2008.07-08_Bezpieczeństwo sieci Wi-Fi_[Bezpieczenstwo].pdf

Bezpieczeństwo

Bezpieczeństwo sieci Wi-Fi

Bezpieczeństwo

Grzegorz Madajczak

Mam taką rozrywkę – biorę swojego laptopa, i chodzę po osiedlu szukając sieci bezprzewodowych. Jak

już znajdę, to przeszukuję je pod kątem zabezpieczeń. Zawsze znajdzie się kilka niezabezpieczonych.

Kolejnym krokiem jest znalezienie sieci bez iltrowania adresów MAC. Wtedy to siadam sobie w zasięgu

sieci, łączę się z nią i patrzę co tym razem mam za darmo...

tkamy kilka sieci bezprzewodowych

– prywatnych lub też mniej lub bar-

dziej ogólnie dostępnych. Pomimo po-

wszechności sieci Wi-Fi chyba niewiele osób zdaje so-

bie sprawę jak niebezpieczna jest to usługa... Aby wła-

mać się do sieci bezprzewodowej wystarczy laptop z kar-

tą Wi-Fi i trochę umiejętności. W tym artykule nie mam

jednak zamiaru pisać, w jaki sposób włamywać się do

sieci lecz w jaki sposób bronić się przed włamaniem.

Myślę że większości użytkowników jest to temat zdecy-

dowanie bliższy...

ne, czy nawet pieniądze. Dlatego też warto wiedzieć, jak

zabezpieczyć się przed włamaniami do sieci bezprzewo-

dowych.

Podstawową sprawą w zabezpieczaniu sieci bez-

przewodowej jest właściwy dobór sprzętu – Access Po-

inta , który teoretycznie powinien swoim zasięgiem po-

kryć cały interesujący nas teren i ani kawałka więcej. Je-

śli zasięg sieci ograniczymy do terytorium np. naszego

mieszkania, czy posesji, to wiadomo, że każdy, kto bę-

dzie chciał z niej skorzystać – musi fizycznie się tam

znaleźć.

Sprawa jednak nie jest taka prosta. Przede wszyst-

kim bardzo trudno jest wyznaczyć zasięg sieci bezprze-

wodowej w budynku. Podawane przez producenta para-

metry zasięgu dotyczą wolnej przestrzeni. W pomiesz-

czeniach mamy do czynienia z takimi zjawiskami, jak

tłumienie, czy odbicie sygnału oraz z szumem gene-

rowanym przez inne urządzenia nadawczo odbiorcze,

choć teoretycznie sieci o częstotliwości 2,4 GHz (stan-

dard WLAN) powinny być na nie odporne. Tak więc

chcąc objąć całe mieszkanie, czy posesją zasięgiem sie-

ci Wi-Fi, musimy się liczyć z tym, że podzielimy się sy-

ABC sieci bezprzewodowych

Najczęstszym przypadkiem sieci bezprzewodowej jest

mała sieć domowa, która składa się z routera WLAN bę-

dącego punktem dostępowym (ang. Access Point – AP )

i komputera klienta – zwykle laptopa. Właśnie takie sie-

ci padają najczęściej ofiarą włamań. Pal diabli, jeśli po-

lega ono tylko na tym, że ktoś za darmo korzysta z do-

stępu do internetu. W najgorszej sytuacji możemy bo-

wiem stracić zdecydowanie więcej – cenne dla nas da-

lipiec/sierpień 2008

sieci Wi-Fi

W dużych miastach na każdym kroku spo-

Bezpieczeństwo

Bezpieczeństwo sieci Wi-Fi

gnałem z sąsiadami. Dlatego musimy włą-

czyć inne metody zabezpieczania sieci bez-

przewodowej. Istnieje kilka prostych zasad,

których przestrzeganie pozwoli zwiększyć

bezpieczeństwo naszej sieci.

