Zabezpieczanie sieci bezprzewodowych

Tuż po zainstalowaniu wiele sieci bezprzewodowych nie posiada żadnych mechanizmów obrony przed atakami z zewnątrz. Jeżeli nie chcesz gościć intruzów w swojej sieci, musisz przestrzegać kilku podstawowych reguł.

Tuż po zainstalowaniu wiele sieci bezprzewodowych nie posiada żadnych mechanizmów obrony przed atakami z zewnątrz. Jeżeli nie chcesz gościć intruzów w swojej sieci, musisz przestrzegać kilku podstawowych reguł.

Nawet jeśli lubisz ryzyko i zwykle dopisuje ci szczęście, bezpieczeństwo w sieci bezprzewodowej z pewnością nie należy do tych dziedzin, w których można zaoszczędzić pracy czy nakładów, a ryzyko opłaca się w jakikolwiek sposób.

Nie ma wyjścia - uszczelniamy sieć

Jeżeli właściciel sieci WLAN zrezygnuje z jej zabezpieczenia przed nieuprawnionymi użytkownikami, może to mieć dla niego drastyczne konsekwencje - od utraty osobistych danych, przez straty finansowe, aż po odpowiedzialność karną.

Wariant minimalistyczny - szyfrowanie WEP zapewnia jedynieminimalny poziom ochrony przed intruzami (punkt 2.3).

Wariant minimalistyczny - szyfrowanie WEP zapewnia jedynieminimalny poziom ochrony przed intruzami (punkt 2.3).

Firmy, które niedostatecznie chronią swoje sieci bezprzewodowe, ryzykują, że włamywacze uzyskają dostęp do sieci firmowej i wykradną lub zniszczą cenne dane. Firma ubezpieczeniowa może w takim przypadku odmówić wypłaty odszkodowania, uzasadniając to brakiem dostatecznej staranności. Wszelkie koszty utraty danych poniesie wówczas firma. Z poniesieniem kosztów musi liczyć się również ten, za pośrednictwem którego włamywacze uzyskali dostęp do sieci osoby trzeciej. Poszkodowany może skutecznie dochodzić odszkodowania od właściciela niedostatecznie zabezpieczonej sieci, jeżeli nie uda się wykryć rzeczywistych sprawców (zasada przeniesienia odpowiedzialności). Więcej na temat możliwych skutków złego zabezpieczenia sieci bezprzewodowej przeczytasz w artykule "Zagrożenia w sieci bezprzewodowej" na str. 20.

Ustawienia domyślne - zmień natychmiast

Oprogramowanie szpiegujące - specjalne programy, znane jakosniffery, tak długo przechwytują ruch danych w sieci, aż zgromadzą wystarczającą ilość danych do złamania szyfru WEP (punkt 2.3).

Oprogramowanie szpiegujące - specjalne programy, znane jakosniffery, tak długo przechwytują ruch danych w sieci, aż zgromadzą wystarczającą ilość danych do złamania szyfru WEP (punkt 2.3).

Jeżeli już zainstalowałeś sieć w jej podstawowej postaci i sprawdziłeś ją pod względem poprawności funkcjonowania (jak to zrobić, opisujemy w artykule "Instalacja sieci bezprzewodowej" na str. 15), powinieneś natychmiast podjąć wszelkie dostępne działania w celu zabezpieczenia jej przed dostępem intruzów.

Choć wszystkie routery i punkty dostępowe WLAN są wyposażone w różne zabezpieczenia, z niezrozumiałych względów większość producentów dostarcza je w stanie, który urąga wszelkim regułom bezpieczeństwa. Być może mogliby oni argumentować, że ułatwia to instalację, nie da się jednak zaprzeczyć, że jest to po prostu niebezpieczne.

Jeżeli zatem nie chcesz, by ktokolwiek w okolicy, wyposażony w notebook z kartą WLAN, mógł uzyskać dostęp do twojej sieci i buszować do woli w twoich zasobach, weź sobie do serca poniższe wskazówki.

To potrafią wszystkie urządzenia - szyfrowanie WEP

Absolutnie szczelne - przynajmniej na razie, szyfrowanie WPA nie daje hakerom żadnych szans na złamanie kodu. Niestety, WPA obsługują tylko najnowsze urządzenia (punkt 2.4).

Absolutnie szczelne - przynajmniej na razie, szyfrowanie WPA nie daje hakerom żadnych szans na złamanie kodu. Niestety, WPA obsługują tylko najnowsze urządzenia (punkt 2.4).

WEP to skrót od "Wired Equivalent Privacy", czyli w swobodnym tłumaczeniu "prywatność, jak w sieciach kablowych". Szyfrowanie WEP zostało zatem stworzone z myślą o zapewnieniu takiego poziomu ochrony przed intruzami, jaki zapewnia kabel ethernetowy w sieciach kablowych. Cała transmisja między stacją bazową a zalogowanymi klientami jest szyfrowana z użyciem hasła, które użytkownik musi wprowadzić zarówno w nadajniku, jak i w odbiorniku. Dopiero wówczas dane mogą być poprawnie odszyfrowane. Ma to uniemożliwić przechwytywanie danych przez osoby nieuprawnione poprzez zwykłe podsłuchiwanie ruchu w sieci. Ponieważ szyfrowanie WEP jest częścią standardu IDEE 802.11 (zob. artykuł na str. 24 "Najważniejsze standardy WLAN"), wszelkie dostępne na rynku zgodne ze standardem urządzenia muszą obsługiwać połączenia szyfrowane metodą WEP.

Dwa warianty

Definicja standardu IDEE 802.11 przewiduje dwa warianty WEP: WEP64 z kluczem o długości 64 bitów oraz silniejszą wersję WEP128 z kluczem o długości 128 bitów. Dla wariantu 128-bitowego obliczono, że złamanie szyfru metodą brutalnej siły w tempie 3500 kluczy na sekundę trwałoby do 18 x 1019 lat. Brzmi to niesłychanie uspokajająco i bardzo wiarygodnie. Niestety, to tylko teoria.

Łatwe do przechytrzenia

Otwarta sieć WLAN - najwidoczniej ktoś zapomniał zmienić SSID (punkt 2.5).

Otwarta sieć WLAN - najwidoczniej ktoś zapomniał zmienić SSID (punkt 2.5).

W rzeczywistości szyfrowanie WEP okazało się bardzo łatwe do przechytrzenia. Technicy z laboratoriów firmy AT&T dowiedli już w sierpniu 2001 r., że klucz WEP można stosunkowo łatwo złamać w drodze analizy przesyłanych pakietów danych (www.cs.rice.edu/~astubble/wep). W Internecie można znaleźć narzędzia, które umożliwiają złamanie szyfru WEP w ciągu ok. 20 minut.

Z tego powodu niektórzy producenci zaczęli stosować w swoich urządzeniach dodatkowe, własne warianty WEP, z reguły bazujące na kluczu o długości 256 bitów, który jest odpowiednio trudniejszy do złamania. Niemniej, są to systemy specyficzne dla danego producenta, co oznacza, że takie urządzenia i karty nie współpracują z urządzeniami innych producentów. Z drugiej strony, w określonych, starannie przemyślanych przypadkach może to być element strategii ochrony przed intruzami.

Jeżeli już WEP, to z kluczem 128-bitowym

Jeżeli możesz zastosować tylko szyfrowanie WEP, wybierz wariant z kluczem 128-bitowym. W ten sposób stosujesz rozwiązanie będące kompromisem między bezpieczeństwem a kompatybilnością. Jeżeli zależy ci na bardziej wydajnej ochronie, sięgnij po bardziej skuteczne metody, np. WPA.

Jeżeli posiadasz urządzenia w standardzie 802.11b, który obecnie jest najbardziej rozpowszechniony, i tak nie masz innego wyjścia, gdyż ten sprzęt obsługuje tylko WEP. Starsze podzespoły, np. karty PC do notebooków, mogą w niektórych przypadkach obsługiwać zaledwie WEP64.

Tego typu przestarzałe karty powinieneś dla własnego bezpieczeństwa wymienić na nowsze modele z wersją WEP128. W większości stosunkowo nowych urządzeń jest możliwość wyboru między WEP64 a WEP128.

W stronę większego bezpieczeństwa - szyfrowanie WPA

Nadaj własną nazwę - koniecznie nadaj swojej sieci nazwę inną, niż domyślnie ustawiona przez producenta (Punkt 2.5).

Nadaj własną nazwę - koniecznie nadaj swojej sieci nazwę inną, niż domyślnie ustawiona przez producenta (Punkt 2.5).

Wobec słabości szyfrowania WEP odpowiedzialny za standard IEEE Institute of Electrical & Electronics Engineers postanowił opracować nowy standard o znacznie silniejszych mechanizmach zabezpieczeń ( http://www.ieee.org ). Nowa norma, nazwana 802.11i, ma być ratyfikowana w ciągu tego roku.

Z tego względu stowarzyszenie producentów urządzeń bezprzewodowych opracowało WPA, Wi-Fi Protected Access. Ten przejściowy standard charakteryzuje się wieloma ulepszeniami, przede wszystkim w kwestii stosowania kluczy. Wychodząc od określonego klucza początkowego, oprogramowanie zmienia sposób szyfrowania każdego wysyłanego pakietu danych (Temporal Key Integrity Protocol - TKIP). Takie postępowanie znakomicie utrudnia złamanie szyfru przez proste przechwytywanie danych.


Zobacz również