Zostan administratorem sieci komputerowej cz 8(1)


SIECI K0MPUTER0WE
Zostań administratorem
sieci komputerowej
Część ósma (8/9): Bezpieczeństwo sieci bezprzewodowych
W poprzedniej części cyklu przedstawione zostały podstawowe
informacje niezbędne do budowy sieci bezprzewodowych
standardu IEEE 802.11. W trakcie lektury zapoznałeś się również
z przykładowymi konfiguracjami wykorzystującymi różne
tryby pracy punktu dostępowego APPro 2405. W artykule
przedstawione zostały jedynie podstawowe zagadnienia
związane z bezpieczeństwem sieci bezprzewodowych; jest to
jednak na tyle ważny temat, iż poświęcony jest mu cały niniejszy
artykuł. Zapraszam do lektury!
e wstępie do siódmej części kursu przed- dowych sytuacja ulega komplikacji  podjęcie próby
stawione zostały liczne zalety bezprzewo- połączenia możliwe jest w obrębie całego jej zasięgu.
Wdowych sieci komputerowych standardu Wskutek użycia odpowiedniego sprzętu przez włamy-
IEEE 802.11  łatwość konfiguracji i podłączania no- wacza (interfejsu sieciowego i anteny, a czasami rów-
wych klientów, ograniczenie ilości uciążliwej pracy nież wzmacniacza) obszar ten może zostać znacz-
przy montażu okablowania oraz swoboda, jaką uzy- nie zwiększony. Widać więc, iż granice naszej sieci są
skują użytkownicy. Są to cechy, które sprawiły, iż bez- bardziej rozmyte niż mogłoby się nam wydawać.
przewodowe sieci komputerowe pojawiają się w coraz Opisane powyżej zagrożenia nie wyczerpują proble-
większych ilościach nie tylko w domach, lecz również mów z bezpieczeństwem sieci bezprzewodowych. Nie
w firmach i urzędach. zniechęcaj się jednak  większość z nich można wyeli-
Należy mieć jednak świadomość, iż nieprawidło- minować lub znacząco ograniczyć poprzez poprawną
wa konfiguracja urządzeń bezprzewodowych mo- konfigurację sieci oraz stosowanie odpowiednich prak-
że przyczynić się do narażenia całej sieci kompute- tyk, z których kilka zostanie omówionych w tym artyku-
rowej (w tym części przewodowej). Zwróć uwagę, że le. Rozpoczniemy od krótkiej charakterystyki sieci bez-
każda z zalet sieci bezprzewodowej jest również bar- przewodowych pod względem bezpieczeństwa w po-
dzo atrakcyjna z punktu widzenia włamywacza. Nawet równaniu do przewodowych sieci Ethernet. Następnie
w przypadku, gdy nasza sieć nie jest wykorzystywa- przedstawione zostaną podstawowe zasady popraw-
na do przesyłania szczególnie poufnych danych, po- nej konfiguracji sieci bezprzewodowych, zapewniają-
winniśmy koniecznie zastosować chociaż podstawowe ce poufność przesyłanych danych oraz bezpieczeń-
techniki zwiększania bezpieczeństwa, takie jak szyfro- stwo jej klientów. Poznasz również dystrybucję Back-
wanie danych przy użyciu odpowiedniego standardu. Track Linux, przygotowaną specjalnie do analizy bez-
W przypadku sieci przewodowych, w celu uzyska- pieczeństwa sieci. W dalszej części omówione zostaną
nia dostępu do jej zasobów na takich samych upraw- również najczęściej stosowane metody zabezpieczania
nieniach, jak pozostałe komputery, włamywacz musiał sieci bezprzewodowych, wraz z analizą ich rzeczywistej
mieć fizyczny dostęp do gniazda sieciowego. W więk- skuteczności. Na koniec zajmiemy się wykorzystaniem
szości przypadków wiązałoby się to z koniecznością znanego już Czytelnikowi programu OpenVPN w celu
dostępu do pomieszczeń przeznaczonych wyłącznie zabezpieczania szczególnie poufnych danych przesy-
dla uprawnionego personelu. W sieciach bezprzewo- łanych przy pomocy sieci bezprzewodowych.
50
6/2010
Sieci komputerowe: część ósma
Sieci bezprzewodowe Wi-Fi  charakterystyka Sieci bezprzewodowe standardu IEEE 802.11 dzia-
pod względem bezpieczeństwa łają w nielicencjonowanym paśmie ISM 2.4/5 GHz.