Po pierwsze należy zmienić fabryczne

ustawienia naszego bezprzewodowego ru-

tera, który zwykle skonfigurowany jest tak,

aby po podłączeniu od razu można było z

niego skorzystać.

Łatwość uruchomienia przy fabrycz-

nych ustawieniach okupiona jest jednak

brakiem jakichkolwiek zabezpieczeń.Dla-

tego natychmiast po uruchomieniu urządze-

nia powinniśmy zabrać się do jego konfigu-

racji. Postaram się zwrócić uwagę na naj-

ważniejsze elementy konfiguracji każde-

go routera bezprzewodowego, AccesPoin-

ta – wspólne dla wszystkich tego typu urzą-

dzeń, niezależnie od producenta.

Jakże standardowym błędem początku-

jących jest pozostawienie IP routera na fa-

brycznych ustawieniach, np. 192.168.0.0 .

Jeśli zmienimy ten adres, na jakikolwiek

inny dozwolony przez router, domorosłe-

mu początkującemu włamywaczowi będzie

nieco trudniej włamać się do panelu konfi-

guracyjnego AP , poznać nasze ustawienia i

namieszać.

Oprócz IP, które i tak można podsłu-

chać z użyciem powszechnie dostępnych

programów, koniecznie należy zmienić ha-

sło administratora routera. Przy zmianie

hasła należy posługiwać się sprawdzony-

mi zasadamiznznymi z kryptografii, tj.: im

hasło jest dłuższe, tym trudniejsze do zła-

mania – powinno mieć długość minimum

osiem znaków, hasło nie powinno być po-

wszechnie używanym słowem, czy też co

gorsza kombinacją imienia i nazwiska użyt-

kownika – to pierwsze przyjdzie włamywa-

czowi do głowy,

najlepsze hasło to odpowiednio długa

kombinacja małych i dużych liter, cyfr i in-

nych znaków, np. generowane losowo przez

program komputerowy.

Chociaż hasło utworzone zgodnie z po-

wyższymi zasadami jest trudne do zapamię-

tania, to stanowi poważne utrudnienie dla

włamywacza. Ma to szczególne znaczenie

w przypadku haseł generowanych na po-

trzeby mechanizmów szyfrowania sieci.

Mogę przytoczyć opowieść z życia

wziętą, kiedy to pewien użytkownik sie-

ci bezprzewodowej, z powodu swej nie-

wiedzy, pozostawił na routerze hasło ad-

ministratora w postaci niezmienionej – fa-

brycznej. Gdy odkryłem ten fakt, w pierw-

szej chwili chciałem niczym ten złośliwy

chochlik namieszać mu w ustawieniach.

Zamiast tego odkryłem, do kogo należy

ów niezabezpieczony sprzęt i pomogłem

tak skonfigurować, aby był bezpieczniej-

szy. Musiałem wytłumaczyć mu również,

że udostępnianie dysku C:\ poprzez sieć

bezprzewodową nie jest najlepszym roz-

wiązaniem...

Aby zwiększyć bezpieczeństwo swo-

jej sieci, warto również w ustawieniach ro-

utera wyłączyć rozgłaszanie SSID ( Service

Set Identifier ) sieci. Normalnie informacja

o SSID dołączana jest do każdego pakietu

wysyłanych danych, gdyż wymagane jest,

aby wszystkie komputery z jednej sieci po-

sługiwały się tym samym SSID.

Ukrycie SSID utrudni więc włamywa-

czowi życie, gdyż w trakcie skanowania

dostępnych sieci, w ten sposób zabezpie-

czona pozostanie niezidentyfiowana. Me-

toda ta ma jednak zasadniczą wadę – nie-

możność natychmiastowego podłączenia

nowych urządzeń, np. laptopa kolegi, któ-

ry przyszedł do nas pograć np. w sieciową

strzelankę.

