Bezpiecznie i bezprzewodowo

Tuż po zainstalowaniu wiele sieci bezprzewodowych nie ma żadnych mechanizmów obrony przed atakami z zewnątrz. Jeżeli nie chcesz gościć intruzów w swojej sieci, musisz przestrzegać kilku podstawowych reguł.

Nawet jeśli lubisz ryzyko i zwykle dopisuje ci szczęście, bezpieczeństwo w sieci bezprzewodowej z pewnością nie jest dziedziną, w której można oszczędzić pracy czy nakładów, a ryzyko opłaca się w jakikolwiek sposób.

Nie ma wyjścia - uszczelniamy sieć

Jeżeli właściciel sieci Wi-Fi zrezygnuje z jej zabezpieczenia przed nieuprawnionymi użytkownikami, może to mieć dla niego bardzo przykre konsekwencje - od utraty osobistych danych, przez straty finansowe, aż po odpowiedzialność karną.

Przedsiębiorstwa, które niedostatecznie chronią swoje sieci bezprzewodowe, ryzykują, że włamywacze wykradną lub zniszczą cenne dane. Firma ubezpieczeniowa może w takim wypadku odmówić wypłaty odszkodowania, uzasadniając to brakiem dostatecznej staranności. Wszelkie koszty utraty danych poniesie wówczas przedsiębiorstwo. Z podobnymi konsekwencjami musi się liczyć również ten, za czyim pośrednictwem włamywacze uzyskali dostęp do sieci osoby trzeciej. Poszkodowany może skutecznie dochodzić odszko-dowania od właściciela niedostatecznie zabezpieczonej sieci, jeżeli nie uda się wykryć rzeczywistych sprawców (zasada przeniesienia odpowiedzialności). A chętnych do włamywania się do sieci bezprzewodowych nie brakuje, bo przecież wystarczy wsiąść z notebookiem do samochodu i wybrać się na łowy po mieście.

Ustawienia domyślne - zmień natychmiast

Jeżeli już zainstalowałeś sieć w jej podstawowej postaci i sprawdziłeś, czy funkcjonuje poprawnie, powinieneś natychmiast zabezpieczyć ją przed intruzami.

Choć wszystkie routery i punkty dostępowe Wi-Fi są wyposażone w różne zabezpieczenia, z niezrozumiałych względów większość producentów dostarcza je w stanie, który urąga wszelkim regułom bezpieczeństwa. Często argumentują, że ułatwia to instalację, nie da się jednak zaprzeczyć, że jest po prostu niebezpieczne.

Jeżeli zatem nie chcesz, żeby ktokolwiek w okolicy, wyposażony w notebook z kartą Wi-Fi, mógł uzyskać dostęp do twojej sieci i buszować do woli w twoich zasobach, weź sobie do serca poniższe wskazówki.

To potrafią wszystkie urządzenia - szyfrowanie WEP

WEP to skrót od Wired Equivalent Privacy, co w swobodnym tłumaczeniu oznacza "prywatność, jak w sieciach kablowych". Szyfrowanie WEP ma zatem zapewniać taki poziom ochrony przed intruzami, jaki oferuje kabel ethernetowy w sieciach kablowych. Cała transmisja między stacją bazową a zalogowanymi klientami jest szyfrowana z użyciem hasła, które użytkownik musi wprowadzić zarówno w nadajniku, jak i w odbiorniku. Dopiero wówczas dane mogą być poprawnie odszyfrowane. Ma to uniemożliwić nieuprawnionym osobom ich przechwytywanie przez zwykłe podsłuchiwanie ruchu w sieci. Ponieważ szyfrowanie WEP jest częścią standardu IEEE 802.11, muszą je obsługiwać wszelkie dostępne na rynku urządzenia zgodne z tym standardem.

Dwa warianty

Definicja standardu IEEE 802.11 przewiduje dwa warianty WEP: WEP64 z kluczem 64-bitowym oraz mocniejszą wersję, WEP128, z kluczem 128-bitowym. Obliczono, że złamanie szyfru WEP128 metodą siłową (brute force) w tempie 3500 kluczy na sekundę trwałoby do 18 x 1019 lat. Brzmi to niesłychanie uspokajająco i bardzo wiarygodnie. Niestety, jest tylko teorią.

Łatwe do przechytrzenia

W rzeczywistości szyfrowanie WEP okazało się bardzo łatwe do przechytrzenia. Technicy z laboratoriów firmy AT&T dowiedli już w sierpniu 2001 roku, że klucz WEP można stosunkowo łatwo złamać metodą analizy przesyłanych pakietów danych. W Internecie można znaleźć narzędzia, które umożliwiają złamanie szyfru WEP w ciągu mniej więcej 20 minut.

Z tego powodu niektórzy producenci zaczęli stosować dodatkowe, własne warianty WEP, z reguły oparte na kluczu 256-bitowym, z którym odpowiednio trudniej sobie poradzić. Są to systemy specyficzne dla danego producenta, co oznacza, że takie urządzenia i karty nie współpracują z urządzeniami innych producentów, ale w ściśle określonych wypadkach może to być element strategii ochrony przed intruzami.