Zastosowanie dowolnej technologii sieciowej lub opro- Z jednej strony pozwala to na tworzenie nowych sie-
gramowania serwerowego powinno być poprzedzone ci bez potrzeby uzyskania zgody odpowiednich urzę-
staranną analizą potencjalnych problemów z bezpie- dów, z drugiej  znacznie ogranicza niezawodność
czeństwem. Podobnie jest w przypadku sieci bezprze- łączności. Jedynym ograniczeniem, jakie narzucone
wodowych  trudno mówić o świadomym zastosowa- jest urządzeniom działającym w tym paśmie jest mak-
niu porad zawartych w tym artykule bez zrozumienia symalna moc, wynosząca 100 mW EIRP (Equivalent
zagadnień przedstawionych w tym paragrafie. Isotropic Radiated Power  równoważną mocy wy-
Należy pamiętać, iż rozwiązania przedstawione w tym emitowanej przez idealną antenę dookólną). Ogra-
artykule dotyczą jedynie problemów powstających przy niczenie to ma służyć poprawieniu jakości transmisji
zastosowaniu sieci bezprzewodowych. Zagadnienia oraz zwiększeniu maksymalnej liczby urządzeń ko-
związane z bezpieczeństwem kablowych sieci Ethernet rzystających z łączności bezprzewodowej na danym
omówione zostały w poprzednich częściach kursu. obszarze.
0kreślanie zasięgu sieci bezprzewodowej Sieć bezprzewodowa a lokalna sieć Ethernet
Jednym z czynników o największym znaczeniu dla Sieci bezprzewodowe standardu IEEE 802.11 bar-
bezpieczeństwa sieci bezprzewodowej jest jej za- dzo często stosowane są jako rozszerzenie przewo-
sięg. Wydaje się to oczywiste, ponieważ brak możli- dowych sieci Ethernet. Poprzez odpowiednią konfi-
wości nawiązania połączenia lub przechwytywania ra- gurację punktów dostępowych (opisaną w poprzed-
mek z określonego miejsca uniemożliwia potencjalne- niej części kursu) umożliwia się bezpośredni dostęp
mu włamywaczowi działanie. klientów bezprzewodowych do zasobów sieci prze-
W poprzedniej części kursu przedstawione zosta- wodowej. W większości przypadków jest to jednak
ły urządzenia wykorzystywane do budowy sieci bez- niepożądane i naraża całą sieć na nieuprawniony do-
przewodowych: punkty dostępowe, interfejsy siecio- stęp.
we oraz anteny. Okazuje się, iż obszar, w którym moż- Rozwiązaniem tego problemu jest zastosowanie fi-
liwe jest nawiązanie połączenia z siecią bezprzewo- rewalla oddzielającego klientów sieci bezprzewodowej
dową może być różny w zależności od sprzętu uży- od pozostałych segmentów i filtrowanie ruchu siecio-
wanego przez klienta. Użycie dobrej jakości interfej- wego. Urządzenia bezprzewodowe powinny znajdo-
sów wraz z odpowiednią anteną umożliwia nawiąza- wać się w obrębie jednej podsieci  znacząco zwięk-
nie łączności na znacznie większym obszarze. Właści- sza to bezpieczeństwo i ułatwia konfigurację route-
wość pozwalająca na polepszenie łączności poprzez rów. Zwróć uwagę, iż sieć bezprzewodowa jest w ta-
poprawienie warunków pracy jednej z anten, nazywa- kiej sytuacji traktowana jako sieć niezaufana (publicz-
na jest wzajemnością. na), a pochodzące z niej pakiety traktowane są na po-
Paradoksalnie, sieć bezprzewodowa powinna cha- dobnych zasadach, jak w przypadku internetu i innych
rakteryzować się jak najmniejszym zasięgiem, o ile sieci rozległych.
pozwala on na podłączenie wszystkich klientów. Jak
jednak w praktyce mierzyć poziom sygnału w róż- Podstawowe zasady budowy bezpiecznych
nych miejscach oraz w jaki sposób należy rozmiesz- sieci bezprzewodowych
czać punkty dostępowe? Problem ten zostanie szerzej Po zidentyfikowaniu zagrożeń dla sieci bezprzewodo-
omówiony w dalszej części artykułu. wych Wi-Fi, przedstawione zostaną podstawowe za-
sady ich bezpiecznej budowy. Dotyczyć one będą za-
Ataki DoS na sieci bezprzewodowe równo zagadnień związanych z doborem sprzętu, jak
Specyfika medium transmisyjnego, jakim są fale bez- i wykorzystania rozwiązań programowych oraz stan-
przewodowe, zwiększa również podatność naszej sie- dardów szyfrowania. Szczególna uwaga zostanie po-
ci na ataki typu DoS (Denial of Service  odmowa święcona bezpiecznemu podłączaniu sieci bezprze-
usługi) na poziomie warstwy fizycznej. W zależności wodowych do kablowej sieci lokalnej.