Prostym rozwiązaniem, znacząco pod-

noszącym bezpieczeństwo, jest włączenie

filtrowania adresów MAC ( Media Access

Control – niepowtarzalne na całym świe-

cie identyfikatory interfejsów sieciowych)

(Rysunek 1.). Włączenie filtrowania MAC

sprawi, że dostęp do naszej sieci uzyskają

tylko ściśle określone komputery – z puli

ściśle zdefiniowanych MAC. Należy jednak

pamiętać, iż dzięki programom podsłuchu-

jącym (sieć Wi-Fi) w prosty sposób możli-

we jest poznanie adresów MAC kompute-

rów komunikujących się w sieci. Od tego

zaś pozostał już tylko jeden krok do wła-

mania poprzez fałszowanie adresu MAC.

W związku z powyższym należy zastoso-

wać dodatkowo inne metody zabezpiecza-

nia sieci bezprzewodowej.

Szyfrowanie w sieci

Podstawowym mechanizmem zabezpiecze-

nia sieci bezprzewodowej standardu 802.11

(Tabela 1) przed nieautoryzowanym pod-

słuchem i dostępem do niej, jest mechanizm

szyfrowania WEP (z ang. Wired Equivalent

Privacy ). Jest to algorytm szyfrowania, któ-

ry posługuje się kluczami o wielkości 40

( WEP-40 ) lub 104 bity ( WEP-104 ), do któ-

rych w procesie wysyłania pakietu danych

dołączany jest wektor inicjujący (IV – In-

itialization Vector ) o wielkości 24 bitów,

skąd wzięły się popularne długości kluczy

szyfrujących 64 i 128 bitów. Klucze szyfru-

jące składają się z 10 (dla WEP-40 ) lub 26

znaków (dla WEP-104 ). Każdy znak repre-

Rysunek 1. Okno ustawień iltrowania adresów MAC w mojej sieci bezprzewodowej

www.lpmagazine.org

Bezpieczeństwo

Bezpieczeństwo sieci Wi-Fi

zentowany jest przez 4 bity, co daje odpo-

wiednio 40 i 104 bity klucza.

Wraz z szyfrowaniem WEP stosowa-

ne są zamiennie dwie metody uwierzytel-

niania: system otwarty ( Open System ) lub

system wspólnych kluczy ( Shared Keys ).

W pierwszym przypadku klient sieci bez-

przewodowej może zostać uwierzytelnio-

ny w Punkcie Dostępowym bez stosowania

algorytmu WEP. Po takim uwierzytelnieniu

klient wysyła i odbiera pakiety danych za-

szyfrowane algorytmem WEP. W przypad-

ku metody wspólnych kluczy, proces uwie-

rzytelniania przebiega w czterech etapach:

dzona w 2007 roku, kiedy to naukowcom

z Politechniki w Dramstadt udało się zła-

mać szyfrowanie WEP w mniej niż 1 minu-

tę. Dzięki zastosowaniu technik kryptogra-

ficznych zredukowali oni liczbę przechwy-

conych pakietów potrzebnych do przepro-

wadzenia skutecznego ataku. Przy 104-bi-

towym kluczu wystarczy już 40 tysięcy pa-

kietów, aby osiągnąć 50% prawdopodo-

bieństwo złamania klucza WEP. Przy prze-

chwyceniu 85 tys. pakietów prawdopodo-

bieństwo sięga już 95%. Choć przecięt-

ny użytkownik sieci bezprzewodowej nie

jest naukowcem, to zbliżone rezultaty mo-

że osiągnąć na domowym sprzęcie przy za-

stosowaniu powszechnie dostępnego w in-

ternecie oprogramowania. Dlatego też zde-

cydowanie odradzam szyfrowanie WEP, ja-

ko metodę zabezpieczania sieci Wi-Fi, na-

wet tej najmniejszej – domowej.

