Bezpieczeństwo sieci bezprzewodowych

Wszystkie zabezpieczenia stosowane w sieciach bezprzewodowych podzielić można na dwa typy: autoryzacji oraz transmisji. Pierwsze ma na celu jednoznaczne potwierdzenie tożsamości użytkownika i nadanie mu pewnych przywilejów, natomiast drugie służy zabezpieczeniu transmisji przed podsłuchaniem, co w sieciach Wi-Fi zdarza sie niezwykle często. Nowsze standardy jak WPA2 to połączenie obydwu typów zabezpieczeń, mające na celu zapewnienie maksymalnego bezpieczeństwa pod każdym względem na niezwykle wysokim poziomie.

Istnieją jeszcze inne polityki bezpieczeństwa, zdefiniowane w dość nietypowych regułach. Przykładem może być brak jakichkolwiek zabezpieczeń i autoryzacja wszystkich użytkowników, co charakteryzuje kiepskiej jakości Hot Spot lub Access Point niedoświadczonego użytkownika. Inny przykład to skonfigurowane QoS oraz rygorystyczne reguły firewalla, typowe dla gorących punktów wysokiej jakości...

Oficjalne początki sieci bezprzewodowych sięgają roku 1999 kiedy to IEEE ratyfikowało standard 802.11, będący oficjalną regulacją specyfikacji technicznej i softwarowej urządzeń pracujących w sieciach Wi-Fi. Wraz z wejściem pierwszych sieci bezprzewodowych wprowadzone także pierwsze zabezpieczenia.

Ukrycie ESSID
Zapewne każdy kto z sieciami bezprzewodowymi zetknął się chociaż raz wie iż każdy punkt dostępowy rozsyła gdzie tylko się da swoją nazwę. Jej znajomość umożliwia nawiązanie połączenia z siecią, jednak w przypadku kiedy nie znamy ESSID połączenie nie jest możliwe, a wiec potencjalny włamywacz nie może uzyskać dostępu do sieci.

Właśnie dlatego już w pierwszych Access Pointach wprowadzono możliwość wyłączenia rozgłaszania nazwy sieci. Być może zabezpieczenie to w przeszłości było skuteczne, jednak dziś zdobycie ESSID nie stanowi żadnego problemu. Włamywacz ma dwie możliwości:

pierwsza z nich zakłada iż ma on dużo czasu i mało chęci; wystarczy uruchomić program typu NetStumbler (Windows) lub Kismet (Linux/BSD) i poczekać aż jeden z klientów nawiąże połączenie z siecią, wtedy właśnie wysyła on czystym tekstem ESSID ukrytej sieci, które zostaje przechwycone przez nasz analizator,
opcja druga jest nieznacznie trudniejsza, wymaga jednak jedynie jednego aktywnego klienta; uruchamiamy program Kismet i sprawdzamy listę dostępnych klientów, kopiujemy adres MAC jednego z nich i korzystając z narzędzia AirCrack doprowadzamy do zresetowania jego połączenia z siecią, co zmusza go do ponownego wysłania ESSID, który jak w poprzednim przypadku zostaje przechwycony przez nasz komputer.

Szczegóły ominięcia tego zabezpieczenia, jak i wszystkich innych podatnych na atak wymienionych w tym artykule, zostały opisane na stronach siostrzanego projektu warxing.pl. Ominiecie ukrycia ESSID to kwestia kilku minut, dlatego nie należy stosować tego zabezpieczania bez wsparcia innymi, lepszymi metodami autoryzacji.

Filtracja MAC
Znany z LAN sposób na autokonfiguracje sieci znalazł swoje zastosowanie w Wi-Fi. Pierwsze punkty dostępu posiadały jedynie najprostszą wersję DHCP, przydzielającą, bądź nie, IP w zależności od zgodności z tablicą adresów MAC. Nowsze Access Pointy filtrują dodatkowo po nazwach komputera oraz wymagają zgodności MAC ze statycznym IP konfigurowanym przez użytkownika.

Jednak w erze rozwijających się technologii i to zabezpieczenie nie mogło dłużej pozostać pewne. Z czasem producenci prowadzili do swoich „radiówek” możliwość zmiany adresu MAC dowolny, wybrany przez użytkownika.
W sieci komputerowej MAC i IP to informacje powszedniejsze niż dla użytkowników Windows kolejna aktualizacja krytyczna. Przesyłane są one z każdym pakietem danych, zaś ich przechwycenie nie wymaga żadnego specjalistycznego sprzętu i oprogramowania. Wystarczy teraz zmienić MAC, podać IP, obliczyć maskę sieci i zgadnąć bramę (254 możliwe hosty odsiewany nmapem, resztę można sprawdzić ręcznie) by uzyskać dostęp do łącza internetowego. W praktyce to maksimum 30minut pracy.

Wired Equivalent Privacy
Szyfrowanie WEP, bo tak skraca się tą angielską nazwę, było trzecim zabezpieczeniem wprowadzonym wraz z sieciami bezprzewodowymi. WEP to pierwsze szyfrowanie i pierwsze poważne spojrzenie na kwestie bezpieczeństwa sieci oraz danych krążących w eterze. To jedno z najczęściej stosowanych rodzajów zabezpieczeń, dostępne na obecną chwilę w każdym AP, jednak obniżające wydajność połączenia. Zadanie jakie miało ono spełniać wspaniale ujął w swojej książce Andrew S. Tanenbaum:

Wspaniale powiedziane: standardowym poziomem bezpieczeństwa w przewodowej sieci LAN jest brak jakichkolwiek mechanizmów zabezpieczających, więc zadanie postawione przed protokołem WEP nie jest specjalnie wygórowane i protokół ten radzi sobie z nim całkiem nieźle.

Standard określa specyfikacje kluczy 40- i 104-bitowych do których dołączany jest wektor inicjujący (IV) o długości 24 bitów. Dlatego właśnie mówi się o kluczach 64- i 128-bitowych, choć jest to stwierdzenie niepoprawne techniczne.

Z pozoru WEP wydawać się może dobrym sposobem na zabezpieczenie sieci, jednak ze względu na słabości wektora IV oraz klucza RC nie jest to dobre rozwiązanie. Możliwe jest kilka typów ataków na sieć zaszyfrowaną WEP. Powstały juz narzędzia umożliwiające złamanie klucza w przeciągu połowy godziny, co przy odpowiednim ruchu w sieci oraz wprawie włamywacza nie stanowi większego problemu.

WEP posiada każdy punkt dostępu i pomimo swoich słabości odstrasza część potencjalnych włamywaczy. Dlatego jeśli Twój AP nie posiada żadnego mocniejszego zabezpieczenia zastosuj te szyfrowanie! - skutecznie wydłuży ono czas pracy włamywaczy oraz zniechęci część z nich. WEP zabezpiecza Cię także przed przypadkowym podsłuchaniem Twoich danych krążących w eterze.

IEEE 802.1x
802.1x to standard kontroli dostępu do sieci przewodowych i bezprzewodowych opracowany przez IEEE. Umożliwia on uwierzytelnienie urządzeń podłączonych do portu sieci LAN oraz punktu dostępu sieci Wi-Fi, ustanowienie połączenia punkt-punkt oraz uniemożliwienie dostępu użytkownikowi nieautoryzowanemu. 802.1x oparto na protokole EAP.

Kariera 802.1x w sieciach bezprzewodowych rozpoczęła się gdy na jaw wyszły wszystkie słabości WEP. Wtedy to wielu dostawców zaimplementowało standard w bezprzewodowych punktach dostępu, by zapewnić bezpieczeństwo sieci przynajmniej na poziomie autoryzacji (podsłuch nadal jest możliwy). Zastosowanie uwierzytelnienia 802.1X eliminuje niebezpieczeństwo nieautoryzowanego dostępu do sieci już na poziomie warstwy dostępu.

Zazwyczaj uwierzytelnianie jest przeprowadzane przez zewnętrzny serwer RADIUS (ang. Remote Authentication Dial In User Service), zaś Access Point pełni jedynie funkcje pośrednika. 802.1x został wprowadzony jako integralna część WPA, co stanowi kolejną warstwę zabezpieczeń tego standardu, o czym napisze dalej.

WiFi Protected Acces
Z uwagi na słabości WEP, IEEE stworzyła najpierw szkielet protokołów uwierzytelniających 802.1x, a następnie 802.11i, w którym określono szyfrowanie ramek algorytmem AES i dodanie mechanizmów MIC i TKIP oraz autoryzacje 802.1x. Protokołem przejściowym między WEP a 802.11i jest WPA o nieco ograniczonych możliwościach, rozwiązujący jednak problem bezpieczeństwa na starszych Access Pointach przez aktualizacje firmware.

WPA dzieli się na dwa rodzaje:
1) Personal, które opiera się na kluczu PSK, stąd nazwa WPA-PSK, do zastosowań domowych
2) Enterprise, korzystający z serwera RADIUS, do zastosowań profesjonalnych

WPA korzysta z serwera autoryzacji 802.1x, jednak jego domowa odmiana używa jednego klucza dla wszystkich użytkowników, co pozwala ominąć stosowanie zewnętrznego serwera Radius. Zasadnicza różnica między WPA a 802.11i tkwi w różnych metodach szyfrowania. WPA jako rozwiązanie kompatybilne wsteczne ze starszymi Access Pointami

Mimo iż w WPA zastosowano algorytm Michael (MIC) odpowiedzialny za uniemożliwienie ataków z odwracalnością klucza to nadal pozostał ten sam, znany z licznych błędów, algorytm RC4. Póki co jedyny możliwy atak możliwy jest do przeprowadzenia na sieci szyfrowanej WPA-PSK z słownikowym kluczem, jednak nie jest wykluczone iż w przyszłości powstaną narzędzia umożliwiające włamanie do każdej sieci szyfrowanej WPA (oczywiście nie mówię o ominięciu autoryzacji 802.1x, jednak podsłuch będzie możliwy).

Point-to-Point Protocol over Ethernet
Opisywany protokół został napisany z przeznaczeniem na autoryzacje w sieciach LAN poprzez kartą sieciową Ethernet. Często służy on jednak do łączenia z ogólnoświatową siecią WAN poprzez zastosowanie odpowiedniego modemu, czego znakomitym przykładem jest usługa Neostrada Telekomunikacji Polskiej.

Jak się jednak okazało PPPoE sprawdza się doskonale w sieciach bezprzewodowych. W sytuacji kiedy autoryzacja za pomocą 802.1x wygląda dość nieprofesjonalnie (częste logowanie) ten protokół jest alternatywą. Jego zalety to jednorazowa konfiguracja sieci (za pomocą wbudowanych kreatorów systemów Windows 2003/XP/2000), niezwykle podobna do tej znanej nam z Neostrady. Tak samo jak 802.1x, PPPoE współpracuje z serwerem RADIUS, chociaż rozwiązanie to można oprzeć na odpowiednim pliku konfiguracyjnym.

Niestety PPPoE jest wpierane tylko przez profesjonalne i drogie punkty dostępu. Rozwiązaniem jest konfiguracja odpowiedniego komputera oparta na Linux, MT lub BSD. Ze względu na cenę MT w przyszłości na łamach Wi-Fi Live pojawi się opis konfiguracji PPPoE na FreeBSD, będący kontynuacją serii artykułów o tym systemie.

Virtual Private Network
Wirtualne Sieci Prywatne, w skrócie VPN, to dobry sposób na zabezpieczenie transmisji, w przypadku, kiedy nie mamy dostępu do Access Pointa lub z innych względów nie chcemy wprowadzać szyfrowania ruchu w całej sieci Wi-Fi.

VPN umożliwia tworzenie wirtualnych sieci wykorzystujących technologie tunelowania (protokół PPTP). Przez tunel taki płynie ruch w ramach sieci prywatnej, pomiędzy klientami końcowymi, za pośrednictwem publicznej sieci (takiej jak Internet) w taki sposób, że węzły tej sieci są przezroczyste dla przesyłanych w ten sposób pakietów. Dane przesyłane takim tunelem mogą być szyfrowane i kompresowane co zapewnia wysoką wydajność i bezpieczeństwo takiego rozwiązania.

W sieci Wi-Fi zastosowanie VPN jest uzasadnione w dwóch przypadkach:
1) chcemy uchronić nasze dane przed wścibskim administratorem
2) zależy nam na bezpieczeństwie transmisji w nieszyfrowanej sieci

VPN jest używane także przez włamywaczy, kradnących cudze łącza internetowe.

Artykuł ten nie opisuje wszystkich możliwych kombinacji zabezpieczeń. Wielu doświadczonych administratorów stosuje bardzo nie typowe metody oraz różne kombinacje opisanych przeze mnie sposobów. Wymaga to jednak dużej wiedzy, nakładów oraz sprzętu. Jeśli myślisz poważnie o bezpieczeństwie w swojej sieci warto zastosować system wykrywania intruzów, temat ten jednak został pominięty gdyż wykracza po za tematykę tego tekstu.

Realizacja: SIPLEX Studio