od stopnia wykorzystania pasma na danym obszarze,
możliwe są również awarie transmisji nie spowodowa- Zasięg sieci powinien być ograniczony do
ne świadomym działaniem osób trzecich. Uruchomie- wymaganego obszaru
nie urządzenia na tym samym kanale (więcej informa- Zastosowanie odpowiednich anten oraz przemyślane
cji na temat kanałów transmisyjnych w sieciach IEEE rozmieszczenie punktów dostępowych, wykorzystują-
802.11 zawartych zostało w poprzedniej części cyklu) ce przeszkody, pozwoli na uzyskanie pożądanego po-
może zakłócić transmisję w dokładnie taki sam spo- krycia obszaru sygnałem, zmniejszając jednocześnie
sób, jak celowe działanie włamywacza. ryzyko wykrycia przez osoby niepowołane.
51
6/2010 www.lpmagazine.org
SIECI K0MPUTER0WE
W przypadku pomieszczeń zamkniętych, punkty do- tów dostępowych jest bardzo ryzykowne. W przypad-
stępowe należy umieszczać zawsze w centrum po- ku uzyskania nieuprawnionego dostępu do sieci bez-
mieszczeń  pozwala to na pokrycie znacznej części przewodowej, włamywacz uzyskuje bowiem pełen do-
pomieszczeń zasięgiem, nawet w przypadku zastoso- stęp do zasobów sieci.
wania anten dookólnych o niewielkim zysku. Trudniej Odpowiednim rozwiązaniem jest w takiej sytuacji za-
podać podobne porady dla połączeń punkt-punkt oraz stosowanie routera z firewallem filtrującym ruch sie-
punkt-wielopunkt na dużych odległościach. Zawsze ciowy. Informacje na temat budowy takiego rozwiąza-
warto jednak umieszczać anteny kierunkowe w poło- nia znajdziesz w poprzednich częściach cyklu: trzeciej
żeniu utrudniającym osobom niepowołanym uzyskanie (podstawy routingu), czwartej (wykorzystanie kompu-
wysokiego poziomu sygnału. tera z systemem Linux jako routera), piątej (podsta-
Po każdej zmianie położenia anten lub punktów do- wy zabezpieczania sieci komputerowych) oraz szóstej
stępowych, należy sprawdzić poziom sygnału na da- (konfiguracja firewalla przy zastosowaniu iptables).
nym obszarze. Opisywany w dalszej części artykułu
program Kismet (dostępny w dystrybucji BackTrack) Sieć bezprzewodowa  sieć zawodna
doskonale sprawdzi się w tym celu. W trakcie budowy i rozbudowy sieci bezprzewodo-
wych, szczególną uwagę powinniśmy poświęcić funk-
Zawsze stosuj odpowiednie algorytmy szyfrujące cjom komputerów do niej podłączonych. Awaria bez-
Dane przesyłane przy użyciu sieci bezprzewodowej przewodowej części sieci nie powinna bowiem unie-
mogą zostać przechwycone przez każdą osobę znaj- możliwiać dostępu do ważnych zasobów sieciowych.
dującą się w jej zasięgu. Od zastosowanych algoryt- W przypadku standardowych klientów, nieudostępnia-
mów szyfrujących zależy, w jakim stopniu przechwyco- jących żadnych usług krytycznych dla działania sieci,
ne informacje będą użyteczne dla potencjalnego wła- umieszczenie ich w bezprzewodowym segmencie sie-
mywacza. ci jest zazwyczaj dobrym rozwiązaniem. Problem po-
W sieciach bezprzewodowych standardu IEEE jawić się może w przypadku serwerów znajdujących
802.11 zastosowane mogą zostać trzy standardy szy- się w jej obrębie  w takim przypadku należy zastano-
frujące: WEP (Wired Equivalent Privacy), WPA (Wire- wić się, czy nie istnieje możliwość podłączenia serwe-
less Protected Access) oraz WPA2. Każdy z nich po- ra przy użyciu mniej wygodnego, ale bardziej nieza-
siada wiele wersji, często specyficznych dla danego wodnego połączenia przewodowego.