Niektóre urządzenia sieciowe stosu-

ją metodę wielu zamiennie stosowanych

kluczy WEP, co w założeniu ma popra-

wić bezpieczeństwo tego algorytmu szy-

frującego. W rzeczywistości metoda ta je-

dynie nieznaczne wydłuża czas potrzeb-

ny na złamanie kluczy szyfrujących.Jeśli

jednak popatrzy się na zabezpieczenia sie-

ci wokół nas, to odkryjemy, że WEP jest

nadal metodą powszechnie stosowaną. Wy-

nika to z trzech przyczyn. Pierwsza z nich

to oczywiście niewiedza posiadaczy (admi-

nistratorów) tychże sieci. Człowiek jest za-

wsze najsłabszym ogniwem w łańcuchu za-

bezpieczeń. Po drugie starszy i najtańszy

sprzęt nie oferuje nowszych, bardziej bez-

piecznych metod szyfrowania – dotyczy to

zwłaszcza bezprzewodowych kart siecio-

wych na Compact Flash, PCMCIA oraz

Exppress Card.

Tak więc posiadany hardware narzuca

konkretny model zabezpieczeń. Warto wte-

dy jednak jak najbardziej utrudnić życie wła-

mywaczowi stosując wszystkie opisane po-

wyżej metody zabezpieczeń sieci – niezależ-

ne od samego szyfrowania, a także zdeinio-

wać cztery odpowiednio długie i trudne klu-

cze WEP. Ostatnia przyczyna wynika z wady

wszystkich metod szyfrowania sieci Wi-Fi.

Ich zastosowanie zmniejsza prędkość przesy-

• Klient wysyła do AP żądanie uwierzy-

telniania.

• AP wysyła do klienta tekst niezakodo-

wany

• Klient odsyła tekst zakodowany przy

użyciu klucza WEP

• AP odszyfrowuje nadesłany tekst i po-

równuje go ze wzorcem i na podstawie

rezultatu porównania uwierzytelnia lub

nie.

Dopiero po tak przeprowadzonej autory-

zacji następuje podłączenie klienta do sie-

ci i wysyłka zaszyfrowanych pakietów da-

nych. Na pierwszy rzut oka, nie trzeba ni-

kogo przekonywać o wyższości uwierzytel-

niania metodą wspólnych kluczy, nad sys-

temem otwartym, czyli de facto brakiem

uwierzytelniania. Z drugiej jednak strony

podsłuchanie przesyłanego tekstu jawne-

go (drugi etap uwierzytelniania w metodzie

Shared Keys), potem zaś odpowiedzi klien-

ta – zaszyfrowanego tekstu sprawia, że wła-

mywacz ma podany na tacy klucz szyfru-

jący – bez najmniejszego wysiłku. Wystar-

czy, że przechwyci pierwsze cztery ramki

przesyłane pomiędzy AP, a klientem. Dla-

tego wbrew pozorom w celu poprawienia

bezpieczeństwa w sieciach z szyfrowaniem

WEP, zaleca się stosowanie uwierzytelnia-

nia w systemie otwartym.

Standard szyfrowania WEP obec-

nie uznany jest jako bało bezpieczny. Je-

go słabość została ostatecznie potwier-

��

�

��

Rysunek 2. Schemat mechanizmu MIC. Nadawca wysyła pakiet danych szyfrowany algorytmem Michael za

pomocą klucza, w wyniku czego powstaje 8 bajtów MAC. U odbiorcy dochodzi do porównania MAC nadesła-

nego i utworzonego lokalnie. Na tej podstawie podjęta zostaje decyzja o autentyczności pakietu

Tabela 1. Obowiązujące standardy w sieciach bezprzewodowych

Protokół Rok ogłoszenia Częstotliwość Maks. prędkość transmisji Maks. zasięg wewnątrz Maks. zasięg na zewnątrz

