ZABEZPIECZENIA SIECIOWE

Podstawowe środki

Podstawowym środkiem obrony komputera podłączonego do sieci jest właczona zapora ogniowa(firewall). Większość routerów dzisiaj sprzedawana jest z domyślnie włączoną zaporą, która uchroni cię przed większością wirusów, robaków i koni trojańskich 
Kolejnym krokiem, mogącym się bardzo oczywisty, jednak wiele osób tego nie robi jest zmiana hasła do routera/AP. Praktycznie wszędzie można znaleźć sieci domowe które dają dostęp do AP/Routerów, po wpisaniu domyślnego hasła.
Domyślna nazwa użytkownika i hasło: `admin' , `admin' są wszystkim znane, więc nic nam nie dają. Podobnie takie rzeczy jak `admin' `1234′ nie zatrzymają żadnego hakera. Im trudniejsze będzie hasło do zgadnięcia tym bezpieczniejsza twoja sieć. 

Działanie sieci

Aby jakakolwiek sieć bezprzewodowa mogła funkcjonować, trzeba spełnić jeden podstawowy warunek: sygnał niosący informacje musi zostać udostępniony we wszystkich, nawet najodleglejszych punktach, w których ma ona działać. Medium spełniającym powyższe założenia są fale radiowe. Niestety, mają one też jedną wadę - sygnał, choć znacznie słabszy, będzie się propagował także poza wyznaczony przez nas obszar. I tu zaczynają się problemy z poufnością danych. 
W tradycyjnych sieciach kablowych intruzowi raczej trudno dostać się do biura czy mieszkania i podłączyć do gniazdka bez zgody jego właściciela. Nawet jeśli włamywaczowi uda się taka sztuka, istnieje zawsze duże prawdopodobieństwo wykrycia "nieautoryzowanego" kabla. W sieciach bezprzewodowych sprawy mają się zgoła inaczej. Wystarczy, że w zasięgu naszego nadajnika, np. na trawniku przed blokiem, znajdzie się obcy komputer z kartą sieciową Wi-Fi, a pracująca na nim osoba będzie już w stanie odczytać wszystkie przesyłane drogą radiową dane. Co gorsza, o tym, że jesteśmy lub byliśmy szpiegowani, nigdy się nawet nie dowiemy, gdyż podsłuch radiowy w żaden sposób nie zakłóca transmisji danych. Nie ma też sposobu na wykrycie nadmiarowego, bezprzewodowego "kabla". 
Kolejną pułapką bezpieczeństwa związaną z bezprzewodowymi sieciami Wi-Fi jest nie tylko podsłuch przesyłanych eterem danych, ale też i możliwość łatwego i bezkarnego wejścia do naszej wewnętrznej sieci. Tak się bowiem składa, że sieci Wi-Fi projektowane były pod kątem ich otwartości. Automatycznie skonfigurowana sieć pozwala na wejście do udostępnionych zasobów bez żadnych ograniczeń - po prostu się do niej podłączamy, a co gorsza, często niewymagane jest do tego nawet hasło! Złośliwy sąsiad stojący pod naszym balkonem nie tylko więc będzie w stanie podsłuchać treść wysyłanego właśnie emaila, ale również przejrzeć zawartość naszego dysku twardego. I nie pomoże tutaj żaden, nawet najlepszy firewall, gdyż atak następuje od wewnątrz, a nie spoza sieci. Jak zatem temu zapobiegać? 

Podstawowym mechanizmem zabezpieczenia sieci bezprzewodowej standardu 802.11 (Wi-Fi) przed nieautoryzowanym podsłuchem, ale też i dostępem do niej jest mechanizm szyfrowania WEP (Wireless Equivalent Privacy). Algorytm ten bazuje na kluczu o stałej długości - zazwyczaj ma on jedną z następujących wybranych przez użytkownika długości: 40, 64, 128, 152 lub 256 bitów - i jest automatycznie generowany na podstawie podanego hasła. Co ważne, samego klucza nigdy nie przesyła się drogą radiową, lecz zawsze jest on tworzony lokalnie (na podstawie hasła) na każdym należącym do sieci urządzeniu - w Access Poincie lub na komputerze. 
Cóż to oznacza dla użytkownika? Otóż jeśli nie znamy klucza lub hasła użytego do jego wygenerowania oraz binarnej długości, wówczas nie można wejść do sieci ani podsłuchiwać przesyłanych za jej pomocą informacji. Innymi słowy: dla osób chcących nas szpiegować wszelkie odczytane dane będą tylko bezużytecznym ciągiem przypadkowych znaków. 
Jak widać, WEP to stosunkowo łatwa do implementacji metoda zabezpieczenia sieci przed włamaniem. Dlaczego zatem nie jest on automatycznie włączany w bezprzewodowych urządzeniach dostępowych i kartach sieciowych? Głównymi przyczynami tego stanu rzeczy - oprócz wspomnianej wcześniej utraty otwartości sieci - są: spadek prędkości transmisji danych w sieci Wi-Fi oraz chęć zachowania maksymalnie uproszczonej konfiguracji urządzeń. Wszak producenci wychodzą z założenia, że przeciętny domowy użytkownik nie jest informatykiem i nie musi się znać na komputerach - po uruchomieniu wszystko ma mu zacząć działać, a że traci na tym bezpieczeństwo... z tego punktu widzenia nie jest to już tak istotne. 
Niestety, algorytm WEP ma swoją podstawową wadę - posługuje się tym samym, niezmiennym w czasie kluczem, który na dodatek po kilku-kilkunastominutowym podsłuchu jest dość łatwo złamać (odpowiednie do tego oprogramowanie można znaleźć np. w Internecie). Co prawda urządzenia sieciowe niektórych producentów mają możliwość wprowadzenia paru

