Bezpieczeństwo od podszewki

Zbigniew Bednarek, Łukasz Bigo Boli cię już głowa od tych wszystkich dziwnych akronimów typu "MAC" lub "WPA"? Nie wiesz, który algorytm jest najlepszy i czym się różni filtrowanie adresów od szyfrowania? Spróbujemy rozwiać twoje wątpliwości.


Zbigniew Bednarek, Łukasz Bigo Boli cię już głowa od tych wszystkich dziwnych akronimów typu "MAC" lub "WPA"? Nie wiesz, który algorytm jest najlepszy i czym się różni filtrowanie adresów od szyfrowania? Spróbujemy rozwiać twoje wątpliwości.

Z pewnością przejrzałeś nasz poprzedni artykuł i zwróciłeś uwagę na wykres. Zadasz sobie, być może, pytanie, dlaczego nie powiedzieliśmy o wbudowanych w router firewallach, skoro to najistotniejszy z elementów zabezpieczających domową sieć? Odpowiedź jest bardzo prosta: każde z przetestowanych urządzeń miało wbudowaną zaporę. Nasze testy penetracyjne nie wykazały w tym zakresie żadnych godnych uwagi anomalii - firewalle były solidne i skutecznie chroniły domową sieć.

Zupełnie inaczej wygląda sprawa mechanizmów broniących dostępu do WLAN - jeśli interesują cię szczegóły techniczne na temat stosowanych w Wi-Fi technologii, z pewnością przejrzysz nasze zestawienie. Opowiadamy w nim o poszczególnych algorytmach oraz o poziomie prywatności, który zapewniają. Nieco przewrotnie zaczynamy jednak od najważniejszego, naszym zdaniem, elementu, czyli od filtrowania adresów MAC.

Filtrowanie adresów MAC

Bezpieczeństwo od podszewki

D-Link DI-624 to router zgodny ze wszystkimi standardami zabezpieczania Wi-Fi.

Jedną z podstawowych metod odstraszenia nawet mimowolnych włamywaczy jest filtrowanie adresów MAC. To unikatowe dla każdego urządzenia sieciowego na świecie ciągi znaków. Dzięki ich odsiewaniu możemy dopuścić do (W)LAN tylko te komputery, które rzeczywiście powinny się w nim znajdować, czyli nasz domowy sprzęt. Nie wejdzie do niej żaden sąsiad.

Filtrowanie adresów MAC nie jest równoważne szyfrowaniu danych. Jeśli nie stosujesz WEP/WPA/WPA2, ktoś może stanąć pod twoim oknem z anteną i przechwycić informacje bez podłączania się do routera. Zdoła zgromadzić m.in. adresy MAC, a skąd już tylko krok do zmiany adresu na własnej karcie i podłączenia się do twojego WLAN!

Z doświadczenia wiemy, że podczas takiego ataku system wyświetla komunikat o konflikcie adresów IP, a nieświadomi użytkownicy dużo częściej uznają to za objaw awarii sprzętu niż podejrzewają włamanie.

Filtrowanie adresów MAC jest skuteczne tylko w połączeniu z szyfrowaniem danych.

WEP, czyli niespełnione obietnice

Bezpieczeństwo od podszewki

Algorytm protokołu WEP.

Zdefiniowany w specyfikacji 802.11 we wrześniu 1999 roku protokół WEP (Wired Equivalent Privacy) miał zapewnić poufność transmisji oraz zabezpieczyć infrastrukturę sieciową przed nieautoryzowanym wykorzystaniem. Niestety, okazał się łatwy do złamania.

Zasada działania protokołu WEP jest bardzo prosta. Na podstawie klucza, składającego się z 24 pseudolosowych bitów oraz 40 lub 104 bitów statycznych, generowany jest strumień bitów, za pomocą którego (podczas operacji XOR) wiadomości są szyfrowane. Tak zabezpieczone informacje przesyłane są w ramce danych, w której dodatkowo znajduje się wartość wektora inicjującego IV w postaci niezaszyfrowanej.

Dokładnie odwrotny proces odbywa się u odbiorcy. Na podstawie tych samych danych (klucz WEP, wektor IV) generowana jest sekwencja szyfrująca identyczna z tą, która posłużyła do zakodowania wiadomości. W wyniku ponownej operacji XOR odbiorca uzyskuje zrozumiałą dla niego informację.

Klucz WEP ma jeszcze jedno zastosowanie - podczas uwierzytelniania użytkownika w trybie Shared Authentication. Proces ten przebiega następująco:

  • Klient wysyła żądanie uwierzytelnienia do punktu dostępowego.
  • Punkt dostępowy w odpowiedzi wysyła do klienta wiadomość tekstową.
  • Klient, używając własnego klucza WEP, szyfruje otrzymaną wiadomość i odsyła ją wraz z użytym do szyfrowania wektorem IV do punktu dostępowego.
  • Punkt dostępowy odszyfrowuje otrzymaną wiadomość, wykorzystując do tego własny klucz WEP oraz otrzymany wektor IV, a następnie porównuje ją z wiadomością oryginalną (wysłaną). Jeżeli obie mają identyczną postać, uwierzytelnianie kończy się wynikiem pozytywnym i klient zostaje przyłączony do sieci.
  • Protokół WEP - choć zapewnia podstawowy poziom prywatności - ma wiele wad, z których najistotniejsze to:
  • Brak mechanizmu dynamicznego zarządzania kluczami; urządzenia sieciowe oferują możliwość zdefiniowania czterech kluczy WEP, jednak ich przełączenie wymaga ingerencji użytkownika.
  • Zastosowanie liniowej funkcji CRC-32 do kontroli integralności pakietu, co pozwala na modyfikację pakietu bez możliwości jej wykrycia.
  • Niewielka wartość wektora IV, co w praktyce oznacza, że ten sam wektor IV zostanie użyty w relatywnie krótkich odstępach czasu.
  • Brak wymogu zmiany wektora IV podczas transmisji kolejnego pakietu. W rezultacie dwa kolejne pakiety zostaną zaszyfrowane tym samym strumieniem szyfrującym.

WPA, czyli niestandardowe rozwiązanie

Mechanizm szyfrowania WPA jest jedynym rozwiązaniem niezdefiniowanym przez IEEE, a stosowanym przez niemal wszystkich producentów urządzeń Wi-Fi.

Podstawą identyfikacji użytkowników są standard 802.1x oraz protokół EAP (Extensible Authentication Protocol). Zdefiniowane zostały dwa tryby uwierzytelniania. W pierwszym, Enterprise, przeznaczonym do sieci korporacyjnych, uwierzytelnianie użytkowników odbywa się na serwerze RADIUS (Remote Authentication Dial-in User Service). Natomiast dla małych sieci domowych zdefiniowano tryb Personal z kluczem współdzielonym WPA-PSK (Pre-Shared Key), który wymaga jedynie podania hasła w opcjach konfiguracyjnych każdego z urządzeń tworzących sieć bezprzewodową Wi-Fi.

Szyfrowanie danych nadal oparte jest na algorytmie RC4, jednak klucz na podstawie którego generowana jest sekwencja szyfrująca, to już nie duet IV oraz WEP, lecz 128-bitowy klucz, dynamicznie generowany i rozprowadzany przez protokół TKIP (Temporal Key Integrity Protocol).

Kolejna nowość to kontrola integralności komunikatów MIC (Message Integrity Check), realizowana za pomocą zaawansowanych funkcji matematycznych, a nie prostego algorytmu CRC-32, przy czym MIC jest stosowane oprócz CRC-32, a nie zamiast niego.

WPA2, czyli bezpiecznie i zgodnie ze standardem Specyfikacja WPA stała się podstawą opracowania nowelizacji 802.11i. Zasadnicza zmiana w stosunku do specyfikacji WPA to rezygnacja z algorytmu RC4 na rzecz protokołu AES (Advanced Encryption Standard). Za zarządzanie kluczami i integralność komunikatów odpowiada pojedynczy składnik używający protokołu CCMP (Counter mode Cipher Block Chaining (CBC) - Message Authentication Code (MAC) Protocol).

Reasumując, mechanizmy zawarte w metodzie WPA2 gwarantują najwyższy poziom bezpieczeństwa przez uwierzytelnianie użytkowników, dobre szyfrowanie dynamicznie generowanym kluczem oraz kontrolę integralności przesyłanych danych.

Alfabet IEEE

Grupa robocza 802.11 zajmuje się bezprzewodowymi sieciami lokalnymi WLAN, które noszą nazwę Wi-Fi lub WiFi. Zakres i efekt jej prac przedstawia poniższe zestawienie.