802.11a 1999 5 GHz

54 Mbit/s

~ 35 m

~ 120 m

802.11b 1999 2,4 GHz 11 Mbit/s

~ 38 m

~ 140 m

802.11g 2003 2,4 GHz 54 Mbit/s

~ 38 m

~ 140 m

802.11n 2009* 2,4 GHz, 5 GHz 300 Mbit/s (min. 100 Mbit/s) ~ 70 m

~ 250 m

* planowany termin ogłoszenia (standard już stosowany w wielu urządzeniach)

lipiec/sierpień 2008

Bezpieczeństwo

Bezpieczeństwo sieci Wi-Fi

łu danych w takiej sieci, a także zwiększa ob-

ciążenie procesora klienta (komputera podłą-

czonego do szyfrowanej sieci). Efekt ten wi-

doczny jest zwłaszcza na starszym sprzęcie

lub drobnych urządzeniach mobilnych pra-

cującym w sieciach z szyfrowaniem WPA

(więcej o nim za chwilę). Chcąc więc zwięk-

szyć przepustowość sieci, użytkownik (ad-

ministrator) decyduje się na mniej bezpiecz-

ne WEP. Problem ten całkowicie został wy-

eliminowany w sieciach pracujących we-

dług na razie nie obowiązującego oicjalnie

standardu 802.11n. Sieci pracujące wg tego

standardu zapewniają prędkość do 300 MB/s

przy szyfrowaniu WPA. W sklepach można

już kupić urządzenia Wi-Fi (routery, AP, kar-

ty sieciowe) obsługujące ten standard. Zda-

rza się również sytuacja, że urządzenia te nie

obsługują szyfrowania WEP, a jedynie WPA

i WPA2.

Znacznie wyższy poziom zabezpie-

czenia oferuje algorytm WPA ( Wi-Fi Pro-

tected Access ), który zgodnie z zalecenia-

mi powinien zastąpić wyżej opisany, ma-

ło bezpieczny system WEP. Z WPA moż-

na korzystać na dwa sposoby: w połączeniu

z serwerem autoryzacji, np. RADIUS (wię-

cej na ten temat w ramce Uwierzytelnianie

z serwerem RADIUS ), albo z kluczem PSK

( Pre-Shared Key ). Drugi ze sposobów, od-

powiedniejszy dla małych sieci domowych

wykorzystuje do uwierzytelniania hasła,

które wcześniej zostały wśród klientów sie-

ci rozpowszechnione w sposób zapewniają-

cy poufność. Metoda ta przypomina zna-

ne z kryptografii szyfrowanie kluczem sy-

metrycznym, gdzie dane są kodowane i de-

kodowane z użyciem identycznego klucza.

Tak więc bezpieczeństwo uwierzytelniania

zależy od siły szyfrowania użytego hasła,

które powinno być dobrane zgodnie z wy-

żej pisanymi zasadami.

W systemie WPA dane szyfrowane są

przy zastosowaniu szyfru strumienia danych

RC4 wykorzystującym 128-bitowy klucz

szyfrujący z 48-bitowym wektorem inicju-

jącym (IV). Jednak największa różnica po-

między WEP i WPA polega na użyciu w tym

drugim protokołu TKIP ( Temporal Key In-

tegrity Protocol ). Protokół ten poprzez ha-

szowanie (tworzenie szyfrowanego skrótu)

wektora inicjującego uniemożliwia jego nie-

uprawnione odczytanie. Ponadto TKIP wy-

musza generowanie nowych kluczy po każ-

dych 10 tys. przesłanych pakietów.

WPA zapewnia skuteczny system nad-

zoru nad integralnością przesyłanych da-

nych poprzez zastosowanie mechanizmu

MIC ( Message Integrity Code ). W wyniku

jego działania do pakietu przesyłanych da-

nych dodawanych jest 8 bajów kodu weryfi-

kującego (MAC – Message Authentication

Code ) do przesyłanego pakietu (Rysunek

2.). Dzięki takiemu podejściu chronione są

nie tylko same zaszyfrowane dane, lecz tak-

że nagłówek pakietu.

