione wszystkie znalezione luki w
zabezpieczeniach WEP
•
wykorzystuje dynamiczne klucze (na poziomie
użytkownika, sesji, pakietów)
•
automatycznie dystrybuuje klucze
•
posiada podniesiony poziom bezpieczeństwa
autoryzacji użytkownika
WPA2
Szyfrowanie sieci Wi- Fi
Rys. 3 Mechanizmy szyfrowania wykorzystywane w poznańskich sieciach WiFi
Fale radiowe emitowane przez ruter oraz
zasięg jego anten są ograniczone. W
zależności jednak od miejsca, w którym
umieszczone jest urządzenie poziom sygnału
może być wystarczający, by dostęp do sieci
miały osoby z zewnątrz, bądź zbyt słaby, by
ktokolwiek w ogóle zauważył działającą sieć.
Niektóre rutery pozwalają regulować siłę
sygnału za pomocą funkcji interfejsu.
10. Uważaj, gdzie ustawiasz
ruter
Po skonfigurowaniu sieci trzeba wykonać
testy bezpieczeństwa. Operację tę warto
przeprowadzać regularnie. Można się w tym
celu posłużyć narzędziami dostępnymi
online. Przykładowy zestaw testów
bezpieczeństwa znajdziesz na stronach
www.auditmypc.com,
www.securitymetrics.com, czy
www.hackerwatch.org
.
Przydają się także skanery do instalacji na
laptopach i urządzeniach przenośnych. Do
wyszukiwania sieci można użyć na przykład
programów inSIDDer (następca
NetStumblera), Kismet, Airsnort czy Aircrack.
Test zabezpieczeń
Wyłącz automatyczne logowanie do sieci na
komputerach
Karty sieciowe w komputerach mogą zostać
skonfigurowane w taki sposób, by
automatyczne łączyć się z
niezabezpieczonymi lub zdefiniowanymi
wcześniej punktami dostępowymi.
Komputer może automatycznie przez
przypadek zalogować się do fałszywych sieci,
podszywających się pod prawdziwe.
Zwłaszcza, jeżeli zaufana posługuje się
domyślną bądź popularną nazwą.
Logowanie do sieci
Aby wyłączyć automatyczne logowanie w
Windows 7, kliknij prawym przyciskiem myszy
na ikonę połączenia i na Centrum Sieci i
udostępniania. Wybierz łącze Zarządzaj
sieciami bezprzewodowymi. Zaznacz kolejno
każde połączenie i otwórz okno jego
właściwości.
Usuń zaznaczenie z opcji Połącz
automatycznie, gdy sieć jest w zasięgu
widocznej na karcie Połączenie. Kliknij OK.
Logowanie do sieci
Firmware ruterów to takie samo
oprogramowanie jak każde inne. Może
ono zawierać błędy ułatwiające
włamanie, czy powodujące awarie. Nie
należy zapominać o jego regularnej
aktualizacji. Jeżeli pojawi się nowa
wersja firmware warto ją zainstalować.
Wraz z aktualizacjami pojawiają się
czasami nowe funkcje.
Nie zapominaj o aktualizacjach
Sieci oparte na podczerwieni nie zdobyły popularności z 2
ważnych powodów: po pierwsze maja bardzo mały zasięg,
dochodzą maksymalnie do kilku metrów a po drugie, nadajnik i
odbiornik musza się nawzajem widzieć. Z tego typu sieci możemy
skorzystać na przyk.ad do połączenia ze sobą dwóch laptopów lub
komputera z telefonem komórkowym.
Pomimo, ze w sieciach standardu IrDA nie zastosowano żadnego
mechanizmu zabezpieczającego przesyłane dane to istnieje jeden
sposób na jej zabezpieczenie: wystarczy być przy niej i nie
odchodzić daleko w czasie jej działania.
Inne rodzaje sieci
bezprzewodowych
Podczerwień
(IrDA)
Najczęściej sieci bluetooth wykorzystywane są tak jak
IrDA w telefonach komórkowych, ale istnieje także
możliwość połączenia w ten sposób komputerów..
