WiFi





Skratka výrazu Wireless Fidelity
Je známe ako bezdrôtová sieť vo voľnom pásme 2,4 GHz
Definovaná štandardom IEEE 802.11b pre bezdrôtové siete LAN
Prenosová rýchlosť je 1 až 11 Mbps
Médiom sú mikrovlny
Ďalšie typy bezdrôtových sietí:



802.11 – prenos 1 alebo 2 Mbps na frekvencii 2,4 GHz
802,11a – prenos 54 Mbps na frekvencii 5 GHz, používa armáda USA
BlueTooth a IrDa – len na krátke vzdialenosti
Fyzické zloženie siete:




Distribučný systém – Internet alebo sieť LAN, ktorú chceme sprístupniť
Prístupový bod – hardware, ktorým je distribučný systém šírený
Médium – prenosový médiom je rádiová vlna
Klient – zariadenie, pre ktoré distribuujeme distribučný systém
Hardware:


Access Point (AP) – prístupový bod – pripojovacie zariadenie, na ktoré sa pripojujú klienti
alebo ďalšie AP
Klientske (koncové) zariadenia – PC karty, PDA,...
Software:


Ovládače pre daný operačný systém
Firmware
Výhody/nevýhody:





Pomerne jednoduché budovanie siete
Mobilita
Cena
Zarušenosť pásma vo väčších mestách
Bezpečnosť
Bezpečnosť WiFi sietí:


Najväčší problém – rádiový signál je voľne šíriteľný a nie je možné obmedziť prístup k nemu
Nutnosť zabezpečiť nielen prístupové body ale aj samotné počítače kvôli možnosti ich
zneužitia na prístup do siete LAN
Možnosti ochrany WiFi sietí
MAC prístupové listy:



Najjednoduchší spôsob ochrany
V AP sa vytvorí zoznam MAC adries klientov, ktorí majú prístup do siete
Ľahko prelomiteľné – odpočúvanie siete, zistenie MAC adresy a jej zmena vPC
1
Statické IP adresy:



Vypnutie DHCP servera
Nastavenie masky siete na netradičnú dĺžku
IP adresa pridelená len známym MAC adresám
Wired Equivalen Privacy (WEP):






Kryptovanie paketov kvôli znemožneniu ich čítania
Bolo dávno prelomené
Je súčasťou IEEE 802.11
Používa Stream Cipher (prúdovú šifru) RC4 pre utajenosť dát a CRC-32 kontrolný súčet
Štandardná dĺžka WEB kľúča je 40 bitov, ku ktorému je pripojený 24 bitový inicializačný
vektor
Kľúč sa zadáva ako 10 miestne heslo v hexadecimálnom zápise
WiFi Protected Access (WPA):




Nahradil menej bezpečný WEP
Použitie TKIP (Temporary Key Integrity Protocol) – dynamická zmena kľúčov
TKIP vyžaduje server RADIUS – riadi zmenu kľúčov – vhodný najmä pre podnikové riešenia
Pre súkromný vektor je tu implementácia PSK (Pre-Shared Key) – kľúče na všetkých
zariadeniach sú dopredu nastavené
WiFi Protected Access 2 (WPA2):


Prúdovú šifru RC4 nahradila AES (Advanced Encryption Standard)
Zahŕňa autentifikáciu na základe 802.1x a nový protokol CCMP (CCM mode Protocol, CCM –
Counter with CBC-MAC, CBC – Cipher Blocking Chaining)
802.1x:


Poskytuje možnosť autentifikácie zariadení pripojených na porty sieťových zariadení,
vytvorenie spojenia a zabraňuje prístup na porty zariadeniam, ktoré sa neautentifikovali
Používa EAP – Extensible Authentication Protocol
Remote Authentication Dial In User Service (RADIUS):





Protokol umožňujúce autentifikáciu a autorizáciu
Prihlasovacie údaje sú posielané pomocou EAP
Autentifikovaný klient obdrží IP adresu, WEP kľúč, nastavenia
Možnosť triediť užívateľov do skupín (prerozdelenie práv užívateľov)
RADIUS je voľne dostupný
Extensible Authentication Protocol (EAP):



Dva typy EAP
EAP MD-5 CHAP - komunikácia prebieha bez šifrovania v „čitateľnej forme“, nevytvára sa
zabezpečený kanál, v súčasnosti sa používa
EAP-TLS – založený na X.509 digitálnych certifikátoch, obidve zariadenia si vymenia
certifikáty ako časť autentifikačného procesu, komunikácia prebieha po zabezpečenom
kanáli
2
Ako postupovať pri zabezpečení WiFi sietí:
1.
2.
3.
4.
5.
Zapnutie šifrovania – aj slabá šifra je lepšia ako žiadna
Zmena prednastavených prístupových hesiel na AP a WiFi smerovače
Zmena prednastaveného mena siete
Vypnutie zdieľania tlačiarní a súborov sietí
Umiestnenie prístupových bodov tak, aby ich signál pokrýval len územie, kde je to
nevyhnutne potrebné
6. Medzi bezdrôtovú sieť a lokálnu sieť umiestniť firewall
Druhy útokov na WiFi siete
Náhodné pripojenie:


Vzniká ak si užívateľ pripojený do ethernetu nechá zapnuté bezdrôtové pripojenie
a automaticky sa pripojí do nezabezpečenej siete
Útočník sa tak cez nezabezpečenú sieť vie pripojiť do ethernetu
Zlomyseľné pripojenie:


Vzniká keď útočník umiestni do PC program, ktorý zmení správanie sa bezdrôtovej karty na
prístupový bod
Môže tak napríklad odchytávať heslá
MAC spoofing:


Ide o krádež identity
MAC adresa je odchytená počúvaním siete, následne skopírovaná a použitá pre pripojenie
Man-In-the-Middle útok:


Jeden z najrafinovanejších spôsobov
Útočník nastaví prístupový bod rovnako ako prístupový bod, na ktorý bol pripojený daný
užívateľ, sám sa pripojí na pôvodný prístupový bod a užívateľ sa tak napája do siete cez
prístupový bod útočníka
DoS útok:



Denial of Service – odmietnutie služby
Najstarší typ útoku
Princíp odosielania veľkého množstva požiadaviek čo má za následok zahltenie systému
a jeho následný pád
Network Injection útok:


Používa sa na prístupové body, ktoré nefiltrujú dátový tok
Útočník posiela broadcastové pakety slúžiace na konfiguráciu sieťových zariadení a snaží sa
ich rekonfigurovať prípadne vyvolať ich reštart
Autentifikácia a autorizácia v sieťach WiFi:


Autentifikácia – mechanizmus, ktorý overuje prihlasovacie údaje a identifikuje užívateľov
Autorizácia – mechanizmus, ktorý prideľuje jednotlivým užívateľom prístupové práva
3
Autentifikačný proces servera RADIUS:
1.
2.
3.
4.
5.
6.
7.
8.

Klientske zariadenie požiada o prihlásenie do siete.
AP odošle klientskemu zariadeniu požiadavku ne overenie identity.
Klientske zariadenie odpovie odoslaním svojej identity.
Prístupový bod prepošle prijatú identitu serveru RADIUS cez nekontrolovaný kanál.
Server RADIUS pošle požiadavku klientskemu zariadeniu cez AP na špecifikáciu
autentifikačnej metódy, ktorá bude použitá (napr. EAP-TLS).
Klient odpovie serveru RADIUS odoslaním svojich autentifikačných údajov (meno a heslo).
Server RADIUS v prípade úspešnej autentifikácie odošle šifrovaný autentifikačný kľúč AP-u.
AP vygeneruje globálny autentifikačný kľúč a odošle ho klientskemu zariadeniu.
Klientske zariadenie následne získa zabezpečený prístup do siete cez kontrolovaný kanál
prístupového bodu.
Obrázok 1: Autentifikačný proces servera RADIUS.
Zdroje:
http://www.kis.fri.uniza.sk/index.php/sk/pridaj-subordokument/doc_download/24-2007-bp-galis
http://www.soom.cz/index.php?name=usertexts/show&aid=25&title=Jemny-uvod-do-WiFi
4
Download

null