producenta sprzętu, co może niekiedy powodować Alternatywnym rozwiązaniem jest zastosowanie łącz
problemy z kompatybilnością (jest to szczególnie czę- redundantnych, zapewniających awaryjne kanały łącz-
ste w przypadku standardu WEP). ności. Ich rolę mogą pełnić zarówno standardowe po-
łączenia kablowe Ethernet, jak i bardziej nietypowe
WEP jest martwy! rozwiązania. W celu wykorzystania redundancji w sie-
Różne systemy szyfrowania przesyłanych danych ci, konieczny jest zakup odpowiedniego sprzętu oraz
charakteryzują się odmiennym poziomem bezpieczeń- zmiana konfiguracji routerów.
stwa. Jest to fakt powszechnie znany, często jednak
nie uświadamiamy sobie, iż niektóre z zabezpieczeń Stosuj wielopoziomowe systemy zabezpieczeń
mogą jedynie sprowokować potencjalnego włamywa- W poprzednich częściach cyklu zostało wielokrotnie
cza. Doskonałym przykładem takiej sytuacji jest sys- napisane, iż kluczem do bezpieczeństwa sieci jest nie
tem WEP, który został złamany wiele lat temu, nieste- tylko jakość, lecz również ilość poziomów zabezpie-
ty jest on jednak ciągle spotykany. czeń. Stwierdzenie to pozostaje prawdziwe dla sieci
Zapamiętaj  stosowanie standardu WEP, niezależ- bezprzewodowych standardu IEEE 802.11.
nie od długości klucza i charakterystycznych dla pro- Zastanówmy się, jak powinna wyglądać dobrze za-
ducenta sprzętu rozszerzeń, nie uchroni Twojej sie- bezpieczona sieć bezprzewodowa. Na najniższym po-
ci przed włamywaczami. Jak przekonamy się w jed- ziomie stosowane jest szyfrowanie przesyłanych da-
nym z następnych paragrafów, złamanie tego zabez- nych przy użyciu standardu WPA/WPA2  stanowi ono
pieczenia nie wymaga żadnej wiedzy technicznej, ani pierwszą linię obrony, uniemożliwiającą osobom nie-
specjalnego sprzętu. Dodatkowo ryzykujemy, że nie- uprawnionym połączenie z siecią oraz zmniejszają-
doświadczeni script kiddies potraktują naszą sieć jako cą zagrożenia, wynikające z podsłuchiwania transmi-
plac zabaw do testowania narzędzi służących do ła- sji. Dodatkowe zabezpieczenie stanowi wykorzystanie
mania szyfrowania WEP. oprogramowania OpenVPN w celu tunelowania da-
nych przesyłanych pomiędzy komputerami. Uwierzy-
Sieć bezprzewodowa  sieć niezaufana telnianie odbywa się przy użyciu certyfikatów podpisa-
Umożliwienie bezpośredniego dostępu do wnętrza nych przez lokalną jednostkę certyfikującą CA (Certi-
sieci kablowej klientom łączącym się przy użyciu punk- fication Authority). Zastosowanie aż tak mocnych za-
52
6/2010
Sieci komputerowe: część ósma
bezpieczeń może być dyskusyjne, doskonale spraw- częli wprowadzać rozwiązania, mające przedłużyć
dzi się jednak w przypadku sieci służących do przesy- czas jego życia. Niestety, działania te przyniosły nie-
łania szczególnie wrażliwych danych. wielki skutek, dodatkowo powodując problemy z kom-
patybilnością pomiędzy urządzeniami różnych produ-
Szyfrowanie w sieciach bezprzewodowych centów.
Znajomość klucza potrzebna jest nie tylko do szyfro- W internecie znalezć można wiele instrukcji opisu-
wania przesyłanych danych  już na etapie nawiązy- jących krok po kroku, w jaki sposób złamać zabezpie-
wania połączenia (tzw. asocjacja) konieczne jest jego czenia sieci wykorzystującej szyfrowanie WEP. W ar-
wprowadzenie. W zależności od stosowanego stan- tykule tym, ze względu na przekonanie autora, iż nie
dardu szyfrowania, zarówno nawiązywanie połącze- nie należy prezentować gotowych rozwiązań pozwala-
nia, jak i szyfrowanie i odszyfrowywanie przesyłanych jących na penetrację sieci, temat ten nie będzie oma-
danych mogą odbywać się w różny sposób. wiany.
