Bezpieczeństwo bez przewodów

Jak zadbać o bezpieczeństwo danych w lokalnych bezprzewodowych sieciach komputerowych standardu IEEE 802.11?

Jak zadbać o bezpieczeństwo danych w lokalnych bezprzewodowych sieciach komputerowych standardu IEEE 802.11?

Struktura sieci bezprzewodowej składa się z tzw. klientów oraz punktu dostępu (lub kilku takich punktów), połączonego z infrastrukturą stałą, zapewniającą m.in. dostęp do Internetu. Bezpieczeństwo sieci bezprzewodowej zgodnej ze standardem 802.11 oparte jest na:

  • uwierzytelnianiu użytkowników

  • autoryzacji użytkowników

  • rejestracji raportów

  • protokole WEP.
Uwierzytelnianie polega na identyfikacji użytkownika zgłaszającego chęć dostępu do sieci oraz weryfikacji autentyczności informacji, które on przekazuje. Jest to proces, mający za zadanie niedopuszczenie do sieci osób nie posiadających wymaganych uprawnień.

Autoryzacja jest czynnością realizowaną przez punkt dostępu lub serwer dostępu, których zadaniem jest z kolei udzielenie lub nieudzielenie pozwolenia na realizację usługi żądanej przez uwierzytelnionego użytkownika. Pozwolenie to uzależnione jest od profilu użytkownika, to znaczy - od definicji określającej, z jakich usług może on korzystać.

Rejestracja raportów polega na rejestracji akcji użytkowników związanych z dostępem do sieci - śledzenie raportów pozwala na dynamiczne reagowanie administratorów na niepokojące zdarzenia w sieci.

Podstawowym zabezpieczeniem sieci bezprzewodowej przed nieautoryzowanym dostępem jest lista adresów MAC (ang. Media Access Control) zapisana w punkcie dostępu oraz identyfikator ESSID (ang. Extended Service Set ID). Adres MAC jest unikalnym adresem przypisanym do karty sieciowej, natomiast identyfikator ESSID jest nazwą podsieci zapisaną w punkcie dostępu (jeden punkt dostępu może obsłużyć kilka podsieci). Tak więc dostęp do sieci bezprzewodowej uzyskują tylko komputery znające identyfikator ESSID i wyposażone w karty sieciowe, których adresy MAC znajdują się na liście w punkcie dostępu. Punkty dostępu mają domyślnie włączoną opcje rozgłaszania identyfikatorów ESSID w formie specjalnych ramek (tzw. beacon packets) w cyklicznym ruchu rozgłoszeniowym, co jest znacznym ułatwieniem w uzyskaniu nieautoryzowanego dostępu do sieci.

Protokół WEP - więcej wad niż zalet

Główną funkcją zdefiniowanego w standardzie 802.11 protokołu WEP (ang. Wired Eqivalent Protocol) jest ochrona transmisji przed wszelkiego rodzaju nieautoryzowanym "podsłuchem". W większości urządzeń włączenie WEP powoduje spadek wydajności transmisji o 10-15 procent, co jest jedną z przyczyn jego małej popularności.

Rys. 1. Algorytm szyfrowania danych zdefiniowany w standardzie 802.11.

Rys. 1. Algorytm szyfrowania danych zdefiniowany w standardzie 802.11.

Protokół WEP oparty jest na współdzielonym kluczu szyfrującym o długości 40 lub 104 bitów oraz 24-bitowym wektorze inicjującym IV (ang. Initialization Vector). Klucz wraz z wektorem inicjującym tworzą sekwencje szyfrująca otrzymaną w wyniku realizacji, opracowanego przez firmę RSA Data Security, algorytmu RC4. Sekwencja szyfrującą jest XORowana (ang. eXcusive OR - suma modulo 2) danymi niezaszyfrowanymi, tworząc zaszyfrowany strumień danych. Przed wysłaniem pakietu danych obliczane są bity cyklicznej kontroli nadmiarowości CRC-32 (ang. Cycling Redundancy Check), pozwalające skontrolować integralność pakietu. Mechanizm szyfrowania danych poprzez protokół WEP przedstawia rysunek 1.

Standard nie określa sposobu zarządzania kluczem szyfrującym, który musi być taki sam na karcie bezprzewodowej oraz punkcie dostępu. Manualne ustawianie klucza jest kłopotliwe, zwłaszcza w przypadku większej liczby użytkowników sieci.

Inną słabością algorytmu WEP jest fakt, że wykorzystuje on 24-bitowy wektor inicjalizacji. Liczba możliwych wektorów jest mała. Oznacza to, że ten sam klucz strumieniowy zostanie ponownie użyty po stosunkowo krótkim czasie. W obciążonym punkcie dostępowym, czas pomiędzy ponownym użyciem tego samego klucza wynosi około 5 godzin. Jeżeli zmniejszeniu ulegnie wielkość pakietów, czas ten może się zmniejszyć - pozwala to atakującemu zgromadzić dwie wiadomości, które zostały zaszyfrowane tym samym kluczem strumieniowym i wykorzystać metody statystyczne do odszyfrowania wiadomości. Jeżeli wszystkie ruchome węzły korzystają z tego samego klucza, szansa kolizji wektorów inicjalizacji silnie wzrasta. W standardzie 802.11 nie określono konieczności zmiany wektorów inicjalizacji przy każdym wysyłanym pakiecie, oznacza to, że kolejne wiadomości mogą być szyfrowane tą samą sekwencją szyfrującą, co znacznie ułatwia odszyfrowanie wiadomości.

Kolejną wadą protokołu WEP jest implementacja kontroli nadmiarowości CRC. Problemem jest fakt, że jest ona liniowa, a więc możliwe jest obliczenie różnicy bitowej dwóch CRC, opierając się na różnicy bitowej pakietów. Postępowanie takie pozwala atakującemu określić, który bit kodu CRC-32 należy poddać korekcji, by zmieniając bity w pakiecie, tak zmodyfikowany pakiet wydawał się prawidłowy.

Uwierzytelnianie, czyli 802.1X

Standardy IEEE

Standardy IEEE

802.1X jest standardem IEEE uwierzytelnionego dostępu do przewodowych sieci Ethernet i bezprzewodowych sieci 802.11. Standard IEEE 802.1X podwyższa poziom zabezpieczeń i ułatwia ich wdrażanie, oferując obsługę scentralizowanej identyfikacji użytkowników, uwierzytelniania, dynamicznego zarządzania kluczami i księgowania.

Obsługa typów protokołu uwierzytelniania rozszerzonego EAP (ang. Extensible Authentication Protocol), którą zapewnia standard 802.1X, umożliwia wybór metody uwierzytelniania klientów i serwerów bezprzewodowych spośród kilku różnych metod.

Uwierzytelnianie EAP

W standardzie 802.1X protokół EAP jest używany do wymiany komunikatów podczas procesu uwierzytelniania. Protokół EAP umożliwia korzystanie z dowolnej metody uwierzytelniania, np. certyfikatów, kart inteligentnych lub poświadczeń. Protokół EAP zezwala na nieograniczoną konwersację między klientem EAP (np. komputerem bezprzewodowym) a serwerem EAP (np. serwerem usługi uwierzytelniania internetowego IAS (ang. Internet Authentication Service)). Na konwersację składają się żądania wysyłane przez serwer, które dotyczą podania informacji uwierzytelniających, oraz odpowiedzi wysyłane przez klienta. Aby uwierzytelnienie powiodło się, klient i serwer muszą korzystać z tej samej metody uwierzytelniania.

Uwierzytelnianie EAP-TLS

Protokół EAP-TLS (ang. Transport Layer Security) jest typem protokołu EAP, który jest używany w środowiskach zabezpieczeń opartych na certyfikatach i stanowi najsilniejszą metodę uwierzytelniania i ustalania klucza. Protokół EAP-TLS zapewnia uwierzytelnianie wzajemne, negocjowanie metody szyfrowania oraz ustalanie zaszyfrowanego klucza między klientem a serwerem uwierzytelniającym. Aby korzystać z certyfikatów i kart inteligentnych do uwierzytelniania użytkowników i komputerów klienckich, należy użyć protokołu EAP-TLS lub, w celu podwyższenia poziomu zabezpieczeń, chronionego protokołu EAP (PEAP, ang. Protected EAP) z protokołem EAP-TLS.

Uwierzytelnianie EAP-MS-CHAP v2

Protokół EAP-MS-CHAP v2 (ang. EAP-Microsoft Challenge Handshake Authentication Protocol version 2) stanowi metodę uwierzytelniania wzajemnego, która obsługuje uwierzytelnianie użytkowników i komputerów na podstawie haseł. Aby proces uwierzytelniania przy użyciu protokołu EAP-MS-CHAP v2 zakończył się powodzeniem, zarówno serwer, jak i klient, muszą udowodnić, że znają hasło użytkownika. Po pomyślnym uwierzytelnieniu za pomocą protokołu EAP-MS-CHAP v2 użytkownicy mogą zmieniać hasła, a po utracie ich ważności otrzymują stosowne powiadomienie.

Uwierzytelnianie PEAP

Chroniony protokół EAP (PEAP) stanowi metodę uwierzytelniania, która w celu podniesienia poziomu zabezpieczeń innych protokołów uwierzytelniania EAP korzysta z szyfrowania TLS. Chroniony protokół EAP (PEAP) ma następujące zalety:

  • kanał szyfrowania do ochrony metod EAP uruchamianych z wnętrza metod PEAP

  • dynamiczny materiał na klucze wygenerowany algorytmem TLS

  • szybkie ponowne łączenie (możliwość ponownego połączenia z punktem dostępu bezprzewodowego przy użyciu zbuforowanych kluczy sesji, które umożliwiają szybkie przekazywanie połączenia między punktami dostępu bezprzewodowego) oraz uwierzytelnianie serwera, które może służyć do ochrony przed rozmieszczeniem nieautoryzowanych punktów dostępu bezprzewodowego.
Wybierając metodę uwierzytelniania, trzeba znaleźć kompromis między wymaganym poziomem zabezpieczeń, a czasochłonnością ich wdrożenia. Aby zapewnić najwyższy poziom zabezpieczeń - wybierz protokół PEAP z certyfikatami (EAP-TLS). Aby maksymalnie ułatwić wdrażanie - wybierz protokół PEAP z hasłami (EAP-MS-CHAP v2).


Zobacz również