Rozwinięciem systemu szyfrowania

WPA jest protokół 802.11i, nazywany czę-

sto systemem WPA2. Wykorzystuje on ob-

ligatoryjne uwierzytelnianie w systemie

802.11x, a także protokół dynamicznej wy-

miany klucza szyfrującego – TKIP ( Tempo-

ral Key Integrity Protocol ). Dodatkowo spe-

cyikacja ta bazuje na silnym, dotychczas

nie złamanym algorytmie szyfrującym AES

( Advanced Encryption Standard ), który wy-

korzystuje klucze o długości 128, 192 i 256

bitów. Wadą tego rozwiązania są znaczne

wymagania co do mocy obliczeniowej urzą-

dzeń szyfrujących.

Standard 802.11x umożliwia uwierzy-

telnianie w sieci WLAN, ustanowienie po-

łączenia punkt-punkt, a także uniemożliwia

dostęp z określonego portu, jeśli uwierzy-

telnienie nie powiedzie się. Zgodnie z tym

protokołem, gdy klient (np. laptop) nawią-

zuje łączność z punktem dostępowym, urzą-

dzenia uzgadniają między sobą klucz PMK

(Pairwise Master Key) odwołując się do ser-

wera RADIUS lub do innego serwera uwie-

rzytelniania obsługującego protokół EAP

( Extensible Authentication Protocol ). Obie

strony (klient i serwer RADIUS) uzyskują

wtedy identyczne klucze, a serwer RADIUS

przekazuje ten klucz punktowi dostępu. Na-

stępnie klient i punkt dostępu wymieniają

między sobą komunikaty, noszące nazwę

four-way handshake, kiedy to dochodzi do

utworzenia nowego klucza – PTK ( Pairwi-

se Transient Key ). Klucz ten jest tworzony

na podstawie klucza PMK i świeżo wyge-

nerowanych przypadkowych kluczy, które

tworzą obie strony (klient i punkt dostępu).

Klucz PTK dzielony jest na kilka podklu-

czy: jeden jest używany do podpisywania

komunikatów four-way handshake , drugi

do ochrony pakietów transmitowanych mię-

dzy klientem i punktem dostępu oraz trze-

ci do kodowania klucza grupy ( group key ),

który jest udostępniany klientowi podczas

sesji four-way handshake.

Klucz grupy pozwala punktowi dostępu

generować i rozsyłać do wszystkich klientów

jeden pakiet rozgłoszeniowy, zamiast wysyłać

taki zakodowany pakiet wiele razy, za każdym

razem dostarczając go innemu klientowi. Pod-

��

�

Rysunek 3. Schemat działania uwierzytelnia z ser-

werem RADIUS. 1) Klient wysyła zapytanie do punk-

tu dostępowego. 2) Punkt dostępowy wysyła zapytanie

(MAC klienta + hasło) do serwera RADIUS. 3) Serwer

autoryzuje klienta lub nie. 4) Punkt dostępowy, zgodnie

z odpowiedzią serwera podłącza klienta lub odrzuca

��

Rysunek 4. Schemat działania VPN. Laptop wysyła dane z wirtualnego IP 10.0.0.1 do komputera o wirtual-

nym IP 10.0.0.2, przez interfejs /dev/lan/tun0. W rzeczywistości zaszyfrowane pakiety wędrują normalną sie-

cią przez interfejs /dev/wlan0 do /dev/eth0

www.lpmagazine.org

Bezpieczeństwo

Bezpieczeństwo sieci Wi-Fi

czas sesji four-way handshake klient i punkt

dostępu negocjują, jak będą kodować dane.