  • IEEE 802.11 - standard sieci Wi-Fi definiuje dwie warstwy fizyczne z wykorzystaniem fal radiowych w paśmie 2,4 GHz (FHSS, DSSS) oraz jedną z wykorzystaniem podczerwieni, zapewnia szybkość transmisji danych 1 Mb/s oraz 2 Mb/s. Zatwierdzony w 1997 roku.
  • IEEE 802.11a - standard sieci Wi-Fi, definiuje warstwę fizyczną z wykorzystaniem fal radiowych w paśmie 5 GHz, zapewnia szybkość transmisji danych 54 Mb/s. Zatwierdzony w 1999 roku.
  • IEEE 802.11b - standard sieci Wi-Fi, definiuje warstwę fizyczną z wykorzystaniem fal radiowych w paśmie 2,4 GHz (DSSS), zapewnia szybkość transmisji danych 5,5 Mb/s oraz 11 Mb/s. Zatwierdzony w 1999 roku.
  • IEEE 802.11c - nowelizacja dotycząca zasady działania mostów między sieciami bezprzewodowymi (Wireless Bridge), zatwierdzona w 2001 roku.
  • IEEE 802.11d - nowelizacja określająca parametry użytkowe i wymagania, które sprawią że technologie bezprzewodowe zdefiniowane przez grupę roboczą 802.11 będą bez przeszkód stosowane w różnych krajach (tzw. multi-country roaming).Zatwierdzona w 2001 roku.
  • IEEE 802.11e - nowelizacja dotycząca zarządzania jakością usług QoS (Quality of Service), w tym inteligentnego zarządzania pakietami (Packet Bursting). Zatwierdzona w 2005 roku.
  • IEEE 802.11f - zalecenie na temat protokołu IAPP (Inter Access Point Protocol), służącego do roamingu w sieciach 802.11. Zatwierdzone w 2006 roku.
  • IEEE 802.11g - standard sieci Wi-Fi, definiuje warstwę fizyczną z wykorzystaniem fal radiowych w paśmie 2,4 GHz (OFDM), zapewnia szybkość transmisji danych 54 Mb/s. Zatwierdzony w 2003 roku.
  • IEEE 802.11h - specyfikacja określająca zarządzanie mocą nadawania TPC (Transmit Power Control) i dynamiczną selekcję częstotliwości DFS (Dynamic Frequency Selection) dla standardu 802.11a. Zatwierdzona w 2004 roku.
  • IEEE 802.11i - nowelizacja określająca mechanizmy bezpieczeństwa transmisji bezprzewodowej, zdefiniowana na podstawie WPA (Wi-Fi Protected Access). Zatwierdzona w 2004 roku.
  • IEEE 802.11j - nowelizacja zawierająca modyfikację warstwy fizycznej 802.11a na potrzeby Japonii. Zatwierdzona w 2004 roku.
  • IEEE 802.11k - nowelizacja opisująca sposób wymiany informacji administracyjnych między klientami i punktami dostępu. Niezatwierdzona.
  • IEEE 802.11l - niewykorzystana.
  • IEEE 802.11m - grupa robocza pracująca nad poprawieniem błędów w dotychczas zatwierdzonych standardach i nowelizacjach.
  • IEEE 802.11n - standard sieci Wi-Fi, definiujący warstwę fizyczną z wykorzystaniem fal radiowych w paśmie 2,4 GHz (MIMO). Zapewnia szybkość transmisji danych ponad 100 Mb/s. Niezatwierdzony.
  • IEEE 802.11o - niewykorzystana.
  • IEEE 802.11p - nowelizacja określająca zasady pracy sieci Wi-Fi w środkach komunikacji (autobusy, samoloty itp.). Niezatwierdzona.
  • IEEE 802.11q - niewykorzystana.
  • IEEE 802.11r - nowelizacja definiująca tzw. szybki roaming, usługę szczególnie istotną dla aplikacji VoIP w sieciach bezprzewodowych. Niezatwierdzona.
  • IEEE 802.11s - nowelizacja definiująca nową architekturę sieci, tzw. kratę (mesh network), która ma zapewnić dużą odporność na awarie sieci. Niezatwierdzona.
  • IEEE 802.11T - nowelizacja określająca procedury pomiaru wydajności sieci Wi-Fi. Niezatwierdzona.
  • IEEE 802.11u - grupa robocza pracująca nad zasadami współpracy sieci Wi-Fi z innymi sieciami (np. telefonii komórkowej). Niezatwierdzona.
  • IEEE 802.11v - nowelizacja definiująca mechanizmy zarządzania siecią Wi-Fi. Niezatwierdzona.
  • IEEE 802.11w - nowelizacja określająca mechanizmy bezpieczeństwa ramek zarządzających i sterujących siecią Wi-Fi. Niezatwierdzona.
  • IEEE 802.11x - niewykorzystana.
  • IEEE 802.11y - nowelizacja warstwy fizycznej sieci Wi-Fi, definiująca warstwę fizyczną z wykorzystaniem fal radiowych w paśmie 3,65-3,70 GHz na potrzeby Stanów Zjednoczonych. Niezatwierdzona.