W paragrafie tym zajmiemy się krótkim omówieniem
standardów szyfrowania wykorzystywanych w sie- WPA i WPA2  pełne bezpieczeństwo?
ciach Wi-Fi: WEP, WPA oraz WPA2. Problemy z bezpieczeństwem standardu WEP spo-
wodowały, iż konieczne stało się opracowanie nowe-
WEP  (nie)bezpieczne szyfrowanie? go standardu szyfrowania. Ze względu na dużą ilość
W poprzednim paragrafie napisane zostało, iż wyko- sprzętu obsługującego WEP obecnego na rynku, jed-
rzystanie w sieci standardu szyfrowania WEP nie przy- nym z podstawowych założeń twórców WPA była moż-
czyni się do zwiększenia bezpieczeństwa jej użytkow- liwość dodania obsługi tego standardu poprzez aktu-
ników. Nazwa WEP  Wired Equivalent Privacy  lepiej alizacje oprogramowania punktów dostępowych oraz
opisuje intencję twórców, niż faktyczny poziom bezpie- interfejsów sieciowych.
czeństwa. WPA częściowo rozwiązuje problemy z bezpieczeń-
Standardowo WEP obsługuje klucze o długości wy- stwem standardu WEP poprzez cykliczną zmianę klu-
noszącej 40 i 104 bity. Do klucza dołączany jest 24-bi- czy  umożliwia to zwiększenie bezpieczeństwa bez
towy wektor inicjalizujący (IV  Initialization Vector). zmiany istniejących mechanizmów kryptograficznych.
Bardzo często spotkać można niepoprawne twierdze- Pomimo znacznie większego poziomu bezpieczeń-
nia, jakoby WEP używał 64-bitowych i 128-bitowych stwa, szyfrowanie WPA może być podatne na ataki
kluczy. słownikowe oraz kryptoanalizę.
Po wykryciu licznych problemów z bezpieczeństwem WPA2 jest najdoskonalszym dostępnym standardem
standardu WEP, producenci sprzętu sieciowego za- szyfrowania dla bezprzewodowych sieci Wi-Fi. Używa
Rysunek 1. Dystrybucja BackTrack Linux 4 w akcji
53
6/2010 www.lpmagazine.org
SIECI K0MPUTER0WE
szyfrowania opartego o algorytm CCMP/AES, uzna- oraz diagnozowania problemów i pomiaru wydajności
wany za w pełni bezpieczny. Jego zastosowanie z od- jej pracy. Najnowsza wersja BackTrack Linux dostęp-
powiednio mocnym kluczem gwarantuje pełne bezpie- na jest na stronie internetowej http://www.backtrack-li-
czeństwo sieci bezprzewodowej. nux.org/ (w chwili pisania artykułu jest to wersja Back-
Zarówno WPA, jak i WPA2 obsługuje przydziela- Track 4 Final, wydana 11.01.2010).
nie kluczy wielu użytkownikom przy użyciu serwerów BackTrack uruchamiany jest z płyty bootowalnej,
RADIUS (Remote Authentication Dial In User Servi- może być jednak zainstalowany na twardym dysku
ce). Dostępnych jest wiele implementacji, przezna- lub pamięci USB. Większość popularnych interfejsów
czonych zarówno dla systemów Linux, jak i Micro- bezprzewodowych obsługiwana jest bez potrzeby in-
soft Windows, pozwalających na budowanie tego ty- stalacji dodatkowych sterowników lub przeprowadza-
pu rozwiązań. nia czasochłonnej konfiguracji.
BackTrack  charakterystyka dystrybucji Badanie zasięgu sieci przy pomocy
Analiza bezpieczeństwa sieci, zarówno przewodo- programu Kismet
wych, jak i bezprzewodowych, wymaga zastosowa- Badanie zasięgu sieci oraz poziomu sygnału jest jedną
nia specjalistycznych narzędzi. W przypadku sieci z podstawowych czynności, które należy przeprowa-
standardu IEEE 802.11 zadanie jest dodatkowo utrud- dzić po każdej zmianie punktu dostępowego lub jego
nione, ponieważ przeprowadzenie dużej części za- położenia. Odpowiednie oprogramowanie pozwala na
dań wymaga instalacji zmodyfikowanych sterowników, znaczne uproszczenie tego procesu. Przykładem do-
umożliwiających wykorzystanie karty w trybie monito- skonałego narzędzia, które można wykorzystać w tym
ra. Interfejs działający w tym trybie umożliwia prze- celu jest Kismet (http://www.kismetwireless.net/), do-
chwytywanie pakietów należących do wszystkich sie- stępny w dystrybucji BackTrack.