Obie strony negocjują dwa szyfry: szyfr paro-

wania (pairwise; używany dla pakietów uni-

cast – w transmisji typu stacja-stacja – wy-

mienianych między klientem i punktem do-

stępu); oraz szyfr grupy, używany dla ruchu

broadcast/multicast (pakiety rozsyłane w try-

bie stacja-wszystkie stacje lub stacja-wiele

stacji, które z punktu dostępu wysyła do wie-

lu klientów). O ile szyfr kodowania może być

negocjowany, o tyle standard 802.11i zawsze

używa 128-bitowego szyfrowania Advanced

Encryption Standard (AES).

W środowisku opartym wyłącznie na

standardzie 802.11i, szyfr AES jest najczę-

ściej używany do kodowania zarówno klucza

parowania, jak i klucza grupy.

Dodatkową zaletą protokołu 802.11i jest

wprowadzenie roamingu, czyli przełącza-

nie klienta z jednego punktu dostępu na na-

stępny. Roaming w sieciach Wi-Fi jest spo-

tykany w przypadku infrastruktury zbudowa-

nej na podstawie więcej niż jednego AP. Sy-

tuację taką możemy wyobrazić sobie np. w

wielokondygnacyjnym, rozległym budynku

irmy, gdzie na każde piętro przypada jeden

(lub więcej) AP.

Chcąc zapewnić sprawne przełączanie

się z AP do AP, należy wprowadzić w takiej

sieci roaming. W przeciwnej sytuacji, klient

musiałby za każdym razem, przy przecho-

dzeniu z jednego AP do drugiego powtarzać

procedurę uwierzytelniania 802.1x, co wma-

gałoby chwilowego odłączenia od sieci.

W przypadku 802.11i jest inaczej – gdy

klient wraca do punktu dostępu, na których

był już uwierzytelniony, może wykorzystać

ponownie klucz PMK ustanowiony przez ten

punkt dostępu, po to aby ominąć procedurę

uwierzytelniania 802.1x i zainicjować tylko

sesję four-way handshake. Dlatego procedura

przełączania klienta z jednego punktu dostę-

pu na kolejny przebiega dużo szybciej.

Dodatkowo klient może się wstępnie uwie-

rzytelnić na nowym punkcie, na który ma za-

miar przełączyć się, wymieniając jednocześnie

cały czas dane ze starym punktem dostępu.

Krótko mówiąc mamy do czynienia z

sytuacją, jak w telefonii GSM – zmieniając

komórkę (pole zasięgu jednej stacji nadaw-

czo-odbiorczej) rozmowa nie jest przerwana.

Dlatego też roaming w sieci Wi-Fi jst istot-

ny, gdy oprócz transmisji danych, służy ona

także do VoIP. W tym momencie, nawet naj-

krótsze przerwy w transmisji są niedopusz-

czalne.

otrzymują dodatkowe adresy IP, a dane dane

przeznaczone do wysyłki pod ten wirtualny

adres są pakowane przez mechanizmy VPN

i wysyłane pod rzeczywisty adres odbiorcy

(Rysunek 4.).

Odbiorca rozpakowuje dane i traktuje je

tak, jakby dotarły do niego przez wirtualny

adres. W ten sposób powstaje tunel chroniący

dane wysyłane pomiędzy klientami w sieci.

Ponadto VPN potrai obsługiwać połączenia

pomiędzy całymi sieciami. Dzięki temu ist-

nieje możliwość stworzenia bezpiecznej sieci

rozproszonej – łączącej zasoby sieci lokalnej

z zasobami sieci odległej, np. za pośrednic-

twem łącza internetowego. Z punktu widze-

nia klientów sieci VPN wszystkie końcówki

sieci będą miał adresy z tej samej puli.

Najbardziej znaną implementacją wirtual-

nej sieci prywatnej stanowi projekt OpenVPN

( http://openvpn.net ) – projekt rozpowszech-

niany na licencji OpenSource. Jego olbrzymią

zaletą jest dostępność oprogramowania Ope-

nVPN na niemalże wszystkie platformy sys-

temowe – Linux, Windows, MacOS, a także

Windows Mobile, co sprawia, że VPN może

objąć wszystkie dostępne końcówki sieci.