Jeżeli WEP, to z kluczem 128-bitowym

Jeżeli możesz zastosować tylko szyfrowanie WEP, wybierz wariant z kluczem 128-bitowym. W ten sposób stosujesz rozwiązanie będące kompromisem między bezpieczeństwem a kompatybilnością. Jeżeli zależy ci na bardziej wydajnej ochronie, sięgnij po skuteczniejsze metody, np. WPA.

Jeżeli twoje urządzenia pracują w standardzie 802.11b, i tak nie masz innego wyjścia, gdyż obsługują tylko WEP. Starsze podzespoły, np. karty PC do notebooków, mogą w niektórych wypadkach obsługiwać zaledwie WEP64. Tego typu przestarzałe karty powinieneś dla własnego bezpieczeństwa wymienić na nowsze modele, z wersją WEP128. W większości stosunkowo nowych urządzeń jest możliwość wyboru między WEP64 a WEP128.

W stronę większego bezpieczeństwa - szyfrowanie WPA

Wobec słabości szyfrowania WEP odpowiedzialny za standard IEEE Institute of Electrical & Electronics Engineers (www.ieee.org) postanowił opracować nowy standard, o znacznie lepszych mechanizmach zabezpieczeń. Nowa norma otrzymała nazwę 802.11i. Z tego względu stowarzyszenie producentów urządzeń bezprzewodowych opracowało WPA, Wi-Fi Protected Access. Ten przejściowy standard charakteryzuje się wieloma ulepszeniami, przede wszystkim w kwestii stosowania kluczy. Wychodząc od określonego klucza początkowego, oprogramowanie zmienia sposób szyfrowania każdego wysyłanego pakietu danych (Temporal Key Integrity Protocol - TKIP).

To bardzo utrudnia złamanie szyfru metodą prostego przechwytywania danych.

Uaktualnij firmware

Jedynie najnowsze urządzenia WLAN już w chwili dostawy obsługują WPA. Jeżeli twój sprzęt ma już kilkanaście miesięcy, uaktualnij wbudowane oprogramowanie i zmodernizuj aplikacje konfiguracyjne. Użytkownikom Windows XP radzimy również zainstalowanie poprawki Rollup Package do połączeń bezprzewodowych, która eliminuje niektóre problemy i błędy pierwszej implementacji WPA (http:// support.microsoft.com/?kbid= 826942 ).

Punkty dostępowe z obsługą WPA oferują ponadto tzw. mixed mode, który umożliwia pracę w sieci zarówno klientom WPA, jak i WEP. Jednak w tym wypadku poziom bezpieczeństwa całej sieci spada do poziomu WEP. Taki tryb pracy należy traktować jako przejściowy i jak najszybciej doprowadzić wszystkie urządzenia do poziomu WPA.

Jeśli w sieci WLAN są przesyłane ważne dane, które nie powinny wydostać się na zewnątrz, oprócz włączenia szyfrowania rozważ niezależne od tego tunelowanie VPN, wykorzystujące sprawdzony, bezpieczny protokół IPsec.

Własna nazwa sieci - zmień SSID

Wszystko ma swoją nazwę, a więc i sieć WLAN. Aby nawiązać z nią kontakt, musisz znać SSID (Service Set Identifier). Kto nie zna SSID, nie włączy się do sieci. Niestety, nie-mal wszystkie punkty dostępowe WLAN domyślnie akceptują jako nazwę sieci "any" (dowolna) albo przeciwnie - wysyłają tę nazwę swobodnie w świat. To tak, jakby stacja bazowa wysyłała do każdego notebooka, który przypadkiem znajdzie się w pobliżu, następujący komunikat: "Hej, tu jest sieć WLAN. Zajrzyj do nas. Nazywam się DEFAULT." Każdy producent ma nieco odmienny sposób postępowania. Niektórzy stosują "any", inni wysyłają nazwę sieci do otoczenia, niektórzy robią jedno i drugie. Bywają też inne kombinacje.

Wyłącz rozgłaszanie

Powinieneś zatem wykonać jak najszybciej dwie czynności. Aby przynajmniej utrudnić potencjalnym intruzom wtargnięcie do sieci, wyłącz raz na zawsze funkcję rozgłaszania nazwy sieci. W większości punktów dostępowych jest to bardzo proste; wystarczy zaznaczyć odpowiednią opcję w konfiguracji. Najczęściej nazywa się ona "Sieć zamknięta" lub podobnie.

Korzyść jest taka, że odtąd uzyskanie dostępu do sieci wymaga znajomości jej dokładnej nazwy. To znacznie utrudni życie wardriverom, czyli hakerom wyposażonym w notebooki i przemierzającym okolicę w poszukiwaniu otwartych sieci WLAN.