kluczy WEP (zazwyczaj czterech) zmienianych po kolei co jakiś czas, ale ta metoda wydłuża tylko kilkakrotnie czas potrzebny do zebrania przez włamywacza odpowiedniej ilości danych, a nie rozwiązuje problemu bezpieczeństwa sieci Wi-Fi. 
Znacznie lepsze zabezpieczenie oferuje standard WPA (Wi-Fi Protected Access). Jego główną zaletą jest wykorzystanie zmiennych w czasie kluczy szyfrujących, dzięki czemu znacznie trudniej włamać się do sieci. Z WPA można korzystać na dwa sposoby: w połączeniu z serwerem autoryzacji, np. RADIUS (patrz: ramka "Bezpieczeństwo dla wymagających"), albo z kluczem PSK (Pre-Shared Key). W tym drugim wypadku, podobnie jak w WEP-ie, podajemy hasło, na podstawie którego wygenerowane zostaną klucze szyfrujące - dla małego biura i domu ta druga metoda (WPA-PSK) jest bardziej funkcjonalna, gdyż nie wymaga zakupu dodatkowego sprzętu. Z WPA wiąże się jednak jeden podstawowy problem. Nie wszystkie tańsze, domowo-biurowe urządzenia sieciowe go obsługują. Dlatego jeśli zależy nam na bezpieczeństwie danych, warto zadbać o to, aby wybrane przez nas do budowy sieci punkty dostępowe i karty miały zaimplementowany protokół WPA. 

Kolejną metodą zabezpieczenia małej sieci, a do tego niespowalniającą transmisji danych, jest filtrowanie adresów MAC (Media Access Control). Każda karta oraz urządzenie sieciowe - w tym bezprzewodowe - mają swój unikatowy w skali świata numer (można go sprawdzić np. z linii poleceń konsoli Windows komendą ipconfig/all). Wpisując ten ciąg znaków w odpowiednie pole w menu konfiguracyjnym punktu dostępowego, ograniczamy wejście do sieci tylko do autoryzowanej przez nas listy komputerów. 
Musimy jednak pamiętać, że choć fizycznie unikatowego numeru karty sieciowej nie można zmienić, istnieje też sposób programowej jego modyfikacji. Dla hakera nie będzie to żadną przeszkodą, ale filtrowanie adresów MAC powinno skutecznie powstrzymać mniej doświadczonego, wścibskiego sąsiada. Nie należy jednak zapominać, że w bezpiecznej sieci Wi-Fi filtrowanie adresów MAC powinno być stosowane jako uzupełnienie szyfrowania WEP/WPA, a nie jako metoda główna. 
Kolejnym sposobem na zabezpieczenie sieci bezprzewodowej jest blokada rozgłaszania identyfikatora SSID (Service Set Identifier), czyli jej nazwy. Normalnie SSID jest rozsyłany publicznie (do każdego pakietu danych dołączane są odpowiednie informacje), gdyż powstał on nie w celu zapewnienia bezpieczeństwa, ale do tworzenia i zarządzania logiczną strukturą bezprzewodowych łączy. Wyłączenie identyfikatora utrudnia zatem wykrycie naszej instalacji Wi-Fi, gdyż nie pojawi się ona na liście dostępnych sieci na komputerze włamywacza. 
Co więcej, wszystkie urządzenia współpracujące w ramach jednej sieci muszą mieć ustawiony zawsze ten sam identyfikator SSID. Jeżeli więc nie będzie on publicznie znany, utrudnimy intruzowi zadanie. Co prawda ukrycie identyfikatora SSID nie jest do końca możliwe - odpowiednio spreparowane pakiety zmuszą znajdujący się w pobliżu punkt dostępowy do odpowiedzenia na nie i ujawnienie istnienia sieci, ale znów od włamywacza wymaga to znacznie większej wiedzy niż ta, którą dysponuje przeciętny użytkownik komputera.