Pojawiło się dużo doniesień o udanych atakach na
bluetooth ale większość związana jest bardziej z
telefonami komórkowymi niż z komputerami.
Aby zabezpieczyć się przed próba połączenia do naszej
sieci bluetooth, powinniśmy mieć je wszystkie na oku i
nie dopuszczać w pobliże nieznajomych osób.
Bluetooth
1.Zmien nazwę i hasło - zaraz po uruchomieniu routera
zmodyfikuj przynajmniej hasło użytkownika "admin", który zwykle
ma nieograniczony dostęp do sprzętu.
2. Włącz zabezpieczenia - nie przesyłaj siecią żadnych ważnych
danych, zanim nie uruchomisz przynajmniej szyfrowania WEP; a
najlepiej WPA-PSK lub WPA2.
3. Uruchom firewall w stacjach roboczych - niezależnie od
włączenia firewall’a w routerze powinieneś zabezpieczyć również
desktopy. Nawet jeśli ktoś dostanie się do twojej sieci, będzie miał
olbrzymie trudności z wniknięciem na pulpity maszyn.
4. Filtruj adresy MAC - niech z routerem mogą się połączyć
jedynie te urządzenia, które należą do ciebie.
5. Oddziel siec bez- i przewodowa - jeżeli komputery
podłączone kablem dostają adresy IP z zakresu 192.168.2.1-100,
zmodyfikuj tak opcje routera, aby Wi-Fi działało w zakresie
192.168.3.1-100 lub innym.
Dekalog dobrego administratora
sieci
6. Nie zarządzaj przez WLAN – nawet, jeśli włączyłeś dostęp
do panelu administracyjnego routera przez SSL (czyli w
przeglądarce wpisujesz adres https://...), wyłącz możliwość
zmieniania opcji przez Wi-Fi albo od strony Internetu.
Zabezpieczysz się w ten sposób nie tylko przed intruzami, lecz
także przed nagłym odcięciem sobie dostępu do sieci.
7. Rezygnuj z domyślnych kanałów - tuz po uruchomieniu
routera zmień domyślny kanał transmisji na inny.
8. Właściwie ustaw punkt dostępowy/router - jeśli sprzęt
będzie stał na środku mieszkania, zmniejszysz "przeciekanie"
sygnału przez ściany.
9. Obniż moc urządzeń - jeśli to możliwe, postaraj się
zmniejszyć moc nadawania w routerze i karcie sieciowej. Transfer
spadnie minimalnie, natomiast zabezpieczysz się przed
wardriverami buszującymi pod twoim blokiem.
10. Teraz najważniejsze: sprawdź się. Spróbuj się włamać do
własnego WLAN z pracy albo z klatki schodowej. Skorzystaj tez ze
skanera portów w witrynie Sygate.
Słownik
SSID (Service Set Identifier) – identyfikator sieci bezprzewodowej
(nie to samo co ESSID
ESSID to nazwa identyfikująca siec zgodna ze standardem
802.11.
WEP (Wired Equivalent Privacy) – domyślny protokół szyfrowania
dla sieci 802.11
WPA (Wireless Protected Access) – implementacja wczesnej
wersji standardu 802.11i bazująca na algorytmie szyfrującym
TKIP.
IV (Initialization Vector) – wektor inicjalizacyjny (WI), czyli ciąg
łączony z kluczem szyfrującym w celu wygenerowania
niepowtarzalnego strumienia klucza
AP (Access Point) – punkt dostępowy, stacja bazowa sieci WiFi
łącząca klientów sieci ze sobą nawzajem i innymi sieciami
DHCP (ang. Dynamic Host Configuration Protocol) to protokół
komunikacyjny, który umożliwia komputerom uzyskanie od
serwera danych konfiguracyjnych, np. adresu IP komputera,
adresu IP bramy sieciowej, adresu serwera DNS oraz maski sieci
Dziękujemy za uwagę!
Koniec