Wirtualna sieć prywatna

Opisane powyżej rozwiązania zapewnienia

bezpieczeństwa sieci bezprzewodowych,

oparte na właściwej koniguracji AP oraz wy-

korzystaniu mocnego algorytmu szyfrowania

przesyłanych danych sprawdzają się z powo-

dzeniem w przypadku prostej sieci złożonej

z klienta i AP. Jeśli sieć bezprzewodowa sta-

nowi szkielet sieci spinającej większą liczbę

klientów, nawet najbardziej wymyślne me-

chanizmy szyfrowania nie stanowią wystar-

czającego zabezpieczenia tejże sieci. Z po-

mocą przychodzi w tym przypadku zastoso-

wanie wirtualnej sieci prywatnej ( Virtual Pri-

vate Network – VPN), która tworzy pomię-

dzy komputerami szyfrowane tunele.

W sieci VPN wykorzystywane są zaso-

by tradycyjnej sieci (Wi-Fi, ethernet), jednak

z punktu widzenia klienta powstaje dodatko-

wa wirtualna sieć. Komputery w sieci VPN

Inne metody

zabezpieczenia sieci Wi-Fi

Zastosowanie opisanych powyżej rozwiązań

w domowej, czy irmowej sieci bezprzewodo-

wej daje duże prawdopodobieństwo stworze-

nia bezpiecznej sieci. Nie zawsze jednak wy-

magane jest stworzenie VPN, aby ustrzec się

przed atakami z zewnątrz. Wystarczy, jeśli w

sieci będziemy łączyli się z lokalnymi lub też

zdalnymi zasobami za pośrednictwem np. tu-

neli SSH. Wydajne mechanizmy szyfrowania

dostępne w OpenSSH zapewniają należyte

bezpieczeństwo przesyłanych danych.

Uwierzytelnianie z serwerem RADIUS

Podsumowanie

Sieć bezprzewodowa to wygodne rozwiązanie

zarówno do domu, jak i irmy. Niestety niesie

ze sobą zagrożenie w postaci niskiego pozio-

mu bezpieczeństwa przy standardowej koni-

guracji. Wystarczy jednak wprowadzić kilka

motywacji, aby stała się zdecydowanie bar-

dziej bezpieczna.

Trudno jest jednak jednoznacznie okre-

ślić, które z wyżej wymienionych technik na-

leży zastosować. Według mnie najlepiej jest

wybrać wszystkie. Na ostateczny poziom bez-

pieczeństwa składa się bowiem suma wszyst-

kich użytych zabezpieczeń. Im jest ich więcej

– tym trudniejsze zadanie ma potencjalny wła-

mywacz. Należy jednak liczyć się z tym, że

spowoduje to pewne ograniczenie wydajno-

ści sieci.

RADIUS ( Remote Authentication Dial In User Service ) – usługa uwierzytelniania użyt-

kowników, stosowana najczęściej w sieciach, w których dostęp do systemu uzyskuje

się metodą wdzwaniania (Dial-Up), np. uwierzytelnianie użytkowników przy usłudze do-

stępu do internetu przez telefon. W przypadku sieci bezprzewodowej klient łącząc się z

AP powoduje wysłanie zapytania przez AP do serwera RADIUS. Zapytanie zawiera na-

zwę użytkownika – adres MAC karty Wi-Fi porszącej o dostęp oraz hasło. Po pozytyw-

nym wyniku autoryzacji AP otrzymuje z RADIUS komunikat zezwalający na przyłącze-

nie klienta do sieci (Rysunek 4.).

O autorze

Autor artykułu, z wykształcenia lekarz weterynarii, mikrobiolog, pasjonuje się Linuksem od

ponad pięciu lat. Jego ulubione dystrybucje to Gentoo i Slackware.

Kontakt z autorem: madajczak@gmail.com

lipiec/sierpień 2008

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: