2008 07 08 Bezpieczeństwo sieci Wi Fi [Bezpieczenstwo]


Bezpieczeństwo
Bezpieczeństwo sieci Wi-Fi
Bezpieczeństwo
sieci Wi-Fi
Grzegorz Madajczak
Mam taką rozrywkę  biorę swojego laptopa, i chodzę po osiedlu szukając sieci bezprzewodowych. Jak
już znajdę, to przeszukuję je pod kątem zabezpieczeń. Zawsze znajdzie się kilka niezabezpieczonych.
Kolejnym krokiem jest znalezienie sieci bez filtrowania adresów MAC. Wtedy to siadam sobie w zasięgu
sieci, łączę się z nią i patrzę co tym razem mam za darmo...
dużych miastach na każdym kroku spo- ne, czy nawet pieniądze. Dlatego też warto wiedzieć, jak
tkamy kilka sieci bezprzewodowych zabezpieczyć się przed włamaniami do sieci bezprzewo-
 prywatnych lub też mniej lub bar- dowych.
Wdziej ogólnie dostępnych. Pomimo po- Podstawową sprawą w zabezpieczaniu sieci bez-
wszechności sieci Wi-Fi chyba niewiele osób zdaje so- przewodowej jest właściwy dobór sprzętu  Access Po-
bie sprawę jak niebezpieczna jest to usługa... Aby wła- inta, który teoretycznie powinien swoim zasięgiem po-
mać się do sieci bezprzewodowej wystarczy laptop z kar- kryć cały interesujący nas teren i ani kawałka więcej. Je-
tą Wi-Fi i trochę umiejętności. W tym artykule nie mam śli zasięg sieci ograniczymy do terytorium np. naszego
jednak zamiaru pisać, w jaki sposób włamywać się do mieszkania, czy posesji, to wiadomo, że każdy, kto bę-
sieci lecz w jaki sposób bronić się przed włamaniem. dzie chciał z niej skorzystać  musi fizycznie się tam
Myślę że większości użytkowników jest to temat zdecy- znalezć.
dowanie bliższy... Sprawa jednak nie jest taka prosta. Przede wszyst-
kim bardzo trudno jest wyznaczyć zasięg sieci bezprze-
ABC sieci bezprzewodowych wodowej w budynku. Podawane przez producenta para-
Najczęstszym przypadkiem sieci bezprzewodowej jest metry zasięgu dotyczą wolnej przestrzeni. W pomiesz-
mała sieć domowa, która składa się z routera WLAN bę- czeniach mamy do czynienia z takimi zjawiskami, jak
dącego punktem dostępowym (ang. Access Point  AP) tłumienie, czy odbicie sygnału oraz z szumem gene-
i komputera klienta  zwykle laptopa. Właśnie takie sie- rowanym przez inne urządzenia nadawczo odbiorcze,
ci padają najczęściej ofiarą włamań. Pal diabli, jeśli po- choć teoretycznie sieci o częstotliwości 2,4 GHz (stan-
lega ono tylko na tym, że ktoś za darmo korzysta z do- dard WLAN) powinny być na nie odporne. Tak więc
stępu do internetu. W najgorszej sytuacji możemy bo- chcąc objąć całe mieszkanie, czy posesją zasięgiem sie-
wiem stracić zdecydowanie więcej  cenne dla nas da- ci Wi-Fi, musimy się liczyć z tym, że podzielimy się sy-
62 lipiec/sierpień 2008
linux@softwarae.com.pl
Bezpieczeństwo
Bezpieczeństwo sieci Wi-Fi
gnałem z sąsiadami. Dlatego musimy włą- chochlik namieszać mu w ustawieniach. (Rysunek 1.). Włączenie filtrowania MAC
czyć inne metody zabezpieczania sieci bez- Zamiast tego odkryłem, do kogo należy sprawi, że dostęp do naszej sieci uzyskają
przewodowej. Istnieje kilka prostych zasad, ów niezabezpieczony sprzęt i pomogłem tylko ściśle określone komputery  z puli
których przestrzeganie pozwoli zwiększyć tak skonfigurować, aby był bezpieczniej- ściśle zdefiniowanych MAC. Należy jednak
bezpieczeństwo naszej sieci. szy. Musiałem wytłumaczyć mu również, pamiętać, iż dzięki programom podsłuchu-
Po pierwsze należy zmienić fabryczne że udostępnianie dysku C:\ poprzez sieć jącym (sieć Wi-Fi) w prosty sposób możli-
ustawienia naszego bezprzewodowego ru- bezprzewodową nie jest najlepszym roz- we jest poznanie adresów MAC kompute-
tera, który zwykle skonfigurowany jest tak, wiązaniem... rów komunikujących się w sieci. Od tego
aby po podłączeniu od razu można było z Aby zwiększyć bezpieczeństwo swo- zaś pozostał już tylko jeden krok do wła-
niego skorzystać. jej sieci, warto również w ustawieniach ro- mania poprzez fałszowanie adresu MAC.
Aatwość uruchomienia przy fabrycz- utera wyłączyć rozgłaszanie SSID (Service W związku z powyższym należy zastoso-
nych ustawieniach okupiona jest jednak Set Identifier) sieci. Normalnie informacja wać dodatkowo inne metody zabezpiecza-
brakiem jakichkolwiek zabezpieczeń.Dla- o SSID dołączana jest do każdego pakietu nia sieci bezprzewodowej.
tego natychmiast po uruchomieniu urządze- wysyłanych danych, gdyż wymagane jest,
nia powinniśmy zabrać się do jego konfigu- aby wszystkie komputery z jednej sieci po- Szyfrowanie w sieci
racji. Postaram się zwrócić uwagę na naj- sługiwały się tym samym SSID. Podstawowym mechanizmem zabezpiecze-
ważniejsze elementy konfiguracji każde- Ukrycie SSID utrudni więc włamywa- nia sieci bezprzewodowej standardu 802.11
go routera bezprzewodowego, AccesPoin- czowi życie, gdyż w trakcie skanowania (Tabela 1) przed nieautoryzowanym pod-
ta  wspólne dla wszystkich tego typu urzą- dostępnych sieci, w ten sposób zabezpie- słuchem i dostępem do niej, jest mechanizm
dzeń, niezależnie od producenta. czona pozostanie niezidentyfiowana. Me- szyfrowania WEP (z ang. Wired Equivalent
Jakże standardowym błędem początku- toda ta ma jednak zasadniczą wadę  nie- Privacy). Jest to algorytm szyfrowania, któ-
jących jest pozostawienie IP routera na fa- możność natychmiastowego podłączenia ry posługuje się kluczami o wielkości 40
brycznych ustawieniach, np. 192.168.0.0. nowych urządzeń, np. laptopa kolegi, któ- (WEP-40) lub 104 bity (WEP-104), do któ-
Jeśli zmienimy ten adres, na jakikolwiek ry przyszedł do nas pograć np. w sieciową rych w procesie wysyłania pakietu danych
inny dozwolony przez router, domorosłe- strzelankę. dołączany jest wektor inicjujący (IV  In-
mu początkującemu włamywaczowi będzie Prostym rozwiązaniem, znacząco pod- itialization Vector) o wielkości 24 bitów,
nieco trudniej włamać się do panelu konfi- noszącym bezpieczeństwo, jest włączenie skąd wzięły się popularne długości kluczy
guracyjnego AP, poznać nasze ustawienia i filtrowania adresów MAC (Media Access szyfrujących 64 i 128 bitów. Klucze szyfru-
namieszać. Control  niepowtarzalne na całym świe- jące składają się z 10 (dla WEP-40) lub 26
Oprócz IP, które i tak można podsłu- cie identyfikatory interfejsów sieciowych) znaków (dla WEP-104). Każdy znak repre-
chać z użyciem powszechnie dostępnych
programów, koniecznie należy zmienić ha-
sło administratora routera. Przy zmianie
hasła należy posługiwać się sprawdzony-
mi zasadamiznznymi z kryptografii, tj.: im
hasło jest dłuższe, tym trudniejsze do zła-
mania  powinno mieć długość minimum
osiem znaków, hasło nie powinno być po-
wszechnie używanym słowem, czy też co
gorsza kombinacją imienia i nazwiska użyt-
kownika  to pierwsze przyjdzie włamywa-
czowi do głowy,
najlepsze hasło to odpowiednio długa
kombinacja małych i dużych liter, cyfr i in-
nych znaków, np. generowane losowo przez
program komputerowy.