ci działających na danym obszarze. Instalacja sterow- Kismet wymaga do działania urządzenia działające-
ników oraz odpowiedniego oprogramowania może być go w trybie monitora. Większość popularnych interfej-
jednak dość czasochłonna. sów bezprzewodowych, w tym zintegrowanych, może
Dystrybucja BackTrack (Rysunek 1) wychodzi na działać w tym trybie bez potrzeby instalacji dodatko-
przeciw potrzebom osób odpowiedzialnych za bez- wych sterowników w dystrybucji BackTrack. Przełą-
pieczeństwo sieci. Zawiera ona wszystkie narzędzia czenie karty w tryb monitora odbywa się przy pomocy
i sterowniki niezbędne do kompleksowej analizy bez- polecenia airmon-ng start interfejs. Dostępne inter-
pieczeństwa, przeprowadzania testów penetracyjnych fejsy bezprzewodowe możemy wyświetlić przy użyciu
Rysunek 2. Sieci wykryte przy użyciu programu Kismet
54
6/2010
Sieci komputerowe: część ósma
programu iwconfig. Po zakończeniu działania progra- Skuteczność metody filtrowania adresów jest jednak
mu airmon-ng w systemie powinien znajdować się do- niewielka  zmiana adresu MAC interfejsu nie spra-
datkowy interfejs mon0. wia większego problemu zarówno w systemie Linux,
Po przełączeniu karty w tryb monitora, możesz już jak i w systemach z rodziny Microsoft Windows. Rów-
uruchomić program Kismet. Jego konfiguracja sprowa- nież zdobycie adresów MAC klientów przyłączonych
dza się do odpowiedzi na kilka pytań w trybie interak- do sieci bezprzewodowej nie jest trudna  użycie na-
cyjnym, m. in. podać należy nazwę interfejsu monitora. rzędzia airodump-ng umożliwia zdobycie wielu adre-
Gdy proces konfiguracji zostanie zakończony, otwórz sów w bardzo krótkim czasie.
drugie okno emulatora terminala i ponownie uruchom
program Kismet. Na ekranie powinna pojawić się lista Ukrywanie identyfikatora SSID
sieci, wraz z podstawowymi informacjami na ich temat W poprzedniej części cyklu omówione zostały identy-
(Rysunek 2). Wybranie nazwy sieci powoduje wyświe- fikatory ESSID i BSSID, używane do identyfikacji sie-
tlenie dokładniejszych danych: poziomu sygnału i szu- ci bezprzewodowych. Są one rozgłaszane przez bez-
mu, liczby odebranych pakietów itd. przewodowe punkty dostępowe, co pozwala na two-
Więcej informacji na temat zastosowania programu rzenie list sieci działających na danym obszarze wraz
Kismet znajdziesz w dokumentacji. z ich parametrami, a następnie jej prezentację użyt-
kownikowi komputera-klienta. Istnieje możliwość wyłą-
Inne sposoby zabezpieczania sieci czenia rozgłaszania tych identyfikatorów, przez co sieć
bezprzewodowych stanie się trudniejsza do wykrycia przez potencjalnych
Wykorzystanie standardów szyfrowania jest podsta- włamywaczy oraz ciekawskich.
wową metodą zabezpieczania sieci bezprzewodo- W przypadku punktu dostępowego APPro 2405, wy-
wych. Większość dostępnych na rynku punktów dostę- łączenie rozgłaszania odbywa się przy użyciu opcji AP
powych, w tym opisywany w poprzedniej części kursu Cloaking ze strony Wireless/Security interfejsu prze-
APPro 2405, udostępnia ponadto dodatkowe funkcje, glądarkowego. Ten sam efekt można uzyskać po-
takie jak filtrowanie adresów MAC, wyłączenie rozgła- przez wyłączenie funkcji Broadcast SSID na stronie
szania identyfikatora SSID oraz blokowanie dostępu Wireless/Advanced Settings.
do sieci bezprzewodowej w określonych godzinach. Ukrycie identyfikatora SSID nie zabezpieczy Two-
Zajmiemy się teraz analizą przydatności i skuteczno- jej sieci przed włamywaczami  podobnie jak w przy-
ści tych funkcji. padku filtrowania adresów MAC. Poprzez zastosowa-
nie np. programu airodump-ng lub Kismet, możemy
Filtrowanie adresów MAC zdobyć pełną listę sieci działających na danym obsza-
Interfejsy bezprzewodowe, podobnie jak standardowe rze. Wykorzystanie tej funkcji może również powodo-
interfejsy Ethernet, posiadają 48-bitowe adresy MAC, wać niedogodność dla użytkowników, tak więc powin-
służące do identyfikacji hostów na poziomie warstwy na być używana z ostrożnością.