Jak widać, nawet najprostszą małą sieć bezprzewodową można w wystarczającym stopniu zabezpieczyć, posługując się zaledwie trzema podstawowymi technikami: szyfrowaniem WEP/WPA, filtrowaniem adresów MAC i ukrywaniem identyfikatora SSID, które powinny być włączone wszystkie naraz. Co więcej, odpowiednia konfiguracja punktu dostępowego i kart sieciowych nie jest trudna i wystarczy poświęcić na to tylko kilka-kilkanaście minut. Dziwi więc fakt, że tyle bezprzewodowych sieci jest w ogóle niezabezpieczonych. Pół biedy, jeśli dotyczy to osób prywatnych; gorzej, że wiele urzędów czy instytucji nie chroni w należyty sposób swoich danych. 
Oczywiście opisane tu proste sposoby zabezpieczenia na wiele się nie przydadzą, w chwili gdy staniemy oko w oko z prawdziwym hakerem, niemniej uniemożliwią one wejście do sieci przypadkowym osobom. Firmy powinny zaś korzystać z bardziej rozbudowanych i pewniejszych metod zapobiegających włamaniom, ale to już temat na oddzielny artykuł. 
Bezpieczeństwo dla wymagających 

Wymienione procedury konfiguracji sieci zapewniają podstawowy poziom bezpieczeństwa, który wystarczy dla 99 procent użytkowników domowych i małych biur. Dla jednego procenta (no i oczywiście dla sieci korporacyjnych) opracowano bardziej skomplikowane i mocniejsze metody zabezpieczenia sieci. Oto najważniejsze z nich. 

Protokół IEEE 802.1X i serwery RADIUS 
Sam standard 802.1X nie jest żadną metodą zabezpieczenia sieci ani algorytmem szyfrowania danych, niemniej umożliwia on bezpieczne uwierzytelnianie haseł użytkowników oraz przesyłanie kluczy, i to nie tylko w sieciach bezprzewodowych. Innymi słowy dzięki normie 802.1X można bezpiecznie zalogować się do dowolnej sieci, nie obawiając się o to, że ktoś przechwyci nasze hasło lub klucz. 

Na bazie protokołu 802.1X powstają różne systemy uwierzytelniania, w tym RADIUS (Remote Authentication Dial-In User Service), protokół wymiany kluczy cyfrowych drogą radiową - EAP (Extensible Authentication Protocol), microsoftowy EAP-TLS (EAP - Transport Layer Security), wykorzystujący certyfikaty cyfrowe, czy lansowany przez firmę Cisco Systems LEAP (Lightweight Extensible Authentication Protocol). Jeszcze innym środkiem uwierzytelniania jest protokół PEAP (Protected EAP), w którym przewidziano stosowanie certyfikatów tylko przez serwery. Przy wykorzystaniu standardu 802.1X, możliwe jest zaimplementowanie też innych rozwiązań, na przykład sprzętowych kart chipowych, tokenów czy czytników linii papilarnych. 
W tym miejscu warto postawić pytanie, co to daje zwykłemu użytkownikowi. Otóż jeżeli chcemy korzystać z jakiejkolwiek zewnętrznej autoryzacji dostępu, jak choćby najpopularniejszego obecnie RADIUS-a (warto wiedzieć, że niektóre firmy świadczą też usługi autoryzacji dla osób prywatnych), musimy kupić sprzęt zgodny z protokołem IEEE 802.1X. Ta informacja będzie zawsze znajdowała się na pudełku lub w instrukcji obsługi urządzenia. Powinna się tam też pojawić lista obsługiwanych protokołów autoryzacyjnych. 
Podstawową zaletą RADIUS-a jest to, że służy on nie tylko do uwierzytelniania osób i komputerów, ale również np. samych punktów dostępowych. W ten sposób użytkownik ma pewność, że zalogował się do właściwej sieci - zdarzają się bowiem przypadki podstawienia fałszywych sieci w celu wydobycia ważnych danych z komputera użytkownika - a administrator może wyeliminować "nielegalne" punkty dostępowe, uruchamiane dla wygody przez pracowników firmy. Sam serwer RADIUS to zaś po prostu wydzielony komputer z odpowiednim oprogramowaniem, który stanowi centralny punkt zarządzania wszystkimi hasłami i zasobami sieci. 

Norma IEEE 802.11i 
Wkrótce w najnowszych urządzeniach bezprzewodowych pojawi się kolejny system zabezpieczeń zgodny z zatwierdzoną kilka miesięcy temu specyfikacją 802.11i (niestety, jest ona niekompatybilna z obecnymi urządzeniami). Norma ta wymusza nie tylko obowiązkowe uwierzytelnianie typu EAP, ale wprowadza też protokół dynamicznej zmiany klucza szyfrującego TKIP (Temporal Key Integrity Protocol) oraz nowy algorytm silnego szyfrowania AES (Advanced Encryption Standard). 
AES wykorzystuje klucze 128-, 192- lub 256-bitowe i operuje na 128-bitowych symetrycznych blokach danych. Niestety, algorytm ten wymaga znacznej mocy obliczeniowej, dlatego wszystkie zgodne z normą IEEE 802.11i urządzenia muszą zostać wyposażone we własny silny procesor. Karty sieciowe mogą zaś skorzystać z mocy obliczeniowej komputera, w którym zostały one zainstalowane. Co ciekawe, rząd USA zatwierdził już ten algorytm do stosowania w administracji publicznej i instytucjach finansowych. 

Kanał VPN 
Systemem, którego nie udało się do tej pory złamać, jest VPN (Virtual Private Networks). Może on być wykorzystany zarówno w dowolnych sieciach przewodowych, jak i bezprzewodowych (sam w sobie nie ma nic wspólnego z sieciami Wi-Fi). Łączy on jednoczesne szyfrowanie danych i uwierzytelnienie użytkownika bądź komputera. Dzięki temu można ustanowić na czas połączenia całkowicie bezpieczny "tunel", nawet jeśli pozostała część sieci nie została zabezpieczona. Istotne jest też to, że VPN jest całkowicie przezroczysty dla aplikacji. 

Podstawowe metody zabezpieczania sieciowego:

-Firewall

-Hasło do routera lub AP (Access Point)

- WEP (Wireless Equivalent Privacy) - algorytm bazujący na kluczu o stałej długości - zazwyczaj ma on jedną z następujących wybranych przez użytkownika długości: 40, 64, 128, 152 lub 256 bitów - i jest automatycznie generowany na podstawie podanego hasła. Co ważne, samego klucza nigdy nie przesyła się drogą radiową, lecz zawsze jest on tworzony lokalnie (na podstawie hasła) na każdym należącym do sieci urządzeniu - w Access Poincie lub na komputerze. 

- WPA (Wi-Fi Protected Access) - jego główną zaletą jest wykorzystanie zmiennych w czasie kluczy szyfrujących, dzięki czemu znacznie trudniej włamać się do sieci. Z WPA można korzystać na dwa sposoby: w połączeniu z serwerem autoryzacji, np. RADIUS albo z kluczem PSK (Pre-Shared Key). W tym drugim wypadku, podobnie jak w WEP-ie, podajemy hasło, na podstawie którego wygenerowane zostaną klucze szyfrujące - dla małego biura i domu ta druga metoda (WPA-PSK) jest bardziej funkcjonalna, gdyż nie wymaga zakupu dodatkowego sprzętu. Z WPA wiąże się jednak jeden podstawowy problem. Nie wszystkie tańsze, domowo-biurowe urządzenia sieciowe go obsługują. Dlatego jeśli zależy nam na bezpieczeństwie danych, warto zadbać o to, aby wybrane przez nas do budowy sieci punkty dostępowe i karty miały zaimplementowany protokół WPA. 

- Filtrowanie adresów MAC (Media Access Control). Każda karta oraz urządzenie sieciowe - w tym bezprzewodowe - mają swój unikatowy w skali świata numer (można go sprawdzić np. z linii poleceń konsoli Windows komendą ipconfig/all). Wpisując ten ciąg znaków w odpowiednie pole w menu konfiguracyjnym punktu dostępowego, ograniczamy wejście do sieci tylko do autoryzowanej przez nas listy komputerów. 

- Blokada rozgłaszania identyfikatora SSID (Service Set Identifier) czyli nazwy sieci. Normalnie SSID jest rozsyłany publicznie (do każdego pakietu danych dołączane są odpowiednie informacje), gdyż powstał on nie w celu zapewnienia bezpieczeństwa, ale do tworzenia i zarządzania logiczną strukturą bezprzewodowych łączy. Wyłączenie identyfikatora utrudnia zatem wykrycie naszej instalacji Wi-Fi, gdyż nie pojawi się ona na liście dostępnych sieci na komputerze włamywacza.

---