Chociaż hasło utworzone zgodnie z po-
wyższymi zasadami jest trudne do zapamię-
tania, to stanowi poważne utrudnienie dla
włamywacza. Ma to szczególne znaczenie
w przypadku haseł generowanych na po-
trzeby mechanizmów szyfrowania sieci.
Mogę przytoczyć opowieść z życia
wziętą, kiedy to pewien użytkownik sie-
ci bezprzewodowej, z powodu swej nie-
wiedzy, pozostawił na routerze hasło ad-
ministratora w postaci niezmienionej  fa-
brycznej. Gdy odkryłem ten fakt, w pierw-
Rysunek 1. Okno ustawień filtrowania adresów MAC w mojej sieci bezprzewodowej
szej chwili chciałem niczym ten złośliwy
www.lpmagazine.org 63
Bezpieczeństwo
Bezpieczeństwo sieci Wi-Fi
zentowany jest przez 4 bity, co daje odpo- dzona w 2007 roku, kiedy to naukowcom dynie nieznaczne wydłuża czas potrzeb-
wiednio 40 i 104 bity klucza. z Politechniki w Dramstadt udało się zła- ny na złamanie kluczy szyfrujących.Jeśli
Wraz z szyfrowaniem WEP stosowa- mać szyfrowanie WEP w mniej niż 1 minu- jednak popatrzy się na zabezpieczenia sie-
ne są zamiennie dwie metody uwierzytel- tę. Dzięki zastosowaniu technik kryptogra- ci wokół nas, to odkryjemy, że WEP jest
niania: system otwarty (Open System) lub ficznych zredukowali oni liczbę przechwy- nadal metodą powszechnie stosowaną. Wy-
system wspólnych kluczy (Shared Keys). conych pakietów potrzebnych do przepro- nika to z trzech przyczyn. Pierwsza z nich
W pierwszym przypadku klient sieci bez- wadzenia skutecznego ataku. Przy 104-bi- to oczywiście niewiedza posiadaczy (admi-
przewodowej może zostać uwierzytelnio- towym kluczu wystarczy już 40 tysięcy pa- nistratorów) tychże sieci. Człowiek jest za-
ny w Punkcie Dostępowym bez stosowania kietów, aby osiągnąć 50% prawdopodo- wsze najsłabszym ogniwem w łańcuchu za-
algorytmu WEP. Po takim uwierzytelnieniu bieństwo złamania klucza WEP. Przy prze- bezpieczeń. Po drugie starszy i najtańszy
klient wysyła i odbiera pakiety danych za- chwyceniu 85 tys. pakietów prawdopodo- sprzęt nie oferuje nowszych, bardziej bez-
szyfrowane algorytmem WEP. W przypad- bieństwo sięga już 95%. Choć przecięt- piecznych metod szyfrowania  dotyczy to
ku metody wspólnych kluczy, proces uwie- ny użytkownik sieci bezprzewodowej nie zwłaszcza bezprzewodowych kart siecio-
rzytelniania przebiega w czterech etapach: jest naukowcem, to zbliżone rezultaty mo- wych na Compact Flash, PCMCIA oraz
że osiągnąć na domowym sprzęcie przy za- Exppress Card.