łącza danych modelu ISO/OSI. Mogą być one rów-
nież wykorzystane do identyfikacji hostów uprawnio- Blokowanie dostępu do sieci bezprzewodowej
nych do połączenia z siecią. Połączenia nawiązywane w określonych godzinach
przy użyciu interfejsów o adresach MAC nie znajdują- W przypadku większości sieci bezprzewodowych,
cych się na odpowiedniej liście są w przypadku wyko- szczególnie tych działających w przedsiębiorstwach
rzystania takiego rozwiązania odrzucane. oraz innych instytucjach, z łatwością można wskazać
Dla urządzenia APPro 2405 uaktywnienie funkcji godziny, w których żaden z uprawnionych użytkowni-
kontroli adresów MAC odbywa się przy użyciu stro- ków nie będzie korzystał z tego typu podłączenia do
ny Wireless/Access Control interfejsu przeglądarko- zasobów sieciowych. Dobrym rozwiązaniem, zarówno
wego. Adresy MAC dodajemy do listy Access Control z punktu widzenia oszczędności energii, jak i bezpie-
List  każdy wpis może zostać włączony lub wyłączo- czeństwa, byłoby wyłączenie punktów dostępowych
ny. Domyślną politykę ustawiamy przy użyciu funkcji lub samych nadajników.
Access Control Mode. W praktyce, najczęściej blokuje Część dostępnych na rynku urządzeń umożliwia
się wszystkich klientów, oprócz znajdujących się na li- ustawienie godzin pracy bezpośrednio z interfejsu
ście (uzyskujemy to poprzez wybranie z listy rozwijal- przeglądarkowego. Opisywany w kursie punkt dostę-
nej Allow). W przypadku, gdy korzystamy już z funk- powy APPro 2405 nie posiada niestety takiej funkcji.
cji menedżera ruchu (Traffic Manager), możemy za- Przy pomocy połączenia poprzez telnet lub SSH mo-
importować istniejącą listę adresów MAC poprzez za- żemy jednak przesłać odpowiedni skrypt do punktu
znaczenie pola Use TFM MACs. Aktywacja filtrowania dostępowego, a następnie dokonać konfiguracji pro-
adresów MAC ma miejsce po zaznaczeniu pola Ac- gramu cron, służącego do okresowego wywoływania
cess Control. programów.
55
6/2010 www.lpmagazine.org
SIECI K0MPUTER0WE
W niektórych przypadkach dobrym rozwiązaniem Podsumowanie
jest zastosowanie standardowego wyłącznika cza- W artykule zostały omówione podstawowe zagadnie-
sowego, wpinanego pomiędzy zasilacz punktu do- nia związane z zabezpieczaniem sieci bezprzewodo-
stępowego, a gniazdo sieciowe. Ogranicza to ilość wych standardu IEEE 802.11 przed podsłuchiwaniem
zużywanej energii elektrycznej oraz zwiększa nieza- i nieuprawnionym dostępem. Mam nadzieję, iż zrozu-
wodność sprzętu (krótsze cykle włączenie-wyłącze- miałeś, jak dużą wagę należy przykładać do bezpie-
nie). czeństwa w tego typu sieciach.
Omówione metody: stosowanie szyfrowania, od-
0penVPN w sieci bezprzewodowej powiednie rozmieszczenie sprzętu, umożliwiające
W części kursu poświęconej budowie firewalli oraz wir- kształtowanie pokrycia obszaru zasięgiem, wykorzy-
tualnych sieci prywatnych VPN, omówiona została in- stanie mechanizmów szyfrowania i uwierzytelniania
stalacja, konfiguracja oraz wykorzystanie programu na poziomie warstwy aplikacji, umożliwiają uzyska-
OpenVPN. Napisane zostało wtedy, iż do programu nie najwyższego stopnia bezpieczeństwa w sytuacji,
tego wrócimy przy okazji omawiania zagadnień zwią- gdy wykorzystywane są jednocześnie. Spadek wydaj-
zanych z zabezpieczaniem sieci bezprzewodowych. ności transmisji oraz drobne niedogodności wynika-
OpenVPN doskonale nadaje się bowiem jako dodat- jące z konieczności instalacji oprogramowania Ope-
kowa warstwa zabezpieczeń w transmisji bezprzewo- nVPN na komputerach klienckich, jest z pewnością
dowej, zarówno typu punkt-punkt, jak i pomiędzy wie- usprawiedliwiony przez znaczne zwiększenie bezpie-
loma klientami. czeństwa.
W przypadku połączeń punkt-punkt o niewielkiej Podobnie jak w przypadku każdego artykułu z tej se-
dynamice, dobrym rozwiązaniem jest zastosowanie rii, należy stwierdzić, iż zdobyte wiadomości zainte-
kluczy statycznych o odpowiedniej długości. Jeże- resowany Czytelnik może poszerzyć poprzez zapo-
li jednak wirtualna sieć prywatna ma służyć wymia- znanie się z informacjami znajdującymi się na stro-
nie danych pomiędzy wieloma komputerami, to w ce- nach wymienionych w ramce W Sieci oraz innych stro-
lu uwierzytelniania i szyfrowania warto zastosować nach internetowych. Szczególnie dużą uwagę pole-
infrastrukturę klucza publicznego PKI. Obie te kon- cam zwrócić na zagadnienia związane z bezpieczeń-
figuracje zostały dokładnie omówione w szóstej czę- stwem fizycznym oraz niezawodnością sprzętu siecio-
ści kursu. wego. Pomimo iż zagadnienia te nie zostały omówione
W przypadku sieci publicznych, w których istnieje w tym kursie z racji jego ograniczonej objętości, mają
konieczność zapewnienia bezpiecznego kanału trans- one ogromne znaczenie dla każdego projektanta i ad-
misji danych przy jednoczesnym braku szyfrowania ministratora sieci bezprzewodowych.
(WEP/WPA/WPA2) zastosowanie OpenVPN lub in- W następnej, ostatniej części cyklu zajmiemy się
nego oprogramowania do tworzenia wirtualnych sie- rozszerzeniem sieci o funkcje udostępniane przez
ci prywatnych jest niemal koniecznością. Przykładem technologie VoIP. Wykorzystamy w tym celu dostępny
może być sieć akademicka, z którą połączyć się mogą na wolnej licencji program Asterisk. Dowiesz się mię-
wszyscy użytkownicy znajdujący się w jej obrębie (np. dzy innymi, w jaki sposób można udostępnić użytkow-
w celu dostępu do internetu), jednak tylko uprawnieni nikom sieci możliwość taniego wykonywania połączeń
użytkownicy (tzn. posiadający oprogramowanie Ope- międzynarodowych, zarówno przy użyciu standardo-
nVPN oraz odpowiednie certyfikaty) powinni mieć do- wych telefonów analogowych, jak i softphonów (spe-
stęp do usług udostępnianych przez serwery sieci we- cjalnych aplikacji obsługujących protokół SIP) oraz te-
wnętrznej. lefonów VoIP. Do usłyszenia!
RAFAA KUAAGA
Autor interesuje się bezpieczeństwem systemów informatycznych programowaniem elektroniką muzyką rockową architek
-
turą mikroprocesorów oraz zastosowaniem Linuksa w systemach wbudowanych.
Kontakt z autorem: rl.kulaga@gmail.com
W Sieci
" Strona główna dystrybucji BackTrack Linux - http://www.backtrack-linux.org/
" Strona główna programu Kismet - http://www.kismetwireless.net/
" Strona główna pakietu aircrack-ng - http://www.aircrack-ng.org/
" Forum poświęcone tematyce sieci komputerowych w tym bezprzewodowychhttp://www.trzepak.pl/
-
56
6/2010


Wyszukiwarka

Podobne podstrony:
Lokalne I Rozlegle Sieci Komputerowe Administracja I Bezpieczenstwo Sieci
Sieci komputerowe wyklady dr Furtak
4 Sieci komputerowe 04 11 05 2013 [tryb zgodności]
Sieci komputerowe cw 1
Sieci komputerowe
ABC sieci komputerowych
Administrator sieci
Sieci komputerowe I ACL NAT v2
,sieci komputerowe,Zestaw protokołów TCP IP (2)
Administracja usługami sieciowymi cz 1
głowacki,lokalne sieci komputerowe, pytania i odp egzamin
Diagnostyka Sieci Komputerowe

więcej podobnych podstron