" Klient wysyła do AP żądanie uwierzy- stosowaniu powszechnie dostępnego w in- Tak więc posiadany hardware narzuca
telniania. ternecie oprogramowania. Dlatego też zde- konkretny model zabezpieczeń. Warto wte-
" AP wysyła do klienta tekst niezakodo- cydowanie odradzam szyfrowanie WEP, ja- dy jednak jak najbardziej utrudnić życie wła-
wany ko metodę zabezpieczania sieci Wi-Fi, na- mywaczowi stosując wszystkie opisane po-
" Klient odsyła tekst zakodowany przy wet tej najmniejszej  domowej. wyżej metody zabezpieczeń sieci  niezależ-
użyciu klucza WEP Niektóre urządzenia sieciowe stosu- ne od samego szyfrowania, a także zdefinio-
" AP odszyfrowuje nadesłany tekst i po- ją metodę wielu zamiennie stosowanych wać cztery odpowiednio długie i trudne klu-
równuje go ze wzorcem i na podstawie kluczy WEP, co w założeniu ma popra- cze WEP. Ostatnia przyczyna wynika z wady
rezultatu porównania uwierzytelnia lub wić bezpieczeństwo tego algorytmu szy- wszystkich metod szyfrowania sieci Wi-Fi.
nie. frującego. W rzeczywistości metoda ta je- Ich zastosowanie zmniejsza prędkość przesy-
Dopiero po tak przeprowadzonej autory-
zacji następuje podłączenie klienta do sie-
ci i wysyłka zaszyfrowanych pakietów da-
Nadawca Odbiorca
nych. Na pierwszy rzut oka, nie trzeba ni-
kogo przekonywać o wyższości uwierzytel-
niania metodą wspólnych kluczy, nad sys-
temem otwartym, czyli de facto brakiem
uwierzytelniania. Z drugiej jednak strony
podsłuchanie przesyłanego tekstu jawne-
Algorytm Algorytm
Klucz (K) Klucz (K)
Michael Michael
go (drugi etap uwierzytelniania w metodzie MAC
Shared Keys), potem zaś odpowiedzi klien-
ta  zaszyfrowanego tekstu sprawia, że wła-
mywacz ma podany na tacy klucz szyfru-
MAC MAC = MAC
jący  bez najmniejszego wysiłku. Wystar-
TAK NIE
czy, że przechwyci pierwsze cztery ramki
przesyłane pomiędzy AP, a klientem. Dla-
tego wbrew pozorom w celu poprawienia
bezpieczeństwa w sieciach z szyfrowaniem
WEP, zaleca się stosowanie uwierzytelnia-
nia w systemie otwartym.
Standard szyfrowania WEP obec-
Rysunek 2. Schemat mechanizmu MIC. Nadawca wysyła pakiet danych szyfrowany algorytmem Michael za
nie uznany jest jako bało bezpieczny. Je-
pomocą klucza, w wyniku czego powstaje 8 bajtów MAC. U odbiorcy dochodzi do porównania MAC nadesła-
go słabość została ostatecznie potwier-
nego i utworzonego lokalnie. Na tej podstawie podjęta zostaje decyzja o autentyczności pakietu
Tabela 1. Obowiązujące standardy w sieciach bezprzewodowych
Protokół Rok ogłoszenia Częstotliwość Maks. prędkość transmisji Maks. zasięg wewnątrz Maks. zasięg na zewnątrz
802.11a 1999 5 GHz 54 Mbit/s ~ 35 m ~ 120 m
802.11b 1999 2,4 GHz 11 Mbit/s ~ 38 m ~ 140 m
802.11g 2003 2,4 GHz 54 Mbit/s ~ 38 m ~ 140 m
802.11n 2009* 2,4 GHz, 5 GHz 300 Mbit/s (min. 100 Mbit/s) ~ 70 m ~ 250 m
* planowany termin ogłoszenia (standard już stosowany w wielu urządzeniach)
64 lipiec/sierpień 2008
Bezpieczeństwo
Bezpieczeństwo sieci Wi-Fi
łu danych w takiej sieci, a także zwiększa ob- Znacznie wyższy poziom zabezpie- nych poprzez zastosowanie mechanizmu
ciążenie procesora klienta (komputera podłą- czenia oferuje algorytm WPA (Wi-Fi Pro- MIC (Message Integrity Code). W wyniku
czonego do szyfrowanej sieci). Efekt ten wi- tected Access), który zgodnie z zalecenia- jego działania do pakietu przesyłanych da-
doczny jest zwłaszcza na starszym sprzęcie mi powinien zastąpić wyżej opisany, ma- nych dodawanych jest 8 bajów kodu weryfi-
lub drobnych urządzeniach mobilnych pra- ło bezpieczny system WEP. Z WPA moż- kującego (MAC  Message Authentication
cującym w sieciach z szyfrowaniem WPA na korzystać na dwa sposoby: w połączeniu Code) do przesyłanego pakietu (Rysunek
(więcej o nim za chwilę). Chcąc więc zwięk- z serwerem autoryzacji, np. RADIUS (wię- 2.). Dzięki takiemu podejściu chronione są
szyć przepustowość sieci, użytkownik (ad- cej na ten temat w ramce Uwierzytelnianie nie tylko same zaszyfrowane dane, lecz tak-
ministrator) decyduje się na mniej bezpiecz- z serwerem RADIUS), albo z kluczem PSK że nagłówek pakietu.
ne WEP. Problem ten całkowicie został wy- (Pre-Shared Key). Drugi ze sposobów, od- Rozwinięciem systemu szyfrowania
eliminowany w sieciach pracujących we- powiedniejszy dla małych sieci domowych WPA jest protokół 802.11i, nazywany czę-
dług na razie nie obowiązującego oficjalnie wykorzystuje do uwierzytelniania hasła, sto systemem WPA2. Wykorzystuje on ob-
standardu 802.11n. Sieci pracujące wg tego które wcześniej zostały wśród klientów sie- ligatoryjne uwierzytelnianie w systemie
standardu zapewniają prędkość do 300 MB/s ci rozpowszechnione w sposób zapewniają- 802.11x, a także protokół dynamicznej wy-
przy szyfrowaniu WPA. W sklepach można cy poufność. Metoda ta przypomina zna- miany klucza szyfrującego  TKIP (Tempo-
już kupić urządzenia Wi-Fi (routery, AP, kar- ne z kryptografii szyfrowanie kluczem sy- ral Key Integrity Protocol). Dodatkowo spe-
ty sieciowe) obsługujące ten standard. Zda- metrycznym, gdzie dane są kodowane i de- cyfikacja ta bazuje na silnym, dotychczas
rza się również sytuacja, że urządzenia te nie kodowane z użyciem identycznego klucza. nie złamanym algorytmie szyfrującym AES
obsługują szyfrowania WEP, a jedynie WPA Tak więc bezpieczeństwo uwierzytelniania (Advanced Encryption Standard), który wy-
i WPA2. zależy od siły szyfrowania użytego hasła, korzystuje klucze o długości 128, 192 i 256
które powinno być dobrane zgodnie z wy- bitów. Wadą tego rozwiązania są znaczne
żej pisanymi zasadami. wymagania co do mocy obliczeniowej urzą-
Internet
W systemie WPA dane szyfrowane są dzeń szyfrujących.
Klient Serwer
przy zastosowaniu szyfru strumienia danych Standard 802.11x umożliwia uwierzy-
Wlan RADIUS
RC4 wykorzystującym 128-bitowy klucz telnianie w sieci WLAN, ustanowienie po-
szyfrujący z 48-bitowym wektorem inicju- łączenia punkt-punkt, a także uniemożliwia
jącym (IV). Jednak największa różnica po- dostęp z określonego portu, jeśli uwierzy-
między WEP i WPA polega na użyciu w tym telnienie nie powiedzie się. Zgodnie z tym
1 2
drugim protokołu TKIP (Temporal Key In- protokołem, gdy klient (np. laptop) nawią-
4 3
tegrity Protocol). Protokół ten poprzez ha- zuje łączność z punktem dostępowym, urzą-
szowanie (tworzenie szyfrowanego skrótu) dzenia uzgadniają między sobą klucz PMK
wektora inicjującego uniemożliwia jego nie- (Pairwise Master Key) odwołując się do ser-
Rysunek 3. Schemat działania uwierzytelnia z ser-
uprawnione odczytanie. Ponadto TKIP wy- wera RADIUS lub do innego serwera uwie-
werem RADIUS. 1) Klient wysyła zapytanie do punk-
musza generowanie nowych kluczy po każ- rzytelniania obsługującego protokół EAP
tu dostępowego. 2) Punkt dostępowy wysyła zapytanie
dych 10 tys. przesłanych pakietów. (Extensible Authentication Protocol). Obie
(MAC klienta + hasło) do serwera RADIUS. 3) Serwer
WPA zapewnia skuteczny system nad- strony (klient i serwer RADIUS) uzyskują
autoryzuje klienta lub nie. 4) Punkt dostępowy, zgodnie
zoru nad integralnością przesyłanych da- wtedy identyczne klucze, a serwer RADIUS
z odpowiedzią serwera podłącza klienta lub odrzuca
przekazuje ten klucz punktowi dostępu. Na-
stępnie klient i punkt dostępu wymieniają
między sobą komunikaty, noszące nazwę
four-way handshake, kiedy to dochodzi do
utworzenia nowego klucza  PTK (Pairwi-
/dev/net/tun0 /dev/net/tun0
VPN
10.0.0.1 10.0.0.2
se Transient Key). Klucz ten jest tworzony
na podstawie klucza PMK i świeżo wyge-
nerowanych przypadkowych kluczy, które
/dev/wlan0 /dev/eth0
tworzą obie strony (klient i punkt dostępu).
168.192.0.1 168.192.0.1
Klucz PTK dzielony jest na kilka podklu-
czy: jeden jest używany do podpisywania
komunikatów four-way handshake, drugi
do ochrony pakietów transmitowanych mię-
bezpieczny
tunel dzy klientem i punktem dostępu oraz trze-
ci do kodowania klucza grupy (group key),
który jest udostępniany klientowi podczas
sesji four-way handshake.
Klucz grupy pozwala punktowi dostępu
generować i rozsyłać do wszystkich klientów
Rysunek 4. Schemat działania VPN. Laptop wysyła dane z wirtualnego IP 10.0.0.1 do komputera o wirtual- jeden pakiet rozgłoszeniowy, zamiast wysyłać
nym IP 10.0.0.2, przez interfejs /dev/lan/tun0. W rzeczywistości zaszyfrowane pakiety wędrują normalną sie- taki zakodowany pakiet wiele razy, za każdym
cią przez interfejs /dev/wlan0 do /dev/eth0
razem dostarczając go innemu klientowi. Pod-
www.lpmagazine.org 65
Bezpieczeństwo
Bezpieczeństwo sieci Wi-Fi
czas sesji four-way handshake klient i punkt punkt dostępu, po to aby ominąć procedurę otrzymują dodatkowe adresy IP, a dane dane
dostępu negocjują, jak będą kodować dane. uwierzytelniania 802.1x i zainicjować tylko przeznaczone do wysyłki pod ten wirtualny
Obie strony negocjują dwa szyfry: szyfr paro- sesję four-way handshake. Dlatego procedura adres są pakowane przez mechanizmy VPN
wania (pairwise; używany dla pakietów uni- przełączania klienta z jednego punktu dostę- i wysyłane pod rzeczywisty adres odbiorcy
cast  w transmisji typu stacja-stacja  wy- pu na kolejny przebiega dużo szybciej. (Rysunek 4.).
mienianych między klientem i punktem do- Dodatkowo klient może się wstępnie uwie- Odbiorca rozpakowuje dane i traktuje je
stępu); oraz szyfr grupy, używany dla ruchu rzytelnić na nowym punkcie, na który ma za- tak, jakby dotarły do niego przez wirtualny
broadcast/multicast (pakiety rozsyłane w try- miar przełączyć się, wymieniając jednocześnie adres. W ten sposób powstaje tunel chroniący
bie stacja-wszystkie stacje lub stacja-wiele cały czas dane ze starym punktem dostępu. dane wysyłane pomiędzy klientami w sieci.
stacji, które z punktu dostępu wysyła do wie- Krótko mówiąc mamy do czynienia z Ponadto VPN potrafi obsługiwać połączenia
lu klientów). O ile szyfr kodowania może być sytuacją, jak w telefonii GSM  zmieniając pomiędzy całymi sieciami. Dzięki temu ist-
negocjowany, o tyle standard 802.11i zawsze komórkę (pole zasięgu jednej stacji nadaw- nieje możliwość stworzenia bezpiecznej sieci
używa 128-bitowego szyfrowania Advanced czo-odbiorczej) rozmowa nie jest przerwana. rozproszonej  łączącej zasoby sieci lokalnej
Encryption Standard (AES). Dlatego też roaming w sieci Wi-Fi jst istot- z zasobami sieci odległej, np. za pośrednic-
W środowisku opartym wyłącznie na ny, gdy oprócz transmisji danych, służy ona twem łącza internetowego. Z punktu widze-
standardzie 802.11i, szyfr AES jest najczę- także do VoIP. W tym momencie, nawet naj- nia klientów sieci VPN wszystkie końcówki
ściej używany do kodowania zarówno klucza krótsze przerwy w transmisji są niedopusz- sieci będą miał adresy z tej samej puli.
parowania, jak i klucza grupy. czalne. Najbardziej znaną implementacją wirtual-
Dodatkową zaletą protokołu 802.11i jest nej sieci prywatnej stanowi projekt OpenVPN
wprowadzenie roamingu, czyli przełącza- Wirtualna sieć prywatna (http://openvpn.net)  projekt rozpowszech-
nie klienta z jednego punktu dostępu na na- Opisane powyżej rozwiązania zapewnienia niany na licencji OpenSource. Jego olbrzymią
stępny. Roaming w sieciach Wi-Fi jest spo- bezpieczeństwa sieci bezprzewodowych, zaletą jest dostępność oprogramowania Ope-
tykany w przypadku infrastruktury zbudowa- oparte na właściwej konfiguracji AP oraz wy- nVPN na niemalże wszystkie platformy sys-
nej na podstawie więcej niż jednego AP. Sy- korzystaniu mocnego algorytmu szyfrowania temowe  Linux, Windows, MacOS, a także
tuację taką możemy wyobrazić sobie np. w przesyłanych danych sprawdzają się z powo- Windows Mobile, co sprawia, że VPN może
wielokondygnacyjnym, rozległym budynku dzeniem w przypadku prostej sieci złożonej objąć wszystkie dostępne końcówki sieci.
firmy, gdzie na każde piętro przypada jeden z klienta i AP. Jeśli sieć bezprzewodowa sta-
(lub więcej) AP. nowi szkielet sieci spinającej większą liczbę Inne metody
Chcąc zapewnić sprawne przełączanie klientów, nawet najbardziej wymyślne me- zabezpieczenia sieci Wi-Fi
się z AP do AP, należy wprowadzić w takiej chanizmy szyfrowania nie stanowią wystar- Zastosowanie opisanych powyżej rozwiązań
sieci roaming. W przeciwnej sytuacji, klient czającego zabezpieczenia tejże sieci. Z po- w domowej, czy firmowej sieci bezprzewodo-
musiałby za każdym razem, przy przecho- mocą przychodzi w tym przypadku zastoso- wej daje duże prawdopodobieństwo stworze-
dzeniu z jednego AP do drugiego powtarzać wanie wirtualnej sieci prywatnej (Virtual Pri- nia bezpiecznej sieci. Nie zawsze jednak wy-
procedurę uwierzytelniania 802.1x, co wma- vate Network  VPN), która tworzy pomię- magane jest stworzenie VPN, aby ustrzec się
gałoby chwilowego odłączenia od sieci. dzy komputerami szyfrowane tunele. przed atakami z zewnątrz. Wystarczy, jeśli w
W przypadku 802.11i jest inaczej  gdy W sieci VPN wykorzystywane są zaso- sieci będziemy łączyli się z lokalnymi lub też
klient wraca do punktu dostępu, na których by tradycyjnej sieci (Wi-Fi, ethernet), jednak zdalnymi zasobami za pośrednictwem np. tu-
był już uwierzytelniony, może wykorzystać z punktu widzenia klienta powstaje dodatko- neli SSH. Wydajne mechanizmy szyfrowania
ponownie klucz PMK ustanowiony przez ten wa wirtualna sieć. Komputery w sieci VPN dostępne w OpenSSH zapewniają należyte
bezpieczeństwo przesyłanych danych.
Podsumowanie
Uwierzytelnianie z serwerem RADIUS
Sieć bezprzewodowa to wygodne rozwiązanie
RADIUS (Remote Authentication Dial In User Service)  usługa uwierzytelniania użyt- zarówno do domu, jak i firmy. Niestety niesie
kowników, stosowana najczęściej w sieciach, w których dostęp do systemu uzyskuje ze sobą zagrożenie w postaci niskiego pozio-
się metodą wdzwaniania (Dial-Up), np. uwierzytelnianie użytkowników przy usłudze do- mu bezpieczeństwa przy standardowej konfi-
stępu do internetu przez telefon. W przypadku sieci bezprzewodowej klient łącząc się z guracji. Wystarczy jednak wprowadzić kilka
AP powoduje wysłanie zapytania przez AP do serwera RADIUS. Zapytanie zawiera na- motywacji, aby stała się zdecydowanie bar-
zwę użytkownika  adres MAC karty Wi-Fi porszącej o dostęp oraz hasło. Po pozytyw- dziej bezpieczna.
nym wyniku autoryzacji AP otrzymuje z RADIUS komunikat zezwalający na przyłącze- Trudno jest jednak jednoznacznie okre-
nie klienta do sieci (Rysunek 4.). ślić, które z wyżej wymienionych technik na-
leży zastosować. Według mnie najlepiej jest
wybrać wszystkie. Na ostateczny poziom bez-
pieczeństwa składa się bowiem suma wszyst-
O autorze
kich użytych zabezpieczeń. Im jest ich więcej
Autor artykułu, z wykształcenia lekarz weterynarii, mikrobiolog, pasjonuje się Linuksem od  tym trudniejsze zadanie ma potencjalny wła-
ponad pięciu lat. Jego ulubione dystrybucje to Gentoo i Slackware. mywacz. Należy jednak liczyć się z tym, że
Kontakt z autorem: madajczak@gmail.com spowoduje to pewne ograniczenie wydajno-
ści sieci.
66 lipiec/sierpień 2008


Wyszukiwarka

Podobne podstrony:
,bezpieczeństwo sieci komputerowych, Zagrozenia i typy sieci Wi FI
Bezpieczeństwo sieci Wi Fi
Konfiguracja sieci Wi Fi w Windows XP
Sieci Wi Fi pod osłoną
Sieci bezprzewodowe Przewodnik po sieciach Wi Fi i szerokopasmowych sieciach bezprzewodowych Wydan
Wi Fi Domowe sieci bezprzewodowe Ilustrowany przewodnik wifiip
wi fi opis XP
2008 07 08 Superkaramba [Poczatkujacy]
158 161 wi fi
Wi Fi BestPractices
TP konfiguracja połączenia Wi Fi
Żebrowski L , 2013 07 04 NDz, Korpus (nie)bezpieczeństwa wewnętrznego
Wi Fi pod linuksem
2008 07 No Barrier the Adriane Desktop for the Sight Impaired
sieci wi
2008 07 08 Serwis zdjęć z wakacji [Programowanie]
2008 07 Ulpc Chess
Wpływ rozwoju sieci przesyłowej na bezpieczeństwo i niezawodność pracy
KONFIGURUJEMY WI FI POD LINUKSEM

więcej podobnych podstron